Smau Roma 2012 Massimo Farina

Semplificazioni Privacy: Addio DPS?
Qual è il vero significato delle
ultimissime semplificazioni?

di
Massimo Farina

massimo@massimofarina.it
http://www.massimofarina.it
http://www.diricto.it

Le modifiche dell’ultimo anno

D.L. 70/2011 conv. L. 106/2011 - “DECRETO SVILUPPO”

D.L. 201/2011conv. L. 214/2011 - “DECRETO SALVA ITALIA”

D.L. 5/2012 - “DECRETO SEMPLIFICAZIONI”

Massimo Farina - massimo@massimofarina.it
2
http://www.massimofarina.it - http://www.diricto.it

MODIFICHE DEL “DECRETO SVILUPPO”

comma 3-bis aggiunto all’art. 5;
comma 1-bis dell’art. 34;
modifica l’art. 13;
Modifica art. 24;
nuova lettera i-ter dell’art. 24;
comma 3 dell’art. 26 del Codice, nuova lettera b-bis
art. 130, comma 3-bis.

3

Il nuovo comma 3-bis

aggiunto all’art. 5 prevede che:
“Il trattamento dei dati personali relativi a persone giuridiche,
imprese, enti o associazioni effettuato nell’ambito di rapporti
intercorrenti esclusivamente tra i medesimi soggetti per le
finalità amministrativo-contabili, come definite all’articolo 34,
comma 1-ter, non è soggetto all’applicazione del presente
codice”
RISULTATO: la protezione della riservatezza dei
dati personali è limitata alle persone fisiche e non
trova applicazione nei rapporti tra imprese, che
possono essere trattati senza vincoli, purchè si
tratti di trattamenti per le normali finalità
ELIMINATO
amministrativo-contabili.
D.L. 201/2011
4

OSSERVAZIONE

Questa limitazione lasciava, certamente, qualche perplessità in
quanto non considerava che l’impresa (o, in generale, la persona
giuridica) possa assumere il ruolo di interessato al trattamento e
non soltanto di titolare. Se, infatti, è vero che potrebbe essere
ritenuto comodo, per l’impresa che tratta dati altrui (cioè titolare)
beneficiare di uno snellimento degli adempimenti (spesso pesanti),
non vale altrettanto quando quell’impresa necessita di tutela per il
trattamento dei suoi dati da parte di altro titolare, che potrebbe
anche abusarne.

5

Nuovo comma 5-bis dell’art. 13 (informativa)

“L’informativa di cui al comma 1 non è dovuta in caso di
ricezione di curricula spontaneamente trasmessi dagli
interessati ai fini dell’eventuale instaurazione di un rapporto di
lavoro. Al momento del primo contatto successivo all’invio del
curriculum, il titolare è tenuto a fornire all’interessato, anche
oralmente, una informativa breve contenente almeno gli elementi
di cui al comma 1, lettere a), d) ed f)”

RISULTATO: soltanto in un momento successivo a quello in cui ci sarà un
primo contatto, il titolare del trattamento (per esempio l’azienda che
convoca l’interessato), anche durante il colloquio con il candidato, sarà
tenuto a fornire gli elementi dell’informativa previsti dall’art. 13

6

OSSERVAZIONE

Al momento del contatto (per esempio in caso di convocazione per un
colloquio), successivo all’invio del curriculum, il titolare è tenuto a fornire
un’informativa breve contenente almeno i seguenti punti:

- finalità e modalità del trattamento;
- soggetti che possono venire a conoscenza dei dati in quanto
responsabili o incaricati del trattamento e ambito di diffusione dei dati;
- indicazione delle modalità per conoscere l’identità di tutti i responsabili
del trattamento.

Non è prevista l’indicazione dei diritti dell’interessato!!!!!!

7

Modifica all’art. 24 – lett. i-bis)

Introduce l’esclusione dell’obbligo del consenso per il
trattamento dei dati dei curricula ricevuti

“all’art. 24, dopo la lettera i) è aggiunta la lettera i-bis)
che prevede che il trattamento dei dati comuni può
essere effettuato senza consenso quando riguarda
dati contenuti nei curricula, nei casi di cui all’articolo
13, comma 5-bis”

8

Nuova lettera i-ter dell’art. 24 (gruppi societari)

il trattamento dei dati comuni non necessita di consenso (fermo
restando l’obbligo di rilasciare idonea informativa agli
interessati) quando:

“[…] riguarda la comunicazione di dati […] tra società, enti o
associazioni con società controllanti, controllate o collegate […]
ovvero con società sottoposte a comune controllo, nonché tra
consorzi, reti di imprese e raggruppamenti e associazioni
temporanei di imprese con i soggetti ad essi aderenti, per le
finalità amministrativo contabili, come definite all’articolo 34,
comma 1-ter, e purché queste finalità siano previste
espressamente con determinazione resa nota agli interessati
all’atto dell’informativa di cui all’articolo 13

9

Art. 26, comma 3 nuova lettera b-bis

l’obbligo di consenso scritto per il trattamento dei
dati sensibili non si applica al trattamento “dei dati
contenuti nei curricula, nei casi di cui all’articolo 13,
comma 5-bis”

RISULTATO: L’esonero dall’obbligo del consenso riguarda anche i
dati sensibili contenuti nei curricula

NOTA: è confermato l’obbligo di consenso scritto per tutti gli altri
casi in cui si trattano dati sensibili

10

Modifica al comma 1-bis dell’art. 34
(già modificato dalle semplificazioni introdotte con il D.L. n. 112/2008, convertito
nella legge n. 133/08)

“Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli
connessi allo svolgimento delle attività di natura organizzativa, amministrativa,
finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalità le attività organizzative interne, quelle funzionali
all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle
norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e
sicurezza sul lavoro”.

