PRIVACY – SEMPLIFICAZIONI DEGLI ADEMPIMENTI – PROVVEDIMENTO DEL GARANTE E DECRETO LEGGE N. 112/2008

Con provvedimento del 19 giugno 2008, pubblicato sulla Gazzetta Ufficiale n. 152 del 1 luglio 2008, l’Autorità Garante per la Protezione dei Dati Personali ha introdotto alcune semplificazione in ordine agli adempimenti posti a carico delle imprese dalla vigente legislazione in materia di privacy, D.Lgs. n. 196/2003.
Le principali novità, di interesse per le imprese, contenute nel provvedimento del Garante e relative all’adempimento degli obblighi dell’informativa e del consenso possono essere così riassunte.

Informativa
Sotto il primo profilo, si prevede che i titolari del trattamento in ambito privato e pubblico, tra cui soprattutto PMI, professionisti e artigiani, possano:
– unificare l’informativa per il complesso dei trattamenti, al fine di evitare frammentazioni e inutili ripetizioni;
– utilizzare un linguaggio semplificato, che evidenzi le caratteristiche essenziali del trattamento e preveda, per quanto possibile, una prima informativa breve all’interessato (anche in forma orale), rinviando a un testo più articolato, accessibile anche attraverso strumenti informatici e telematici (ad es. tramite Internet o reti Intranet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito, etc.);
– omettere nell’informativa articolata gli elementi già noti all’interessato e i riferimenti puramente burocratici o le circostanze già note (se la raccolta di dati avviene presso terzi è anche possibile formulare una sola informativa per i dati forniti dall’interessato e per quelli che saranno acquisiti presso questi ultimi).
Il Garante ha anche proposto una formulazione standard di informativa sintetica, che potrebbe essere resa anche per iscritto secondo il seguente modello:

“I SUOI DATI PERSONALI
Utilizziamo – anche tramite collaboratori esterni – i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su…”.

Consenso
Per quanto attiene al consenso dell’interessato, il provvedimento ribadisce l’esonero del titolare dalla richiesta quando il trattamento dei dati è svolto esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da registri ed elenchi pubblici, conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche, ovvero sono trattati da un soggetto pubblico (si tratta delle ipotesi disciplinate all’art. 24 del Codice).
Il provvedimento esonera, inoltre, il titolare dalla richiesta del consenso per l’utilizzazione di recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato cui sia stato precedente venduto un prodotto o prestato un servizio. In questi casi sarà possibile omettere il consenso, ai fini dell’invio di materiale pubblicitario, di vendita diretta o del compimento di ricerche di mercato e/o comunicazioni commerciali, nei limiti in cui ricorrano contestualmente le seguenti condizioni:
– l’attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita già avvenuta;
– l’interessato sia informato della possibilità di far cessare il trattamento manifestando la propria opposizione.
Le misure adottate dal Garante recepiscono alcune richieste di semplificazione avanzate da Confindustria nell’ambito delle attività di confronto istituzionale con l’Autorità e con il Ministero della Funzione Pubblica.
 
Nel proprio provvedimento, l’Autorità Garante ha, inoltre, segnalato alle competenti autorità di Governo l’opportunità di modificare il d.lgs. n. 196/2003 per quanto attiene alla disciplina delle misure minime di sicurezza. Tale intervento è stato in parte realizzato con la semplificazione del DPS contenuta nel DL n. 112/08 di cui si dirà più avanti.
Peraltro, il Garante ha anche proposto l’aggiunta di un comma 1-bis all’art. 33 del Codice, specificandone la relativa formulazione: “Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all’adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani”.

Decreto Legge n. 112/2008
Il Decreto Legge n. 112 del 25 giugno 2008  prevede misure di semplificazione degli adempimenti in materia di privacy.
L’art. 29 del DL n. 112, inserito nel Titolo II, Capo VII sulle “Semplificazioni”, modifica il d.lgs. n. 196/2003 con l’obiettivo di ridurre gli oneri burocratici a carico delle imprese.

