SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Â
Smau Roma 2012 Massimo Farina
1. Semplificazioni Privacy: Addio DPS?
Qual è il vero significato delle
ultimissime semplificazioni?
di
Massimo Farina
massimo@massimofarina.it
http://www.massimofarina.it
http://www.diricto.it
2. Le modifiche dellâultimo anno
D.L. 70/2011 conv. L. 106/2011 - âDECRETO SVILUPPOâ
D.L. 201/2011conv. L. 214/2011 - âDECRETO SALVA ITALIAâ
D.L. 5/2012 - âDECRETO SEMPLIFICAZIONIâ
Massimo Farina - massimo@massimofarina.it
2
http://www.massimofarina.it - http://www.diricto.it
4. Il nuovo comma 3-bis
aggiunto allâart. 5 prevede che:
âIl trattamento dei dati personali relativi a persone giuridiche,
imprese, enti o associazioni effettuato nellâambito di rapporti
intercorrenti esclusivamente tra i medesimi soggetti per le
finalitĂ amministrativo-contabili, come definite allâarticolo 34,
comma 1-ter, non è soggetto allâapplicazione del presente
codiceâ
RISULTATO: la protezione della riservatezza dei
dati personali è limitata alle persone fisiche e non
trova applicazione nei rapporti tra imprese, che
possono essere trattati senza vincoli, purchè si
tratti di trattamenti per le normali finalitĂ
ELIMINATO
amministrativo-contabili.
D.L. 201/2011
Massimo Farina - massimo@massimofarina.it
4
http://www.massimofarina.it - http://www.diricto.it
5. OSSERVAZIONE
Questa limitazione lasciava, certamente, qualche perplessitĂ in
quanto non considerava che lâimpresa (o, in generale, la persona
giuridica) possa assumere il ruolo di interessato al trattamento e
non soltanto di titolare. Se, infatti, è vero che potrebbe essere
ritenuto comodo, per lâimpresa che tratta dati altrui (cioè titolare)
beneficiare di uno snellimento degli adempimenti (spesso pesanti),
non vale altrettanto quando quellâimpresa necessita di tutela per il
trattamento dei suoi dati da parte di altro titolare, che potrebbe
anche abusarne.
Massimo Farina - massimo@massimofarina.it
5
http://www.massimofarina.it - http://www.diricto.it
6. Nuovo comma 5-bis dellâart. 13 (informativa)
âLâinformativa di cui al comma 1 non è dovuta in caso di
ricezione di curricula spontaneamente trasmessi dagli
interessati ai fini dellâeventuale instaurazione di un rapporto di
lavoro. Al momento del primo contatto successivo allâinvio del
curriculum, il titolare è tenuto a fornire allâinteressato, anche
oralmente, una informativa breve contenente almeno gli elementi
di cui al comma 1, lettere a), d) ed f)â
RISULTATO: soltanto in un momento successivo a quello in cui ci sarĂ un
primo contatto, il titolare del trattamento (per esempio lâazienda che
convoca lâinteressato), anche durante il colloquio con il candidato, sarĂ
tenuto a fornire gli elementi dellâinformativa previsti dallâart. 13
Massimo Farina - massimo@massimofarina.it
6
http://www.massimofarina.it - http://www.diricto.it
7. OSSERVAZIONE
Al momento del contatto (per esempio in caso di convocazione per un
colloquio), successivo allâinvio del curriculum, il titolare è tenuto a fornire
unâinformativa breve contenente almeno i seguenti punti:
- finalitĂ e modalitĂ del trattamento;
- soggetti che possono venire a conoscenza dei dati in quanto
responsabili o incaricati del trattamento e ambito di diffusione dei dati;
- indicazione delle modalitĂ per conoscere lâidentitĂ di tutti i responsabili
del trattamento.
Non è prevista lâindicazione dei diritti dellâinteressato!!!!!!
Massimo Farina - massimo@massimofarina.it
7
http://www.massimofarina.it - http://www.diricto.it
8. Modifica allâart. 24 â lett. i-bis)
Introduce lâesclusione dellâobbligo del consenso per il
trattamento dei dati dei curricula ricevuti
âallâart. 24, dopo la lettera i) è aggiunta la lettera i-bis)
che prevede che il trattamento dei dati comuni può
essere effettuato senza consenso quando riguarda
dati contenuti nei curricula, nei casi di cui allâarticolo
13, comma 5-bisâ
Massimo Farina - massimo@massimofarina.it
8
http://www.massimofarina.it - http://www.diricto.it
9. Nuova lettera i-ter dellâart. 24 (gruppi societari)
il trattamento dei dati comuni non necessita di consenso (fermo
restando lâobbligo di rilasciare idonea informativa agli
interessati) quando:
â[âŚ] riguarda la comunicazione di dati [âŚ] tra societĂ , enti o
associazioni con societĂ controllanti, controllate o collegate [âŚ]
ovvero con societĂ sottoposte a comune controllo, nonchĂŠ tra
consorzi, reti di imprese e raggruppamenti e associazioni
temporanei di imprese con i soggetti ad essi aderenti, per le
finalitĂ amministrativo contabili, come definite allâarticolo 34,
comma 1-ter, e purchĂŠ queste finalitĂ siano previste
espressamente con determinazione resa nota agli interessati
allâatto dellâinformativa di cui allâarticolo 13
Massimo Farina - massimo@massimofarina.it
9
http://www.massimofarina.it - http://www.diricto.it
10. Art. 26, comma 3 nuova lettera b-bis
lâobbligo di consenso scritto per il trattamento dei
dati sensibili non si applica al trattamento âdei dati
contenuti nei curricula, nei casi di cui allâarticolo 13,
comma 5-bisâ
RISULTATO: Lâesonero dallâobbligo del consenso riguarda anche i
dati sensibili contenuti nei curricula
NOTA: è confermato lâobbligo di consenso scritto per tutti gli altri
casi in cui si trattano dati sensibili
Massimo Farina - massimo@massimofarina.it
10
http://www.massimofarina.it - http://www.diricto.it
11. Modifica al comma 1-bis dellâart. 34
(giĂ modificato dalle semplificazioni introdotte con il D.L. n. 112/2008, convertito
nella legge n. 133/08)
âAi fini dellâapplicazione delle disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalitĂ amministrativo-contabili sono quelli
connessi allo svolgimento delle attivitĂ di natura organizzativa, amministrativa,
finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalitĂ le attivitĂ organizzative interne, quelle funzionali
allâadempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della contabilitĂ e allâapplicazione delle
norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e
sicurezza sul lavoroâ.
RISULTATO: non sono piĂš necessarie informative
e richieste di consenso se si trattano dati
personali relativi a persone giuridiche,
esclusivamente per finalitĂ amministrativo- ELIMINATO
contabili, nel senso chiarito dalla nuova norma. D.L. 5/2012
Massimo Farina - massimo@massimofarina.it
11
http://www.massimofarina.it - http://www.diricto.it
12. Modifica allâart. 130, comma 3-bis (MARKETING CARTACEO)
âIn deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui
all'articolo 129, comma 1, mediante l'impiego del telefono e della posta
cartacea per le finalitĂ di cui allâarticolo 7, comma 4, lettera b), è consentito
nei confronti di chi non abbia esercitato il diritto di opposizione, con
modalitĂ semplificate e anche in via telematica, mediante lâiscrizione della
numerazione della quale è intestatario e degli altri dati personali di cui
all'articolo 129, comma 1, in un registro pubblico delle opposizioniâ.
RISULTATO: estende anche agli indirizzi postali tradizionali il regime dellâopt-out di recente
introdotto in materia di trattamento dei numeri telefonici degli abbonati per lâesercizio del
marketing telefonico.
Quindi anche per il marketing fatto per posta vale il registro delle opposizioni e gli operatori
di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti
nellâelenco telefonico per finalitĂ promozionali senza bisogno di chiedere il consenso alla
sola condizione che questi ultimi non abbiano richiesto lâiscrizione del proprio numero
telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla
L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
Massimo Farina - massimo@massimofarina.it
12
http://www.massimofarina.it - http://www.diricto.it
13. MODIFICHE DEL âDECRETO SALVA ITALIAâ
articolo 4, comma 1, alla lettera b)
articolo 4, comma 1, alla lettera i)
comma 3-bis dellâarticolo 5 [abrogato]
comma 4, dellâarticolo 9 [ultimo periodo è soppresso]
lettera h) del comma 1 dellâarticolo 43 [soppressa]
Massimo Farina - massimo@massimofarina.it
13
http://www.massimofarina.it - http://www.diricto.it
14. Definizione di âdato personaleâ
Comprende soltanto le informazioni riferite alle
persone fisiche e non piĂš anche alle persone
giuridiche, enti o associazioni
Definizione di âinteressatoâ
Ă soltanto la persona fisica e non piĂš anche alle
persone giuridiche, enti o associazioni
Massimo Farina - massimo@massimofarina.it
14
http://www.massimofarina.it - http://www.diricto.it
15. OSSERVAZIONE
I riferimenti alle persone giuridiche non sono completamente spariti
La persona giuridica conserva la qualitĂ di âTitolareâ e
âResponsabileâ
La persona giuridica conserva la qualitĂ di âAbbonatoâ
Viene a delinearsi, cosĂŹ, una posizione anomala per le persone giuridiche
(e per gli enti in generale), le quali, da una parte, non possono piĂš
considerarsi soggetti âinteressatiâ e dallâaltra conservano il ruolo di
âabbonatiâ, con la conseguente difficoltĂ di accedere alla tutela per gli
abbonati che non siano anche âinteressatiâ
Massimo Farina - massimo@massimofarina.it
15
http://www.massimofarina.it - http://www.diricto.it
17. D.L. 5/2012 - âDECRETO SEMPLIFICAZIONIâ
Ă stato definitivamente
eliminato lâadempimento
tanto odiato dalle imprese
DPS
predisposizione e
allâaggiornamento del
Documento Programmatico
sulla Sicurezza
(art. 34, comma 1, lett. g)
Massimo Farina - massimo@massimofarina.it
17
http://www.massimofarina.it - http://www.diricto.it
18. Sparisce la forma ma persiste la sostanza
Tutti gli adempimenti che
dovevano essere annotati nel
DPS continuano ad esistere
DPS
Oggi, dove si annotano ?
