Pubblicata la Legge 106/2011 di conversione del D.L. 70/2011

A seguito dell’entrata in vigore del Decreto 70/2011, convertito nella Legge n. 106 del 2011 recante “Semestre Europeo – Prime disposizioni urgenti per l’economia, riportiamo nel seguito le importanti modifiche alla normativa in materia di privacy.

Le modifiche hanno l’obiettivo di riallineare la disciplina italiana della privacy alla Direttiva comunitaria di riferimento (Direttiva 95/46/CE “relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati”) e di ridurre così gli oneri burocratici imposti dal nostro legislatore, in particolare, sulle piccole e medie imprese.

Le principali modifiche trattate nelle pagine successive sono relative :

  • al campo di applicazione del Codice;
  • all’informativa al trattamento dei dati;
  • al trattamento dei dati senza consenso da parte dell’interessato;
  • all’abolizione del DPS in taluni casi sotto indicati;
  • alle comunicazioni indesiderate: ci si potrà opporre anche all’invio cartaceo.

 

Il comma 2 alla lett. a) dell’art. 6 della nuova Legge elenca le modifiche che sono apportate al codice privacy attualmente in vigore e precisamente:

  • l’art.5 del Codice della Privacy “Oggetto e campo di applicazione” è integrato con il comma 3-bis “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice“;
Viene in qualche modo ridimensionato l’ambito di applicazione del Codice Privacy (DLgs 196/2003) stabilendo che “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

Diretta conseguenza della modifica normativa è, ad esempio, il venire meno dell’obbligo di informative e/o richieste di consenso nei rapporti tra persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili.

Non applicandosi più il Codice della privacy a questi trattamenti di dati personali, non sono più applicabili nemmeno le misure minime di sicurezza (nel caso vengano trattati dati personali non relativi a persone fisiche e dati relativi a persone fisiche per finalità diverse da quelle amministrativo contabili, il codice si applica tuttora).

  • l’art. 13 “Informativa”, è integrato con il comma 5-bis. “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”;
Pertanto in caso di ricezione di curricula non è più necessario inviare l’informativa circa il trattamento dei dati. Soltanto in un momento successivo a quello in cui ci sarà un primo contatto, il titolare del trattamento (per esempio l’azienda che convoca l’interessato), anche durante il colloquio con il candidato, sarà tenuto a fornire, anche oralmente, gli elementi dell’informativa previsti dall’art. 13: finalità e modalità del trattamento…
  • l’art. 24 “Casi nei quali può essere effettuato il trattamento senza consenso” è integrato con il comma “i-bis) “riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13,comma 5-bis” e dal comma “i-ter “con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché’ tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché’ queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;
Il trattamento dei dati comuni, per finalità amministrativo-contabili, non necessita di consenso (fermo restando l’obbligo di rilasciare idonea informativa agli interessati).
  • il comma 3 dell’art. 26 “Garanzie per i dati sensibili” è integrato con il comma “b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.“;
Anche qualora fossero presenti dati sensibili all’interno dei curricula, non è necessario chiedere il consenso al trattamento dei dati da parte dell’interessato.
  • l’art. 34 al comma 1 bis “Trattamenti con strumenti elettronici” è integrato è sostituito dai seguenti:

1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B)..omissis.”

Viene estesa in via generalizzata l’ambito oggettivo di applicazione dell’autocertificazione sostitutiva del DPS ai trattamenti con strumenti elettronici di qualsiasi tipologia di dati, comuni, sensibili e giudiziari, connessi alla gestione del rapporto di lavoro. L’allargamento dell’agevolazione è notevole, perché non si parla più solo di dati sanitari e sindacali, ma si parla ora di tutti i dati sensibili e giudiziari; inoltre nella versione precedente la platea degli interessati era ristretta a dipendenti e collaboratori, mentre ora il trattamento di dati di coniugi e parenti del dipendente è compatibile con la semplificazione.

Quanto alle forme e ai contenuti dell’ autocertificazione, essa deve essere resa una tantum dal titolare del trattamento e deve attestare che il titolare tratta dati personali comuni e soltanto i dati sensibili e giudiziari connessi alla gestione del rapporto di lavoro, in osservanza delle misure minime di sicurezza previste dal Codice e dal disciplinare tecnico.

A differenza della previgente disposizione, che richiedeva genericamente l’osservanza delle “altre misure di sicurezza prescritte”, lasciando intendere che l’attestazione potesse riguardare l’adozione di tutte le idonee e preventive misure di sicurezza richiamate dall’art.31 del Codice (obbligo generale di sicurezza), il nuovo co. 1-bis circoscrive il contenuto dell’autocertificazione alle sole misure minime di sicurezza tassativamente elencate all’art. 34, garantendo maggiori certezze alle imprese, specie di fronte al rischio di essere esposte a responsabilità penale per false dichiarazioni o uso di atto falso ex art. 76 del citato Testo Unico.

 

1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro“;

Con il presente comma viene definito il trattamento effettuato per finalità amministrativo – contabili come quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro
  • Il comma 3 bis dell’art. 130 “Comunicazioni indesiderate” è integrato dopo le parole: “mediante l’impiego del telefono” con le successive: “e della posta cartacea“.
Pertanto l’iscrizione al Registro delle opposizioni ha valore anche per le comunicazioni effettuate nelle modalità posta cartacea.

Lascia un commento