Speciale Jobs Act

Tecnologia 9 maggio 2011, 12:59

Privacy, cosa cambia con il Decreto per lo sviluppo

Le misure di semplificazione per le imprese


Il Decreto Legge n. 138 approvato dal Consiglio dei Ministri il 5 maggio scorso ed ora in attesa di pubblicazione sulla gazzetta ufficiale contiene, tra le altre, alcune importanti novità in materia di privacy.

L’art. 6 del Decreto, infatti, ridimensiona innanzitutto l’ambito di applicabilità del codice privacy alle persone giuridiche stabilendo che “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

In particolare il comma 2 della richiamata disposizione del Decreto interviene sull’art. 5 del Codice, introducendo un comma 3 bis, secondo il quale “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”.

Lo stesso decreto chiarisce che “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro“.

Niente più bisogno di informative e/o richieste di consenso, dunque, se si trattano dati personali relativi a persone giuridiche, esclusivamente per questioni amministrativo-contabili, nel senso chiarito dalla nuova norma.

Per effetto del nuovo intervento normativo, inoltre, viene esclusa la necessità del consenso, ferma restando quella di rilasciare idonea informativa agli interessati, per “la comunicazione di dati [n.d.r. relativi a persone fisiche o giuridiche] tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter”.

Tale eccezione non riguarda, tuttavia, la diffusione dei dati né l’utilizzo degli stessi per l’esercizio di attività di telemarketing.

Una delle più rilevanti novità contenute nel Decreto Sviluppo in materia di privacy, concerne, proprio, la nuova disciplina sul telemarketing.

Il comma 6 dell’art. 6, infatti, estende anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio di marketing telefonico.

Da oggi, quindi, gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito e gestito dalla Fondazione Ugo Bordoni.

Si tratta di un’altra importante piccola rivoluzione della disciplina che minaccia di mettere a dura prova la resistenza delle nostre buche delle lettere.

La maggiore – almeno nella prospettiva di semplificazione perseguita dal Governo – tra le novità introdotte con il Decreto riguarda, probabilmente, l’esonero dall’obbligo di predisposizione del documento programmatico per la sicurezza (DPS) “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti”.

Per tali soggetti, infatti, in forza di quanto disposto dalla nuova disciplina “la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B).”.

La stessa disposizione prevede, inoltre, che “In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”.


Pubblicato da il 9 maggio 2011 alle 12:05 in Tecnologia
Tags: , , , ,


7 Commenti per Privacy, cosa cambia con il Decreto per lo sviluppo

  1. Il Sig. Matteo ha profondamente ragione. L’unica cosa su cui mi permetto garbatamente di dissentire con lui è che le aziende dovrebbero comprendere che qualora si commettono degli errori nella compilazione di un Dps l’unica eventualità negativa in caso di controlli è una risata da parte del controllante per la figura “barbina”: i controllori (vedasi GdF) non sono lì per compilare il blocchetto delle sanzioni ad ogni costo. Viceversa nel momento in cui sorge l’obbligo dell’autocertificazione questa riveste i connotati di una “dichiarazione sostitutiva di atto notorio”. In questo caso se si scoprono cose non veritiere vi è l’obbligo da parte del controllore di accertare e contestare quello che è diventato un reato (di carattere penale!)…

  2. Matteo

    L’aspetto su cui vorrei porre l’attenzione è il fatto che i continui cambiamenti normativi ( ogni 2 o 3 anni interviene una semplificazione ) non aiutano i consulenti a lavorare ed a investire in risorse umane nelle proprie aziende.
    Per quel che riguarda il decreto possiamo dire che a parte la semplificazione nelle informative fra aziende e per i cv inviati spontaneamente il vero sconfitto è il DPS. Ma tutti noi sappiamo che una buona autocertificazione (questa volta è richiesto che si dichiari che si applicano le misure di sicurezza) ha alla base un audit e un lavoro consulenziale profondo in azienda. Confido che le ns.aziende – che da anni ci utilizzano come consulenti – capiscano che non è cambiando il nome (da DPS ad AUTOCERTIFICAZIONE) che l’attività cambia.
    A ciò aggiungiamo che nessuna novità è invece prevista sugli adempimenti relativi al Provvedimento sugli Amministratori di Sistema; sulla Videosorveglianza; sull’obbligo di Policy dell’uso pc, internet e posta elettronica e sull’opportunità di modelli organizzativi per i reati informatici.

