PRIVACY - SEMPLIFICAZIONI DEGLI
ADEMPIMENTI - PROVVEDIMENTO DEL GARANTE E DECRETO LEGGE N. 112/2008
Con provvedimento del 19
giugno 2008, pubblicato sulla Gazzetta Ufficiale n. 152 del 1 luglio 2008,
l’Autorità Garante per la Protezione dei Dati Personali ha introdotto alcune
semplificazione in ordine agli adempimenti posti a carico delle imprese dalla
vigente legislazione in materia di privacy, D.Lgs. n. 196/2003.
Le principali novità, di
interesse per le imprese, contenute nel provvedimento del Garante e relative
all’adempimento degli obblighi dell’informativa e del consenso possono essere
così riassunte.
Informativa
Sotto il primo profilo, si
prevede che i titolari del trattamento in ambito privato e pubblico, tra cui
soprattutto PMI, professionisti e artigiani, possano:
- unificare l’informativa
per il complesso dei trattamenti, al fine di evitare frammentazioni e inutili
ripetizioni;
- utilizzare un linguaggio
semplificato, che evidenzi le caratteristiche essenziali del trattamento e
preveda, per quanto possibile, una prima informativa breve all’interessato
(anche in forma orale), rinviando a un testo più articolato, accessibile anche
attraverso strumenti informatici e telematici (ad es. tramite Internet o reti
Intranet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per
la clientela, messaggi preregistrati disponibili digitando un numero telefonico
gratuito, etc.);
- omettere nell’informativa
articolata gli elementi già noti all’interessato e i riferimenti puramente
burocratici o le circostanze già note (se la raccolta di dati avviene presso
terzi è anche possibile formulare una sola informativa per i dati forniti
dall’interessato e per quelli che saranno acquisiti presso questi ultimi).
Il Garante ha anche
proposto una formulazione standard di informativa sintetica, che potrebbe
essere resa anche per iscritto secondo il seguente modello:
“I SUOI DATI PERSONALI
Utilizziamo - anche tramite
collaboratori esterni - i dati che la riguardano esclusivamente per nostre
finalità amministrative e contabili, anche quando li comunichiamo a terzi.
Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli
altri suoi diritti, sono riportate su...”.
Consenso
Per quanto attiene al consenso
dell’interessato, il provvedimento ribadisce l’esonero del titolare dalla
richiesta quando il trattamento dei dati è svolto esclusivamente per correnti
finalità amministrative e contabili, nonché quando i dati provengono da
registri ed elenchi pubblici, conoscibili da chiunque, o sono relativi allo
svolgimento di attività economiche, ovvero sono trattati da un soggetto
pubblico (si tratta delle ipotesi disciplinate all’art. 24 del Codice).
Il provvedimento esonera,
inoltre, il titolare dalla richiesta del consenso per l’utilizzazione di
recapiti (oltre che di posta elettronica come già previsto per legge) di posta
cartacea forniti dall’interessato cui sia stato precedente venduto un prodotto
o prestato un servizio. In questi casi sarà possibile omettere il consenso, ai
fini dell’invio di materiale pubblicitario, di vendita diretta o del compimento
di ricerche di mercato e/o comunicazioni commerciali, nei limiti in cui
ricorrano contestualmente le seguenti condizioni:
- l’attività promozionale riguardi
beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita
già avvenuta;
- l’interessato sia
informato della possibilità di far cessare il trattamento manifestando la
propria opposizione.
Le misure adottate dal
Garante recepiscono alcune richieste di semplificazione avanzate da
Confindustria nell’ambito delle attività di confronto istituzionale con
l’Autorità e con il Ministero della Funzione Pubblica.
Nel proprio provvedimento,
l’Autorità Garante ha, inoltre, segnalato alle competenti autorità di Governo
l’opportunità di modificare il d.lgs. n. 196/2003 per quanto attiene alla
disciplina delle misure minime di sicurezza. Tale intervento è stato in parte
realizzato con la semplificazione del DPS contenuta nel DL
n. 112/08 di cui si dirà più avanti.
Peraltro, il Garante ha
anche proposto l’aggiunta di un comma 1-bis all’art. 33 del Codice,
specificandone la relativa formulazione: “Il Garante può individuare con
proprio provvedimento modalità semplificate in ordine all’adozione delle misure
minime di cui al comma 1, con riferimento ai trattamenti effettuati per
correnti finalità amministrative e contabili, in particolare presso piccole e
medie imprese, liberi professionisti e artigiani”.
Decreto Legge n.
112/2008
Il Decreto Legge n. 112 del
25 giugno 2008 prevede misure di
semplificazione degli adempimenti in materia di privacy.
L’art. 29 del DL n. 112, inserito nel Titolo II, Capo VII sulle
“Semplificazioni”, modifica il d.lgs. n. 196/2003 con l’obiettivo di ridurre
gli oneri burocratici a carico delle imprese.
