Il D.L. 25 giugno 2008 n. 112 (cd. decreto semplificazioni) ha introdotto nuove disposizioni in materia di trattamento dei dati personali dirette ad alleggerire le imprese, con particolare riferimento a quelle piccole e medie, degli oneri burocratici previsti dal Codice della privacy (D.Lgs. n. 196/2003). In particolare, il Decreto ha previsto per le aziende che trattano con strumenti elettronici dati personali non sensibili ed unico dato sensibile fosse costituito dallo stato di salute o malattia dei propri dipendenti, senza indicazione della diagnosi, di non redigere il Documento Programmatico sulla Sicurezza e di sostituirlo con apposita autocertificazione.
Contestualmente, il Garante per la protezione dei dati personali ha emanato un proprio provvedimento, anch’esso essenzialmente destinato alle piccole e medie imprese, fornendo indicazioni volte a semplificare gli adempimenti burocratici previsti dalle norme in materia pur nel rispetto delle stesse.
APPROFONDIMENTI
Decreto legge n. 112 del 2008. Documento programmatico sulla sicurezza ed autocertificazione
Con l’art. 29 del citato D.L. n. 112/2008 è stato introdotto un ulteriore comma all’art. 34 del Codice della privacy dedicato alle misure minime di sicurezza da adottare nel caso di trattamenti di dati compiuti con strumenti elettronici.
Il comma aggiunto è diretto a ridurre gli oneri burocratici delle aziende con particolare riferimento all’obbligo di redigere il Documento Programmatico sulla Sicurezza. Infatti, le aziende che tratteranno come unico dato sensibile quello costituito dallo stato di saluto o malattia dei propri dipendenti, senza indicazione della relativa diagnosi, non saranno più tenute alla redazione del Documento Programmatico sulla Sicurezza, venendo tale obbligo sostituito da quello dell’autocertificazione resa dal titolare del trattamento che, con atto di notorietà (ai sensi dell’art. 47 del D.P.R. n. 445/2000 – T.U. in materia di documentazione amministrativa), dichiarerà che unico dato sensibile è costituito, appunto, dallo stato di salute o malattia dei propri dipendenti, senza indicazione della relativa diagnosi, e che il trattamento di tale dato è stato eseguito in osservanza delle misure di sicurezza previste dal Disciplinare tecnico riportato nell’Allegato B al Codice sulla privacy.
Il decreto prevede altresì che, entro 2 mesi dall’entrata in vigore della legge di conversione, si proceda ad un aggiornamento del Disciplinare tecnico, di cui al citato Allegato B, introducendo semplificate modalità di redazione del Documento Programmatico sulla Sicurezza.
A nostro parere, l’esonero disposto dal nuovo comma 1-bis dell’art. 34 del Codice della privacy presenta alcune criticità . Innanzitutto, esso appare assolutamente parziale, non venendo a considerare l’ulteriore categoria di dati (iscrizione a sindacato dei dipendenti ed ulteriori dati concernenti le attività sindacali degli stessi) che si può riscontrare con una certa frequenza anche nelle medie imprese. Non viene fatta, inoltre, alcuna precisazione sulla possibilità che l’autocertificazione venga resa dal responsabile del trattamento eventualmente designato, con ulteriori problematiche per la presenza di responsabili esterni (es. centri di elaborazione delle paghe e/o consulenti del lavoro) e della conseguente possibilità che vengano anch’essi a ricomprendersi nell’autocertificazione in quanto comunque trattamenti di titolarità sempre dell’azienda.
Alcuni dubbi genera anche lo stesso criterio dell’autocertificazione che, come noto, viene resa nei confronti di pubblica amministrazione; in questo senso, non appare chiaro se l’atto di notorietà debba venir comunque predisposto e conservato in azienda o reso all’occorrenza qualora richiesto.
Notificazione
L’art. 29 del D.L. n. 112 modifica, inoltre, la norma del Codice della privacy dedicato alla notificazione all’Autorità garante, ridefinendo le informazioni che il titolare è tenuto a fornire al Garante medesimo in tale occasione.
Venendo così a sostituirsi il comma 2° dell’articolo 38 del Codice della privacy, La notificazione sarà validamente effettuata se trasmessa attraverso il sito dell’Autorità Garante, utilizzando l’apposito modello, fornendo le seguenti informazioni:
1) coordinate identificative del titolare del trattamento ed, eventualmente, del suo rappresentante, nonché di un responsabile del trattamento se designato;
2) finalità del trattamento;
3) descrizione delle categorie di persone interessate e delle categorie di dati loro relativi;
4) destinatari o categorie di destinatari a cui i dati possono essere comunicati;
5) trasferimenti di dati previsti verso Paesi terzi;
6) descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
La nuova norma non è, però, da subito operativa, essendo stati concessi all’Autorità garante due mesi (dall’entrata in vigore della legge) per aggiornare il modello previsto ai fini della notificazione,
Ricordiamo che l’obbligo di notificazione del trattamento disposto dall’art. 27 del Codice della privacy sussiste solo relativamente a specifiche categorie di dati ivi elencati e comunque nei limiti delle precisazioni fornite al riguardo dall’Autorità garante con propri provvedimenti (per i quali rimandiamo alle nostre precedenti notizie rispettivamente del Notizia n. PD04.0526 del 09/04/2004 e del Notizia n. PD04.0622 del 28/04/2004).
