Con il decreto legge n. 70 del 13 maggio 2011, convertito, con modificazioni, nella legge n. 106 del 12 luglio 2011 (noto come “decreto sviluppo” e in vigore dal 14 maggio), il Governo è intervenuto, tra le altre cose, in materia di privacy, con l’intento di limitare gli adempimenti richiesti alle imprese, attraverso l’esclusione dal campo di applicazione del Codice Privacy (d.lgs. n. 196 del 2003) dei trattamenti di dati personali nei rapporti tra imprese. Procediamo dunque ad un esame schematico delle più rilevanti novità.
La novità di maggiore rilevanza consiste nella esclusione dell’applicazione del Codice Privacy ai trattamenti di dati personali relativi a persone giuridiche, imprese, enti od associazioni, compiuti nell’ambito dei rapporti intercorrenti esclusivamente tra i medesimi soggetti per finalità amministrativo-contabili (nuovo comma 3-bis dell’art. 5 Codice Privacy, introdotto dall’art. 6 del “decreto sviluppo”).
Il legislatore ha introdotto, al riguardo, una nuova definizione di trattamenti effettuati per finalità amministrativo-contabili. Ai sensi del nuovo comma 1-ter dell’art. 34 del Codice Privacy rientrano in detta categoria i trattamenti “connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro”.
Si tratta di una definizione piuttosto estesa, nella quale rientrano tutti i trattamenti in qualche modo ricollegati a tutte le attività organizzative, amministrative, finanziarie e contabili realizzate per adempiere ad esigenze organizzative interne, ad obblighi precontrattuali, contrattuali o di legge nella gestione dell’impresa; detti trattamenti attengono sia ai rapporti diretti fra imprese ed ai rispettivi dati aziendali, sia ai rapporti di lavoro fra impresa/datore di lavoro e lavoratori, relativamente ai dati personali dei lavoratori.
Per effetto della nuova definizione normativa la gran parte degli ordinari trattamenti di dati che le aziende compiono nei loro reciproci rapporti (ad esempio fra fornitori e clienti), risulta oggi sottratta alla disciplina dettata dal Codice Privacy.
Sul punto occorre non fraintendere il significato della nuova normativa. L’art. 6, co. 2, lett. a), n. 1 del “decreto sviluppo” esclude dall’ambito di applicazione del Codice Privacy i trattamenti dei dati relativi a persone giuridiche, enti o associazioni effettuati esclusivamente tra i medesimi soggetti per finalità amministrativo-contabili (come sopra definite).
Ciò significa che la deroga all’applicazione del Codice Privacy opera a condizione che:
Come effetto pratico, dunque, non sarà più necessario fornire l’informativa tra aziende in occasione della raccolta dei reciproci dati, purché vengano trattati dati aziendali esclusivamente per finalità amministrativo-contabili, così come il personale incaricato di trattare i dati dei clienti e fornitori solo per tali finalità non dovrà più essere destinatario di un incarico scritto.
Per contro, i trattamenti di dati delle imprese che fossero compiuti per finalità diverse ed ulteriori non risultano sottratti alla disciplina. Ad esempio, per i trattamenti dei dati aziendali di clienti e potenziali clienti effettuati per attività di marketing o di ricerche di mercato continuano ad applicarsi tutte le disposizioni del Codice Privacy.
Stessa cosa dicasi per tutti i trattamenti che le aziende compiono nei confronti di persone fisiche, siano queste i dipendenti delle aziende, siano eventuali clienti/consumatori con i quali le aziende venissero ad intrattenere rapporti di vario genere. Per questi trattamenti rimangono fermi tutti gli adempimenti prescritti dalla legge (tra i quali si ricordano, fra l’altro, l’obbligo di fornire le informative sul trattamento dei dati personali, di acquisire l’eventuale consenso, le istruzioni scritte agli incaricati del trattamento, l’applicazione delle misure di sicurezza minime obbligatorie).
Una ulteriore, significativa, semplificazione riguarda la gestione dei curricula. La nuova normativa prevede che, nel caso di curricula spontaneamente trasmessi dagli interessati per l’instaurazione di un rapporto di lavoro, le aziende non sono più tenute a fornire al candidato apposita informativa. Solo in occasione del primo (eventuale) contatto successivo all’invio del curriculum l’azienda dovrà fornire una informativa breve, che dovrà contenere notizie relative almeno a: finalità e modalità del trattamento; soggetti e categorie di soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati e gli ambiti di comunicazione e diffusione degli stessi; estremi identificativi del titolare del trattamento e di almeno un responsabile, se designato.
Viene inoltre escluso l’obbligo di acquisizione del consenso al trattamento dei dati connessi alla gestione dei curricula inviati spontaneamente.
Le semplificazioni come sopra non riguardano la gestione dei curricula sollecitati tramite annunci di lavoro pubblicati su internet, quotidiani o periodici.
Ulteriore semplificazione in relazione all’obbligo di acquisizione del consenso al trattamento dei dati personali riguarda le comunicazioni di dati fra società, enti o associazioni con società controllanti, controllate o collegate o con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti.
La nuova norma (art. 6, co. 2, lett. a, n. 3 del “decreto sviluppo” che inserisce nell’art. 24 del Codice Privacy la nuova lettera i-ter), prevede una nuova ipotesi di esonero dal consenso per le comunicazioni di dati personali non sensibili effettuate tra i soggetti suddetti, a condizione che i trattamenti avvengano per finalità amministrativo-contabili, purché tali finalità siano state espressamente indicate con informativa resa nota agli interessati.
L’art. 6, co. 2, lett. a), n. 5 del “decreto sviluppo” ha sostituito il comma 1-bis dell’art. 34 del Codice Privacy, che disciplina l’autocertificazione sostitutiva del Documento Programmatico per la Sicurezza, ampliandone la portata applicativa.
Nel 2008, invero, il legislatore aveva già permesso alle aziende che si limitavano a trattare come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori, senza indicazione della relativa diagnosi, o dall’adesione ad organizzazioni sindacali o a carattere sindacale, di sostituire il Documento Programmatico per la Sicurezza con un’autocertificazione.
La riforma di cui al “decreto sviluppo” chiarisce ed amplia l’ambito dei trattamenti di dati sensibili per i quali si può ricorrere all’autocertificazione: le imprese che trattano soltanto dati personali non sensibili o che trattano, come unici dati sensibili e giudiziari, quelli relativi ai propri dipendenti, collaboratori o relativi al coniuge e parenti di questi, possono sostituire il Documento Programmatico per la Sicurezza con un’autocertificazione con la quale dichiarano di trattare soltanto tali dati ed in osservanza delle misure minime di sicurezza previste dal Codice Privacy (e relativo disciplinare tecnico).
Il Documento Programmatico per la Sicurezza continua dunque ad essere obbligatorio:
Il legislatore ha inoltre previsto che in relazione ai trattamenti sopra considerati ai fini dell’autocertificazione sostitutiva del Documento Programmatico per la Sicurezza, nonché in relazione ai trattamenti effettuati per correnti finalità amministrativo-contabili, in particolare se compiute da piccole e medie imprese, liberi professionisti ed artigiani, il Garante della privacy debba individuare modalità semplificate di applicazione del disciplinare tecnico allegato al Codice Privacy (recante l’elencazione delle misure minime di sicurezza).
a cura di:
Avv. Andrea Sitzia
pubblicato su:
C&S Informa, volume 12, numero 8 anno 2011