Gli imprenditori
al servizio
delle Imprese

Privacy - Misure di semplificazione contenute nel DL n. 112/08 e nel Provvedimento del Garante

01/08/2008

Il Decreto Legge n. 112 del 25 giugno 2008 (Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione Tributaria) prevede misure di semplificazione degli adempimenti in materia di privacy, che accolgono alcune proposte da tempo sostenute da Confindustria.

La riduzione degli oneri amministrativi e burocratici connessi alla tutela della riservatezza rappresenta un’esigenza fortemente sentita dalle imprese, come emerso anche dal Protocollo di intesa tra Ministro per la funzione pubblica e Confindustria del marzo 2006 e dal Piano d’azione per la semplificazione e la qualità della regolazione definitivamente approvato dal Consiglio dei ministri nello scorso anno.

L’art. 29 del DL n. 112, inserito nel Titolo II, Capo VII sulle "Semplificazioni", modifica infatti il d.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali, di seguito "Codice") con l’obiettivo di ridurre gli oneri delle imprese connessi agli obblighi di redazione del Documento Programmatico sulla Sicurezza (art. 34, co. 1, lett. g) Codice e punto 19, Allegato B) e di notificazione del trattamento.
 
Il citato art. 29 interviene innanzitutto sul testo dell’art. 34 del Codice, che individua le misure minime di sicurezza - tra le quali è compreso il DPS - applicabili al trattamento di dati personali effettuato con strumenti elettronici, introducendo un nuovo comma 1-bis che esclude dall’ambito di applicazione dell’obbligo del DPS le imprese (e, in generale, tutti i soggetti) che trattano, oltre ai dati personali "comuni", quale unico eventuale dato sensibile lo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi (es. certificato di assenza per malattia).
 
Sul punto, come detto, Confindustria aveva in diverse occasioni già segnalato alle competenti autorità gli eccessivi problemi organizzativi derivanti alle imprese dall’obbligo della tenuta del DPS in ragione del trattamento - in modalità elettroniche - di questa unica tipologia di informazioni considerate "sensibili".
 
Pertanto, la norma in esame stabilisce opportunamente che la natura di tali dati sanitari non incida sull’obbligo di redazione del DPS a carico di tutte le imprese. Queste ultime, infatti, trattano il dato dell’assenza per malattia nell’ambito dell’ordinaria gestione del rapporto di lavoro con i propri dipendenti e collaboratori, sulla base di norme di legge e contrattuali. Per tale categoria di imprese l’obbligo di redazione del DPS viene quindi eliminato e sostituito da un’autocertificazione, resa ai sensi dell’art. 47 del DPR n. 445 del 28 dicembre 2000, con la quale il titolare dovrà attestare:
   - di trattare soltanto dati personali non sensibili (quindi, "comuni") e che l’unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi; 

   - che il trattamento del dato sensibile (i.e. sanitario) è stato eseguito in osservanza delle misure di sicurezza richieste dal presente Codice (artt. 33-35), nonché del disciplinare tecnico cd. Allegato B).

L’art. 29, co. 2, dispone inoltre la semplificazione delle modalità di redazione del DPS anche per tutte le altre imprese (quelle che non rientrano nella possibilità di beneficiare dell’autocertificazione di cui al nuovo art. 34, co. 1-bis del Codice), allo scopo di adempiere alle correnti finalità amministrative e contabili.
 
La previsione di un DPS a carattere semplificato per la generalità delle imprese che trattano dati comuni e sensibili - diversi da quelli relativi all’assenza per malattia - è rimessa a un successivo intervento di aggiornamento del disciplinare tecnico di cui all’Allegato B), da realizzarsi entro due mesi dall’entrata in vigore della legge di conversione del DL n. 112/08, nelle forme del decreto ministeriale di cui all’art. 36 del Codice. Il rispetto del termine di due mesi è presidiato dalla previsione contenuta nell’art. 29, co. 3 del DL, secondo cui la mancata adozione del decreto di adeguamento entro la scadenza indicata rende applicabile a tutte le imprese titolari di un trattamento (indipendentemente dalla natura dei dati trattati, comuni e/o sensibili) la disciplina privilegiata dell’autocertificazione ex art. 34, co. 1-bis.
 
Per quanto riguarda l’obbligo di notificazione, che riguarda i soli trattamenti tassativamente individuati all’art. 37 del Codice, l’art. 29, co. 4 e 5 del DL, interviene a semplificare le modalità di esecuzione di tale adempimento. Nell’attuale formulazione il modello per la notificazione predisposto dallo stesso Garante per la protezione dei dati personali (di seguito, "il Garante") richiede infatti numerose informazioni non previste dalla disciplina comunitaria.
 
