|
Testo
|
Con la presente si comunica atutti gli interessati l’avvenuta pubblicazione in GazzettaUfficiale di una serie di provvedimenti in tema di privacy emodalità di trattamento e conservazione dei dati personalidi interesse per gli Ordini professionali ed i liberi professionisti.
Si tratta, in particolare,:
1) delle nuove Autorizzazioni generali per il trattamento dei datisensibili e giudiziari;
2) del provvedimento Garante privacy 19 giugno 2008 di semplificazionedel trattamento di dati per finalità amministrative econtabili;
3) delle linee guida in materia di trattamento dei dati personali perconsulenti tecnici e periti ausiliaridell’autorità giudiziaria;
4) delle novità in tema di documento programmatico sullasicurezza e di notificazione introdotte dal cd“decreto-competitività” (d.l. n.112/2008, come convertito dalla l. 133/2008).
Tutti questi provvedimenti sono legati dalla finalità disemplificare e rendere più agevole e meno gravoso per glioperatori interessati l’obbligo di attuazione della normativasulla privacy in materia di custodia e messa in sicurezza dei datipersonali altrui posseduti ed utilizzati nella propriaattività.
Al Garante per la protezione dei dati personali ed al Legislatore,infatti, erano giunte varie sollecitazioni – specie da partedelle piccole e medie imprese e dei liberi professionisti –per modificare ed alleggerire alcuni adempimenti imposti dal Codicedella privacy (su cui v., tra le varie, le circolari CNI n. 328/2003,n. 4/2006 e n. 53/2006) ritenuti troppo complessi ed onerosi rispettoalle garanzie per gli interessati.
Il Garante, a seguito di una analisi della problematica e di unaricognizione delle metodologie seguite nelle prassi, ha ritenuto chealcune modalità di applicazione degli obblighi imposti dalCodice della privacy (d.lgs. 30 giugno 2003 n. 196) fossero basate suapprocci di tipo formale e burocratico, per cui era necessarioindividuare delle soluzioni innovative per semplificare taluniadempimenti, in modo particolare per ciò che riguardal’informativa agli interessati, il consenso e le misure disicurezza.
AUTORIZZAZIONI GENERALI PER IL TRATTAMENTO DEI DATI SENSIBILI EGIUDIZIARI
Sul supplemento ordinario alla G.U. n. 169 del 21 luglio 2008 sonostate pubblicate le nuove Autorizzazioni generali per il trattamentodei dati sensibili e giudiziari (in totale sono sette) che il Garanteper la privacy ha approvato in sostituzione di quelle scadute (su cuiv. la circolare CNI n. 110 del 28/9/2007).
Si ripete che trattasi di quei provvedimenti di carattere generale,adottati d’ufficio dal Garante per la protezione dei datipersonali, con cui si consente ad una serie di soggetti privati ditrattare nella propria attività dati sensibili e giudiziarisenza dover richiedere ed ottenere singoli e puntuali provvedimenti diautorizzazione da parte dell’Autorità Garantestessa.
Le nuove Autorizzazioni, aventi per loro natura carattere provvisorio,sono efficaci dal 1 luglio 2008 fino al 31 dicembre 2009, salvoeventuali modifiche.
In particolare, risultano di interesse per gli iscritti e gli Ordiniprovinciali soprattutto l’Autorizzazione n. 1/2008(“Autorizzazione al trattamento dei dati sensibili neirapporti di lavoro”), l’Autorizzazione n. 4/2008(“Autorizzazione al trattamento dei dati sensibili da partedei liberi professionisti”), e l’Autorizzazione n.7/2008 (“Autorizzazione al trattamento dei dati a caratteregiudiziario da parte di privati, di enti pubblici economici e disoggetti pubblici”), che vengono per comoditàtrasmesse in allegato.
Queste e le altre Autorizzazioni datate 19 giugno 2008 sono comunquerinvenibili, oltre che sulla G.U., anche sul sito Internet del Garante(www.garanteprivacy.it).
