PRIVACY: LA LEGGE SULLA SEMPLIFICAZIONE DEGLI ADEMPIMENTI PER LE IMPRESE
Desideri ulteriori informazioni e aggiornamenti?
La Legge 6 agosto 2008 n. 133 ha convertito, con modificazioni, il cd. “decreto semplificazioni”, che aveva introdotto alcune disposizioni dirette ad attenuare gli oneri burocratici previsti dal Codice della privacy (D.Lgs. n. 196/2003) in materia di trattamento dei dati personali (si veda la Notizia n. PN08.0994 del 18/07/2008).
Le novità riguardano in particolare la possibilità di sostituire – in casi specifici e tassativi – l’obbligo di redazione del Documento Programmatico sulla Sicurezza con una autocertificazione, nonché le modalità di notifica dei trattamenti all’Autorità Garante della Privacy ed il trasferimento di dati all’estero presso Paesi non appartenenti all’UE.
Redazione del Documento Programmatico sulla Sicurezza ed autocertificazione
La legge di conversione 6 agosto 2008 n. 133 ha confermato l’inserimento del comma 1-bis all’art. 34 del Codice della privacy, disposta dall’art. 29 del D.L. n. 112 del 2008, ampliando però – rispetto al dettato normativo del decreto – l’ambito dei dati sensibili per i quali si potrà procedere all’eventuale autocertificazione sostitutiva del Documento Programmatico sulla Sicurezza.
I soggetti che trattano con strumenti informatici, quali unici dati sensibili, quelli costituiti dallo stato di salute o malattia dei propri dipendenti o collaboratori, senza indicazione della relativa diagnosi, ovvero dall’adesione dei medesimi ad organizzazioni sindacali o a carattere sindacale, potranno evitare di tenere un aggiornato Documento Programmatico sulla Sicurezza.
L’obbligo di redigere il Documento viene infatti sostituito da un’autocertificazione (nella forma di dichiarazione sostitutiva dell’atto di notorietà resa dal titolare del trattamento ai sensi dell’art. 47 del D.P.R. n. 445/2000 – T.U. in materia di documentazione amministrativa), con la quale il titolare del trattamento dichiara che gli unici dati sensibili trattati risultano quelli sopra citati ed inoltre che tali dati sensibili sono trattati in osservanza delle misure di sicurezza prescritte dal Codice della privacy.
All’autocertificazione – che va conservata in azienda ed esibita in occasione di eventuali ispezioni – dovrà essere allegata la fotocopia di un documento di identità di chi rende la dichiarazione stessa.
L’ampliamento ai dati concernenti l’adesione ad organizzazioni sindacali apportato in sede di conversione (modifica del comma che è stata espressamente richiesta da Confindustria) estende l’ambito di applicazione della nuova norma ed interessa in particolare le aziende di piccole e medie dimensioni che, di regola, limitano i dati sensibili trattati con strumenti informatici proprio alle categorie richiamate dalla norma stessa.
Tali aziende potranno quindi valutare se continuare a redigere e tenere aggiornato un proprio Documento Programmatico sulla Sicurezza ovvero avvalersi della nuova disposizione.
Si raccomanda di verificare con attenzione se il trattamento di dati sensibili non avvenga oltre l’ambito indicato dalla norma (il che potrebbe, ad esempio, verificarsi se l’azienda gestisse in modo informatico i curricula dei candidati ad un’assunzione, anche con riferimento agli eventuali dati sensibili in essi contenuti, o comunque, in ogni caso, trattasse dati sensibili ulteriori rispetto a quelli previsti dalla norma in commento, oppure dati giudiziari).
Si evidenzia che con la dichiarazione si attesta anche che il trattamento degli unici dati sensibili utilizzati è stato effettuato in osservanza della misure di sicurezza previste dal Codice della privacy (non solo quindi le misure “minime” previste dall’art. 33, ma anche quelle “adeguate” previste dall’art. 31).
Si richiama l’attenzione sul fatto che, nel caso in cui venissero rese con l’autocertificazione dichiarazioni non rispondenti al vero, si incorre nella sanzione penale prevista dall’art. 483 del Codice penale per il falso ideologico in atto pubblico, con pena della reclusione fino a due anni.
