A seguito dell’entrata in vigore del Decreto 70/2011, convertito nella Legge n. 106 del 2011 recante “Semestre Europeo – Prime disposizioni urgenti per l’economia“, riportiamo nel seguito le importanti modifiche alla normativa in materia di privacy.

Le modifiche hanno l’obiettivo di riallineare la disciplina italiana della privacy alla Direttiva comunitaria di riferimento (Direttiva 95/46/CE “relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati”) e di ridurre così gli oneri burocratici imposti dal nostro legislatore, in particolare, sulle piccole e medie imprese.

Le principali modifiche trattate nelle pagine successive sono relative :

al campo di applicazione del Codice;
all’informativa al trattamento dei dati;
al trattamento dei dati senza consenso da parte dell’interessato;
all’abolizione del DPS in taluni casi sotto indicati;
alle comunicazioni indesiderate: ci si potrà opporre anche all’invio cartaceo.

Il comma 2 alla lett. a) dell’art. 6 della nuova Legge elenca le modifiche che sono apportate al codice privacy attualmente in vigore e precisamente:

l’art.5 del Codice della Privacy “Oggetto e campo di applicazione” è integrato con il comma 3-bis “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice“;

Viene in qualche modo ridimensionato l’ambito di applicazione del Codice Privacy (DLgs 196/2003) stabilendo che “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.

Diretta conseguenza della modifica normativa è, ad esempio, il venire meno dell’obbligo di informative e/o richieste di consenso nei rapporti tra persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili.

Non applicandosi più il Codice della privacy a questi trattamenti di dati personali, non sono più applicabili nemmeno le misure minime di sicurezza (nel caso vengano trattati dati personali non relativi a persone fisiche e dati relativi a persone fisiche per finalità diverse da quelle amministrativo contabili, il codice si applica tuttora).

l’art. 13 “Informativa”, è integrato con il comma 5-bis. “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”;

Pertanto in caso di ricezione di curricula non è più necessario inviare l’informativa circa il trattamento dei dati. Soltanto in un momento successivo a quello in cui ci sarà un primo contatto, il titolare del trattamento (per esempio l’azienda che convoca l’interessato), anche durante il colloquio con il candidato, sarà tenuto a fornire, anche oralmente, gli elementi dell’informativa previsti dall’art. 13: finalità e modalità del trattamento…

l’art. 24 “Casi nei quali può essere effettuato il trattamento senza consenso” è integrato con il comma “i-bis) “riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13,comma 5-bis” e dal comma “i-ter “con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché’ tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché’ queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;

Il trattamento dei dati comuni, per finalità amministrativo-contabili, non necessita di consenso (fermo restando l’obbligo di rilasciare idonea informativa agli interessati).

il comma 3 dell’art. 26 “Garanzie per i dati sensibili” è integrato con il comma “b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.“;

Anche qualora fossero presenti dati sensibili all’interno dei curricula, non è necessario chiedere il consenso al trattamento dei dati da parte dell’interessato.

l’art. 34 al comma 1 bis “Trattamenti con strumenti elettronici” è integrato è sostituito dai seguenti:

“1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B)..omissis.”

Viene estesa in via generalizzata l’ambito oggettivo di applicazione dell’autocertificazione sostitutiva del DPS ai trattamenti con strumenti elettronici di qualsiasi tipologia di dati, comuni, sensibili e giudiziari, connessi alla gestione del rapporto di lavoro. L’allargamento dell’agevolazione è notevole, perché non si parla più solo di dati sanitari e sindacali, ma si parla ora di tutti i dati sensibili e giudiziari; inoltre nella versione precedente la platea degli interessati era ristretta a dipendenti e collaboratori, mentre ora il trattamento di dati di coniugi e parenti del dipendente è compatibile con la semplificazione.

Quanto alle forme e ai contenuti dell’ autocertificazione, essa deve essere resa una tantum dal titolare del trattamento e deve attestare che il titolare tratta dati personali comuni e soltanto i dati sensibili e giudiziari connessi alla gestione del rapporto di lavoro, in osservanza delle misure minime di sicurezza previste dal Codice e dal disciplinare tecnico.

A differenza della previgente disposizione, che richiedeva genericamente l’osservanza delle “altre misure di sicurezza prescritte”, lasciando intendere che l’attestazione potesse riguardare l’adozione di tutte le idonee e preventive misure di sicurezza richiamate dall’art.31 del Codice (obbligo generale di sicurezza), il nuovo co. 1-bis circoscrive il contenuto dell’autocertificazione alle sole misure minime di sicurezza tassativamente elencate all’art. 34, garantendo maggiori certezze alle imprese, specie di fronte al rischio di essere esposte a responsabilità penale per false dichiarazioni o uso di atto falso ex art. 76 del citato Testo Unico.

1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro“;

Con il presente comma viene definito il trattamento effettuato per finalità amministrativo – contabili come quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro

Il comma 3 bis dell’art. 130 “Comunicazioni indesiderate” è integrato dopo le parole: “mediante l’impiego del telefono” con le successive: “e della posta cartacea“.

Pertanto l’iscrizione al Registro delle opposizioni ha valore anche per le comunicazioni effettuate nelle modalità posta cartacea.

Cookie	Durata	Descrizione
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_8741083_1	1 minute	This cookie is set by Google and is used to distinguish users.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Durata	Descrizione
CONSENT	16 years 6 months	No description
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Pubblicata la Legge 106/2011 di conversione del D.L. 70/2011

Articoli correlati

Lascia un commento Annulla risposta