Siete qui: Oggi sulla stampa
Oggi sulla stampa

Privacy, il carico si alleggerisce

 di Antonio Ciccia  

Per l'ordinaria attività amministrativa e contabile il documento programmatico sulla sicurezza è sostituito da una autocertificazione. Inoltre le aziende possono conservare i curriculum degli aspiranti collaboratori e i dati delle persone giuridiche finiscono fuori dal campo di applicazione del codice della privacy (dlgs 196/2003). Sono queste le novità del decreto sviluppo, che vuole ridurre l'impatto degli adempimenti burocratici per imprese e professionisti.

In primo luogo si prevede che le tutele relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini (e cioè delle persone fisiche): conseguentemente non trovano applicazione nei rapporti tra imprese; o meglio i dati delle persone giuridiche, imprese, enti e associazioni (quindi non solo, come ora previsto, i dati relativi alle attività economiche) possono essere trattati senza vincoli, sempre che si tratti di trattamenti per finalità amministrativo – contabili.

Questa semplificazione è, in realtà, una esenzione: non si applica il codice della privacy ai dati di persone giuridiche, imprese, enti o associazioni. Con questo ci si allinea ad altri ordinamenti europei.

Un ulteriore profilo riguarda il marketing cartaceo: vale il registro delle opposizioni per il marketing telefonico, per cui chi non è iscritto nel registro può ricevere proposte commerciali su carta.


Curriculum. Una semplificazione del decreto sviluppo riguarda i curricula ricevuti dalle imprese, professionisti ed enti. Il fenomeno è quello dell'invio spontaneo del curriculum, nel cui testo, magari al fondo, si legge una concisa e generica formula liberatoria per il trattamento dei dati. Molto spesso quella formula non ha un grosso rilievo, in quanto non libera l'azienda destinataria dagli adempimenti previsti dal codice della privacy e si tratta, comunque, di consensi non validamente espressi se non preceduti da una informativa. Peraltro l'interesse sostanziale del candidato è quello della possibilità di far conoscere i propri dati alle aziende, come è interesse delle aziende poter conservare le informazioni in previsione di future selezioni di personale. Questi obiettivi sono avallati dal decreto sviluppo, che semplifica le procedure. Attualmente bisogna dare l'informativa all'interessato e sussiste il problema del consenso per il caso di descrizione di dati sensibili. Il decreto esclude temporaneamente l'obbligo di dare l'informativa privacy (articolo 13 del dlgs 196/2003) per poter conservare il curriculum. Nel dettaglio si aggiunge un comma all'articolo 13 del codice della privacy e si prescrive che l'informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro.
Solo al momento successivo in cui ci sarà un primo contatto, successivamente, quindi, all'invio del curriculum, il titolare del trattamento (per esempio l'azienda che convoca l'interessato) sarà tenuto a fornire, anche durante il colloquio con il candidato, gli elementi dell'informativa: finalità e modalità del trattamento; soggetti che possono venire a conoscenza dei dati in quanto responsabili o incaricati del trattamento e ambito di diffusione dei dati; indicazione delle modalità per conoscere l'identità di tutti i responsabili del trattamento. Conseguentemente si inserisce un'apposita esclusione dell'obbligo del consenso per il trattamento dei dati dei curricula ricevuti (articolo 24 del codice della privacy). L'esonero dall'obbligo di consenso riguarda anche i dati sensibili contenuti nei curricula stessi (si introduce una apposita deroga all'interno dell'articolo 26 del codice della privacy).


Documento sicurezza. Possono fare una autocertificazione (senza obbligo di dps, documento programmatico sulla sicurezza) i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti. È la nuova versione dell'articolo 34, comma 1-bis, del codice della privacy, introdotta dal decreto sviluppo. Nella versione originaria la portata dell'articolo 34 era molto più restrittiva: ammetteva la semplificazione solo per coloro che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale. L'allargamento dell'agevolazione è rimarchevole: non si parla più solo di dati sanitari e sindacali, ma si parla ora di tutti i dati sensibili e giudiziari; nella versione vigente la platea degli interessati è ristretta a dipendenti e collaboratori, nella versione del decreto sviluppo, il trattamento di dati di coniugi e parenti del dipendente è compatibile con la semplificazione.
L'autocertificazione, resa dal titolare del trattamento, deve essere resa a pena di responsabilità penali (dpr 445/2000) e deve attestare il trattamento dei soli dati elencati in osservanza delle misure minime di sicurezza previste dal codice della privacy e dal disciplinare tecnico contenuto nell'allegato B). Inoltre il decreto sviluppo ribadisce che, in relazione ai trattamenti dei dati dei dipendenti, loro coniugi e parenti, e anche ai trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante può individuare con proprio provvedimento, semplificazioni per dps e misure minime. A questo proposito va ricordato che il Garante ha già introdotte alcune semplificazioni (provvedimento 27 novembre 2008) a favore di amministrazioni pubbliche e società private che utilizzano dati personali non sensibili o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali (la nuova disposizione del decreto sviluppo potrebbe comportare un aggiornamento anche dei presupposti del dps semplificato) e piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.

In base al provvedimento del Garante, i soggetti interessati, tra l'altro, possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente e devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese. Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici.

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Un passetto alla volta. Niente di clamoroso, ma abbastanza per arrivare all’11% tondo, dopo una se...

Oggi sulla stampa

Oggi sulla stampa

Non sempre il vino corrisponde al giudizio del venditore. Ma le cifre che giovedì Mediobanca — co...

Oggi sulla stampa

Oggi sulla stampa

Rush finale e già scontro sui nomi dei manager che dovranno guidare il Recovery plan e sui progetti...

Oggi sulla stampa