Speciale Aggiornamento Privacy 2014

Chi deve aggiornare il Modello Privacy?

Tutti i Titolari di trattamento devono, almeno una volta all’anno, aggiornare il Modello Privacy adottato.

 

A chi si applica il Codice Privacy (DLgs 196/2003)?

 

Il Codice si applica a tutti i soggetti che effettuano trattamenti di dati personali individuati in base al Principio di stabilimento del soggetto o degli strumenti del trattamento.

Per la precisione, l’Art.  5 del Codice dispone che è soggetto alla disciplina del DLgs 196/2003:

• chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato,
• chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea.

Come adempiere l’obbligo di aggiornamento?

Gli adempimenti finalizzati all’aggiornamento annuale del Sistema privacy aziendale sono previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.

Almeno annualmente, ogni Titolare deve:

• Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
• Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
• Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
• Programmare gli interventi formativi;
• Aggiornare le Informative complete: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

 

Il Nostro Documento: APA2014 (Aggiornamento Privacy Annuale)

Studio Mazzolari, dopo l’abolizione del DPS, ha messo a punto un nuovo Documento denominato APA, acronimo di Aggiornamento Privacy Annuale, al fine di garantire la compliance dei propri Clienti alla normativa di riferimento. 

L’APA, da conservare nel Fascicolo Privacy Aziendale, è così suddiviso:

1. Elenco dai trattamenti effettuati
2. Mansionario Privacy
3. Incaricati e trattamenti effettuati
4. Archivi e Database di riferimento
5. Incaricati alla custodia degli Archivi ad accesso controllato
6. Incaricati e archivi/database di accesso
7. Responsabili del trattamento
8. Verifica dell’attività degli Amministratori di Sistema
9. Verifica dell’aggiornamento della Privacy policy online
10. Programmazione degli Interventi formativi.

Scarica il nostro Modello APA2014

 

 

45.478085 9.184919

Il Modello di APA per il 2012 – Aggiornamento Privacy Annuale

Eliminato l’obbligo di redazione del DPS, possiamo adempiere all’obbligo di aggiornamento annuale del Sistema privacy aziendale attraverso un documento denominato APA, ovvero: Aggiornamento Privacy Annuale.

In calce al presente Post, Studio Mazzolari è lieto di fornire un Modello/Facsimile dell’APA2012 liberamente scaricabile ed utilizzabile.

Cos’è l’APA?

L’obbligo da parte dei Titolari di trattamento di metter mano ed aggiornare il proprio Sistema Privacy è previsto dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza). L’APA è un documento che consente di verificare la conformità delle procedure aziendali alle caratteristiche richieste dal DLgs 196/2003 e successivi Provvedimenti del Garante oltre che a verificarne l’applicazione.

Chi deve redigere l’APA?

L’Aggiornamento Privacy Annuale è adempimento obbligatorio che tutti i Titolari di trattamento devono effettuare.

A chi va inviato l’APA?

A nessuno. L’APA va conservato nel Fascicolo Privacy Aziendale presso il Responsabile del Trattamento.

Entro quando va redatto l’APA?

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, Studio Mazzolari mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo.

A tutti buona vita.

Scarica il Modello di APA2012

45.478085 9.184919

DPS addio, benvenuto APA

Eliminato l’obbligo di redazione del DPS, si pone il problema di come adempiere agli obblighi di aggiornamento annuale del Sistema privacy aziendale previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.

Vediamo anzitutto quali sono questi obblighi.

Almeno annualmente, ogni Titolare deve:

• Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
• Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
• Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
• Programmare gli interventi formativi;
• Aggiornare l’Informativa completa: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

L’APA (Aggiornamento Privacy Annuale)

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, il nostro Studio mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo attraverso un documento denominato APA, acronimo di Aggiornamento Privacy Annuale.

 L’APA, da conservare nel Fascicolo privacy aziendale, è così suddiviso:

1. Elenco dai trattamenti effettuati
2. Mansionario Privacy
3. Incaricati e trattamenti effettuati
4. Archivi e Database di riferimento
5. Incaricati alla custodia degli Archivi ad accesso controllato
6. Incaricati e archivi/database di accesso
7. Responsabili del trattamento
8. Verifica dell’attività degli Amministratori di Sistema
9. Verifica dell’aggiornamento della Privacy policy online
10. Programmazione degli Interventi formativi.

