Semplificazioni privacy: decreto legge n. 138 del 2011, “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”

Nel passato 2011 sono state approvate delle disposizioni che modificano la normativa privacy. Analizziamo nel dettaglio queste modifiche. Il comma 1, lettera a) dell’art. 6 del D.L. 2011 n. 138, “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”, stabilisce che: “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

Inoltre:  il Codice della Privacy non si applica più ai trattamenti di dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra persone giuridiche per sole finalità di natura amministrativo-contabile ossia quando i trattamenti riguardano le normali finalità amministrativo-contabili i dati delle imprese, enti, persone giuridiche etc. non devono essere trattati secondo i dettami del Codice. Quindi non è più necessario richiedere il consenso, rilasciare le informative e applicare le misure di sicurezza quando si trattano dati personali per finalità amministrativo-contabili, tra persone giuridiche, nel senso della nuova definizione.

CV inviati spontaneamente.

In caso di ricezione spontanea da parte degli interessati di curricula vitae non è necessario inviare l’informativa. “Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve […]” ossia con l’indicazione delle finalità e modalità del trattamento cui sono destinati i dati, i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi, gli estremi del titolare e/o responsabile

Trattamenti senza consenso.

Nel caso di ricezione di curricula spontaneamente trasmessi dagli interessati, l’azienda non è tenuta a richiedere il consenso per il trattamento dei dati sensibili contenuti nel cv.

Abolizione Dps.

La tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione quando i soggetti trattano soltanto dati personali non sensibili e trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti. La dichiarazione resa ai sensi dell’art. 47 del DPR 445/00, deve contenere soltanto la dichiarazione di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B.

Marketing cartaceo.

Anche questo tipo, oltre che per il marketing telefonico, vale il registro delle opposizioni, per cui gli operatori di marketing possono usare gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali solo se gli interessati non hanno richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni. Nel caso in cui l’abbonato non abbia richiesto questa iscrizione, allora il consenso non è necessario.

Comments(0)

Privacy e professionisti, novità semplificazioni

Il decreto sviluppo (art.6 decreto legge n. 70 del 2011) ha modificato, con decorrenza luglio 2011, gli adempimenti in materia di Privacy. Le novità sostanziali riguardano i seguenti aspetti:

- non applicazione della normativa di cui al D.lgs. 196/2003 nei rapporti tra imprese (persone giuridiche) per finalità amministrative e contabili;

- applicazione della normativa privacy nei rapporti intercorrenti tra imprese e soggetti privati e tra imprese e professionisti;

- applicazione della normativa privacy nei rapporti intercorrenti tra le imprese che si occupano di Marketing, sondaggi e ricerche di mercato (tipologie non rientranti nella definizione di attività amministrative e contabili;

- Sostituzione del Documento Programmatico per la sicurezza (DPS) con una specifica “autocertificazione” per i soggetti che trattano in materia esclusiva dati non sensibili o dati di natura sensibile o dati giudiziari ma che riguardano i propri dipendenti, collaboratori ed i rispettivi coniugi o parenti.

Comments(0)

Art. 37 codice privacy: obbligo di notificazione del trattamento al Garante

1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione.

3. La notificazione è effettuata con unico atto anche quando il trattamento comporta iltrasferimento all’estero dei dati.4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile achiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.

Comments(0)

Precisazione su telecamere collegate alla Polizia

Precisiamo che il nuovo avviso informativo, recante il simbolo dell’operatore che in remoto controlla la videosorveglianza, deve essere utilizzato solo dove  vi è un collegamento con la centrale di polizia e non con una semplice centrale di videosorveglianza privata.

Comments(0)

Documento programmatico sulla sicurezza semplificato, semplificazioni privacy

Ricordiamo che alcune aziende usufruendo di quanto previsto nel provvedimento generale denominato “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali” (G.U. n. 287 del 9 dicembre 2008) possono redigere un documento programmatico sulla sicurezza (DPS) semplificato.