Provvedimento del Garante del 19 giugno 2008
Contestualmente alla pubblicazione in G.U. del cd. Decreto semplificazioni, il Garante per la protezione dei dati personali emanava un proprio provvedimento diretto anch’esso a fornire indicazioni di semplificazione per trattamenti di dati aventi finalità amministrative e contabili.
Va subito precisato che questo provvedimento, e non potrebbe essere diversamente, non incide in alcun modo sulle specifiche norme previste dal Codice della privacy sulle quali il Garante si sofferma, essendosi appunto limitato a dei meri suggerimenti volti a rendere meno gravosi alcuni oneri imposti dal Codice stesso. Di conseguenza, la gran parte di quanto contenuto nel provvedimento appare ovvia essendo, appunto, direttamente discendente dalle norme di legge; peraltro, i suggerimenti forniti dal Garante sono stati da noi da tempo esplicitati nella modulistica contenuta nella guida “La privacy in aziendaâ€, pubblicata nel nostro sito nel canale “Diritto d’impresa†e, come tali, vengono da molte aziende già adottati. Evidenziamo, infine, come il provvedimento riguardi solo alcuni aspetti della complessiva materia (informativa, consenso, designazione degli incaricati), tacendo su molteplici ulteriori aspetti per i quali da tempo ci si batte, come sistema confindustriale, al fine di rendere meno gravosa la complessiva materia della privacy notoriamente invisa alle aziende per la burocratizzazione, ed i conseguenti costi aggiuntivi, che essa comporta.
Il provvedimento del Garante è principalmente destinato alle piccole e medie imprese, liberi professionisti ed artigiani, e vuole fornire alcuni suggerimenti di semplificazione nel caso di trattamenti di dati compiuti per sole finalità amministrative e contabili, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali e normativi. In tema di informativa, il Garante quindi suggerisce, fra le altre, di:
- redigere una prima informativa breve che indichi sinteticamente con immediatezza le principali caratteristiche del trattamento, proponendo anche la seguente formulazione:
“I SUOI DATI PERSONALI
Utilizziamo – anche tramite collaboratori esterni – i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su ……â€.
Detta informativa breve potrà essere utilizzata negli spazi utili del materiale cartaceo o corrispondenza impiegata dall’azienda per finalità amministrative e contabili;
- prevedere che l’informativa breve rinvii ad un testo più articolato, facilmente accessibile agli interessati (es. nel proprio sito Internet, messaggi pre-registrati disponibili digitando un numero telefonico gratuito, avvisi agli sportelli per la clientela), anch’esso basato su espressioni sintetiche, chiare e comprensibili;
- evitare, al fine di rendere più snella l’informativa, di fornire elementi già noti all’interessato, quali ad esempio gli estremi identificativi del titolare, risultando questi già da altre parti del documento in cui è presente l’informativa stessa.
Il Garante suggerisce di adottare informative tendenzialmente uniformi per settore di attività , risultando necessaria una informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari in quanto coinvolge, ad esempio, peculiari dati. In questo senso, vengono invitate le Associazioni di categoria a predisporre delle informative tipo per determinati settori o categoria di trattamento anche in collaborazione con l’Autorità Garante.
Il provvedimento va poi a toccare aspetti concernenti la designazione degli incaricati del trattamento, che può avvenire in modo semplificato, individuando trattamenti di dati e relative modalità per singole unità cui sono addetti gli incaricati, ed evitando così singoli atti circostanziati relativi distintamente a ciascun incaricato.
Il Garante ricorda, inoltre, che non è necessario chiedere il consenso agli interessati qualora il trattamento dei dati, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi, venga svolto esclusivamente per correnti finalità amministrative e contabili, quando i dati provengono da pubblici registri ed elenchi pubblici da chiunque conoscibili (il tutto come già espressamente previsto dall’art. 24 del Codice della privacy).
Infine, in tema di consenso per attività promozionali, il Garante dispone che i titolari del trattamento in ambito privato che abbiano venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso dell’interessato i recapiti (oltre che di posta elettronica, come già previsto dall’art. 130 del Codice della privacy) di posta cartacea forniti dall’interessato medesimo, per l’invio di materiale pubblicitario o di comunicazione commerciale o, ancora, per il compimento di ricerche di mercato. Tutto ciò, a condizione che l’attività promozionale riguardi beni e servizi del medesimo titolare, analoghi a quelli oggetto del precedente rapporto; l’interessato, al momento della raccolta ed in occasione dell’invio di ciascuna comunicazione effettuata per le finalità sopra ricordate, venga informato della possibilità di opporsi in ogni momento al trattamento, anche mediante l’utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l’interruzione di tale trattamento; l’interessato medesimo, così adeguatamente informato già prima dell’instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni.
Viene quindi ripreso il contenuto dell’art. 130, comma 4° del Codice della privacy in tema di comunicazioni indesiderate, con la sola sostanziale novità costituita dalla possibilità per le aziende di estendere il regime dettato da tale norma anche all’inoltro con posta tradizionale, verso clientela già acquisita, di comunicazioni aventi natura promozionale e di marketing.