Pertanto, il co. 2 dell’art. 38 del Codice è sostituito con una nuova disposizione che, da un lato, limita il novero delle informazioni da fornire in sede di notifica al Garante conformemente alle indicazioni della direttiva comunitaria, dall’altro lato non prevede più alcun riferimento alle modalità di sottoscrizione della notificazione con firma digitale. In sostituzione dell’obbligo di dotarsi della firma digitale per la notificazione, come chiarito nella Relazione al DDL di conversione del DL n. 112/08 (AC n. 1386), il Garante potrà stabilire, ai sensi del co. 5 dell’articolo 38 del Codice, altre modalità semplificate di individuazione del mittente (ad es. tramite procedure di autenticazione nel sito mediante password, secondo una prassi ormai corrente nella modulistica on-line di molte pubbliche amministrazioni). È stato infine disposto l’obbligo del Garante di adeguare il contenuto del modello predisposto per la notifica entro il termine di due mesi dall’entrata in vigore della legge di conversione del DL 112/08.
 
Tutte le descritte misure di semplificazione sono efficaci dal 25 giugno scorso, data di pubblicazione del DL n. 112/08 in Gazzetta Ufficiale (GU n. 147 del 25-6-2008 - Suppl. Ordinario n.152) e, come precisato nella citata Relazione al DDL di conversione del DL n. 112/08, sono perfettamente "compatibili con la lettera e con lo spirito delle direttive comunitarie recepite dal Codice in materia di protezione dei dati personali". 
  
Peraltro, vale la pena ricordare che le misure legislative appena esaminate si pongono in linea di continuità con il recente provvedimento dell’Autorità Garante del 19 giugno 2008 che detta "Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili".
 
Si sottolineano in questa sede le principali novità, di interesse per le imprese, contenute nel provvedimento del Garante e relative all’adempimento degli obblighi dell’informativa e del consenso. Sotto il primo profilo, si prevede che i titolari del trattamento in ambito privato e pubblico, tra cui soprattutto PMI, professionisti e artigiani, possano:

   - unificare l’informativa per il complesso dei trattamenti, al fine di evitare frammentazioni e inutili ripetizioni; 
   - utilizzare un linguaggio semplificato, che evidenzi le caratteristiche essenziali del trattamento e preveda, per quanto possibile, una prima informativa breve all’interessato (anche in forma orale), rinviando a un testo più articolato, accessibile anche attraverso strumenti informatici e telematici (ad es. tramite Internet o reti Intranet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito, etc.); 

   - omettere nell’informativa articolata gli elementi già noti all’interessato e i riferimenti puramente burocratici o le circostanze già note (se la raccolta di dati avviene presso terzi è anche possibile formulare una sola informativa per i dati forniti dall’interessato e per quelli che saranno acquisiti presso questi ultimi).
Il Garante ha anche proposto una formulazione standard di informativa sintetica, che potrebbe essere resa anche per iscritto secondo il seguente modello:
"I SUOI DATI PERSONALI
Utilizziamo - anche tramite collaboratori esterni - i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su...".
 
Per quanto attiene al consenso dell’interessato, il provvedimento ribadisce l’esonero del titolare dalla richiesta quando il trattamento dei dati è svolto esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da registri ed elenchi pubblici, conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche, ovvero sono trattati da un soggetto pubblico (si tratta delle ipotesi disciplinate all’art. 24 del Codice).
 
Il provvedimento esonera, inoltre, il titolare dalla richiesta del consenso per l’utilizzazione di recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato cui sia stato precedente venduto un prodotto o prestato un servizio. In questi casi sarà possibile omettere il consenso, ai fini dell’invio di materiale pubblicitario, di vendita diretta o del compimento di ricerche di mercato e/o comunicazioni commerciali, nei limiti in cui ricorrano contestualmente le seguenti condizioni:
   - l’attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita già avvenuta; 
   - l’interessato sia informato della possibilità di far cessare il trattamento manifestando la propria opposizione.
Le misure adottate dal Garante recepiscono alcune richieste di semplificazione avanzate da Confindustria nell’ambito delle attività di confronto istituzionale con l’Autorità e con il Ministero della Funzione Pubblica.
 
Nel proprio provvedimento, l’Autorità Garante ha, inoltre, segnalato alle competenti autorità di Governo l'opportunità di modificare il d.lgs. n. 196/2003 per quanto attiene alla disciplina delle misure minime di sicurezza. Tale intervento è stato in parte realizzato con la semplificazione del DPS contenuta nel DL n. 112/08 in commento. Peraltro, il Garante ha anche proposto l'aggiunta di un comma 1-bis all'art. 33 del Codice, specificandone la relativa formulazione: "Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all'adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani".

Credits: J-Service srl realizzazione siti web