Privacy
Novità sulla privacy più in linea con le norme comunitarie
Con una circolare, l’ABI riepiloga le modifiche in materia, dall’abrogazione del DPS alle limitazioni applicative del Codice
L’ABI, con la circolare serie Legale n. 4 (serie Lavoro n. 17) del 24 febbraio 2012, ha fornito un quadro di sintesi sulle modifiche al Codice della privacy (DLgs. 30 giugno 2003 n. 196).
Come già rilevato in un precedente intervento (si veda “Abrogazione del DPS immediatamente operativa” del 27 febbraio 2012), il DL 5/2012 (cosiddetto “Decreto semplificazioni”) ha abrogato l’obbligo di redazione o aggiornamento del Documento Programmatico sulla Sicurezza (DPS) prescritto dal Codice della privacy, quale misura minima di sicurezza prevista in relazione all’obbligo generale di protezione dei dati personali. Fra i destinatari di questa norma vi sono anche le banche.
Correlativamente, sono venuti meno anche l’autocertificazione sostitutiva del DPS laddove consentita e l’obbligo di riferire nella relazione accompagnatoria del bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del DPS (art. 45, comma 1, lett. c) e d) del DL 5/2012, che ha abrogato l’art. 34, comma 1, lett. g) e comma 1-bis del Codice e i paragrafi 19-19.8 e 26 dell’allegato B del decreto – Disciplinare tecnico in materia di misure minime di sicurezza).
A tal proposito, si ricorda che il DL 5/2012, entrato in vigore il 10 febbraio 2012, è ancora all’esame del Parlamento per la conversione in legge.
L’abrogazione del DPS, però, non è la sola modifica al Codice della privacy. Negli ultimi mesi, infatti, sono state apportate una serie di ulteriori modifiche al Codice per allineare la normativa nazionale a quella comunitaria.
Fra le altre misure adottate dal legislatore, al fine di cercare di diminuire gli oneri in materia di privacy soprattutto per le imprese, vi è quella di limitare l’ambito di applicazione del Codice ad opera dell’art. 40, comma 2, lett. a) e b) del DL 6 dicembre 2011 n. 201 (conv. L. 214/2011).
Con il decreto da ultimo richiamato è stato soppresso il riferimento alle persone giuridiche, enti e associazioni da alcuni articoli del Codice della privacy. In particolare, è stata modificata la definizione di dato personale e di interessato (lett. b) e i) dell’art. 4, comma 1, del Codice della privacy). Ove “dato personale” è qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, mentre “interessato” è la persona fisica cui si riferiscono i dati personali.
Ai sensi dell’art. 34, comma 1-ter del Codice, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
Pertanto, alla luce di tale modifiche – ha precisato l’ABI nella circolare in commento –, il Codice della privacy trova applicazione in primo luogo nei casi in cui la persona giuridica, l’ente o l’associazione siano “titolari” o “responsabili” del trattamento dei dati (relativi alle persone fisiche). Permangono, inoltre, in capo agli stessi gli adempimenti previsti dal Codice della privacy.
In secondo luogo, il Codice si applica in tutte le ipotesi in cui la persona giuridica, l’ente o l’associazione rivestano la qualifica di “abbonati”, con riferimento alla disciplina di cui agli artt. 122 ss., tra cui quella sul registro delle opposizioni.
/ Roberta VITALE
Come già rilevato in un precedente intervento (si veda “Abrogazione del DPS immediatamente operativa” del 27 febbraio 2012), il DL 5/2012 (cosiddetto “Decreto semplificazioni”) ha abrogato l’obbligo di redazione o aggiornamento del Documento Programmatico sulla Sicurezza (DPS) prescritto dal Codice della privacy, quale misura minima di sicurezza prevista in relazione all’obbligo generale di protezione dei dati personali. Fra i destinatari di questa norma vi sono anche le banche.
Correlativamente, sono venuti meno anche l’autocertificazione sostitutiva del DPS laddove consentita e l’obbligo di riferire nella relazione accompagnatoria del bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del DPS (art. 45, comma 1, lett. c) e d) del DL 5/2012, che ha abrogato l’art. 34, comma 1, lett. g) e comma 1-bis del Codice e i paragrafi 19-19.8 e 26 dell’allegato B del decreto – Disciplinare tecnico in materia di misure minime di sicurezza).
A tal proposito, si ricorda che il DL 5/2012, entrato in vigore il 10 febbraio 2012, è ancora all’esame del Parlamento per la conversione in legge.
L’abrogazione del DPS, però, non è la sola modifica al Codice della privacy. Negli ultimi mesi, infatti, sono state apportate una serie di ulteriori modifiche al Codice per allineare la normativa nazionale a quella comunitaria.
Fra le altre misure adottate dal legislatore, al fine di cercare di diminuire gli oneri in materia di privacy soprattutto per le imprese, vi è quella di limitare l’ambito di applicazione del Codice ad opera dell’art. 40, comma 2, lett. a) e b) del DL 6 dicembre 2011 n. 201 (conv. L. 214/2011).
Con il decreto da ultimo richiamato è stato soppresso il riferimento alle persone giuridiche, enti e associazioni da alcuni articoli del Codice della privacy. In particolare, è stata modificata la definizione di dato personale e di interessato (lett. b) e i) dell’art. 4, comma 1, del Codice della privacy). Ove “dato personale” è qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, mentre “interessato” è la persona fisica cui si riferiscono i dati personali.
Soppresso il riferimento alle persone giuridiche
L’art. 40, comma 2, lett. c) del DL 201/2011 ha, poi, abrogato il comma 3-bis dell’art. 5 del Codice della privacy (introdotto dal DL 70/2011, conv. L. 106/2011), che escludeva l’applicazione del Codice della privacy alle persone giuridiche, imprese, enti o associazioni quando il trattamento dei dati personali avveniva tra i medesimi soggetti e per finalità amministrativo-contabili.Ai sensi dell’art. 34, comma 1-ter del Codice, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
Pertanto, alla luce di tale modifiche – ha precisato l’ABI nella circolare in commento –, il Codice della privacy trova applicazione in primo luogo nei casi in cui la persona giuridica, l’ente o l’associazione siano “titolari” o “responsabili” del trattamento dei dati (relativi alle persone fisiche). Permangono, inoltre, in capo agli stessi gli adempimenti previsti dal Codice della privacy.
In secondo luogo, il Codice si applica in tutte le ipotesi in cui la persona giuridica, l’ente o l’associazione rivestano la qualifica di “abbonati”, con riferimento alla disciplina di cui agli artt. 122 ss., tra cui quella sul registro delle opposizioni.
/ Roberta VITALE
Nessun commento:
Posta un commento