  3. Ebbene si; qualcuno è venuto a controllare il Dps. Chi può farlo?
    In primo luogo il Garante (ovviamente tramite i suoi ispettori); in secondo luogo la Guardia di Finanza.
    Esiste infatti una convenzione stipulata dal Garante tra lo stesso e la Guardia di Finanza. Può essere poi anche la Polizia Postale in particolare quando capitano “cose anomale” nelle connessioni (navigazione in siti non propriamente leciti).
    Attenzione che il Dps è un obbligo nel momento in cui esiste la videosorveglianza (anche una banalissima telecamera). Meriterebbe prendere visione dei vari provvedimenti pubblicati sul sito del Garante per non esultare alla “deregulation”.
    Quello che vedo scritto in questo decreto non mi piace molto anche perchè di semplificazioni sostanziali ne erano state fatte a sufficienza. Da “consulente” del settore – consulente che entra in rotta di collisione con molti colleghi (che alle volte approfittano della ignoranza dei propri clienti) – amo e rispetto la 196 per la dignità che porge alle persone. La norma si chiama correttamente “Codice sulla tutela dei dati personali” ma è purtroppo solito definirla solo legge sulla privacy che è solo un modo pittoresco per tradurre il termine inglese. Troppa confusione si fa ancora si termini e sulle modalità di applicazione. E a tutta questa confusione questo decreto non fa altro che aggiungere benzina sul fuoco.

  4. Alfredo

    Ritengo che alcune semplificazioni debbano essere accolte con favore. A parte, infatti, certi aspetti tecnici di difficile compresione del DPS, soprattutto per le PMI e i professionisti e che spesso giovano più ai consulenti che devono assistere gli operatori commerciali nella predisposizione del documento, che non alla effettiva garanzia di una sicurezza nel trattamento dei dati (a proposito, qualcuno è mai venuto a controllare un DPS, che deve essere semplicemente conservato?), le deregulation relativa ai dati trattati dalle persone giuridiche è, a mio avviso, da accogliere favorevolmente. Oltre che essere in sintonia con la normativa europea è comunque, al momento, limitata ai soli trattamenti per finalità amministrativo-contabili (come definite nel 2° comma dell’art.6 del Decreto) nei rapporti interni fra le imprese. Si tratta, in pura sostanza, di eliminare una clausola dei contratti in cui le parti si dovevano dare reciproca informativa (senza oltretutto necessità di consenso) del trattamento dei rispettivi dati, per puri adempimenti amministrativi o per altre finalità contrattuali o di obbligo di legge). In tutti gli altri casi, le persone giuridiche sono tenute a continuare ad osservare la normativa, anche nelle relazioni fra loro.
    Quanto poi all’estensione del regime di opt out per il trattamento degli indirizzi postali, con la conseguente possibilità di utilizzare a fini di pubblicità tali dati senza il preventivo consenso degli interessati, salvo l’obbligo di verificare che l’indirizzo non sia stato inserito nel Registro delle Opposizioni, è forse una falsa semplificazione. Innanzitutto vale solo se i dati sono presi dagli elenchi telefonici, perchè altrimenti, almeno verso i privati cittadini, vale ancora il regime di opt in, ma poi occorre che le società che intendono utilizzare questo strumento di marketing si debbano comunque far carico di riscontrare gli indirizzi che intendono utilizzare con quelli del registro e il registro si aggiorna ogni 10 giorni!