IL PROVVEDIMENTO GARANTE PRIVACY 19 GIUGNO 2008
Sulla G.U., s.g., n. 152 del 1 luglio 2008 è statopubblicato il Provvedimento 19 giugno 2008 del Garante per laprotezione dei dati personali intitolato “Semplificazionirispetto a trattamenti di dati per finalità amministrative econtabili”.
L’Autorità Garante ha inteso quindi dettare aititolari del trattamento in ambito privato e pubblico ( in particolarepiccole e medie imprese, liberi professionisti ed artigiani) dellelinee guida interpretative per semplificare l’informativaagli interessati rispetto allo svolgimento di correntifinalità amministrative e contabili, anche in relazioneall’adempimento di obblighi contrattuali.
Emblematico il suggerimento di ricorrere ad un’unicainformativa per il complesso dei trattamenti, anziché inoccasione di ciascun contatto con gli interessati.
Anche per ciò che concerne la necessità delconsenso del soggetto a cui i dati si riferiscono, il Garante hasottolineato che il consenso non è necessario in una seriedi casi in cui il trattamento dei dati in ambito privato èsvolto per adempiere a obblighi contrattuali o normativi o comunque perordinarie finalità amministrative e contabili, oppure quandoi dati trattati provengono da registri od elenchi pubblici o sonorelativi allo svolgimento di attività economichedell’interessato (lettere a) e b) del punto 3 delprovvedimento citato).
Inoltre, in applicazione del principio del bilanciamento degliinteressi, il Garante per la privacy ha introdottoun’ulteriore, nuova ipotesi in cui il consenso non varichiesto: il titolare del trattamento in ambito privato che abbiagià venduto un prodotto o prestato un servizio,può utilizzare senza il consenso il recapito di postacartacea fornito dall’interessato “ai finidell’invio diretto di proprio materiale pubblicitario o dipropria vendita diretta o per il compimento di proprie ricerche dimercato o di comunicazione commerciale”.
Ciò rispettando una serie di garanzie a favore del soggettointeressato, tra cui il diritto di opporsi in ogni momento e in manieragratuita ed agevole a tale attività promozionale (punto 6del provv. 19 giugno 2008).
Per la puntuale cognizione delle semplificazioni relativeall’obbligo di informativa e al consenso si rinvia allalettura del Provvedimento 19 giugno 2008.
DELIBERAZIONE 26 GIUGNO 2008 N. 46 DEL GARANTE DELLA PRIVACY
Con la deliberazione 26 giugno 2008 n. 46 (“Linee guida inmateria di trattamenti dei dati personali da parte dei consulentitecnici e dei periti ausiliari del giudice e del pubblicoministero”), pubblicata nella G.U., s.g., n. 178 del 31luglio 2008, il Garante per la privacy ha inteso fornire orientamentiutili ai consulenti tecnici e ai periti ausiliari del giudice e delpubblico ministero in relazione al trattamento di dati personalieffettuato nell’ambito di procedimenti in sede civile, penalee amministrativa.
E’ ovvio, infatti, che anche per i dati e le informazioni dicui vengono a conoscenza consulenti e periti del giudice, si applicanole disposizioni del Codice della privacy (art. 47) relative aitrattamenti effettuati presso gli uffici giudiziari “perragioni di giustizia”.
La deliberazione 26 giugno 2008 n. 46 individua quindi linee guida eprescrizioni in tema di conservazione e cancellazione dei dati, misuredi sicurezza, incaricati, rivolte – si badi bene –anche ai consulenti tecnici di parte (v. allegato).
LE NOVITA’ DEL DECRETO COMPETITIVITA’
Il decreto – legge 25 giugno 2008 n. 112 (cd“decreto-competitività”), comeconvertito dalla legge 6 agosto 2008 n. 133, pubblicata nel supplementoordinario alla G.U., s.g., 21 agosto 2008 n. 195, ha introdotto delleimportanti novità in tema di documento programmatico sullasicurezza (DPS) e notificazione del trattamento.
Per capire in cosa consiste il documento programmatico sulla sicurezzasi vedano le precedenti circolari CNI n. 328/2003, 356/2004, 368/2004,428/2005 e 496/2006.
