SEMPLIFICAZIONI IN MATERIA DI PRIVACY

Viene introdotto il comma 3 bis all'art. 5 del Codice.
Il trattamento di dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti tra i medesimi soggetti per finalità amministrativo-contabili non è soggetto all'applicazione del Codice.
Quindi le disposizioni del Codice non trovano applicazione, ad esempio, nei rapporti tra due imprese per le finalità di cui sopra, mentre trovano ad esempio applicazione nel rapporto tra un'impresa ed un soggetto privato.

Quali sono le finalità amministrativo - contabili
Viene introdotto il comma 1 ter all'art. 34 del Codice
Testuale - 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalita' amministrativo - contabili sono quelli connessi allo svolgimento delle attivita' di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalita' le attivita' organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilita' e all'applicazione delle norme in materia fiscale, sindacale, previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro

Dati sensibili dei dipendenti e rapporto di lavoro
Una prima semplificazione della normativa di cui all'art. 34 del Codice era avvenuta con l'introduzione del comma 1 bis ad opera dell'art. 29, comma 1 del D.L. 25/6/2008 n. 112, poi convertito nella Legge 133/2008; in tale sede il legislatore non aveva considerato che potevano essere trattati anche dati del coniuge e di parenti del lavoratore, non aveva inoltre considerato il trattamento di eventuali dati giudiziari del dipendente ed aggiunge ora che la norma in questione si applica anche nel caso di dipendenti extracomunitari; viene pertanto sostituito il comma 1 bis dell'art. 34 nel testo che segue:
Testuale - 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonche' a trattamenti comunque effettuati per correnti finalita' amministrativo - contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalita' semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.

Ricezione di curriculum vitae
L'informativa sul trattamento dei dati personali (art. 13 del Codice) non è dovuta nel caso di ricezione di curriculum vitae spontaneamente inoltrati dagli interessati; qualora l'azienda contatti l'aspirante dipendente successivamente, dovrà essere fornita all'interessato, anche verbalmente, un'informativa breve contenente almeno:
gli elementi di cui al comma 1 lett. a: finalità e modalità del trattamento
gli elementi di cui al comma 1 lett. d: soggetti o categorie di soggetti ai quali possono essere comunicati i dati e l'ambito di diffusione dei dati
gli elementi di cui al comma 1 lett. f: gli estremi identificativi del titolare del trattamento
Conseguentemente a tale modifica viene introdotta nell'articolo 24 (Casi in cui può essere effettuato il trattamento senza consenso) la fattispecie di cui alla lettera b-bis, cioè il trattamento dei dati dei curriculum vitae.

Società controllanti, controllate o collegate
Viene introdotta nell'articolo 24 (casi di trattamento senza consenso) la fattispecie di cui alla lettera i ter - fatto salvo che nell'informativa di cui all'art. 13 sia prevista espressamente tale condizione.
Testuale - i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall'articolo 130 del presente codice, riguarda la comunicazione di dati tra societa', enti o associazioni con societa' controllanti, controllate o collegate ai sensi dell'articolo 2359 del codice civile ovvero con societa' sottoposte a comune controllo, nonche' tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalita' amministrativo contabili, come definite all'articolo 34, comma 1-ter, e purche' queste finalita' siano previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa di cui all'articolo 13.

In sintesi gli adempimenti
Si reputa che le ulteriori semplificazioni debbano essere valutate anche alla luce del Provvedimento di semplificazione in precedenza emanato dal Garante il 27 novembre 2008 e pubblicato sulla G.U. del 9/12/2008.

Coordinando le norme di cui al D.L. 70/2011 e quelle di semplificazione del Garante del 27/11/2008 si perverrebbe alla seguente conclusione, applicabile alla maggior parte dei soggetti (specie le imprese):

• I rapporti tra imprese per finalità amministrativo-contabili non sono soggette alle disposizioni del Codice (finalità intese come quelle prima indicate)
• La gestione del rapporto di lavoro e tutti i dati relativi alla gestione del rapporto stesso non obbligano alla redazione del Documento Programmatico sulla Sicurezza, che può essere sostituito dall'autocertificazione.

Qualora il trattamento dei dati sia effettuato solo per tali finalità, gli adempimenti da assolvere sarebbero i seguenti:

a) Nomina scritta del responsabile del trattamento (non obbligatoria)
b) Informativa scritta ai dipendenti e collaboratori per il trattamento di dati sensibili degli stessi
c) Designazione scritta degli incaricati del trattamento (le istruzioni agli incaricati possono essere impartite oralmente, con indicazioni di chiara e semplice formulazione)
d) Password per l'accesso al sistema informatico (qualsiasi sistema di autenticazione che preveda username e password)
e) Obbligo di variazione semestrale delle password (trimestrale nel caso di trattamento di dati sensibili dei dipendenti)
f) Aggiornamento del software antivirus annuale (biennale se lo strumento informatico non è connesso ad internet) - (se non automatica: designazione scritta di un addetto)
g) Aggiornamento delle patches annuale (biennale se lo strumento informatico non è connesso ad internet)
h) Salvataggio almeno mensile dei dati (designazione scritta di un incaricato)
i) Qualora un soggetto esterno si occupi della elaborazione dei cedolini paga: acquisizione di dichiarazione scritta conforme a quella indicata nel Garante nella Guida operativa alla redazione del DPS dell'11/6/2004 (regola 19.7 dell'allegato B al Codice)
j) Redazione dell'autocertificazione (scritta) di cui all'art. 47 del D.P.R. 445/2000 (autocertificazione con allegata copia fotostatica del documento di identità del dichiarante)

Qualora ci si avvalga di un soggetto terzo per la realizzazione di una o più misure di sicurezza (lettere e-f-g-h che precedono) occorrerà inoltre acquisire dichiarazione da parte di tale soggetto, attestante che gli interventi effettuati sono conformi a quelli previsti dall'allegato B al Codice (punto 25 dell'allegato B al Codice).

Autore: Valter Franco