Il Decreto Legge n. 138 approvato dal Consiglio dei Ministri il 5 maggio scorso ed ora in attesa di pubblicazione sulla gazzetta ufficiale contiene, tra le altre, alcune importanti novità in materia di privacy.

L’art. 6 del Decreto, infatti, ridimensiona innanzitutto l’ambito di applicabilità del codice privacy alle persone giuridiche stabilendo che “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

In particolare il comma 2 della richiamata disposizione del Decreto interviene sull’art. 5 del Codice, introducendo un comma 3 bis, secondo il quale “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”.

Lo stesso decreto chiarisce che “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro“.

Niente più bisogno di informative e/o richieste di consenso, dunque, se si trattano dati personali relativi a persone giuridiche, esclusivamente per questioni amministrativo-contabili, nel senso chiarito dalla nuova norma.

Per effetto del nuovo intervento normativo, inoltre, viene esclusa la necessità del consenso, ferma restando quella di rilasciare idonea informativa agli interessati, per “la comunicazione di dati [n.d.r. relativi a persone fisiche o giuridiche] tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter”.

Tale eccezione non riguarda, tuttavia, la diffusione dei dati né l’utilizzo degli stessi per l’esercizio di attività di telemarketing.

Una delle più rilevanti novità contenute nel Decreto Sviluppo in materia di privacy, concerne, proprio, la nuova disciplina sul telemarketing.

Il comma 6 dell’art. 6, infatti, estende anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio di marketing telefonico.

Da oggi, quindi, gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito e gestito dalla Fondazione Ugo Bordoni.

Si tratta di un’altra importante piccola rivoluzione della disciplina che minaccia di mettere a dura prova la resistenza delle nostre buche delle lettere.

La maggiore – almeno nella prospettiva di semplificazione perseguita dal Governo – tra le novità introdotte con il Decreto riguarda, probabilmente, l’esonero dall’obbligo di predisposizione del documento programmatico per la sicurezza (DPS) “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti”.

Per tali soggetti, infatti, in forza di quanto disposto dalla nuova disciplina “la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B).”.

La stessa disposizione prevede, inoltre, che “In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”.

CONDIVIDI
Articolo precedenteProcesso a Gheddafi?
Articolo successivoSiti Web e Social Networks per avvocati, da Facebook a Linkedin a Twitter
Guido Scorza
Un avvocato civilista che ama in pari misura il confronto in Tribunale e la negoziazione, in punta di penna, tra le pieghe di un contratto. Un blogger e giornalista, a detta di molti, polemico animatore del dibattito sulla politica dell’innovazione nel nostro Paese. Un docente universitario di diritto delle nuove tecnologie, perdutamente innamorato della ricerca e della didattica. Un appassionato difensore dei diritti civili in Rete per la ferma convinzione che Internet può e deve divenire la nuova agorà democratica del Paese che verrà e che, probabilmente, in molti sogniamo. Nel tempo libero, presiedo l’Istituto per le politiche dell’innovazione e giro il mondo a caccia di frammenti di storie, emozioni e colori da catturare attraverso la macchina fotografica. Per saperne di più potete visitare il mio blog [www.guidoscorza.it], il sito del mio Studio [SR&Partners, www.sr-partners.it] lanciare una googlata, cercarmi su 123 People o, piuttosto, mandarmi una mail ed invitarmi a prendere un caffè.