Massimo Farina - massimo@massimofarina.it
18
http://www.massimofarina.it - http://www.diricto.it
20. Disposizioni abrogate
Art. 34. Trattamenti con strumenti elettroniciâ¨
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
[âŚ]
g) âtenuta di un aggiornato documento programmatico sulla sicurezzaâ
[âŚ]
1-bis. âAi fini dellâapplicazione delle disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalitĂ amministrativo-contabili sono quelli connessi
allo svolgimento delle attivitĂ di natura organizzativa, amministrativa, finanziaria e
contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali
finalitĂ le attivitĂ organizzative interne, quelle funzionali allâadempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla
tenuta della contabilitĂ e allâapplicazione delle norme in materia fiscale, sindacale,
previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoroâ.;
Massimo Farina - massimo@massimofarina.it
20
http://www.massimofarina.it - http://www.diricto.it
21. Disposizioni abrogate
Allegato b) - Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilitĂ nell'ambito delle strutture preposte al
trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione
delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilitĂ ;
19.5. la descrizione dei criteri e delle modalitĂ per il ripristino della disponibilitĂ dei dati in seguito a
distruzione o danneggiamento di cui al successivo punto 23;
Massimo Farina - massimo@massimofarina.it
21
http://www.massimofarina.it - http://www.diricto.it
22. Disposizioni abrogate
Allegato b) - Documento programmatico sulla sicurezza
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi
che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della
disciplina sulla protezione dei dati personali piĂš rilevanti in rapporto alle relative attivitĂ , delle
responsabilitĂ che ne derivano e delle modalitĂ per aggiornarsi sulle misure minime adottate dal
titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchÊ in
occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza
in caso di trattamenti di dati personali affidati, in conformitĂ al codice, all'esterno della struttura del
titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,
l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati
personali dell'interessato
Massimo Farina - massimo@massimofarina.it
22
http://www.massimofarina.it - http://www.diricto.it
23. Disposizioni abrogate
Allegato b) - Misure di tutela e garanzia
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se
dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla
sicurezza.
Massimo Farina - massimo@massimofarina.it
23
http://www.massimofarina.it - http://www.diricto.it
24. Disposizioni residue
Art. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilitĂ dei dati e dei sistemi;
Massimo Farina - massimo@massimofarina.it
24
http://www.massimofarina.it - http://www.diricto.it
25. Disposizioni residue
Art. 34. Trattamenti con strumenti elettronici
g) [ABROGATO]
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
1-bis. [ABROGATO]
1-ter.(1) Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalitĂ amministrativo-contabili sono quelli connessi
allo svolgimento delle attivitĂ di natura organizzativa, amministrativa, finanziaria e
contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali
finalitĂ le attivitĂ organizzative interne, quelle funzionali all'adempimento di obblighi
contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla
tenuta della contabilitĂ e all'applicazione delle norme in materia fiscale, sindacale,
previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
Massimo Farina - massimo@massimofarina.it
25
http://www.massimofarina.it - http://www.diricto.it
26. Grazie per lâattenzione
l attenzione
Massimo Farina
massimo@massimofarina.it
http://www.massimofarina.it
http://www.diricto.it
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it 26
27. LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire o recitare l'opera, di creare opere derivate alle seguenti
condizioni:
⢠Attribuzione. Devi riconoscere il contributo dell'autore originario.
⢠Non commerciale. Non puoi usare questâopera per scopi commerciali.
⢠Condividi allo stesso modo. Se alteri, trasformi o sviluppi questâopera, puoi distribuire lâopera
risultante solo per mezzo di una licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i
termini della licenza di questâopera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad
ognuna di queste condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da
quanto sopra
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it 27