Possono redigere il dps semplificato solo: i titolari che trattano dati personali unicamente per correnti finalità amministrative e contabili;  i piccoli imprenditori ai sensi dell’art. 2083 del Codice Civile ovvero i coltivatori diretti del fondo, gli artigiani, i piccoli commercianti e coloro che esercitano un’attività professionale organizzata prevalentemente con il lavoro proprio e dei componenti della famiglia; piccola e media impresa (PMI)  ovvero imprese che  hanno meno di 250 occupati e un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.

Tutti gli altri titolari devono redigere il documento programmatico sulla sicurezza ordinario, in forma integrale.

Comments(0)

Autocertificazione privacy
A seguito dell’introduzione del comma 1-bis all’art. 34 del D.lg. 196/03 i titolari ci chiedono spesso se devono o non devono fare il Documento programmatico sulla sicurezza (DPS). Il comma 1-bis difatti recita  la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione (omissis.) solo per (omissis.) i soggetti che trattano (omissis.) dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale (omissis.).
Sono sensibili, per capirci, tutti i dati idonei a rivelare lo stato di salute di una persona, le sue convinzioni religiose o politiche, l’origine razziale ed etnica. Se si trattano questi dati per scopi ulteriori rispetto alla normale gestione del personale allora si sicuro il DPS si deve fare.
Sono altresì soggetti alla redazione del DPS tutti i titolari che trattano dati personali giudiziari (con strumenti elettronici oramai lo si può omettere perché tutti lavorano su pc oggi).
In definitiva possono fare l’autocertificazione i titolari che trattano: dati personali comuni di clienti, fornitori e dipendenti; dati personali sensibili di dipendenti relativi allo stato di salute o malattia (solo se senza indicazione della diagnosi), dati personali sensibili di carattere sindacale.
Considerato, però, che ai sensi dell’art. 4.1.a del D.lg. 196/03 per trattamento si intende compiere qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati – in pratica molto, moltissimo, quasi tutto… non è facile essere certi di non effettuare trattamenti che impongono al contrario la redazione del DPS.
Infatti, quanti Titolari si sentono realmente in grado di affermare con certezza, che mai in nessun caso la propria struttura tratta dati personali per cui è prevista la redazione del DPS? E soprattutto, questa certezza deve essere dichiarata per iscritto attraverso quella che si chiama Dichiarazione sostitutiva di atto di notorietà ex art. 47 del D.P.R. 445/00 che in caso di “dichiarazioni mendaci” o di “dati non più rispondenti a verità” può portare a pesanti sanzioni penali ai sensi dell’art. 76 del D.P.R. 445/00.

Alla fine fare l’Autocertificazione è molto rischioso, meglio non farla se non si è certi; di più per essere certi sarebbe necessario provare di aver fatto… una dettagliata classificazione dei dati personali trattati ed un’esaustiva analisi dei rischi… il che significa in termini pratici svolgere buona parte del lavoro necessario per la redazione del DPS… a questo punto tanto vale completare l’opera e dormire sonni tranquilli.

Comments(0)

Codice deontologico settore delle informazioni commerciali

Il Garante per la protezione dei dati personali ha invitato le associazioni di categoria interessate ai servizi di informazione commerciale (aziende del settore, associazioni rappresentative e consumatori) a inviare il loro contributo per partecipare alla redazione del codice deontologico e di buona condotta del settore di appartenenza. C’è tempo fino al 5 novembre per inviare comunicazioni e documentazione al Garante ai recapiti presenti sul sito e in particolare, via mail, all’indirizzo:

codiceinformazionicommerciali@garanteprivacy.it

Comments(0)