L’art. 29 del d.l. n. 112/2008 ha quindi modificato gliarticoli 34, 38 e 44 del decreto legislativo 30 giugno 2008 n. 196 (cdCodice della privacy).
Con l’ aggiunta del comma 1-bis all’art. 34 deld.lgs. n. 196 è ora stabilito che l’obbligo diredigere e conservare un aggiornato documento programmatico sullasicurezza (DPS) viene ad essere sostituito da una autocertificazione(con cui si dichiara di trattare solamente tali dati e in osservanzadelle altre misure di sicurezza prescritte), per tutti coloro chetrattano soltanto dati non sensibili e che come unici dati sensibilitrattano quelli costituiti dallo stato di salute o malattia dei propridipendenti e collaboratori anche a progetto, senza indicazione dellarelativa diagnosi, ovvero dell’adesione ad organizzazionisindacali e di carattere sindacale (in allegato).
Inoltre – in relazione a tali trattamenti, nonchéa trattamenti comunque effettuati per correnti finalitàamministrative e contabili, in particolare presso piccole e medieimprese, liberi professionisti ed artigiani, il Garante per la privacyindividuerà ulteriori modalità semplificate diapplicazione del disciplinare tecnico di cui all’Allegato B)del Codice della privacy.
Tale provvedimento di semplificazione, da aggiornare periodicamente, insede di prima applicazione è previsto che venga adottatoentro due mesi dall’entrata in vigore della legge diconversione del decreto legge 112/2008.
Come si vede, dopo numerosi rinvii, l’obbligo di redazionedel DPS, in ben determinati casi e qualora il trattamento effettuatonon coinvolga dati personali sensibili (su cui v. la lettera d) delprimo comma dell’art. 4 d.lgs 196/2003) viene ad essereaccantonato in favore di una ben più sempliceautocertificazione resa ai sensi dell’art. 47 del DPR28/12/2000 n. 445 (Testo unico in materia di documentazioneamministrativa), in cui si dichiari di rispettare le altre misure disicurezza imposte dalla legge.
Riguardo la notificazione del trattamento dei dati personali,l’art. 29, comma 4, del d.l. n. 112/2008 ha sostituito ilcomma 2 dell’art. 38 del Codice della privacy, prevedendoespressamente quali siano le informazioni che il titolare deltrattamento deve fornire al Garante, utilizzando il modello disponibileper via telematica sul sito Internet del Garante stesso (in allegato).
La notificazione adesso deve contenere tutte e soltanto le informazioniivi citate (le coordinate identificative del titolare del trattamentoed eventualmente del suo rappresentante, le finalità deltrattamento, una descrizione della categoria di persone interessate,ecc.) ed è validamente effettuata solo se ètrasmessa attraverso il sito del Garante.
Il Garante per la privacy ha tempo due mesi per adeguare il modello perla notificazione del trattamento alle prescrizioni di cuiall’art. 29, comma 4, cit.
Una ulteriore modifica riguarda il trasferimento di dati personaliverso un Paese non appartenente all’Unione Europea (art. 44del d.lgs. 196/2003).
In conclusione, occorre prendere nota di tutto il pacchetto di misurein tema di privacy qui segnalate in quanto, dietrol’apparente complessità, mirano a semplificare edalleggerire il lavoro di quanti (liberi professionisti, personale deiConsigli degli Ordini, società), trattando dati personalialtrui nella propria attività, sono tenuti a rispettare unaserie di accorgimenti per tutelare e rettamente conservare i dati e leinformazioni possedute.
Restando a disposizione per ogni chiarimento necessario e auspicando lamassima diffusione presso gli iscritti della presente circolare, siinviano distinti saluti.
ALLEGATI:
1) Autorizzazione Garante Privacy n. 1/2008;
2) Autorizzazione Garante Privacy n. 4/2008;
3) Autorizzazione Garante Privacy n. 7/2008;
4) Provvedimento Garante Privacy 19 giugno 2008;
5) Deliberazione Garante Privacy 26 giugno 2008;
6) Art. 29 d.l. 112/2008 (come convertito dalla l. 133/2008).
|
