24 ottobre 2012
Liberi professionisti ancora soggetti alla tutela dei dati personali
Nuove modifiche al Codice della privacy (DLgs.
196/2003). Il Ddl. contenente disposizioni di semplificazione
amministrativa (“pacchetto semplificazioni”), approvato dal Consiglio
dei Ministri lo scorso 16 ottobre, infatti, tenta di riallineare, anche
se con qualche preoccupazione del Garante per la privacy, la normativa
italiana alla disciplina comunitaria, rimuovendo inutili oneri a carico di imprese e professionisti italiani.
Il disegno di legge segue altri recenti interventi di semplificazione, fra i quali si segnala:
- il DL 201/2011, che ha limitato l’ambito di applicazione del Codice della privacy,
- il DL 5/2012, che ha abrogato l’obbligo di redazione o aggiornamento del Documento Programmatico sulla Sicurezza (DPS) e
- il DLgs. 69/2012, con il quale sono state recepite nel nostro ordinamento le direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE, in materia di reti e servizi di comunicazione elettronica, e del regolamento (CE) n. 2006/2004, sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
Con il Ddl. (art. 17), in primo luogo, ai sensi del nuovo comma 3-bis dell’art. 5 del Codice, verrebbe escluso dall’ambito di applicazione del Codice della privacy il trattamento dei dati personali “di chi agisce nell’esercizio dell’attività di impresa, anche individuale”. Tale deroga era già stata prevista per le imprese gestite in forma societaria dall’art. 40, comma 2, del DL 201/2011 che ha, in particolare, modificato l’art. 4, comma 1, del Codice, ai sensi del quale per “dato personale” si intende esclusivamente qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero d’identificazione personale (lett. b) e per “interessato”, la persona fisica cui si riferiscono i dati personali (lett. i).
Inoltre, verrebbe sostituito l’art. 36 del Codice della privacy, che affida ad apposito decreto interministeriale l’adeguamento del disciplinare tecnico di cui all’Allegato Bal Codice, relativo alle misure minime di sicurezza (da parte del Ministro della Giustizia, di concerto con il Ministro per la Pubblica amministrazione e la semplificazione, previo parere del Garante e sentite le associazioni rappresentative a livello nazionale delle categorie economiche coinvolte). Verrebbe, poi, introdotta la possibilità di definire, con lo stesso decreto, modalità semplificate di adozione delle misure minime in caso di trattamenti effettuati, in particolare, presso piccole e medie imprese, liberi professionisti e artigiani.
Con riferimento ai liberi professionisti, si potrebbe sollevare la questione dell’applicabilità dell’art. 17 del Ddl. anche agli stessi. Proprio il fatto che nelle modifiche all’art. 36 si parli espressamente di “liberi professionisti” in aggiunta a “piccole e medie imprese”, potrebbe far propendere per l’esclusione dalla “nozione” di “impresa” anche di tale categoria. In tale accezione, allora, i professionisti resterebbero soggetti alla normativa di tutela dei dati personali, e, in particolare, anche in quanto incaricati della trasmissione delle dichiarazioni.
A tal proposito, si ricorda che L’Agenzia delle Entrate, con il comunicato del 3 agosto 2011, inviato ai CAF e agli altri intermediari abilitati al canale Entratel, aveva reso noto l’avvio, a partire dal secondo semestre 2011, di nuovi e più articolati controlli, segnalando, tra le conseguenze in caso di irregolarità riscontrate, la revoca dell’abilitazione al canale Entratel. Le operazioni di verifica riguardano in generale l’adozione, da parte degli intermediari, di tutte le cautele necessarie a proteggere i dati personali e sensibili di cui vengono a conoscenza nello svolgimento della propria attività. Nello specifico, sono tre i settori d’intervento: la struttura organizzativa dell’intermediario, le misure di sicurezza relative ai supporti tecnologi utilizzati, ulteriori misure di sicurezza.
Con riferimento al primo ambito di controllo, il comunicato dell’Agenzia delle Entrate ha individuato l’esistenza del DPS, la misura minima di sicurezza prevista, in relazione all’obbligo generale di protezione dei dati personali, dall’art. 34, comma 1, lett. g), e dall’Allegato B, punto 19, del Codice della privacy, per la cui redazione o aggiornamento era previsto il termine del 31 marzo di ogni anno. L’obbligatorietà di tale misura è stata soppressa ad opera del DL 5/2012.
