L’articolo 6 del D.L. n.70/11 ridimensiona l’ambito di applicazione del Codice della Privacy, prevedendo che il trattamento dei dati personali, sensibili e giudiziari effettuato nell’ambito di rapporti intercorrenti tra persone giuridiche, imprese, enti o associazioni per le finalità amministrativo-contabili non sia più soggetto all’applicazione delle norme di cui al D.Lgs. n.196/03. Vediamo nel dettaglio quali sono le semplificazioni attuate.
| Informativa sul trattamento dei dati personali e richiesta del consenso |
La prima importante semplificazione riguarda il rilascio dell’informativa e la richiesta del consenso nel caso di trattamento di dati personali al solo fine amministrativo-contabile (generalmente la gestione ordinaria della documentazione contabile dell’impresa, con i vari rapporti con clienti, fornitori, banche, ecc.). Se i dati personali vengono trattati esclusivamente per tali finalità non sono più necessari il rilascio dell’informativa e la richiesta del consenso.
| Viene introdotto il co.1-ter dell’art.34 del D.Lgs. n.196/03, prevedendo che i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi all’adempimento degli obblighi contrattuali, alla gestione dei rapporti di lavoro, alla tenuta della contabilità e all’applicazione delle norme di carattere fiscale, sindacale, previdenziale-assistenziale, di salute e di igiene e sicurezza del lavoro. |
| Esonero dall’obbligo di predisposizione del Documento Programmatico sulla Sicurezza |
Attualmente l’obbligo di predisposizione annuale del Documento Programmatico sulla Sicurezza (da aggiornare entro il 31 marzo di ogni anno) riguarda i titolari del trattamento di dati personali sensibili o giudiziari effettuato con l’ausilio di strumenti elettronici.
Il precedente testo dell’art.34, co.1-bis del D.Lgs. n.196/03 prevedeva fino ad oggi l’esclusione da tale obbligo per:
Æ i titolari del trattamento di dati personali comuni (cioè non sensibili o giudiziari);
Æ i titolari del trattamento di dati sensibili, laddove gli unici dati di questo tipo trattati siano quelli inerenti lo stato di salute o malattia dei dipendenti o collaboratori, senza indicazione della relativa diagnosi, ovvero l’adesione ad organizzazioni sindacali.
In tali casi, per non redigere il D.P.S. era sufficiente autocertificare di trattare i dati personali in osservanza delle altre misure di sicurezza prescritte.
Il D.L. n.70/11 sostituisce integralmente il testo dell’art.34, co.1-bis del D.Lgs. n.196/03. Il nuovo testo amplia le casistiche di dati personali trattati per fruire dell’esclusione dall’obbligo di redazione del D.P.S.: “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano quali unici dati sensibili e giudiziari quelli relativi ai propri dipendenti o collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato D.P.S. è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal Codice e dal disciplinare tecnico contenuto nell’allegato B.” Il testo precedente era più restrittivo, in quanto limitava l’esclusione ai dati di salute o sindacali: dal 14 maggio 2011, data di entrata in vigore del D.L. n.70/11, il trattamento di qualsiasi tipo di dato sensibile o giudiziario inerente i rapporti di lavoro è compatibile con la semplice sottoscrizione della autocertificazione sostitutiva del D.P.S.. In relazione a tali trattamenti di dati personali esclusi dall’obbligo di redazione e aggiornamento periodico del D.P.S. è, inoltre, prevista l’emanazione di un provvedimento che stabilirà modalità semplificate di adozione delle misure di sicurezza previste dall’allegato B del D.Lgs. n.196/03.
| AUTOCERTIFICAZIONE SOSTITUTIVA D.P.S. |
| Ai sensi degli artt. 34 co.1-bis D.Lgs. n.196/03 e 47 D.P.R. n.445/00 |
| Il sottoscritto ………………………., nato a …………….., in data …………….., C.F. ………….……..……, |
| in qualità di Legale rappresentante della società ………………. con sede in …………………………….., C.F. ………………….. P. Iva …………………………, |
| consapevole che il rilascio di false dichiarazioni ad un pubblico ufficiale o la presentazione di false |
| documentazioni sono punibili a termine degli artt. 495 e 496 del Codice Penale, |
DICHIARA |
| Ai sensi dell’art.34, co.1-bis del D.Lgs. n.196/03 |
| ¨ di effettuare il trattamento di dati personali non sensibili; |
| ¨ che gli unici dati sensibili e giudiziari trattati sono quelli relativi ai propri dipendenti o collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti; |
| I dati di cui sopra sono trattati in osservanza delle misure di sicurezza prescritte dal D.Lgs. n.196/03 e dall’Allegato B) allo stesso. |
| ……………, lì…………… Il Titolare del trattamento ………………………………………. |
