Privacy: semplificazione dal Decreto legge n. 112/08

L’art. 29 del Decreto legge n. 112/08, inserito nel Titolo II, Capo VII sulle “Semplificazioni”, infatti, modifica, il Decreto legislativo n. 196/03 (Codice in materia di protezione dei dati personali) per ridurre gli oneri delle imprese connessi agli obblighi di redazione del Documento Programmatico sulla Sicurezza (art. 34, comma 1, lett. g) del Codice e punto 19, Allegato B) e di notificazione del trattamento.

L’art. 29 interviene, innanzitutto, sul testo dell’art. 34 del Codice, che individua le misure minime di sicurezza - tra le quali è compreso il DPS - applicabili al trattamento di dati personali effettuato con strumenti elettronici, introducendo un nuovo comma 1-bis che esclude dall’ambito di applicazione dell’obbligo del DPS le imprese (e, in generale, tutti i soggetti) che trattano, oltre ai dati personali “comuni”, quale unico eventuale dato sensibile lo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi (es. certificato di assenza per malattia).

La norma in esame stabilisce che la natura di tali dati sanitari non incida sull’obbligo di redazione del DPS a carico di tutte le imprese. Queste ultime, infatti, trattano il dato dell’assenza per malattia nell’ambito dell’ordinaria gestione del rapporto di lavoro con i propri dipendenti e collaboratori, sulla base di norme di legge e contrattuali. Per tale categoria di imprese l’obbligo di redazione del DPS viene quindi eliminato e sostituito da un’autocertificazione, resa ai sensi dell’art. 47 del D.P.R. n. 445/00, con la quale il titolare dovrà attestare:

· di trattare soltanto dati personali non sensibili (quindi, “comuni”) e che l’unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi;

· che il trattamento del dato sensibile (i.e. sanitario) è stato eseguito in osservanza delle misure di sicurezza richieste dal presente Codice (artt. 33-35), nonché del disciplinare tecnico cd. Allegato B).

L’art. 29, comma 2, dispone inoltre la semplificazione delle modalità di redazione del DPS anche per tutte le altre imprese (quelle che non rientrano nella possibilità di beneficiare dell’autocertificazione di cui al nuovo art. 34, co. 1-bis del Codice), allo scopo di adempiere alle correnti finalità amministrative e contabili.

La previsione di un DPS a carattere semplificato per la generalità delle imprese che trattano dati comuni e sensibili - diversi da quelli relativi all’assenza per malattia - è rimessa a un successivo intervento di aggiornamento del disciplinare tecnico di cui all’Allegato B), da realizzarsi entro due mesi dall’entrata in vigore della legge di conversione del Decreto legge n. 112/08, nelle forme del decreto ministeriale di cui all’art. 36 del Codice. Il rispetto del termine di due mesi è presidiato dalla previsione contenuta nell’art. 29, comma 3 del Decreto legge, secondo cui la mancata adozione del decreto di adeguamento entro la scadenza indicata rende applicabile a tutte le imprese titolari di un trattamento (indipendentemente dalla natura dei dati trattati, comuni e/o sensibili) la disciplina privilegiata dell’autocertificazione ex art. 34, comma 1-bis.

Per quanto riguarda l’obbligo di notificazione, che riguarda i soli trattamenti tassativamente individuati all’art. 37 del Codice, l’art. 29, commi 4 e 5 del decreto legge, interviene a semplificare le modalità di esecuzione di tale adempimento. Nell’attuale formulazione il modello per la notificazione predisposto dallo stesso Garante per la protezione dei dati personali (di seguito, “il Garante”) richiede, infatti, numerose informazioni non previste dalla disciplina comunitaria.