Adeguamento del Disciplinare Tecnico relativo alle misure minime di sicurezza
Il comma 1-bis all’art. 34 del Codice della privacy è stato inoltre modificato (rispetto alle versione originaria disposta dal decreto legge), prevedendo che in relazione ai trattamenti nello stesso richiamati nonché a trattamenti effettuati per correnti finalità amministrative e contabili – in particolare presso piccole e medie imprese, liberi professionisti e artigiani – il Garante per la privacy, sentito il Ministro per la semplificazione normativa, individui con proprio provvedimento modalità semplificate di applicazione delle misure di sicurezza contenute nel disciplinare tecnico allegato A al Codice della privacy.
In sede di prima applicazione, il provvedimento verrà adottato entro due mesi dall’entrata in vigore della legge di conversione del decreto, vale a dire entro il prossimo 22 ottobre, e sarà poi soggetto a periodiche revisioni.
Modalità per la notificazione
L’art. 29 del D.L. n. 112, convertito dalla legge n. 133/2008 modifica, inoltre, la norma del Codice della privacy dedicata alla notificazione all’Autorità garante, ridefinendo e riducendo le informazioni che il titolare è tenuto a fornire al Garante medesimo in tale occasione.
Sostituendo il comma 2° dell’articolo 38 del Codice della privacy, la notificazione sarà validamente effettuata se trasmessa attraverso il sito dell’Autorità Garante, utilizzando l’apposito modello, fornendo le seguenti informazioni:
1) coordinate identificative del titolare del trattamento ed, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato;
2) finalità del trattamento;
3) descrizione delle categorie di persone interessate e delle categorie di dati loro relativi;
4) destinatari o categorie di destinatari a cui i dati possono essere comunicati;
5) trasferimenti di dati previsti verso Paesi terzi;
6) descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
La nuova disposizione non fa più alcun riferimento all’obbligo di apposizione della firma digitale sulla notifica: pertanto, in base al 5° comma dello stesso art. 38, il Garante potrà definire nuove modalità di autenticazione del dichiarante (ad es. mediante user id e password). La disposizione non è, però, da subito operativa, essendo stati concessi all’Autorità garante due mesi (dall’entrata in vigore della legge di conversione) per aggiornare il modello previsto ai fini della notificazione.
Ricordiamo che l’obbligo di notificazione del trattamento disposto dall’art. 27 del Codice della privacy sussiste solo relativamente a specifiche categorie di dati ivi elencati e comunque nei limiti delle precisazioni fornite al riguardo dall’Autorità garante con propri provvedimenti (per i quali rimandiamo alle nostre precedenti notizie).
Trasferimento di dati al di fuori dell’UE
Con la conversione del decreto legge si è proceduto anche ad una parziale modifica dell’art. 44 del Codice della privacy in tema di trasferimento di dati all’estero presso Paesi non appartenenti all’UE. Fermo restando che le previsioni contenute in detto articolo appaiono residuali rispetto ai casi di trasferimento consentito presi in considerazione dall’art. 43 che lo precede (consenso dell’interessato, adempimenti ad obblighi contrattuali di cui l’interessato è parte, per la salvaguardia in un interesse pubblico rilevante, etc.), l’art. 44 del Codice della privacy dispone che il trasferimento dei dati in Paesi al di fuori dell’Unione Europea possa avvenire se autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato individuate dallo stesso Garante anche con riferimento ad uno specifico contratto che le preveda oppure (nuova previsione inserita appunto in sede di conversione del D.L. n. 112 del 2008), mediante regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo.
La norma sembra dettata principalmente per il trasferimento di dati nell’ambito di società multinazionali operanti in più Paesi.
Documenti correlati
- Legge_133_6_Agosto_2008.pdfAccedi per scaricare
News correlate
Osservatorio sicurezza sul lavoro e ambiente
Visita la nostra pagina facebook
Osservatorio sicurezza sul lavoro e ambiente
di VEGA Engineering
Iscriviti alla nostra
Newsletter
Notizie, Modulistica e Linee Guida gratuite per rimanere sempre aggiornato sulle novità legislative e normative