Come già evidenziato (si veda “Nei controlli Privacy per gli intermediari Entratel, il DPS può essere ancora utile” del 26 luglio 2012), nonostante ciò, se redatto correttamente, il DPS potrebbe rappresentare uno strumento utile per tenere sotto controllo l’adozione di tutte le misure di sicurezza così come richiesto dall’Agenzia. Ove, infatti, molti dei capitoli in esso compresi fanno proprio riferimento alle procedure di sicurezza oggetto di controllo degli Auditor.
Il disegno di legge segue altri recenti interventi di semplificazione, fra i quali si segnala:
- il DL 201/2011, che ha limitato l’ambito di applicazione del Codice della privacy,
- il DL 5/2012, che ha abrogato l’obbligo di redazione o aggiornamento del Documento Programmatico sulla Sicurezza (DPS) e
- il DLgs. 69/2012, con il quale sono state recepite nel nostro ordinamento le direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE, in materia di reti e servizi di comunicazione elettronica, e del regolamento (CE) n. 2006/2004, sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
Con il Ddl. (art. 17), in primo luogo, ai sensi del nuovo comma 3-bis dell’art. 5 del Codice, verrebbe escluso dall’ambito di applicazione del Codice della privacy il trattamento dei dati personali “di chi agisce nell’esercizio dell’attività di impresa, anche individuale”. Tale deroga era già stata prevista per le imprese gestite in forma societaria dall’art. 40, comma 2, del DL 201/2011 che ha, in particolare, modificato l’art. 4, comma 1, del Codice, ai sensi del quale per “dato personale” si intende esclusivamente qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero d’identificazione personale (lett. b) e per “interessato”, la persona fisica cui si riferiscono i dati personali (lett. i).
Inoltre, verrebbe sostituito l’art. 36 del Codice della privacy, che affida ad apposito decreto interministeriale l’adeguamento del disciplinare tecnico di cui all’Allegato Bal Codice, relativo alle misure minime di sicurezza (da parte del Ministro della Giustizia, di concerto con il Ministro per la Pubblica amministrazione e la semplificazione, previo parere del Garante e sentite le associazioni rappresentative a livello nazionale delle categorie economiche coinvolte). Verrebbe, poi, introdotta la possibilità di definire, con lo stesso decreto, modalità semplificate di adozione delle misure minime in caso di trattamenti effettuati, in particolare, presso piccole e medie imprese, liberi professionisti e artigiani.
Con riferimento ai liberi professionisti, si potrebbe sollevare la questione dell’applicabilità dell’art. 17 del Ddl. anche agli stessi. Proprio il fatto che nelle modifiche all’art. 36 si parli espressamente di “liberi professionisti” in aggiunta a “piccole e medie imprese”, potrebbe far propendere per l’esclusione dalla “nozione” di “impresa” anche di tale categoria. In tale accezione, allora, i professionisti resterebbero soggetti alla normativa di tutela dei dati personali, e, in particolare, anche in quanto incaricati della trasmissione delle dichiarazioni.
A tal proposito, si ricorda che L’Agenzia delle Entrate, con il comunicato del 3 agosto 2011, inviato ai CAF e agli altri intermediari abilitati al canale Entratel, aveva reso noto l’avvio, a partire dal secondo semestre 2011, di nuovi e più articolati controlli, segnalando, tra le conseguenze in caso di irregolarità riscontrate, la revoca dell’abilitazione al canale Entratel. Le operazioni di verifica riguardano in generale l’adozione, da parte degli intermediari, di tutte le cautele necessarie a proteggere i dati personali e sensibili di cui vengono a conoscenza nello svolgimento della propria attività. Nello specifico, sono tre i settori d’intervento: la struttura organizzativa dell’intermediario, le misure di sicurezza relative ai supporti tecnologi utilizzati, ulteriori misure di sicurezza.
Con riferimento al primo ambito di controllo, il comunicato dell’Agenzia delle Entrate ha individuato l’esistenza del DPS, la misura minima di sicurezza prevista, in relazione all’obbligo generale di protezione dei dati personali, dall’art. 34, comma 1, lett. g), e dall’Allegato B, punto 19, del Codice della privacy, per la cui redazione o aggiornamento era previsto il termine del 31 marzo di ogni anno. L’obbligatorietà di tale misura è stata soppressa ad opera del DL 5/2012.
Come già evidenziato (si veda “Nei controlli Privacy per gli intermediari Entratel, il DPS può essere ancora utile” del 26 luglio 2012), nonostante ciò, se redatto correttamente, il DPS potrebbe rappresentare uno strumento utile per tenere sotto controllo l’adozione di tutte le misure di sicurezza così come richiesto dall’Agenzia. Ove, infatti, molti dei capitoli in esso compresi fanno proprio riferimento alle procedure di sicurezza oggetto di controllo degli Auditor.
Nessun commento:
Posta un commento