Ancora una volta ricordiamo che il DPS era una semplice fotografia ufficiale del Sistema privacy aziendale che va, comunque,  adeguato alla normativa di riferimento, ovvero:

• Decreto Legislativo 196/2003 (Codice in materia di Protezione dei Dati Personali);
• Allegato B al DLgs 196/2003: Disciplinare Tecnico in materia di Misure Minime di Sicurezza;
• Provvedimenti del Garante ex artt. 143 e 154, comma 1,  lett. c) DLgs 196/2003.

45.478085 9.184919

Cancellato il DPS, cosa rimane?

27 gennaio 2012 – Il Decreto Semplificazioni del Governo Monti ha eliminato l’obbligo di redazione (e, quindi, aggiornamento) del DPS (Documento Programmatico sulla Sicurezza).

L’art. 47 del Decreto Semplificazioni mette mano (per l’ennesima volta in pochi mesi) al DLgs 196/2003 (Codice Privacy) e al suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (sia in forma ordinaria che abbreviata).

Per meglio comprendere che cosa rimane dopo questa brutale rimozione (in controtendenza, fra l’altro, con le prospettive privacy dell’Unione Europea. Al riguardo v. Unione Europea: la privacy che verrà) mettiamo a fuoco quello che era il DPS.

Il DPS come fotografia degli obblighi privacy aziendali

Il DPS altro non era che la fotografia ufficiale di ciò che l’azienda aveva fatto in termini di privacy. In altre parole riassumeva tutte le procedure e misure di sicurezza messe a regime dal Titolare del trattamento.

Procedure e misure la cui cogenza non è stata certo messa in discussione dal Decreto Semplificazioni.

Quando incontro i miei Clienti che, fino all’altro ieri, avevano come unica preoccupazione la redazione/aggiornamento del DPS, passavo i primi quindici minuti a spiegar loro che, per metter mano al DPS, bisognava prima occuparsi della compliance aziendale al DLgs 196/2003, e, quindi, come ultimo e meno impegnativo step, creare o integrare tabelline, schemi ed elenchi vari nel DPS.

Cosa rimane, dunque?

Eliminato il DPS,  rimane la parte più seria e impegnativa degli obblighi privacy, quella sempre presidiata da sanzioni sia di carattere amministrativo che penale, ovvero:

• Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web.
• Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali.
• Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29  DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
• Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica.
• Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy.
• Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010).
• Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate.
• Formazione del Personale.

Quali aggiornamenti annuali rimangono obbligatori?

DPS a parte, ogni Titolare del trattamento deve, almeno annualmente:

• Aggiornare il Sistema Privacy alla luce delle modifiche alla normativa di riferimento
• Verificare l’attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
• Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
• Aggiornare il mansionario Privacy e le attività svolte in outsourcing (Incaricati e Responsabili del trattamento).

In conclusione

• Bene Monti: ha eliminato l’adempimento privacy più formale e sostanzialmente inutile nella sua ridondanza;
• Ma la Privacy non è il DPS: tutti noi Consulenti dobbiamo rivedere le nostre strategie di comunicazione per far arrivare nella maniera più chiara e onesta possibile a tutti i Titolari di trattamento che:

 la Privacy NON è il DPS

45.478085 9.184919

Unione Europea: la Privacy che verrà

Il 25 gennaio, la signora Viviane Reding, vicepresidente della Commissione europea, ha presentato la Privacy che verrà all’interno dell’Unione Europea entro la fine del 2014.

Gli aspetti chiave del Progetto di Regolamento sono:

Più diritti per gli Interessati

• Ogni volta che è previsto il consenso per il trattamento, questo dovrà essere fornito espressamente, piuttosto che presunto.
• Gli Interessati avranno un “diritto alla portabilità dei dati“, che consentirà loro di trasferire i dati personali da un fornitore di servizi ad un altro più facilmente.
• Agli Interessati sarà riconosciuto un “diritto all’oblio“, che permetterà loro di ottenere la cancellazione dei dati presenti online se non vi sono motivi legittimi per il loro mantenimento (salvo eccezioni).
• Gli Interessati potranno rivolgersi al Garante Privacy del proprio Paese di residenza, anche quando i loro dati sono trattati da una società con sede al di fuori dell’UE.

Maggiori obblighi e responsabilità per i Titolari di trattamento

• Ai Titolari  sarò richiesto di realizzare un vero e proprio Privacy Impact Assessment (una versione evoluta dell’attuale DPS);
• I Titolari saranno tenuti a comunicare all’autorità di controllo nazionale le violazioni alla sicurezza dei dati, se possibile entro 24 ore, e se la violazione possa ripercuotersi negativamente sulla tutela dei dati personali o la vita privata degli Interessati;  il Titolare sarà, inoltre, tenuto a comunicare la violazione di dati personali agli interessati, senza ritardo.
• I Titolari di trattamento avranno  a che fare con una singola autorità nazionale di protezione dei dati nel paese dell’UE in cui hanno la sede principale.

