Semplificazioni privacy: decreto legge n. 138 del 2011, “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”

Nel passato 2011 sono state approvate delle disposizioni che modificano la normativa privacy. Analizziamo nel dettaglio queste modifiche. Il comma 1, lettera a) dell’art. 6 del D.L. 2011 n. 138, “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”, stabilisce che: “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

Inoltre:  il Codice della Privacy non si applica più ai trattamenti di dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra persone giuridiche per sole finalità di natura amministrativo-contabile ossia quando i trattamenti riguardano le normali finalità amministrativo-contabili i dati delle imprese, enti, persone giuridiche etc. non devono essere trattati secondo i dettami del Codice. Quindi non è più necessario richiedere il consenso, rilasciare le informative e applicare le misure di sicurezza quando si trattano dati personali per finalità amministrativo-contabili, tra persone giuridiche, nel senso della nuova definizione.

CV inviati spontaneamente.

In caso di ricezione spontanea da parte degli interessati di curricula vitae non è necessario inviare l’informativa. “Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve […]” ossia con l’indicazione delle finalità e modalità del trattamento cui sono destinati i dati, i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi, gli estremi del titolare e/o responsabile

Trattamenti senza consenso.

Nel caso di ricezione di curricula spontaneamente trasmessi dagli interessati, l’azienda non è tenuta a richiedere il consenso per il trattamento dei dati sensibili contenuti nel cv.

Abolizione Dps.

La tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione quando i soggetti trattano soltanto dati personali non sensibili e trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti. La dichiarazione resa ai sensi dell’art. 47 del DPR 445/00, deve contenere soltanto la dichiarazione di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B.

Marketing cartaceo.

Anche questo tipo, oltre che per il marketing telefonico, vale il registro delle opposizioni, per cui gli operatori di marketing possono usare gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali solo se gli interessati non hanno richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni. Nel caso in cui l’abbonato non abbia richiesto questa iscrizione, allora il consenso non è necessario.

Comments(0)

31 marzo 2011: scadenza per l’aggiornamento del DPS

Come ogni anno, a marzo è necessario provvedere all’aggiornamento del Documento Programmatico di Sicurezza (DPS) che deve essere tenuto secondo le regole stabilite dall’art. 34 e dall’Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196, il famoso Codice in materia di protezione dei dati personali.

Il DPS rappresenta una fotografia reale del sistema di sicurezza attivo a all’interno dell’organizzazione e il percorso di adeguamento intrapreso per adeguarsi alla normativa privacy. È obbligatorio quando l’organizzazione tratta con strumenti elettronici dati sensibili o giudiziari, ma se viene adottato anche negli altri casi rappresenta una delle misure idonee indicate dal Codice all’art. 31. Inoltre è importante che sia conosciuto e applicato da tutti i livelli dell’organizzazione (anche per questo è necessario riferire, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza).

I contenuti del DPS sono:

-          Elenco trattamenti dati personali

-          Distribuzione compiti e responsabilità

-          Analisi dei rischi

-          Misure da adottare e adottate

-          Descrizione criteri disaster recovery

-          Previsioni interventi formativi

-          Descrizione criteri da adottare per trattamenti affidati all’esterno

-          Descrizione criteri per cifratura o separazione di dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali dell’interessato

Sembra semplice ma invece non lo è, troppe cose di cui tener conto e… per questo Consulenti privacy si offre per farti dormire sogni tranquilli! Non è possibile mettersi a norma in un giorno, come si legge su alcuni siti… la stesura del DPS richiede una attenta valutazione della situazione in materia di sicurezza e dei trattamenti effettuati.

Noi di Consulenti privacy offriamo consulenza tout court per supportarti in ogni fase di questo processo e non solo… anche per il DPS la nostra consulenza privacy dura per un intero anno!

Possiamo inoltre risolvere tutte le problematiche relative alla tutela dei dati personali sotto l’aspetto legale, procedurale, informatico e della formazione del personale. Il team è composto da avvocati, consulenti aziendali, ingegneri informatici, esperti in procedure della P.A., per affrontare in modo corretto e semplice il trattamento dei dati personali.

Chiedi senza impegno una verifica dello stato di adeguamento in merito alla sicurezza nella tua organizzazione e un preventivo… ti meraviglierai di come siamo efficienti! Scrivi a comunicazioni@consulentiprivacy.it

Comments(0)

Documento programmatico sulla sicurezza semplificato, semplificazioni privacy

Ricordiamo che alcune aziende usufruendo di quanto previsto nel provvedimento generale denominato “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali” (G.U. n. 287 del 9 dicembre 2008) possono redigere un documento programmatico sulla sicurezza (DPS) semplificato.

Possono redigere il dps semplificato solo: i titolari che trattano dati personali unicamente per correnti finalità amministrative e contabili;  i piccoli imprenditori ai sensi dell’art. 2083 del Codice Civile ovvero i coltivatori diretti del fondo, gli artigiani, i piccoli commercianti e coloro che esercitano un’attività professionale organizzata prevalentemente con il lavoro proprio e dei componenti della famiglia; piccola e media impresa (PMI)  ovvero imprese che  hanno meno di 250 occupati e un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.

Tutti gli altri titolari devono redigere il documento programmatico sulla sicurezza ordinario, in forma integrale.

Comments(0)

Autocertificazione privacy
A seguito dell’introduzione del comma 1-bis all’art. 34 del D.lg. 196/03 i titolari ci chiedono spesso se devono o non devono fare il Documento programmatico sulla sicurezza (DPS). Il comma 1-bis difatti recita  la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione (omissis.) solo per (omissis.) i soggetti che trattano (omissis.) dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale (omissis.).
Sono sensibili, per capirci, tutti i dati idonei a rivelare lo stato di salute di una persona, le sue convinzioni religiose o politiche, l’origine razziale ed etnica. Se si trattano questi dati per scopi ulteriori rispetto alla normale gestione del personale allora si sicuro il DPS si deve fare.
Sono altresì soggetti alla redazione del DPS tutti i titolari che trattano dati personali giudiziari (con strumenti elettronici oramai lo si può omettere perché tutti lavorano su pc oggi).
In definitiva possono fare l’autocertificazione i titolari che trattano: dati personali comuni di clienti, fornitori e dipendenti; dati personali sensibili di dipendenti relativi allo stato di salute o malattia (solo se senza indicazione della diagnosi), dati personali sensibili di carattere sindacale.
Considerato, però, che ai sensi dell’art. 4.1.a del D.lg. 196/03 per trattamento si intende compiere qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati – in pratica molto, moltissimo, quasi tutto… non è facile essere certi di non effettuare trattamenti che impongono al contrario la redazione del DPS.
Infatti, quanti Titolari si sentono realmente in grado di affermare con certezza, che mai in nessun caso la propria struttura tratta dati personali per cui è prevista la redazione del DPS? E soprattutto, questa certezza deve essere dichiarata per iscritto attraverso quella che si chiama Dichiarazione sostitutiva di atto di notorietà ex art. 47 del D.P.R. 445/00 che in caso di “dichiarazioni mendaci” o di “dati non più rispondenti a verità” può portare a pesanti sanzioni penali ai sensi dell’art. 76 del D.P.R. 445/00.

Alla fine fare l’Autocertificazione è molto rischioso, meglio non farla se non si è certi; di più per essere certi sarebbe necessario provare di aver fatto… una dettagliata classificazione dei dati personali trattati ed un’esaustiva analisi dei rischi… il che significa in termini pratici svolgere buona parte del lavoro necessario per la redazione del DPS… a questo punto tanto vale completare l’opera e dormire sonni tranquilli.

Comments(0)