  5. In riferimento a quanto commentato dal sig. Francesco spiace rilevare la scarsa considerazione che si abbia sul Dps.
    Come già a suo tempo evidenziato dal Garante il Dps non è e non deve essere un mero strumento burocratico quanto, piuttosto, un vademecum operativo alla stessa stregua di un protocollo operativo quale è, ad esempio, il protocollo HACCP. Se invero il Dps viene visto solo come un formalismo burocratico su cui apporre il 30 marzo di ogni anno una data certa (come consigliato da valenti commercialisti) allora non si è compreso nulla di tutto l’argomento.
    Per fare un buon Dps (ed assorbirne lo spirito) non serve “spendere” dei capitali ma utilizzare la famosa allocuzione “cum grano salis”.
    Il fatto preoccupante del nuovo parto del CdM è al comma 5 dell’art. 6: “…. la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione,….”. Se dapprima vi era la possibilità di scegliere tra la redazione del Dps e l’autocertificazione (da esibire a richiesta ispettiva) adesso sorge l’obbligatorietà: non vi è menzione di una facoltà ma vi è, piuttosto, una imposizione. Cosa non esilarante attese le ripercussioni penali in caso di dichiarazioni errate (art. 37 DPR 445 28/12/2000).
    … è preoccupante un altro passo dello stesso articolo laddove (comma 1 alinea a) si legge:” in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese;”.
    Orbene, viene da chiedersi a chi resta l’obbligo di ottemperare alla 196 se nel seguente comma 2 il CdM decreta, nella sostanza, che il trattamento dei dati personali a persone giuridiche, imprese, enti o associazioni ……. non è soggetto all’applicazione del presente codice.”
    Nella sostanza significa che l’azienda produttrice esula dalla 196; il grossista esula dalla 196 e rientra nella 196 il venditore al dettaglio che, però, non tratta i dati dei suoi clienti (si è mai visto il giornalaio chiedere i dati al Sig. Mario?) ma solo dei suoi fornitori. Ed anche quando emettesse fattura (trattamento dei dati della clientela) atteso che in questo si tratterebbe di piccole aziende (persone giuridiche) non si applicherebbe la 196.
    Alla fine sorge un sospetto: essendo la 196 una norma che ti obbliga a tutta una serie di controlli e che ti “penalizza” pesantemente laddove sbagli (consciamente o inconsciamente) non è che si vogliono far perdere le tracce di operazioni scomode effettuate proprio tra le persone giuridiche?

  6. francesco

    Finalmente é finito il business del DPS, commercianti di carta senza un minimo di preparazione giuridica in materia, prezzi stracciati offerti da società di servizi che forniscono piani di sicurezza sul lavoro e formazione on line. Autocertificazione … chi la consiglia … il venditore di turno? Che non conosce le misure minime previste dal D.LGS 196/2003. Conclusione: la semplificazione premia chi ha creduto nelle norme che disciplinano i diritti delle persone in materia di privacy e che continuano a rispettarle mentre per chi ha sempre dichiarato del falso, con DPS fasulli, si prospetta un futuro poco felice perché verranno ispezionate a campione (inizialmente) aziende e professionisti. Saluti cordiali

  7. daniela dallari

    Il DL sviluppo potrebbe essere già nella GU di lunedì 9 maggio 2011?

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Guido Scorza

avvocato, docente universitario, vicedirettore di Leggi Oggi

Rss Feed Facebook LinkedIn Twitter Google Plus


Articoli dello stesso autore

Privacy 29 aprile 2013, 09:04

Privacy: il Garante detta le istruzioni per l’adempimento agli obblighi di segnalazione

Ecco quali sono i principali obblighi contenuti nel recente provvedimento del Garante privacy, pubblicato sulla Gazzetta Ufficiale dello scorso 24 aprile

Politica 10 aprile 2013, 08:06

Governodelturismo.it: l’ultima eredità del Governo del Professore?