7 COMMENTI

  1. Il Sig. Matteo ha profondamente ragione. L’unica cosa su cui mi permetto garbatamente di dissentire con lui è che le aziende dovrebbero comprendere che qualora si commettono degli errori nella compilazione di un Dps l’unica eventualità negativa in caso di controlli è una risata da parte del controllante per la figura “barbina”: i controllori (vedasi GdF) non sono lì per compilare il blocchetto delle sanzioni ad ogni costo. Viceversa nel momento in cui sorge l’obbligo dell’autocertificazione questa riveste i connotati di una “dichiarazione sostitutiva di atto notorio”. In questo caso se si scoprono cose non veritiere vi è l’obbligo da parte del controllore di accertare e contestare quello che è diventato un reato (di carattere penale!)…

  2. L’aspetto su cui vorrei porre l’attenzione è il fatto che i continui cambiamenti normativi ( ogni 2 o 3 anni interviene una semplificazione ) non aiutano i consulenti a lavorare ed a investire in risorse umane nelle proprie aziende.
    Per quel che riguarda il decreto possiamo dire che a parte la semplificazione nelle informative fra aziende e per i cv inviati spontaneamente il vero sconfitto è il DPS. Ma tutti noi sappiamo che una buona autocertificazione (questa volta è richiesto che si dichiari che si applicano le misure di sicurezza) ha alla base un audit e un lavoro consulenziale profondo in azienda. Confido che le ns.aziende – che da anni ci utilizzano come consulenti – capiscano che non è cambiando il nome (da DPS ad AUTOCERTIFICAZIONE) che l’attività cambia.
    A ciò aggiungiamo che nessuna novità è invece prevista sugli adempimenti relativi al Provvedimento sugli Amministratori di Sistema; sulla Videosorveglianza; sull’obbligo di Policy dell’uso pc, internet e posta elettronica e sull’opportunità di modelli organizzativi per i reati informatici.

  3. Ebbene si; qualcuno è venuto a controllare il Dps. Chi può farlo?
    In primo luogo il Garante (ovviamente tramite i suoi ispettori); in secondo luogo la Guardia di Finanza.
    Esiste infatti una convenzione stipulata dal Garante tra lo stesso e la Guardia di Finanza. Può essere poi anche la Polizia Postale in particolare quando capitano “cose anomale” nelle connessioni (navigazione in siti non propriamente leciti).
    Attenzione che il Dps è un obbligo nel momento in cui esiste la videosorveglianza (anche una banalissima telecamera). Meriterebbe prendere visione dei vari provvedimenti pubblicati sul sito del Garante per non esultare alla “deregulation”.
    Quello che vedo scritto in questo decreto non mi piace molto anche perchè di semplificazioni sostanziali ne erano state fatte a sufficienza. Da “consulente” del settore – consulente che entra in rotta di collisione con molti colleghi (che alle volte approfittano della ignoranza dei propri clienti) – amo e rispetto la 196 per la dignità che porge alle persone. La norma si chiama correttamente “Codice sulla tutela dei dati personali” ma è purtroppo solito definirla solo legge sulla privacy che è solo un modo pittoresco per tradurre il termine inglese. Troppa confusione si fa ancora si termini e sulle modalità di applicazione. E a tutta questa confusione questo decreto non fa altro che aggiungere benzina sul fuoco.

  4. Ritengo che alcune semplificazioni debbano essere accolte con favore. A parte, infatti, certi aspetti tecnici di difficile compresione del DPS, soprattutto per le PMI e i professionisti e che spesso giovano più ai consulenti che devono assistere gli operatori commerciali nella predisposizione del documento, che non alla effettiva garanzia di una sicurezza nel trattamento dei dati (a proposito, qualcuno è mai venuto a controllare un DPS, che deve essere semplicemente conservato?), le deregulation relativa ai dati trattati dalle persone giuridiche è, a mio avviso, da accogliere favorevolmente. Oltre che essere in sintonia con la normativa europea è comunque, al momento, limitata ai soli trattamenti per finalità amministrativo-contabili (come definite nel 2° comma dell’art.6 del Decreto) nei rapporti interni fra le imprese. Si tratta, in pura sostanza, di eliminare una clausola dei contratti in cui le parti si dovevano dare reciproca informativa (senza oltretutto necessità di consenso) del trattamento dei rispettivi dati, per puri adempimenti amministrativi o per altre finalità contrattuali o di obbligo di legge). In tutti gli altri casi, le persone giuridiche sono tenute a continuare ad osservare la normativa, anche nelle relazioni fra loro.
    Quanto poi all’estensione del regime di opt out per il trattamento degli indirizzi postali, con la conseguente possibilità di utilizzare a fini di pubblicità tali dati senza il preventivo consenso degli interessati, salvo l’obbligo di verificare che l’indirizzo non sia stato inserito nel Registro delle Opposizioni, è forse una falsa semplificazione. Innanzitutto vale solo se i dati sono presi dagli elenchi telefonici, perchè altrimenti, almeno verso i privati cittadini, vale ancora il regime di opt in, ma poi occorre che le società che intendono utilizzare questo strumento di marketing si debbano comunque far carico di riscontrare gli indirizzi che intendono utilizzare con quelli del registro e il registro si aggiorna ogni 10 giorni!