Sanzioni inasprite

• Per violazione della normativa sul trattamento dei dati personali, i Titolari saranno esposti a sanzioni fino a € 1 milioni di euro o al 2% del fatturato globale annuo della Società.

Il nuovo Regolamento Privacy entrerà in vigore due anni dopo la sua adozione, verosimilmente entro la fine del 2014.

45.478085 9.184919

Privacy e 31 marzo: istruzioni per l’uso

Con gennaio che volge al termine, iniziamo il nostro consueto avvicinamento alla più importante scadenza privacy dell’anno fissata nella data del 31 marzo.

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve metter mano ai Sistema Privacy adottato e realizzare i seguenti adempimenti:

• Aggiornamento del Sistema Privacy alla luce delle modifiche alla normativa di riferimento
• Aggiornamento del DPS
• Redazione della nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
• Verifica delle attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
• Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
• Aggiornamento del mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili del trattamento)
• Programmazione degli interventi formativi.

Nei prossimi Post affronteremo ciascuno dei sopra indicati Punti segnalando soluzioni concrete e, ove possibile, proponendo facsimili documentali.

45.478085 9.184919

Decreto Monti e Privacy: quale rivoluzione?

Con la pubblicazione in Gazzetta Ufficiale il 6 dicembre 2011, il Decreto Monti (DL 201/2011) è entrato in vigore. Quali, dunque, le novità introdotte nel Codice Privacy dal suo Art. 40?

Diciamo una, una sola novità, ma di portata copernicana: le informazioni relative a persone giuridiche, enti o associazioni non sono più dati personali, ergo non sono più meritevoli di protezione secondo il DLgs 196/2003.

Attraverso la limitazione della definizione di dato personale che ora coinvolge solo ed esclusivamente persone fisiche, l’Italia si riallinea alla normativa della maggior parti dei Paesi dell’Unione Europea. 

Pertanto, da oggi in poi, quando si parla di “Interessato” ci si riferisce solo ad una persona fisica, unico soggetto cui l’ordinamento riconosce il sacrosanto diritto alla riservatezza e, quindi, unico soggetto che potrà esercitare i diritti previsti dall’Art. 7 del Codice Privacy (Diritto di accesso ai dati personali ed altri diritti), diritti che si sostanziano il quel diritto di partecipazione al trattamento perno dell’intero sistema privacy, ovvero il diritto:

• di ottenere l’indicazione dell’origine dei dati personali, delle finalità e modalità del trattamento (…);
• di ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati (…);
• di opporsi, in tutto o in parte :
• per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
• al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Cosa cambia nella sostanza?

Nella pratica quotidiana, a parte il venir meno dell’obbligo di Informativa verso soggetti diversi da persone fisiche,  l’unica vera rivoluzione riguarda i trattamenti finalizzati all’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale  a mezzo fax, email, Mms, Sms, che ora sono completamente liberalizzati senza più necessità di alcun consenso preventivo del destinatario società, ente, pubblica amministrazione o associazione.

Quale l’obiettivo delle modifiche al Codice Privacy?

L’obiettivo è quello di escludere dalla protezione del  Codice Privacy le informazioni relative a persone giuridiche, enti e associazioni (imprese ed enti pubblici in primis), ma non quello di eliminare gli adempimenti per questi soggetti.

Come gestire la Privacy Compliance post Decreto Monti?

Se da una parte, ora, le imprese (ed enti ed associazioni) non dovranno più preoccuparsi della normativa privacy quando trattano dati di altre imprese (ed enti ed associazioni), dall’altra parte dovranno continuare a realizzare tutti gli altri adempimenti quando trattano informazioni relative a persone fisiche, tra le quali: i propri dipendenti e collaboratori, fornitori, clienti…

In pratica, dovranno continuare ad adottare tutte le misure minime e necessarie di sicurezza previste dal DLgs 196/2003 e successivi Provvedimenti del Garante (presidiate da sanzioni sia di carattere amministrativo che penale), tra cui:

• Redazione idonee Informative (Art. 13 DLgs 196/2003)
• Informative Dipendenti e Collaboratori
• Informative Clienti, Fornitori, Potenziali Clienti, Terzi
• Informative utenti sito web
• Informativa Candidati all’assunzione
• Privacy Policy sito web.
• Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003)
• Redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa
• Redazione lettere d’incarico per ciascun incaricato al trattamento dati personali
• Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29  DLgs 196/2003)
• Redazione lettera di nomina per ciascun Responsabile al trattamento dati personali
• Analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda
• Analisi dei flussi di dati intra ed extra Unione Europea
• Individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
• Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007)
• Redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica
• Procedura sindacale prevista dall’Art 4 L. 300/70 (Statuto Lavoratori) per l’adozione del Disciplinare
• Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008)
• Adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy
• Adozione idoneo software.
• Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010)
• Adempimenti procedurali
• Adozione delle nuove misure necessarie di sicurezza.
• Gestione Privacy Policy sito web, Newsletter e Servizi interattivi
• Procedure di gestione dati personali utenti sito web
• Procedure di attivazione e gestione servizio Newsletter
• Procedure di attivazione e accesso aree riservate
• Documento Programmatico sulla Sicurezza (DPS)
• Redazione/aggiornamento DPS in forma ordinaria/semplificata oppure autocertificazione sostitutiva,
• Formazione del Personale

In conclusione

Il Decreto Monti ha apportato la prima vera ventata di semplificazione e razionalizzazione al nostro sistema privacy ricollocando al centro di procedure, adempimenti e misure di sicurezza l’individuo, unico soggetto degno destinatario di quella previsione così semplice e, al tempo stesso, dirompente contenuta nell’articolo di esordio del Codice privacy: 

“Chiunque ha diritto alla protezione dei dati personali che lo riguardano.”

45.478085 9.184919

Intermediari Entratel: al via i controlli Privacy

Il Settore Compliance Audit dell’Agenzia delle Entrate comunica a tutti gli Intermediari Entratel nuovi e articolati controlli previsti per il secondo semestre del 2011 sul rispetto del Codice Privacy

Nel secondo semestre del 2011, l’Agenzia delle entrate avvierà nuovi e più articolati controlli sul rispetto degli obblighi di riservatezza cui sono tenuti gli incaricati della trasmissione delle dichiarazioni.

I controlli saranno effettuati nel corso degli ordinari interventi di vigilanza, svolti dalle strutture di audit regionali presso CAF e altri intermediari adibiti al canale Entratel.

Oggetto dell’attività di verifica

Le operazioni di verifica saranno volte a controllare che gli intermediari abbiano adottato le cautele necessarie a proteggere i dati personali e sensibili di cui vengono a conoscenza ai fini dello svolgimento della propria attività, secondo quanto previsto da:

• DLgs 196/2003 (Codice Privacy);
• Art.11 Decreto del Ministero delle Finanze 31 Luglio 1998;
• Art. 5 Provvedimento del Direttore Generale dell’Agenzia delle Entrate 10 giugno 2009.

Esito dei controlli

Secondo quanto previsto dall’art.8 del Decreto 31 Luglio 1998, il mancato rispetto degli obblighi di riservatezza costituisce causa di revoca dell’abilitazione al canale Entratel.

Pertanto, in caso di accertameno del mancato rispetto degli obblighi privacy, l’Intermediario potrà essere soggetto a:

• sanzioni amministrative comprese tra  € 8000 e € 1.200.000
• sanzioni penali (reclusione fino a 3 anni)
• revoca dell’abilitazione all’invio telematico.

 

Scarica il Comunicato dell’Agenzia delle Entrate.

45.478085 9.184919

Privacy: Nuove Semplificazione per le Imprese

Nuove misure di semplificazione in arrivo col Decreto Legge n. 138  (Decreto Sviluppo) approvato dal  Consiglio dei Ministri il 5 maggio scorso ed ora in attesa di pubblicazione sulla  Gazzetta Ufficiale.

Vediamo che cosa cambia nel panorama degli adempimenti privacy, riservandoci nei prossimi Post  di approfondire dettagli e conseguenze delle modifiche al dettato del DLgs 196/2003 (Codice  Privacy)

Estensione dell’esonero dalla redazione del DPS

Viene estesa la possibilità di ricorrere all’Autocertificazione al posto del DPS anche ai Titolari che trattano dati sensibili tout court dei propri dipendenti e relativi coniugi e parenti (anche, quindi, dati relativi allo stato di salute o malattia con indicazione della relativa diagnosi):

“Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B) (…)”

Rapporti tra Imprese

All’Art. 5 DLgs 196/2003 è aggiunto il seguente comma:


“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”

Il Nuovo comma 1-ter dell’Art. 34 DLgs 196/2003, definisce i trattamenti effettuati per finalità amministrativo – contabili come quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”;

Viene, di fatto, ridimensionato l’ambito di applicazione del Codice Privacy (DLgs 196/2003) stabilendo che “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

Diretta conseguenza della modifica normativa è, ad esempio, il venire meno dell’obbligo di informative e/o richieste di consenso nei rapporti tra persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili.

