Forse non tutti se ne sono accorti, ma l’articolo 40 comma 2 del D.L. 6 dicembre 2011 n. 201, conosciuto come decreto salva Italia, restringe gli adempimenti in materia di privacy creando un pò di fermento nella disciplina della privacy!
In particolare, sempre che il decreto salva Italia venga approvato senza modifiche di rilievo, d’ora in avanti si potranno trattare i dati di persone giuridiche, enti e associazioni, pubblici e privati, senza dover chiedere il loro consenso.
Cosa significa questo?
In estrema sintesi significa che la tutela della privacy riguarderà solo le persone fisiche! Del resto, questo è quello che avviene in quasi tutti i paesi europei. Un bel passo in avanti che riduce gli oneri a carico delle imprese e dei professionisti.
Si tratta infatti di una bella semplificazione, che alleggerisce sicuramente gli adempimenti a carico delle imprese, ma lascia intatti tutti gli adempimenti quali l’informativa ed il consenso, nonché le misure di sicurezza quando si trattano i dati personali delle persone fisiche, ivi compresa la redazione del Documento Programmatico sulla Sicurezza (DPS), obbligatoria per coloro che trattano dati sensibili o giudiziari di persone fisiche con l’ausilio di strumenti elettronici di qualunque tipo.
Il decreto salva Italia abroga anche l’ultimo periodo dell’art. 9, comma 4 del Codice della Privacy, in cui si precisavano le modalità per identificare la persona fisica titolata a esercitare i diritti per conto della persona giuridica, ente o associazione.
Questo vuol dire che solo le persone fisiche potranno esercitare i diritti che sono loro riconosciuti dall’articolo 7 del D. Lgs n. 196/03 (Codice della Privacy), cioè conoscere quali dati siano trattati dal titolare del trattamento, ottenere l’aggiornamento, la rettifica o l’integrazione di tali dati o in alcuni casi, ottenere anche la cancellazione e opporsi al loro trattamento.
Quindi, una persona giuridica, ente o associazione non potrà più esercitare tali diritti, perchè i suoi dati non sono più soggetti all’applicazione del D.Lgs. n. 196/03 (legge sulla privacy).
[fonte: www.quotidianosicurezza.it]
Privacy, via il DPS, resta l’ art.34 e l’All. B
Il Decreto Semplificazioni varato dal CDM il 27 dicembre ha ridotto gli oneri in materia di privacy modificando, come descritto nei dettagli che seguono, il DLgs 196/2003 (Codice in materia di protezione dei dati personali). a) All’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile” (*);
b) all’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.(**);
c) il comma 3-bis dell’articolo 5 è abrogato.(***);
d) al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.(****);
e) la lettera h) del comma 1 dell’articolo 43 è soppressa(*****).
Prima, rilevante novità è che l’obbligo dell’osservanza del Codice della privacy non spetta più alle imprese, agli enti, alle associazionia condizione che tali soggetti trattino dati personali nell’ambito di rapporti intercorrenti tra di loro e che il trattamento venga effettuato per finalità organizzative, gestionali, amministrative e contabili realizzate al proprio interno oppure in relazione agli adempimenti “esterni” (si pensi ai contratti).
Conseguenza di maggior rilievo è il venir meno dell’obbligo da parte delle aziende dell’elaborazione e dell’aggiornamento del Documento programmatico di sicurezza (DPS), in quanto, secondo il Consiglio dei Ministri, il documento, “oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento meramente superfluo”. Va ricordato che, entro il 31 marzo di ogni anno, era fatto obbligo dell’adozione o dell’aggiornamento del DPS o delle misure semplificate (autocertificazione). I contenuti del documento erano previsti dal Disciplinare tecnico in materia di misure minime di sicurezza (All.B).
Caduto l’obbligo dell’elaborazione e tenuta del DPS, le aziende devono tuttavia osservare le prescrizioni dell’art. 34 del Codice privacy e dell’All. B. In particolare, si dovrà tenere conto che “il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) Autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.”
Gli adempimenti sono posti a carico del Responsabile della sicurezza informatica, sia esso interno oppure esterno all’azienda. A tale proposito, il punto 25 dell’All. B, recita: “ Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del …. disciplinare tecnico”.
Continua anche l’obbligo relativo alla nomina degli incaricati del trattamento dei dati (e alla loro formazione) e alle informative.
* “Art. 4.Definizioni – 1. Ai fini del presente codice si intende per: b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
** i)”interessato”, la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali;
*** 3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili ….. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro), non è soggetto all’applicazione del presente codice.
**** Art. 9. Modalità di esercizio – 4. L’identità dell’interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell’interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell’interessato. Se l’interessato è una persona giuridica, un ente o un’associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.
***** Art. 43. Trasferimenti consentiti in Paesi terzi: h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni. (enzo gonano, http://www.esseessepi.it