Sistemi integrati di videosorveglianza

Sono sempre più diffusi i sistemi integrati di videosorveglianza tra diversi soggetti, pubblici e privati, nonché l’offerta di servizi centralizzati di videosorveglianza remota da parte di fornitori (società di vigilanza, Internet service providers, fornitori di servizi video specialistici, ecc.).
Nell’ambito dei predetti trattamenti, sono individuabili le seguenti tipologie di sistemi integrati di videosorveglianza:
a)  Autonomi e distinti titolari del trattamento che usano le stesse infrastrutture tecnologiche (condividono il sistema di videosorveglianza); in tale ipotesi, i singoli titolari possono trattare le immagini solo nei termini strettamente funzionali alle sole finalità riportate nell’informativa;
b)  collegamento telematico di diversi titolari del trattamento ad un “centro” unico gestito da un soggetto terzo; tale soggetto terzo, designato responsabile del trattamento ai sensi dell’art. 29 del Codice da parte di ogni singolo titolare, deve assumere un ruolo di coordinamento e gestione dell’attività di videosorveglianza senza consentire, tuttavia, forme di correlazione/condivisione delle immagini raccolte per conto di ciascun titolare;
c)  in caso di collegamento dei sistemi di videosorveglianza con le sale o le centrali operative degli organi di polizia, tale collegamento deve essere reso noto agli interessati nell’avviso (vedi cartello sopra indicato) e nell’informativa.

Le modalità di trattamento sopra elencate richiedono l’adozione di specifiche misure di sicurezza:
1) registrazione degli accessi logici degli incaricati (log) e delle operazioni compiute sulle immagini registrate, compresi i relativi riferimenti temporali, con conservazione per un periodo di tempo non inferiore a 6 mesi;
2) separazione logica delle immagini registrate dai diversi titolari.
Il mancato rispetto delle misure previste ai punti 1) e 2) comporta l’applicazione della sanzione amministrativa stabilita dall’art. 162, comma 2-ter, del Codice.
Fuori dalle predette ipotesi, in tutti i casi in cui i trattamenti effettuati tramite sistemi integrati di videosorveglianza abbiano caratteristiche singolari tali per cui le misure e gli accorgimenti sopra individuati non siano integralmente applicabili, il titolare del trattamento è tenuto a  richiedere una verifica preliminare al Garante Privacy.

Comments(0)

Controllo della navigazione del dipendente
Il Garante privacy ha ribadito che è illecito monitorare in modo sistematico e continuativo la navigazione in Internet dei lavoratori. Nel caso specifico un’azienda ha controllato per nove mesi la navigazione on line di un dipendente attraverso un software in grado di memorizzare “in chiaro”, tra l’altro, le pagine e i siti web visitati, il numero di connessioni, il tempo trascorso sulle singole pagine.

Il controllo sistematico della navigazione viola infatti lo Statuto dei lavoratori, che vieta l’impiego di apparecchiature per il controllo a distanza dell’attività dei dipendenti. Peraltro la società non aveva neanche provveduto ad attivare le procedure stabilite dalla normativa qualora tale controllo fosse motivato da “esigenze organizzative e produttive” (accordo con le rappresentanze sindacali o, in assenza di questo, autorizzazione della Direzione provinciale del lavoro).

Il Garante ha ritenuto, infine, che la società sia incorsa anche nella violazione dei principi di pertinenza e non eccedenza delle informazioni raccolte, poiché il monitoraggio, diretto peraltro nei confronti di un solo dipendente, è risultato prolungato e costante.

Comments(0)

Il 31 marzo � il giorno di scadenza per la redazione del DPS (documento programmatico sulla sicurezza), un documento che fotografa la situazione aziendale in materia di privacy, dando conto di quanto fatto e progettando il da farsi.

Come ogni anno veniamo tempestati da chiamate e mail dell’ultimo momento.�Ci permettiamo di darvi un consiglio: � impossibile adeguarsi in una settimana, programmate oggi il vostro adeguamento e mettetelo in atto gradualmente. Se non potete permettervi una consulenza tradizionale, avvaletevi del nostro servizio “un adeguamento alla settimana