Gruppi di Imprese e Società controllate o collegate

Permane l’obbligo di Informativa all’Interessato ma viene esclusa la necessità del consenso in caso di “comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;


Gestione dei Curricula

Nel caso di invio spontaneo di CV:

• viene esclusa la necessità del consenso al trattamento (anche per eventuali dati sensibili) da parte dell’Interessato
• il Titolare ricevente può fornire l’Informativa al momento del primo contatto con il Candidato all’assunzione, anche oralmente.

All’Art. 13, è infatti aggiunto il comma 5-bis: “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”;


Marketing

Una delle più rilevanti novità contenute nel Decreto Sviluppo in materia di privacy, concerne, proprio, la nuova disciplina sul marketing “cartaceo” utilizzando gli indirizzi degli abbonati presenti in elenchi pubblici sia  cartacei o elettronici.

La modifica del comma 3-bis dell’Art. 130 DLgs 196/2003 estende, infatti, anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio di marketing telefonico.

Pertanto: gli operatori di marketing diretto potranno utilizzare anche gli indirizzi postali degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito e gestito dalla Fondazione Ugo Bordoni.

45.478085 9.184919

Formazione Privacy Obbligatoria?

 A scanso di equivoci, rispondiamo subito: si.

E dove sta scritto?

• Esplicitamente: al Punto 19.6 del Disciplinare Tecnico in Materia di Misure Minime di Sicurezza (Allegato B al Codice Privacy), rivolto a tutti coloro che sono obbligati a  redigere il DPS. 
• Implicitamente: in termini sia di generale misura di sicurezza (art. 31) che di particolare misura minima di sicurezza (art. 33, 34 e 35). 

Quali i rischi?

In caso di mancata formazione del personale incaricato del trattamento, il Titolare si espone al rischio di sanzioni:

• amministrative, da € 10.000 a € 120.000 
• penali: arresto sino a due anni.

Inoltre: il rischio del risarcimento danni cagionati a terzi

Il Titolare di trattamento che non adempie all’obbligo formativo può inoltre vedersi costretto anche a rispondere per gli eventuali danni cagionati a terzi per effetto delle operazioni di trattamento per il semplice fatto di non aver adottato tutte le misure di sicurezza idonee a ridurre al minimo il rischio.

L’Art. 15 Codice Privacy dispone che: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.” che, tradotto, significa elevare l’attività di trattamento dati al rango di attività pericolosa.

Il Titolare che cagioni danno ad altri per effetto del trattamento di dati personali sarà “…tenuto al risarcimento se non prova di aver adottato tutte le misure idonee a evitare il danno”, tra le quali misure idonee, ovviamente, è inclusa la formazione privacy.

Per ottenere il risarcimento, l’Interessato dovrà soltanto dimostrare che:

• il danno si è realizzato
• il danno è dipeso dall’attività di trattamento posta in essere sotto il controllo del Titolare.

Il Titolare, quindi, per liberarsi della responsabilità, sarà costretto a dimostrare di avere adottato tutte le misure possibili per impedire l’evento dannoso, ovvero che che tra l’attività di trattamento e l’evento dannoso non vi è un nesso di causalità.

La Formazione privacy come tutela del Titolare

Se il danno deriva da negligenza o errore imputabile ad un Incaricato del trattamento, il Titolare potrà rivalersi su di essi se proverà di aver adottato tutte le cautele del caso, ed in particolare di aver effettuato una corretta formazione privacy mirata a rendere edotti gli Incaricati circa:

• i rischi che incombono sui dati,
• le  misure disponibili per prevenire eventi dannosi,
• i  profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività,
• le responsabilità che ne derivano
• le  modalità per aggiornarsi sulle misure minime adottate dal titolare.

In conclusione: il Titolare che abbia effettuato una corretta formazione privacy, oltre ad applicare le sanzioni disciplinari previste (art. 2106 c.c.) potrà rivalersi sui lavoratori per inadempimento contrattuale richiedendo il risarcimento dei danni subiti.

45.478085 9.184919