Esonero dall’obbligo di redazione del DPS
Il citato art. 29 interviene innanzitutto sul testo dell’art. 34 del Codice, che individua le misure minime di sicurezza – tra le quali è compreso il Documento Programmatico sulla Sicurezza – DPS – applicabili al trattamento di dati personali effettuato con strumenti elettronici, introducendo un nuovo comma 1-bis che esclude dall’ambito di applicazione dell’obbligo del DPS le imprese (e, in generale, tutti i soggetti) che trattano, oltre ai dati personali “comuni”, quale unico eventuale dato sensibile lo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi (es. certificato di assenza per malattia).
Pertanto, la norma in esame stabilisce opportunamente che la natura di tali dati sanitari non incida sull’obbligo di redazione del DPS a carico di tutte le imprese.
Queste ultime, infatti, trattano il dato dell’assenza per malattia nell’ambito dell’ordinaria gestione del rapporto di lavoro con i propri dipendenti e collaboratori, sulla base di norme di legge e contrattuali.
Per tale categoria di imprese l’obbligo di redazione del DPS viene quindi eliminato e sostituito da un’autocertificazione, resa ai sensi dell’art. 47 del DPR n. 445 del 28 dicembre 2000, con la quale il titolare dovrà attestare:
– di trattare soltanto dati personali non sensibili (quindi, “comuni”) e che l’unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi;
– che il trattamento del dato sensibile (i.e. sanitario) è stato eseguito in osservanza delle misure di sicurezza richieste dal presente Codice (artt. 33-35), nonché del disciplinare tecnico cd. Allegato B).

Semplificazione delle modalità di redazione del DPS
L’art. 29, co. 2, dispone inoltre la semplificazione delle modalità di redazione del DPS anche per tutte le altre imprese (quelle che non rientrano nella possibilità di beneficiare dell’autocertificazione di cui al nuovo art. 34, co. 1-bis del Codice), allo scopo di adempiere alle correnti finalità amministrative e contabili.
La previsione di un DPS a carattere semplificato per la generalità delle imprese che trattano dati comuni e sensibili – diversi da quelli relativi all’assenza per malattia – è rimessa a un successivo intervento di aggiornamento del disciplinare tecnico di cui all’Allegato B), da realizzarsi entro due mesi dall’entrata in vigore della legge di conversione del DL n. 112/08, nelle forme del decreto ministeriale di cui all’art. 36 del Codice.
Il rispetto del termine di due mesi è presidiato dalla previsione contenuta nell’art. 29, co. 3 del DL, secondo cui la mancata adozione del decreto di adeguamento entro la scadenza indicata rende applicabile a tutte le imprese titolari di un trattamento (indipendentemente dalla natura dei dati trattati, comuni e/o sensibili) la disciplina privilegiata dell’autocertificazione ex art. 34, co. 1-bis.

Obbligo di Notificazione
Per quanto riguarda l’obbligo di notificazione, che riguarda i soli trattamenti tassativamente individuati all’art. 37 del Codice, l’art. 29, co. 4 e 5 del DL, interviene a semplificare le modalità di esecuzione di tale adempimento. Nell’attuale formulazione il modello per la notificazione predisposto dallo stesso Garante richiede infatti numerose informazioni non previste dalla disciplina comunitaria.
Pertanto, il co. 2 dell’art. 38 del Codice è sostituito con una nuova disposizione che, da un lato, limita il novero delle informazioni da fornire in sede di notifica al Garante conformemente alle indicazioni della direttiva comunitaria, dall’altro lato non prevede più alcun riferimento alle modalità di sottoscrizione della notificazione con firma digitale. In sostituzione dell’obbligo di dotarsi della firma digitale per la notificazione, come chiarito nella Relazione al DDL di conversione del DL n. 112/08, il Garante potrà stabilire, ai sensi del co. 5 dell’articolo 38 del Codice, altre modalità semplificate di individuazione del mittente (ad es. tramite procedure di autenticazione nel sito mediante password, secondo una prassi ormai corrente nella modulistica on-line di molte pubbliche amministrazioni).
È stato infine disposto l’obbligo del Garante di adeguare il contenuto del modello predisposto per la notifica entro il termine di due mesi dall’entrata in vigore della legge di conversione del DL 112/08.
Tutte le descritte misure di semplificazione sono efficaci dal 25 giugno scorso, data di pubblicazione del DL n. 112/08 in Gazzetta Ufficiale e, come precisato nella citata Relazione al DDL di conversione del DL n. 112/08, sono perfettamente “compatibili con la lettera e con lo spirito delle direttive comunitarie recepite dal Codice in materia di protezione dei dati personali”.