Evidentemente non sono bastati i 45 milioni di euro buttati dalla finestra per lo sviluppo del famoso portale del turismo italiano, “italia.it” del quale restano solo inchieste e macerie, né […]

Politica 17 febbraio 2013, 22:26

AGCOM: sondaggi per molti ma non per troppi

E’ uno di quei casi in cui la sconfitta precede il fischio di inizio, la partita che, nei prossimi mesi vedrà contrapposte, dinanzi ai giudici, la SWG, società di indagini […]

Diritto d'autore 30 ottobre 2012, 17:12

Opere orfane in digitale e online, al via direttiva Parlamento UE

Tutta una serie di istituti potranno riprodurre, digitalizzare indicizzare, catalogare e mettere a disposizione del pubblico tutte le opere orfane ovvero quelle in relazione alle quali nessuno dei titolari è stato individuato o rintracciato

Internet e responsabilità 29 agosto 2012, 15:25

Intermediari non vigilantes

La libertà fondamentale di ricevere e comunicare informazioni può essere limitata solo ove ciò risulti necessario e proporzionato rispetto al fine perseguito


LeggiOggi.it

Ogni settimana il meglio di LeggiOggi.it nella tua E-mail



Ho letto l'informativa e acconsento al trattamento dei dati



NOTA INFORMATIVA SULLA TUTELA DEI DATI PERSONALI EX ART 13 D.LGS. 196/2003 E RICHIESTA DI CONSENSO AL TRATTAMENTO

Maggioli SpA, titolare del trattamento, si propone di gestire il servizio nel rispetto della normativa vigente in materia di tutela dei dati personali. Al proposito intende con questa nota, fornire a tutti gli utenti un'informativa sulle modalità e finalità del trattamento dei dati personali in conformità a quanto previsto dall'art. 13 del D.Lgs n. 196 del 30.06.2003. I dati personali forniti dagli utenti verranno trattati elettronicamente e/o manualmente da Maggioli SpA, Via del Carpino 8 - 47822 Santarcangelo di Romagna (RN), titolare del trattamento, per tutte le finalità correlate alla prestazione del servizio. Inoltre, previo suo consenso, i suoi dati saranno trattati dalla nostra società e dalle società del Gruppo Maggioli per l'invio di materiale promozionale inerente i nostri prodotti o servizi o quelli di società clienti del Gruppo Maggioli. L'indicazione della email deve essere fatta con cura in quanto necessaria per ricevere il servizio, i dati a corredo vengono chiesti per targettizzare gli invii informativi. I suoi dati non saranno diffusi. I suddetti dati potranno essere comunicati a soggetti pubblici, in aderenza ad obblighi di legge e a soggetti privati per trattamenti, funzionali all'adempimento del contratto, quali: nostra rete agenti, società di informazioni commerciali, professionisti e consulenti. I suoi dati potranno essere comunicati a soggetti terzi nostri clienti, che li tratteranno in qualità di autonomi titolari del trattamento secondo la definizione contenuta nel D.lgs 196/2003. Tali dati saranno trattati dai nostri dipendenti e/o collaboratori, incaricati al trattamento, preposti ai seguenti settori aziendali: editoria elettronica, mailing, marketing, CED, servizi Internet, fiere e congressi. L'utente potrà esercitare ogni ulteriore diritto previsto dall'art. 7 del D.Lgs 196 del 30.06.2003 che di seguito integralmente si riporta: "1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art. 5 comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione, in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettera a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di colori ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento di rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano ancorchà pertinenti allo scopo della raccolta; b) al trattamento dei dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. "Compilare il form con i propri dati con conseguente dichiarazione espressa di aver letto e accettato questa informativa, autorizza la Maggioli spa e le società del Gruppo Maggioli al trattamento dei suoi dati per le finalità correlate alla prestazione del servizio e per l'invio di materiale promozionale, anche da parte di soggetti terzi nostri clienti, secondo le modalità illustrate nell'informativa. L'utente potrà esercitare ogni diritto previsto dal citato art. 7 con la semplice risposta alla e-mail ricevuta.

Chiudi questa finestra
Torna Su