Il Decreto Semplificazioni varato dal CDM il 27 dicembre ha ridotto gli oneri in materia di privacy modificando, come descritto nei dettagli che seguono, il DLgs 196/2003 (Codice in materia di protezione dei dati personali).
a) All’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile” (*);
b) all’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.(**);
c) il comma 3-bis dell’articolo 5 è abrogato.(***);
d) al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.(****);
e) la lettera h) del comma 1 dell’articolo 43 è soppressa(*****).
Prima, rilevante novità è che l’obbligo dell’osservanza del Codice della privacy non spetta più alle imprese, agli enti, alle associazionia condizione che tali soggetti trattino dati personali nell’ambito di rapporti intercorrenti tra di loro e che il trattamento venga effettuato per finalità organizzative, gestionali, amministrative e contabili realizzate al proprio interno oppure in relazione agli adempimenti “esterni” (si pensi ai contratti).
Conseguenza di maggior rilievo è il venir meno dell’obbligo da parte delle aziende dell’elaborazione e dell’aggiornamento del Documento programmatico di sicurezza (DPS), in quanto, secondo il Consiglio dei Ministri, il documento, “oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento meramente superfluo”. Va ricordato che, entro il 31 marzo di ogni anno, era fatto obbligo dell’adozione o dell’aggiornamento del DPS o delle misure semplificate (autocertificazione). I contenuti del documento erano previsti dal Disciplinare tecnico in materia di misure minime di sicurezza (All.B).
Caduto l’obbligo dell’elaborazione e tenuta del DPS, le aziende devono tuttavia osservare le prescrizioni dell’art. 34 del Codice privacy e dell’All. B. In particolare, si dovrà tenere conto che “il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) Autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.”
Gli adempimenti sono posti a carico del Responsabile della sicurezza informatica, sia esso interno oppure esterno all’azienda. A tale proposito, il punto 25 dell’All. B, recita: “ Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del …. disciplinare tecnico”.
Continua anche l’obbligo relativo alla nomina degli incaricati del trattamento dei dati (e alla loro formazione) e alle informative.
* “Art. 4.Definizioni – 1. Ai fini del presente codice si intende per: b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
** i)”interessato”, la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali;
*** 3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili ….. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro), non è soggetto all’applicazione del presente codice.
**** Art. 9. Modalità di esercizio – 4. L’identità dell’interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell’interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell’interessato. Se l’interessato è una persona giuridica, un ente o un’associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.
***** Art. 43. Trasferimenti consentiti in Paesi terzi: h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.
Sul decreto semplificazioni leggi anche: ASL e DTL, competenze distinte per le lavoratrici madri in astensione anticipata.
Sulla privacy leggi anche:
Imprese, enti e associazioni non più soggetti a Codice privacy?
Come va conservata la documentazione sulla sicurezza?
Garante della privacy e videosorveglianza.