  5. In riferimento a quanto commentato dal sig. Francesco spiace rilevare la scarsa considerazione che si abbia sul Dps.
    Come già a suo tempo evidenziato dal Garante il Dps non è e non deve essere un mero strumento burocratico quanto, piuttosto, un vademecum operativo alla stessa stregua di un protocollo operativo quale è, ad esempio, il protocollo HACCP. Se invero il Dps viene visto solo come un formalismo burocratico su cui apporre il 30 marzo di ogni anno una data certa (come consigliato da valenti commercialisti) allora non si è compreso nulla di tutto l’argomento.
    Per fare un buon Dps (ed assorbirne lo spirito) non serve “spendere” dei capitali ma utilizzare la famosa allocuzione “cum grano salis”.
    Il fatto preoccupante del nuovo parto del CdM è al comma 5 dell’art. 6: “…. la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione,….”. Se dapprima vi era la possibilità di scegliere tra la redazione del Dps e l’autocertificazione (da esibire a richiesta ispettiva) adesso sorge l’obbligatorietà: non vi è menzione di una facoltà ma vi è, piuttosto, una imposizione. Cosa non esilarante attese le ripercussioni penali in caso di dichiarazioni errate (art. 37 DPR 445 28/12/2000).
    … è preoccupante un altro passo dello stesso articolo laddove (comma 1 alinea a) si legge:” in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese;”.
    Orbene, viene da chiedersi a chi resta l’obbligo di ottemperare alla 196 se nel seguente comma 2 il CdM decreta, nella sostanza, che il trattamento dei dati personali a persone giuridiche, imprese, enti o associazioni ……. non è soggetto all’applicazione del presente codice.”
    Nella sostanza significa che l’azienda produttrice esula dalla 196; il grossista esula dalla 196 e rientra nella 196 il venditore al dettaglio che, però, non tratta i dati dei suoi clienti (si è mai visto il giornalaio chiedere i dati al Sig. Mario?) ma solo dei suoi fornitori. Ed anche quando emettesse fattura (trattamento dei dati della clientela) atteso che in questo si tratterebbe di piccole aziende (persone giuridiche) non si applicherebbe la 196.
    Alla fine sorge un sospetto: essendo la 196 una norma che ti obbliga a tutta una serie di controlli e che ti “penalizza” pesantemente laddove sbagli (consciamente o inconsciamente) non è che si vogliono far perdere le tracce di operazioni scomode effettuate proprio tra le persone giuridiche?

  6. Finalmente é finito il business del DPS, commercianti di carta senza un minimo di preparazione giuridica in materia, prezzi stracciati offerti da società di servizi che forniscono piani di sicurezza sul lavoro e formazione on line. Autocertificazione … chi la consiglia … il venditore di turno? Che non conosce le misure minime previste dal D.LGS 196/2003. Conclusione: la semplificazione premia chi ha creduto nelle norme che disciplinano i diritti delle persone in materia di privacy e che continuano a rispettarle mentre per chi ha sempre dichiarato del falso, con DPS fasulli, si prospetta un futuro poco felice perché verranno ispezionate a campione (inizialmente) aziende e professionisti. Saluti cordiali

SCRIVI UN COMMENTO