Si pubblica un articolo, curato dal nostro partner avv. Elisa Lagni, in merito alle semplificazioni introdotte dal decreto sviluppo.
Il decreto sviluppo (d.l. 70/2011), entrato in vigore il 13 maggio 2011 e convertito nella l. 12 luglio 2011 n. 106, ha introdotto alcune rilevanti semplificazioni alla normativa in materia di privacy.
Si riassumono di seguito le principali modifiche apportate:
1. RAPPORTI CON CLIENTI E FORNITORI (aziende): ELIMINAZIONE DEGLI OBBLIGHI PRIVACY
Il Decreto sviluppo ha eliminato l’obbligo del rispetto della normativa privacy per il trattamento di dati relativi ai rapporti tra persone giuridiche, imprese, enti o associazioni qualora detto trattamento sia effettuato per le finalità amministrativo – contabili.
Da ciò ne consegue che qualora si trattino dati di clienti o fornitori (purché persone giuridiche, imprese, enti o associazioni) esclusivamente per scopi “amministrativo-contabili”, cadranno sia l’obbligo di rilasciare l’informativa ai sensi dell’art. 13 del Codice, sia gli obblighi connessi alle misure di sicurezza.
Per individuare quali siano le “finalità amministrativo-contabili” il decreto sviluppo ha fornito una prima esemplificazione, includendo tra le stesse tutti i trattamenti connessi allo svolgimento di attività di natura organizzativa, amministrativa, finanziaria e contabile tra cui: attività organizzative interne, funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro.
Un’ulteriore interpretazione di “finalità amministrativo-contabili” è stata fornita altresì dalla circolare di CONFINDUSTRIA del 18 luglio 2011 n. 19439, la quale ha ritenuto inclusi in tali finalità i seguenti trattamenti:
– l’attività finalizzata alla conclusione del contratto e pre-contrattuale, acquisizione di preventivi e proposte, qualificazione del fornitore-cliente;
– adempimenti volti a consentire l’esecuzione delle prestazioni dedotte in contratto nei confronti di clienti e fornitori;
– gli adempimenti di natura finanziaria relativi ai rapporti con le banche o altri enti per l’ordinaria gestione di linee di credito o di garanzie, di conti correnti con clienti e fornitori;
– gli adempimenti nei confronti delle pubbliche amministrazioni e, più in generale, quelli previsti da obblighi di legge (in materia previdenziale, assistenziale, di salute, igiene, sicurezza sul lavoro), tenuta della contabilità.
Oltre a tali attività, la Circolare di CONFINDUSTRIA si allarga nell’interpretazione sino a ricondurre fra le finalità amministrativo contabili anche le seguenti attività, la cui inclusione tra le “finalità amministrativo-contabili”, in realtà appare dubbia, ossia:
– l’attivazione di sistemi di videosorveglianza per esigenze organizzative interne all’impresa (trattamento quest’ultimo in realtà non espressamente richiamato dall’art. 34);
– l’attività di gestione del personale che comporta, ad esempio, il trattamento di dati relativi allo stato di salute dei lavoratori (malattie, infortuni), alle trattenute, ai permessi e alle aspettative per incarichi sindacali o politici, allo svolgimento di servizi di mensa aziendali (particolari regimi alimentari per esigenze di salute o religiose), all’elaborazione delle buste-paga, ai permessi per festività religiose, sempre svolte tra cliente e fornitore.
Sicuramente, in ogni caso, come conferma anche la circolare, non costituiscono “finalità amministrativo-contabili” ad esempio l’attività di marketing, pubblicitaria o promozionale o il compimento di sondaggi e ricerche di mercato, anche se effettuata su clienti e fornitori che resteranno pertanto attività soggette alla normativa privacy.
2. NIENTE INFORMATIVA PREVENTIVA E NIENTE CONSENSO IN CASO DI RICEZIONE DI CURRICULA
Il decreto sviluppo ha altresì previsto l’esclusione dell’obbligo di fornire la preventiva informativa ai sensi dell’art. 13 del codice privacy e di richiesta preventiva del consenso per i candidati all’assunzione, relativamente ai dati contenuti nei curricula, ricevuti spontaneamente.
Solo a seguito del primo contatto successivo all’invio del curriculum sarà necessario che l’impresa fornisca all’interessato una breve informativa contenente almeno gli elementi di cui al comma 1, lett. a, d ed f dell’art. 13 Codice Privacy.
3. NIENTE CONSENSO PER COMUNICARE DATI INFRA GRUPPO PER FINALITA’ AMM.VO-CONTABILI.
Ulteriore modifica introdotta dal decreto sviluppo è stata l’eliminazione dell’obbligo di richiedere il consenso in caso di comunicazione di dati tra società, enti o associazioni con società controllanti o controllate o collegate o con società sottoposte a comune controllo, anche tra consorzi, reti di imprese, raggruppamenti e associazioni temporanee di imprese, con i soggetti ad esse aderenti, per le finalità amministrativo contabili.
Agli interessati tale possibilità di comunicazione dei dati deve essere solo resa nota tramite l’informativa e art. 13 codice privacy.
4. AUTOCERTIFICAZIONE IN LUOGO DEL DPS SE SI TRATTANO SOLO DATI AMM.VO-CONTABILI E DEI DIPENDENTI
Il decreto sviluppo ha inoltre abolito l’obbligo di redazione del DPS (documento programmatico sulla sicurezza) nel caso in cui si trattino solo dati non sensibili o sensibili e giudiziari solo relativi a dipendenti.
Questa semplificazione recepisce quanto già previsto con apposito provvedimento di semplificazione del Garante Privacy.
Il testo nello specifico prevede: “1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B).”
Da una prima lettura potremmo pertanto concludere che solo chi tratta dati sensibili e/o giudiziari non connessi ai dipendenti, dovrà continuare a procedere alla redazione del documento programmatico di sicurezza. Pertanto tutte le strutture operative in ambito sanitario, quelle che trattano dati per conto terzi, le aziende che trattano dati aggregati di consumatori finali (vedasi chi eroga acqua, gas, ecc.) dovranno comunque continuare a redigere ed aggiornare il DPS.
5. COMUNICAZIONI PUBBLICITARIE: POSSIBILITA’ DI OPPORSI ALLA RICEZIONE DI PUBBLICITA’ CARTACEA
Un’ulteriore modifica riguarda anche la disciplina delle comunicazioni pubblicitarie indesiderate, recentemente già limitata dall’introduzione del registro delle opposizioni che permette al soggetto che non intende ricevere pubblicità telefonica di opporsi a detta ricezione. Ora, invece, con il decreto sviluppo, tale opposizione è prevista anche per la ricezione di posta cartacea.