RISULTATO: non sono più necessarie informative
e richieste di consenso se si trattano dati
personali relativi a persone giuridiche,
esclusivamente per finalità amministrativo- ELIMINATO
contabili, nel senso chiarito dalla nuova norma. D.L. 5/2012
11

Modifica all’art. 130, comma 3-bis (MARKETING CARTACEO)

“In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui
all'articolo 129, comma 1, mediante l'impiego del telefono e della posta
cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito
nei confronti di chi non abbia esercitato il diritto di opposizione, con
modalità semplificate e anche in via telematica, mediante l’iscrizione della
numerazione della quale è intestatario e degli altri dati personali di cui
all'articolo 129, comma 1, in un registro pubblico delle opposizioni”.
RISULTATO: estende anche agli indirizzi postali tradizionali il regime dell’opt-out di recente
introdotto in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio del
marketing telefonico.
Quindi anche per il marketing fatto per posta vale il registro delle opposizioni e gli operatori
di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti
nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla
sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero
telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla
L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
12

MODIFICHE DEL “DECRETO SALVA ITALIA”

articolo 4, comma 1, alla lettera b)
articolo 4, comma 1, alla lettera i)
comma 3-bis dell’articolo 5 [abrogato]
comma 4, dell’articolo 9 [ultimo periodo è soppresso]
lettera h) del comma 1 dell’articolo 43 [soppressa]

13

Definizione di “dato personale”

Comprende soltanto le informazioni riferite alle
persone fisiche e non più anche alle persone
giuridiche, enti o associazioni

Definizione di “interessato”

È soltanto la persona fisica e non più anche alle
persone giuridiche, enti o associazioni

14

OSSERVAZIONE

I riferimenti alle persone giuridiche non sono completamente spariti

La persona giuridica conserva la qualità di “Titolare” e
“Responsabile”
La persona giuridica conserva la qualità di “Abbonato”

Viene a delinearsi, così, una posizione anomala per le persone giuridiche
(e per gli enti in generale), le quali, da una parte, non possono più
considerarsi soggetti “interessati” e dall’altra conservano il ruolo di
“abbonati”, con la conseguente difficoltà di accedere alla tutela per gli
abbonati che non siano anche “interessati”
15

MODIFICHE DEL “DECRETO LIBERALIZZAZIONI”

articolo 34, comma 1, lettera g)
SPARISCE IL DPS

16

D.L. 5/2012 - “DECRETO SEMPLIFICAZIONI”

È stato definitivamente
eliminato l’adempimento
tanto odiato dalle imprese

DPS
predisposizione e
all’aggiornamento del
Documento Programmatico
sulla Sicurezza
(art. 34, comma 1, lett. g)

17

Sparisce la forma ma persiste la sostanza

Tutti gli adempimenti che
dovevano essere annotati nel
DPS continuano ad esistere

DPS
Oggi, dove si annotano ?

18

Controlli più faticosi
?????

19

Disposizioni abrogate
Art. 34. Trattamenti con strumenti elettronici 
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
[…]
g) “tenuta di un aggiornato documento programmatico sulla sicurezza”
[…]
1-bis. “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi
allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e
contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali
finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla
tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale,
previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.;

20

Allegato b) - Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al
trattamento dei dati;

19.3. l'analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione
delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a
distruzione o danneggiamento di cui al successivo punto 23;

21

Allegato b) - Documento programmatico sulla sicurezza

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi
che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della
disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal
titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza
in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del
titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,
l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati
personali dell'interessato

22


Allegato b) - Misure di tutela e garanzia

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se
dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla
sicurezza.

23

Disposizioni residue
Art. 34. Trattamenti con strumenti elettronici

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:

a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;

24

Disposizioni residue
Art. 34. Trattamenti con strumenti elettronici

g) [ABROGATO]

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

1-bis. [ABROGATO]

1-ter.(1) Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi
allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e
contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali
finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla
tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale,
previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
25

Grazie per l’attenzione
l attenzione
Massimo Farina
massimo@massimofarina.it
http://www.massimofarina.it
http://www.diricto.it

http://www.massimofarina.it - http://www.diricto.it 26

LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5

Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire o recitare l'opera, di creare opere derivate alle seguenti
condizioni:

• Attribuzione. Devi riconoscere il contributo dell'autore originario.
• Non commerciale. Non puoi usare quest’opera per scopi commerciali.
• Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera
risultante solo per mezzo di una licenza identica a questa.

In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i
termini della licenza di quest’opera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad
ognuna di queste condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da
quanto sopra

http://www.massimofarina.it - http://www.diricto.it 27

Smau Roma 2012 Massimo Farina

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (7)

Ähnlich wie Smau Roma 2012 Massimo Farina

Ähnlich wie Smau Roma 2012 Massimo Farina (20)

Mehr von SMAU

Mehr von SMAU (20)

Smau Roma 2012 Massimo Farina