Nata: questo articolo ha più di 6 mesi e non contiene informazioni aggiornate
Eh, già. Ci risiamo.
Il Governo nella riunione del consiglio dei ministri del 5 maggio scorso ha messo a punto una nuova “semplificazione” degli adempimenti richiesti alle aziende in materia di protezione dei dati personali. In cosa alcune delle modifiche proposte possano aiutare lo sviluppo, proprio non riesco a comprenderlo.
Ma andiamo con ordine, vediamo in breve cosa cambia e cerchiamo di capire cosa comporta in pratica.
All’articolo 5 è aggiunto in fine il seguente comma:
“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”
In pratica, i rapporti fra aziende ed enti , ed esclusivamente nei rapporti fra loro effettuati per fini amministrativo – contabili, come definite all’articolo 34, comma 1-ter non sono più soggetti ad alcun obbligo fra quelli sin’ora previsti dal Codice in materia di protezione dei dati personali. Attenzione. Prima nota importante. Non sono più soggetti al Codice solo i dati personali trattati a fini amminsitrativo- contabile, e finalmente abbiamo una definizione legale di questi termini:
“1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”;
Almeno sappiamo di cosa si parla e si potrà mettere fine alle ipotesi fin qui espresse sul reale significato di “finalità amministrativo – contabili” . O no? Mah.
Mi sorgono dubbi, ad esempio, sui dati sensibili trattati da studi medici o laboratori privati di analisi cliniche, trattati su richiesta dell’interessato e quindi “finalizzati all’adempimento di obblighi contrattuali e precontrattuali”.
Andiamo avanti. Si parla ora di curriculum. I curriculum inviati spontaneamente dagli aspiranti candidati ad un posto di lavoro potranno essere trattati senza particolari obblighi, infatti viene modificato l’art. 13 (informativa) aggiungendo quanto segue:
“5-bis. L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”;
Vengono modifcati anche l’art. 24 (quello relativo ai trattamenti per i quali è esclusa la necessità di consenso) e l’art. 26 consentendo il trattamento dei curricula senza necessità di consenso quando questi siano inviati spontanemente, anche quando questi contengano dati sensibili.
all’articolo 24, è aggiunta la seguente:
“i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis;”
all’articolo 26, comma 3, dopo la lettera b) è aggiunta la seguente:
“b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.”;
Sembra restare impregiudicato il trattamento di curricula ricevuti su richiesta diretta, quindi resta obbligatorio formire preventivamente l’informativa, ad esempio negli annunci di lavoro e nel caso, acquisire il consenso.
Sempre l’art. 24 viene modificato estendendo l’esenzione dall’obbligo di consenso per la comunicazione di dati personali all’interno di gruppi societari, associazioni d’impresa, ecc. purchè di questo ne sia stata data preventiva informativa agli interessati.
“i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;
Significa, ad esempio, che i dati personali dei clienti e degli utenti potranno essere liberamente scambiati fra aziende che facciano parte dello stesso gruppo.
E siamo ad un altro punto interessante delle modifiche apportate alla normativa. Sostituendo integralmente l’attuale art. 34 – 1 bis viene esteso l’obbligo di autocertificazione sostituiva del Documento programmatico sulla sicurezza per quelle aziende che trattino solo dati personali non sensibili e dati personali di qualunque tipologia dei dipendenti e dei collaboratori.
all’articolo 34, il comma 1-bis è sostituito dai seguenti:
“1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B).
In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.”
Infine, un altro passo verso il soffocamento da pubblicità. Viene consentito l’invio di materiale pubblicitario cartaceo senza necessità di consenso nei confronti di chi non abbia provveduto alla iscrizione al già famoso “registro delle opposizioni” non solo del proprio numero telefonico ma anche del proprio indirizzo civico. Ovviamente la Fondazione Bordoni, che gestisce il registro dovrà aggiornare il sistema prevedendo l’inserimento dei nuovi dati ed estendendo le procedure di verifica, ecc. Tutte cose che dovranno in qualche modo essere regolate e per le quali ancora non si sa nulla.
“all’articolo 130, comma 3-bis, dopo le parole: “mediante l’impiego del telefono” sono inserite le seguenti: “e della posta cartacea” e dopo le parole: “l’iscrizione della numerazione della quale è intestatario” sono inserite le seguenti: “e degli altri dati personali di cui all’articolo 129, comma 1,”
Concludendo, anche se alcune delle semplificazione apportate alla normativa sulla protezione dei dati personali vanno nella giusta direzione, vi sono sicuramente delle cose ancora da mettere a punto. Aspettiamo di vedere cosa cambierà fino al momento della pubblicazione in Gazzetta Ufficiale.