Esonero dall’obbligo di
redazione del DPS
Il citato art. 29
interviene innanzitutto sul testo dell’art. 34 del Codice, che individua le
misure minime di sicurezza - tra le quali è compreso il Documento Programmatico
sulla Sicurezza - DPS - applicabili al trattamento di dati personali effettuato
con strumenti elettronici, introducendo un nuovo comma 1-bis che esclude
dall’ambito di applicazione dell’obbligo del DPS le imprese (e, in generale,
tutti i soggetti) che trattano, oltre ai dati personali “comuni”, quale unico
eventuale dato sensibile lo stato di salute o malattia dei propri dipendenti
senza indicazione della relativa diagnosi (es. certificato di assenza per
malattia).
Pertanto, la norma in esame
stabilisce opportunamente che la natura di tali dati sanitari non incida
sull’obbligo di redazione del DPS a carico di tutte le imprese.
Queste ultime, infatti,
trattano il dato dell’assenza per malattia nell’ambito dell’ordinaria gestione
del rapporto di lavoro con i propri dipendenti e collaboratori, sulla base di
norme di legge e contrattuali.
Per tale categoria di
imprese l’obbligo di redazione del DPS viene quindi eliminato e sostituito da
un’autocertificazione, resa ai sensi dell’art. 47 del DPR n. 445 del 28 dicembre
2000, con la quale il titolare dovrà attestare:
- di trattare soltanto dati
personali non sensibili (quindi, “comuni”) e che l’unico dato sensibile è
costituito dallo stato di salute o malattia dei propri dipendenti senza
indicazione della relativa diagnosi;
- che il trattamento del
dato sensibile (i.e. sanitario) è stato eseguito in osservanza delle misure di
sicurezza richieste dal presente Codice (artt. 33-35), nonché del disciplinare
tecnico cd. Allegato B).
Semplificazione delle
modalità di redazione del DPS
L’art. 29, co. 2, dispone inoltre la semplificazione delle modalità di
redazione del DPS anche per tutte le altre imprese (quelle che non rientrano
nella possibilità di beneficiare dell’autocertificazione di cui al nuovo art.
34, co. 1-bis del Codice), allo scopo di adempiere
alle correnti finalità amministrative e contabili.
La previsione di un DPS a
carattere semplificato per la generalità delle imprese che trattano dati comuni
e sensibili - diversi da quelli relativi all’assenza per malattia - è rimessa a
un successivo intervento di aggiornamento del disciplinare tecnico di cui
all’Allegato B), da realizzarsi entro due mesi dall’entrata in vigore della
legge di conversione del DL n. 112/08, nelle forme
del decreto ministeriale di cui all’art. 36 del Codice.
Il rispetto del termine di
due mesi è presidiato dalla previsione contenuta nell’art. 29, co. 3 del DL, secondo cui la
mancata adozione del decreto di adeguamento entro la scadenza indicata rende
applicabile a tutte le imprese titolari di un trattamento (indipendentemente
dalla natura dei dati trattati, comuni e/o sensibili) la disciplina
privilegiata dell’autocertificazione ex art. 34, co.
1-bis.
Obbligo di Notificazione
Per quanto riguarda
l’obbligo di notificazione, che riguarda i soli trattamenti tassativamente
individuati all’art. 37 del Codice, l’art. 29, co. 4
e 5 del DL, interviene a semplificare le modalità di
esecuzione di tale adempimento. Nell’attuale formulazione il modello per la
notificazione predisposto dallo stesso Garante richiede infatti numerose
informazioni non previste dalla disciplina comunitaria.
Pertanto, il co. 2 dell’art. 38 del Codice è sostituito con una nuova
disposizione che, da un lato, limita il novero delle informazioni da fornire in
sede di notifica al Garante conformemente alle indicazioni della direttiva
comunitaria, dall’altro lato non prevede più alcun riferimento alle modalità di
sottoscrizione della notificazione con firma digitale. In sostituzione
dell’obbligo di dotarsi della firma digitale per la notificazione, come
chiarito nella Relazione al DDL di conversione del DL
n. 112/08, il Garante potrà stabilire, ai sensi del co.
5 dell’articolo 38 del Codice, altre modalità semplificate di individuazione
del mittente (ad es. tramite procedure di autenticazione nel sito mediante
password, secondo una prassi ormai corrente nella modulistica on-line di molte
pubbliche amministrazioni).
È stato infine disposto
l’obbligo del Garante di adeguare il contenuto del modello predisposto per la
notifica entro il termine di due mesi dall’entrata in vigore della legge di
conversione del DL 112/08.
Tutte le descritte misure
di semplificazione sono efficaci dal 25 giugno scorso, data di pubblicazione
del DL n. 112/08 in Gazzetta Ufficiale e, come
precisato nella citata Relazione al DDL di conversione del DL
n. 112/08, sono perfettamente “compatibili con la lettera e con lo spirito
delle direttive comunitarie recepite dal Codice in materia di protezione dei dati
personali”.