di Alessandra Delli Ponti, avvocato ed articolista di NL
A distanza di circa cinque anni dall’emanazione del Codice Privacy (D.lgs. 196/2003) che ha introdotto importanti modifiche e adempimenti per il titolare del trattamento (imprese e professionisti) il legislatore nazionale e il Garante hanno promosso una nuova fase per il rispetto della riservatezza che prevede la semplificazione degli adempimenti.
Vediamole in dettaglio.
DOCUMENTO PROGRAMMATICO PER LA SICUREZZA.
Articolo 29 Decreto Legge n. 112 del 25 giugno 2008, pubblicato in G.U. n. 147 del 25/06/2008
Il Documento Programmatico per la Sicurezza (ovvero DPS) è una misura di sicurezza prevista dal Codice Privacy. In particolare, originariamente, l’obbligo di redigere il documento programmatico sulla sicurezza riguardava tutti coloro che utilizzavano dati sensibili (articolo 4, comma 1, lettera d, del Dlgs 196/2003) o giudiziari (articolo 4, comma 1, lettera e, del Dlgs 196/2003) mediante «strumenti elettronici» (si veda art. 34, regole 1 e 19 Allegato B Codice Privacy, Parere Garante privacy 22/03/2004 punto 2.2.).
In dottrina, poi, si è pacificamente concluso che il concetto di strumenti elettronici è da intendersi in senso ampio. Esso ricomprende anche «gli elaboratori, i programmi per elaboratore e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento» (articolo 4, comma 3, lettera b, del Dlgs 196/2003).
Pertanto, l’obbligo della redazione del DPS ha riguardato sino ad ora il trattamento di dati sensibili o giudiziali con qualunque tipologia di strumentazione elettronica idonea ad acquisire, conservare ed elaborare dati idonei a rivelare lo stato di salute di qualsivoglia interessato. Pertanto, il trattamento dei dati dei dipendenti, in quanto idonei a rivelare lo stato di salute ha comportato sino ad ora la redazione del DPS (in questo senso si vedano le Linee Guida del Garante sui trattamento sui luoghi di lavoro, Deliberazione n. 53 del 23 novembre 2006)
Il Decreto Legge 112/2008 prevede che il datore di lavoro che “trattano soltanto dati personali non sensibili e l’unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi” possa sostituire il DPS con una AUTOCERTIFICAZIONE RESA DAL TITOLARE DEL TRATTAMENTO (datore di lavoro) ai sensi dell’articolo 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. In tale documento il titolare dovrà dichiarare di non trattare dati sullo stato di salute ad eccezione di quelli necessari per la gestione dei rapporto di lavoro con i dipendenti, di non trattare dati relativi a diagnosi o cura dei dipendenti e di applicare le misure di sicurezza previste del Codice.
Inoltre il Decreto Legge prevede l’emanazione di un Decreto Ministeriale che semplifichi le modalità di redazione del Documento Programmatico per la Sicurezza per le attività Amministrative e contabili.
Sulla necessità di semplificare gli obblighi relativi alla redazione del D.P.S. concorda anche il Garante che, con un proprio provvedimento, vorrebbe prevedere modalità semplificate per l’adozione delle misure minime di sicurezza con riferimento ai trattamenti effettuati per finalità amministrative e contabili presso piccole imprese, liberi professionisti e artigiani.
Concordi sul punto legislativo e Garante, non resta quindi che attendere sviluppi.
ADEMPIMENTI SEMPLIFICATI PROMOSSI DAL GARANTE
Prescrizione del Garante 19 giugno 2008, Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili, in G.U. Gazzetta Ufficiale 1° luglio 2008, n. 152
L’Authority ha ritenuto di dover promuovere alcune misure di semplificazione per l’intero settore pubblico e privato in relazione alle correnti attività amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani.
L’esigenza di semplificazione, precisa il Garante, è stata segnalata da molti operatori di diversi settori e riguarda in maniera particolare la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalita’ amministrative e contabili.
Vengono quindi previste le seguenti semplificazioni.
1.informativa
L’obiettivo è semplificare l’informativa rispetto allo svolgimento di correnti finalità amministrative e contabili. L’informativa diventa una unica informativa che deve contenere una ricostruzione organica dei trattamenti, ma essenziale e sintetica e scritta con linguaggio semplice.
Il Garante consiglia di effettuare l’informativa in due “step”.
Una prima informativa breve da inserire nella corrispondenza o in fondo alle fatture, di cui il garante fornisce un modello:
“I SUOI DATI PERSONALI
Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su…”;
Alla prima informativa può seguire l’informativa completa messa a disposizione on line o comunque facilmente disponibili (affissioni in bacheche, avvisi agli sportelli riservati alla clientela,etc.)
L’aspetto messo in evidenza è l’importanza di segnalare con precisione l’organo a cui rivolgersi per l’esercizio dei propri diritti.
2.nomina incaricati
Il Garante consiglia di prevedere delle nomine collettive, piuttosto che nomine individuali.
3.notificazioni
Il Garante richiama di non effettuare notifichi inutili non previste per perseguire finalità amministrative e contabili, salvo i casi eccezionali indicati dalla legge (articolo 37 Codice Privacy).
4.consenso
Ricorda il Garante che non necessitano del consenso:
i trattamenti di dati da parte degli enti pubblici,
i privati per i trattamenti legati agli obblighi contrattuali, precontrattuali e normativi, per finalità amministrative e contabili
i trattamenti di dati provenienti dai pubblici registri.
5.marketing
Il Garante ha ampliato l’applicazione dell’articolo 130, comma 4 del Codice privacy.
Ora il titolare del trattamento può utilizzare tutti i riferimenti del cliente (indirizzo di posta ordinaria, e-mail, fax e telefono) ricevuti in occasione di un precedente rapporto commerciale per inviare in seguito ai propri clienti comunicazioni relative ai propri prodotti o servizi anche a prescindere dal consenso dei clienti stessi.
In tale caso è necessario che:
1.il cliente sia preventivamente ed adeguatamente informato circa il successivo utilizzo delle sue coordinate di posta elettroniche per finalità promozionali;
2.i servizi offerti siano analoghi a quelli oggetto del rapporto commerciale preesistente;
3.all’interessato/ cliente sia consentito in modo chiaro e distinto di opporsi al trattamento in qualunque momento e in maniera agevole.