Decreto Monti e Privacy: quale rivoluzione?

Con la pubblicazione in Gazzetta Ufficiale il 6 dicembre 2011, il Decreto Monti (DL 201/2011) è entrato in vigore. Quali, dunque, le novità introdotte nel Codice Privacy dal suo Art. 40?

Diciamo una, una sola novità, ma di portata copernicana: le informazioni relative a persone giuridiche, enti o associazioni non sono più dati personali, ergo non sono più meritevoli di protezione secondo il DLgs 196/2003.

Attraverso la limitazione della definizione di dato personale che ora coinvolge solo ed esclusivamente persone fisiche, l’Italia si riallinea alla normativa della maggior parti dei Paesi dell’Unione Europea. 

Pertanto, da oggi in poi, quando si parla di “Interessato” ci si riferisce solo ad una persona fisica, unico soggetto cui l’ordinamento riconosce il sacrosanto diritto alla riservatezza e, quindi, unico soggetto che potrà esercitare i diritti previsti dall’Art. 7 del Codice Privacy (Diritto di accesso ai dati personali ed altri diritti), diritti che si sostanziano il quel diritto di partecipazione al trattamento perno dell’intero sistema privacy, ovvero il diritto:

  • di ottenere l’indicazione dell’origine dei dati personali, delle finalità e modalità del trattamento (…);
  • di ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati (…);
  • di opporsi, in tutto o in parte :
    • per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
    • al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Cosa cambia nella sostanza?

Nella pratica quotidiana, a parte il venir meno dell’obbligo di Informativa verso soggetti diversi da persone fisiche,  l’unica vera rivoluzione riguarda i trattamenti finalizzati all’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale  a mezzo fax, email, Mms, Sms, che ora sono completamente liberalizzati senza più necessità di alcun consenso preventivo del destinatario società, ente, pubblica amministrazione o associazione.

Quale l’obiettivo delle modifiche al Codice Privacy?

L’obiettivo è quello di escludere dalla protezione del  Codice Privacy le informazioni relative a persone giuridiche, enti e associazioni (imprese ed enti pubblici in primis), ma non quello di eliminare gli adempimenti per questi soggetti.

Come gestire la Privacy Compliance post Decreto Monti?

Se da una parte, ora, le imprese (ed enti ed associazioni) non dovranno più preoccuparsi della normativa privacy quando trattano dati di altre imprese (ed enti ed associazioni), dall’altra parte dovranno continuare a realizzare tutti gli altri adempimenti quando trattano informazioni relative a persone fisiche, tra le quali: i propri dipendenti e collaboratori, fornitori, clienti…

In pratica, dovranno continuare ad adottare tutte le misure minime e necessarie di sicurezza previste dal DLgs 196/2003 e successivi Provvedimenti del Garante (presidiate da sanzioni sia di carattere amministrativo che penale), tra cui:

  • Redazione idonee Informative (Art. 13 DLgs 196/2003)
    • Informative Dipendenti e Collaboratori
    • Informative Clienti, Fornitori, Potenziali Clienti, Terzi
    • Informative utenti sito web
    • Informativa Candidati all’assunzione
    • Privacy Policy sito web.
  • Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003)
    • Redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa
    • Redazione lettere d’incarico per ciascun incaricato al trattamento dati personali
  • Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29  DLgs 196/2003)
    • Redazione lettera di nomina per ciascun Responsabile al trattamento dati personali
    • Analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda
    • Analisi dei flussi di dati intra ed extra Unione Europea
    • Individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
  • Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007)
    • Redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica
    • Procedura sindacale prevista dall’Art 4 L. 300/70 (Statuto Lavoratori) per l’adozione del Disciplinare
  • Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008)
    • Adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy
    • Adozione idoneo software.
  • Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010)
    • Adempimenti procedurali
    • Adozione delle nuove misure necessarie di sicurezza.
  • Gestione Privacy Policy sito web, Newsletter e Servizi interattivi
    • Procedure di gestione dati personali utenti sito web
    • Procedure di attivazione e gestione servizio Newsletter
    • Procedure di attivazione e accesso aree riservate
  • Documento Programmatico sulla Sicurezza (DPS)
    • Redazione/aggiornamento DPS in forma ordinaria/semplificata oppure autocertificazione sostitutiva,
  • Formazione del Personale

In conclusione

Il Decreto Monti ha apportato la prima vera ventata di semplificazione e razionalizzazione al nostro sistema privacy ricollocando al centro di procedure, adempimenti e misure di sicurezza l’individuo, unico soggetto degno destinatario di quella previsione così semplice e, al tempo stesso, dirompente contenuta nell’articolo di esordio del Codice privacy: 
“Chiunque ha diritto alla protezione dei dati personali che lo riguardano.”
Annunci