Privacy, cosa cambia con il Decreto per lo sviluppo
Il Decreto Legge n. 138 approvato dal Consiglio dei Ministri il 5 maggio scorso ed ora in attesa di pubblicazione sulla gazzetta ufficiale contiene, tra le altre, alcune importanti novità in materia di privacy.
L’art. 6 del Decreto, infatti, ridimensiona innanzitutto l’ambito di applicabilità del codice privacy alle persone giuridiche stabilendo che “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
In particolare il comma 2 della richiamata disposizione del Decreto interviene sull’art. 5 del Codice, introducendo un comma 3 bis, secondo il quale “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”.
Lo stesso decreto chiarisce che “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro“.
Niente più bisogno di informative e/o richieste di consenso, dunque, se si trattano dati personali relativi a persone giuridiche, esclusivamente per questioni amministrativo-contabili, nel senso chiarito dalla nuova norma.
Per effetto del nuovo intervento normativo, inoltre, viene esclusa la necessità del consenso, ferma restando quella di rilasciare idonea informativa agli interessati, per “la comunicazione di dati [n.d.r. relativi a persone fisiche o giuridiche] tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter”.
Tale eccezione non riguarda, tuttavia, la diffusione dei dati né l’utilizzo degli stessi per l’esercizio di attività di telemarketing.
Una delle più rilevanti novità contenute nel Decreto Sviluppo in materia di privacy, concerne, proprio, la nuova disciplina sul telemarketing.
Il comma 6 dell’art. 6, infatti, estende anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio di marketing telefonico.
Da oggi, quindi, gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito e gestito dalla Fondazione Ugo Bordoni.
Si tratta di un’altra importante piccola rivoluzione della disciplina che minaccia di mettere a dura prova la resistenza delle nostre buche delle lettere.
La maggiore – almeno nella prospettiva di semplificazione perseguita dal Governo – tra le novità introdotte con il Decreto riguarda, probabilmente, l’esonero dall’obbligo di predisposizione del documento programmatico per la sicurezza (DPS) “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti”.
Per tali soggetti, infatti, in forza di quanto disposto dalla nuova disciplina “la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B).”.
La stessa disposizione prevede, inoltre, che “In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”.