News

ott
4

Privacy


Semplificati gli adempimenti per le imprese

Besozzo, 12/09/2011


         Spett.le  Ns cliente

Oggetto: Privacy: semplificati gli adempimenti per le imprese

Con la conversione in legge del Decreto Sviluppo vengono confermate rilevanti modifiche alle disposizioni del Codice in materia di protezione dei dati personali (Codice Privacy) riguardanti l’attività d’impresa e i rapporti tra operatori economici.

Premessa
Le modifiche, che sono in vigore già dal 14 maggio scorso in seguito alla pubblicazione del cosiddetto Decreto Sviluppo e che sono state ora confermate con la conversione in legge del citato decreto, perseguono l’obiettivo di riallineare la disciplina italiana della privacy alla Direttiva comunitaria di riferimento e di ridurre al contempo gli oneri burocratici imposti dal nostro legislatore, in particolare sulle piccole e medie imprese.Di seguito vengono illustrate le novità legislative, in particolare:1. la nuova definizione di "trattamenti effettuati per finalità amministrativo-contabili";2. la deroga all’ambito di applicazione del Codice per i trattamenti di dati effettuati nei rapporti business to business (B2B) per finalità amministrativo-contabili;3. la nuova ipotesi di esonero dal consenso in caso di comunicazione di dati effettuata nell’ambito di gruppi o di forme organizzate dell’attività d’impresa;4. l’estensione dell’ambito di applicazione dell’autocertificazione sostituiva del DPS;5. l’esclusione dell’obbligo di informativa e consenso per il trattamento di dati, comuni e sensibili, contenuti nei curricula vitae trasmessi spontaneamente dagli interessati;6. l’estensione del regime di opt-out previsto per le telefonate commerciali anche al marketing realizzato mediante posta cartacea.

Novità Descrizione

1. Trattamenti effettuati per finalità amministrativo-contabili: definizione All’art. 34 del Codice privacy è stato aggiunto il comma 1-ter che introduce nell’ordinamento una definizione di "trattamenti effettuati per finalità amministrativo-contabili" destinata ad incidere sull’applicazione di diverse norme privacy.Il nuovo comma precisa infatti che ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, indipendentemente dalla natura - comune, sensibile o giudiziaria - dei dati trattati. Vi rientrano quindi tutte quelle attività organizzative, amministrative, finanziarie e contabili realizzate per adempiere a esigenze organizzative interne, a obblighi pre-contrattuali, contrattuali o di legge nella gestione dell’impresa.In particolare perseguono tali finalità, oltre alle citate attività organizzative interne e agli adempimenti di obblighi contrattuali e pre-contrattuali, quelle funzionali alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.Possono considerarsi inclusi in tale definizione:- le attività precontrattuali, come quelle relative alla selezione e alla qualificazione del contraente (es. richiesta di documentazione che attesti il possesso di determinati requisiti, qualità o il rispetto di obblighi), all’acquisizione di preventivi o proposte contrattuali;- gli adempimenti volti a consentire l’esecuzione delle prestazioni dedotte in contratto, nei confronti di clienti e di fornitori, compresi gli adempimenti di natura finanziaria relativi ai rapporti contrattuali con banche o altri intermediari finanziari per l’ordinaria gestione di linee di credito o di garanzie, di conti correnti (anche di terzi, ad es., nel caso dei propri dipendenti);- le attività di gestione del personale che comportano, ad esempio, il trattamento di dati relativi allo stato di salute dei lavoratori (malattia, infortuni, ecc.), alle trattenute, ai permessi e alle aspettative per incarichi sindacali o politici, allo svolgimento dei servizi di mensa aziendali (es. in caso di particolari regimi alimentari per esigenze di salute o religiose), all’elaborazione delle buste paga, ai permessi per festività religiose. In questi casi, è evidente come nell’esecuzione di attività per finalità amministrativo-contabili rilevino anche dati sensibili;- gli adempimenti nei confronti delle Pubbliche Amministrazioni e, più in generale, quelli previsti da obblighi di legge (es. in materia previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro), tra cui rientra la tenuta della contabilità aziendale, a fini sia civilistici che fiscali (ad esempio, le operazioni di contabilizzazione dei dati fiscali relativi a clienti e fornitori, gli atti e le procedure diretti alla predisposizione dei documenti di bilancio).Non sono invece riconducibili a finalità di carattere amministrativo-contabile i trattamenti effettuati per attività giornalistica, per scopi di comunicazione o promozione commerciale (invio di materiale pubblicitario o comunicazioni pubblicitarie, vendita diretta, compimento di sondaggi o ricerche di mercato, utilizzo di web-cam in luoghi pubblici), di selezione del personale per conto terzi, di analisi delle abitudini o delle scelte di consumo di terzi (salvo non vi sia uno specifico accordo con l’interessato), di valutazione o monitoraggio circa la solvibilità economica, la situazione patrimoniale o il corretto adempimento di obbligazioni da parte di soggetti terzi rispetto alle proprie controparti commerciali.Tuttavia, con riferimento alle attività promozionali e pubblicitarie, occorre distinguere il marketing diretto di cui all’art. 130 del Codice privacy, relativo alle cd. comunicazioni indesiderate, consistente nell’invio non sollecitato di comunicazioni o materiali pubblicitari, da quello contrattuale, che invece consiste nella promozione di beni o servizi previamente concordata tra l’impresa e i propri clienti. Mentre la prima tipologia di marketing è esclusa dalla nozione di attività svolte per fini amministrativo-contabili, si ritiene invece che la seconda possa rientrarvi, in quanto posta in essere espressamente in esecuzione di un contratto e previo consenso informato dell’interessato.Pertanto la definizione (trattamenti effettuati per finalità amministrativo-contabili) è destinata ad assumere differenti connotazioni e a produrre effetti diversificati in relazione al contesto normativo da cui viene richiamata e dei limiti e delle condizioni alle quali deve essere applicata, come si vedrà più avanti.

2. Esclusione dall’ambito di applicazione del Codice dei trattamenti per finalità amministrativo-contabili effettuati fra persone giuridiche. Il Decreto Sviluppo aggiunge all’art. 5 del Codice privacy il nuovo comma 3-bis, che espressamente esclude dall’ambito di applicazione del Codice i trattamenti dei dati relativi a persone giuridiche, imprese, enti o associazioni effettuati esclusivamente tra i citati soggetti per finalità amministrativo-contabili. In particolare, tale esclusione opera in presenza delle seguenti condizioni:1. il trattamento deve essere effettuato esclusivamente nell’ambito di rapporti intercorrenti tra persone giuridiche, imprese, enti o associazioni. 2. i dati oggetto di trattamento devono essere relativi alla persona giuridica, impresa, ente o associazione. Si tratta delle informazioni idonee ad identificare in maniera diretta la persona giuridica, (es. dati anagrafici, tra cui la denominazione/ragione sociale, il Codice Fiscale, la partita IVA, la sede legale e il capitale sociale, segni distintivi, loghi, emblemi, domain name di proprietà dell’ente), nonché delle informazioni comunque relative alla persona giuridica, impresa, ente o associazione, in quanto riferite agli organi, alla compagine sociale/associativa, ai soggetti che operano in rappresentanza dell’ente o che ne manifestano la volontà nei rapporti con i terzi (es. riferimenti del rappresentante legale, dei soggetti titolari di cariche/qualifiche o muniti di procure, generali o speciali, dei soci, degli associati);3. il trattamento deve essere effettuato per finalità amministrativo-contabili (vedi precedente punto 1). Di conseguenza, le norme privacy continuano ad applicarsi nei casi in cui:- il titolare del trattamento o l’interessato del trattamento è una persona fisica: tutte le garanzie e gli obblighi previsti dal Codice rimangono così in vigore nei rapporti tra imprese e persone fisiche, sia nel caso in cui l’impresa tratti i dati della persona fisica all’interno della propria struttura (es. dipendenti e collaboratori) o all’esterno di essa (clienti e consumatori), sia nel caso in cui la persona fisica, in qualità di titolare del trattamento, utilizzi i dati dell’impresa (es. per finalità di consulenza, marketing, attività giornalistica);- il trattamento, pur se effettuato nell’ambito di rapporti fra persone giuridiche, persegue finalità diverse da quelle amministrativo-contabili, come nel caso di trattamenti che possono presentare particolari rischi (es. marketing diretto, sondaggi e ricerche di mercato).La deroga all’applicazione del Codice non ha, dunque, una portata trasversale rispetto a qualsiasi attività o trattamento di dati realizzati dalle imprese, ma è destinata a produrre effetti esclusivamente sugli ordinari rapporti commerciali tra imprese (es. rapporti tra committenti e appaltatori, appaltatori e subcontraenti, clienti e fornitori).Nell’ambito di questi rapporti non sono più necessari i seguenti adempimenti: i) obblighi di informativa e consenso di cui agli artt. 13, 23 e ss. del Codice; ii) eventuali nomine dei responsabili del trattamento ex art. 29, Codice; iii) adozione delle misure di sicurezza di cui agli artt. 33 e ss. del Codice e al disciplinare tecnico contenuto nell’Allegato B) al Codice (si tratta, tra l’altro, dei sistemi di autenticazione informatica, dei sistemi di autorizzazione, delle procedure di backup e di recovery dei dati e dei sistemi, dei programmi antivirus e firewall).Per quanto riguarda lo specifico profilo della sicurezza, va rilevato che l’obbligo di adottare le misure minime imposte dalla legge per salvaguardare i dati e i sistemi da una serie di rischi (distruzione o perdita, anche accidentale, dei dati, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta) può essere disatteso soltanto ove sia possibile mantenere distinti i trattamenti dei dati che non ricadono più nell’ambito applicativo del Codice da quelli che vi rimangono soggetti. Ciò, in concreto, potrebbe verificarsi in presenza di archivi, elettronici o cartacei, destinati a contenere esclusivamente dati relativi a clienti e fornitori (es. ordinativi, conferme d’ordine) ovvero nel caso di utilizzo di strumenti elettronici (es. personal computer) al solo fine di registrare le operazioni di carico e scarico merci o di gestire una linea di produzione.
3. Esonero dal consenso per le comunicazioni dei dati effettuate nell’ambito di gruppi o di forme organizzate di esercizio dell’attività d’impresa Il Decreto Sviluppo inserisce nell’art. 24 del Codice privacy una nuova ipotesi di esonero dal consenso per le comunicazioni di dati personali non sensibili effettuate per finalità amministrativo-contabili tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’art. 2359 c.c., o sottoposte a comune controllo, nonché tra consorzi, reti di imprese, raggruppamenti e associazioni temporanei di imprese con i loro aderenti.La nuova disposizione mira a semplificare gli adempimenti connessi alla circolazione delle informazioni non sensibili nell’ambito di gruppi di imprese o di altre forme di organizzazione congiunta dell’attività d’impresa previste dall’ordinamento per esigenze organizzative o gestionali interne, escludendo che in tali casi sia necessario il consenso dei soggetti ai quali si riferiscono i dati scambiati.Per beneficiare dell’esonero dal consenso, titolare del trattamento e destinatario della comunicazione devono essere necessariamente società, imprese, enti o associazioni, mentre l’interessato può essere sia una persona fisica che una persona giuridica, purché diversa dai soggetti tra cui avviene la comunicazione.D’altra parte, qualora lo scambio informativo infragruppo, per finalità amministrativo-contabili, avesse ad oggetto dati relativi proprio alle persone giuridiche, imprese, enti o associazioni tra i quali interviene la comunicazione, il trattamento sarebbe addirittura escluso dall’applicazione del Codice ai sensi del citato art. 5, co. 3-bis.La nuova ipotesi di esonero dal consenso per finalità amministrativo-contabili è, peraltro, residuale rispetto agli altri casi in cui il trattamento può essere effettuato senza consenso ex art. 24, in particolare quando esso è necessario per adempiere ad obblighi derivanti dalla legge o da contratto, ovvero quando riguarda dati pubblici o relativi allo svolgimento di attività economiche.A titolo esemplificativo, la comunicazione senza consenso potrebbe riguardare i dati attinenti alla sfera organizzativa o gestionale dei gruppi di società, quali le variazioni nella composizione sociale della compagine di gruppo, i flussi riguardanti l’andamento economico delle controllate, le informazioni trattate nell’ambito della gestione accentrata dei servizi di tesoreria o di amministrazione (laddove manchi la formalizzazione di un contratto di servizio infragruppo), quelle per lo svolgimento di piani o progetti formativi per i dipendenti delle diverse società appartenenti al medesimo gruppo, nonché quelle trattate per dare esecuzione alle attività imprenditoriali organizzate in forma congiunta (ad esempio, da parte di consorzi, reti di imprese, RTI o ATI aggiudicatari di appalti).

4. Autocertificazione sostitutiva del Documento Programmatico sulla Sicurezza (DPS) Ulteriore novità normativa è quella che estende in via generalizzata l’ambito di applicazione dell’autocertificazione sostitutiva del DPS ai trattamenti con strumenti elettronici di qualsiasi tipologia di dati, comuni, sensibili e giudiziari, connessi alla gestione del rapporto di lavoro.In particolare, possono avvalersi dell’autocertificazione i soggetti che, oltre a trattare dati personali non sensibili (cioè comuni), trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche extracomunitari, nonché quelli relativi ai loro coniugi e parenti.E’ comunque utile precisare che nonostante la lettera della norma faccia riferimento all’obbligo di autocertificazione, quest’ultima rappresenta in realtà una modalità semplificata di adempimento, alternativa al regime ordinario del DPS, il quale continua a rimanere in vigore. La scelta di sostituire la tenuta di un aggiornato DPS con un’autocertificazione è, quindi, rimessa alla piena discrezionalità del titolare del trattamento.L’autocertificazione elimina l’obbligo di adottare il DPS e di aggiornarlo annualmente, così come l’obbligo, previsto dalla regola 25 del disciplinare tecnico, di riferire nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione e aggiornamento del DPS. A seguito della riformulazione, l’autocertificazione è inoltre applicabile, ad esempio, anche ai trattamenti da parte del datore di lavoro aventi ad oggetto:- dati giudiziari dei dipendenti e collaboratori, nel rispetto dei principi generali e delle garanzie ad essi applicabili;- dati relativi allo stato di salute o di malattia dei propri dipendenti e collaboratori con o senza indicazione della relativa diagnosi (oltre ai certificati di assenza per malattia, anche i certificati di infortunio e di malattia professionale);- dati relativi a lavoratori extracomunitari (aventi di per sé natura sensibile, in quanto idonei a rivelare l’origine razziale o etnica del lavoratore);- dati sensibili relativi al coniuge e ai parenti dei dipendenti o collaboratori.La possibilità di sostituire il DPS con l’autocertificazione prescinde, quindi, dalle finalità in concreto perseguite, che potranno essere anche diverse da quelle amministrativo-contabili (es. marketing, ricerche di mercato), purché il trattamento riguardi dati non sensibili e, come unici dati sensibili quelli dei propri lavoratori, compreso il coniuge e i parenti. Ne consegue che il DPS continua ad essere necessario se:1. il trattamento con strumenti elettronici ha ad oggetto dati sensibili e/o giudiziari 2. gli interessati sono soggetti diversi dai dipendenti e collaboratori dell’impresa titolare del trattamento, nonché dai rispettivi coniugi e parenti. Ad esempio, l’obbligo del DPS continuerà ad applicarsi alle imprese che trattano dati sensibili della clientela (ad esempio, strutture sanitarie, imprese che effettuano attività di profilazione) o dati sensibili a fini di selezione del personale per conto terzi.Quanto alle forme e ai contenuti dell’autocertificazione, essa deve essere resa una tantum dal titolare del trattamento ai sensi dell’art. 47 del Testo Unico in materia di documentazione amministrativa e deve attestare che il titolare tratta dati personali comuni e soltanto i dati sensibili e giudiziari connessi alla gestione del rapporto di lavoro, in osservanza delle misure minime di sicurezza previste dal Codice e dal disciplinare tecnico.Nel caso di società, enti o persone giuridiche, la dichiarazione deve essere sottoscritta dal rappresentante legale e conservata presso la rispettiva sede (unitamente a fotocopia non autenticata di un suo documento di identità), per essere esibita in caso di controlli.

5. Gestione dei curricula vitae spontaneamente inviati Il Decreto Sviluppo interviene anche sulle disposizioni del Codice privacy che stabiliscono gli obblighi di preventiva informativa e consenso al trattamento, esonerando il titolare da tali adempimenti nel caso di gestione di curricula vitae inviati spontaneamente dai soggetti che si candidano all’instaurazione di un rapporto di lavoro o di collaborazione professionale.Le semplificazioni introdotte dal Decreto Sviluppo in tema di informativa e consenso non riguardano, invece, la gestione dei curricula sollecitati tramite annunci di lavoro pubblicati su internet, su quotidiani o periodici. I relativi trattamenti, effettuati solitamente da società di selezione o di ricerca del personale, società di lavoro temporaneo, placement office di enti pubblici (es. Università) e altri intermediari che offrono analoghi servizi, restano soggetti alle regole generali del Codice privacy (cfr. Parere del Garante 10 gennaio 2002).il Decreto Sviluppo semplifica notevolmente gli oneri connessi alla gestione dei CV "non sollecitati" da parte dei titolari del trattamento, eliminando l’obbligo di fornire un’informativa preliminare al soggetto che, senza rispondere ad annunci o ad avvisi, invia di propria iniziativa il CV per finalità occupazionali.Per quanto riguarda l’obbligo di acquisire un consenso preventivo dall’interessato, il Decreto Sviluppo modifica gli articoli 24 e 26 del Codice, introducendo due nuove ipotesi di esonero in relazione all’utilizzo dei dati, sia comuni che sensibili, contenuti nei curricula inviati spontaneamente. In particolare:1. consente di trattare i dati comuni riportati nei curricula senza necessità di ottenere un preventivo consenso espresso da parte del candidato;2. esclude l’obbligo del consenso scritto e della preventiva autorizzazione del Garante privacy, per il trattamento dei dati sensibili contenuti nei curricula.Perciò chi invia di propria iniziativa il CV ad un’impresa o ad altro soggetto privato, a seguito del Decreto Sviluppo non deve più inserire all’interno del documento alcuna generica dichiarazione di consenso al trattamento dei dati personali, siano essi comuni e/o sensibili.Si precisa che permane invece l’obbligo del titolare di rispettare gli adempimenti dell’informativa e del consenso scritto al momento dell’effettiva instaurazione del rapporto di lavoro, in quanto riferiti al trattamento connesso alle vicende del contratto (conclusione del contratto, esecuzione degli obblighi da esso derivanti, cessazione).

6. Estensione del regime dell’opt-out al marketing mediante posta cartacea Tra le modifiche da segnalare vi è anche quella che riguarda il cd. regime di opt-out per le chiamate telefoniche a fini commerciali - telemarketing che viene esteso anche alle attività promozionali effettuate mediante l’impiego della posta cartacea. Questa modifica consente alle imprese di utilizzare gli indirizzi contenuti negli elenchi telefonici pubblici per effettuare, mediante posta cartacea, attività pubblicitarie o promozionali (invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato e comunicazione commerciale, a meno che il destinatario della comunicazione non abbia manifestato il proprio dissenso iscrivendosi al Registro pubblico delle opposizioni.
Confindustria - circolare 18/07/2011

Cordiali Saluti
Gestione Qsa



Archivio news

08/10/2013
11/09/2012
04/10/2011
24/11/2010
05/10/2010
06/04/2010
19/03/2010