Pertanto, il comma 2 dell’art. 38 del Codice è sostituito con una nuova disposizione che, da un lato, limita il novero delle informazioni da fornire in sede di notifica al Garante conformemente alle indicazioni della direttiva comunitaria, dall’altro lato non prevede più alcun riferimento alle modalità di sottoscrizione della notificazione con firma digitale. In sostituzione dell’obbligo di dotarsi della firma digitale per la notificazione, come chiarito nella Relazione al DDL di conversione del Decreto legge n. 112/08, il Garante potrà stabilire, ai sensi del comma 5 dell’articolo 38 del Codice, altre modalità semplificate di individuazione del mittente (ad es. tramite procedure di autenticazione nel sito mediante password, secondo una prassi ormai corrente nella modulistica on-line di molte pubbliche amministrazioni). È stato infine disposto l’obbligo del Garante di adeguare il contenuto del modello predisposto per la notifica entro il termine di due mesi dall’entrata in vigore della legge di conversione del Decreto legge n. 112/08.

Tutte le misure di semplificazione sono efficaci dal 25 giugno scorso, data di pubblicazione del Decreto legge n. 112/08 nel Supplemento ordinario n. 152 alla Gazzetta ufficiale n. 147/08. Naturalmente il provvedimento dovrà essere convertito in legge entro sessanta giorni.

Come precisato nella Relazione al Disegno di legge di conversione del Decreto legge n. 112/08 le misure di semplificazione del provvedimento sono perfettamente compatibili con la lettera e con lo spirito delle direttive comunitarie recepite dal Codice in materia di protezione dei dati personali e sono in linea di continuità con il provvedimento dell’Autorità Garante del 19 giugno 2008 che detta “Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili”.

Il provvedimento del Garante, in particolare, prevede che i titolari del trattamento in ambito privato e pubblico, tra cui soprattutto PMI, professionisti e artigiani, possano unificare l’informativa per il complesso dei trattamenti, in modo da evitare frammentazioni e inutili ripetizioni; utilizzare un linguaggio semplificato, che evidenzi le caratteristiche essenziali del trattamento e preveda, per quanto possibile, una prima informativa breve all’interessato (anche in forma orale), rinviando a un testo più articolato, accessibile anche attraverso strumenti informatici e telematici; omettere nell’informativa articolata gli elementi già noti all’interessato e i riferimenti puramente burocratici o le circostanze già note (se la raccolta di dati avviene presso terzi è anche possibile formulare una sola informativa per i dati forniti dall’interessato e per quelli che saranno acquisiti presso questi ultimi).

Il Garante ha anche proposto una formulazione standard di informativa sintetica, che potrebbe essere resa anche per iscritto secondo il seguente modello:

"I SUOI DATI PERSONALI

Utilizziamo - anche tramite collaboratori esterni - i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su...".

Per quanto attiene al consenso dell’interessato, il provvedimento ribadisce l’esonero del titolare dalla richiesta quando il trattamento dei dati è svolto esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da registri ed elenchi pubblici, conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche, ovvero sono trattati da un soggetto pubblico (si tratta delle ipotesi disciplinate all’art. 24 del Codice).

Il provvedimento esonera il titolare dalla richiesta del consenso per l’utilizzazione di recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato cui sia stato precedente venduto un prodotto o prestato un servizio. In questi casi sarà possibile omettere il consenso, ai fini dell’invio di materiale pubblicitario, di vendita diretta o del compimento di ricerche di mercato e/o comunicazioni commerciali, nei limiti in cui ricorrano contestualmente le seguenti condizioni: l’attività promozionale deve riguardare beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita già avvenuta e l’interessato deve essere informato della possibilità di far cessare il trattamento manifestando la propria opposizione.

Nel proprio provvedimento, l’Autorità Garante ha, inoltre, segnalato alle competenti autorità di Governo l´opportunità di modificare il Decreto legislativo n. 196/03 per quanto attiene alla disciplina delle misure minime di sicurezza. Tale intervento è stato in parte realizzato con la semplificazione del DPS contenuta nel Decreto legge n. 112/08.

Il Garante ha anche proposto l´aggiunta di un comma 1-bis all´art. 33 del Codice, specificandone la relativa formulazione: Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all´adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani.