News

Privacy: niente più obbligo del DPS in presenza di certi requisiti

Con l'art. 29 del decreto legge nr. 112 del 25/06/2008 sono state introdotte ulteriori misure di semplificazione destinate ai soggetti che trattano esclusivamente dati personali non sensibili, quando l'unico dato sensibile di cui entrano in possesso è quello relativo allo stato di salute o di malattia dei propri dipendenti.

Queste misure, che in pratica interessano una larga fetta di piccole e medie imprese e datori di lavoro, sono inserite in un nuovo comma (1-bis) dell'articolo 34 del codice della privacy (D.Lgs. 196/2003).

La principale novità è data dall'abolizione dell'obbligo di tenere un aggiornato documento programmatico della sicurezza e dalla sua sostituzione con una autocertificazione, resa ai sensi dell'art. 47 del D.P.R 445/2000, con la quale il titolare dovrà dichiarare di:
  1. trattare solo dati personali non sensibili
  2. essere in possesso dei soli dati sensibili, relativi allo stato di salute o malattia dei propri dipendenti, senza indicazione della relativa diagnosi
  3. trattare, comunque, questi dati nell'osservanza delle misure di sicurezza previste dal codice e dall'allegato B.
A scanso di equivoci e di pericolose sottovalutazioni è bene ribadire che:
  1. l'obbligo del DPS decade soltanto in presenza dei requisiti indicati (dati relativi allo stato di malattia), mentre in presenza anche di un solo altro dato sensibile di natura differente (ad es. quelli relativi all'adesione ad organizzazioni sindacali) tutto rimane come prima;
  2. non viene meno l'obbligo di applicare le altre misure di sicurezza previste;
  3. l'autocertificazione non è un semplice adempimento burocratico, poichè in caso di false attestazioni (ad es. sulla natura dei dati trattati e/o sull'osservanza delle misure di sicurezza) comporta una responsabilità da parte del titolare dei dati;
Lo stesso decreto prevede che, entro due mesi dall'entrata in vigore della legge di conversione, sarà aggiornato il disciplinare tecnico del codice della privacy in modo da prevedere delle misure semplificate per la redazione del DPS, in favore di coloro che trattano dati personali per le sole finalità amministrative e contabili.

Nel caso in cui tali ulteriore misure non verranno adottate nei termine previsti, tutti coloro che trattano dati personali per le sole finalità amministrative e contabili potranno beneficiare dell'esenzione dall'obbligo di redazione del DPS.

Complessivamente queste ulteriore misure si possono quindi già ricollegare alle semplificazioni per i trattamenti con finalità amministrative e contabili definite recentemente dal garante.

Infine, per concludere, il decreto contiene anche la seguente modifica del comma 2° dell'art. 38 del codice della privacy (Modalità di notifica):

La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:

1) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche' di un responsabile del trattamento se designato;
2) la o le finalita' del trattamento;
3) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
4) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
5) i trasferimenti di dati previsti verso Paesi terzi;
6) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
Trattamenti per finalità amministrative e contabili: la semplificazione voluta dal garante

Sulla base di una esigenza avvertita dagli operatori, il garante della privacy è tornato a pronunciarsi sul tema delle possibili misure di semplificazione del trattamento dei dati personali da parte delle piccole e medie imprese, sia pubbliche che private, dei liberi professionisti e degli artigiani.

Dopo una fase istruttoria, dalla quale sono emerse alcune evidenti distorsioni burocratiche nell'applicazione del codice della privacy, l'autorità ha ritenuto di emettere un apposito provvedimento nel quale sono state individuate soluzioni concrete per agevolare ulteriormente l'ordinaria attività di gestione amministrativa e contabile, in particolare per i casi in cui i dati trattati non sono di carattere sensibile o giudiziario.

Le misure proposte riguardano soprattutto l'informativa, in relazione alla quale i soggetti destinatari sono invitati a:
  1. fornire agli interessati un unica informativa in cui, con linguaggio semplice e senza inutili ripetizioni o frammentazioni, venga effettuata una ricostruzione dell'insieme dei trattamenti, con l'indicazione delle informazioni essenziali nell'ambito della lealtà e correttezza
  2. redigere, se possibile, una prima informativa breve in cui si chiariscono sinteticamente le caratteristiche essenziali del trattamento (tale informativa può essere realizzata sfruttando gli spazi bianchi normalmente presenti nel materiale cartaceo e nella corrispondenza)
  3. prevedere una informativa più articolata, richiamabile da quella breve e disponibile, agevolmente e senza oneri, per gli interessati in luoghi e con modalità accessibili anche con strumenti informatici e telematici
  4. prevedere invece una informativa specifica quando il trattamento ha caratteristiche particolari
Dal punto di vista del consenso degli interessati, il garante ribadisce che esso non è necessario nel caso in cui il trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi normativi, precontrattuali o contrattuali, per finalità amministrative e contabili, o quando i dati sono estratti da registri pubblici o sono relativi allo svolgimento di attività economiche o trattati da trattati da un soggetto pubblico.

Un particolare bilanciamento degli interessi si attua, nel caso della vendita di prodotti o servizi, per il riutilizzo, senza consenso, del recapito di posta cartacea dell'interessato per finalità promozionali, di comunicazione commerciale o di ricerche, purchè vi siano le condizioni già previste dall'art. 130, comma 4, del codice con riferimento alla posta elettronica.

Alle competenti autorità di Governo è stata infine segnalata l'opportunità di modificare il Codice nella parte relativa alla disciplina delle misure minime di sicurezza e al documento programmatico, in modo da bilanciare le necessarie cautele di sicurezza dei dati e dei sistemi con l'esigenza di adattarle alle attività che, specie presso piccole e medie imprese, liberi professionisti e artigiani, vengono svolte in relazione a finalità di gestione amministrativa e contabile.

A tal fine è stata proposta l'aggiunta all'art. 33 di un ulteriore comma (1-bis) dal seguente contenuto: "Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all'adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani".
Elenchi dei contribuenti online: illegittima la pubblicazione
L'Autorità Garante per la privacy ha concluso l'istruttoria avviata sulla diffusione, tramite il sito web dell'Agenzia delle entrate, dei dati relativi alle dichiarazioni dei redditi dei contribuenti italiani.

Il Collegio nel ribadire quanto già sostenuto nel provvedimento con il quale aveva immediatamente invitato a sospendere la pubblicazione on line, ha stabilito che la modalità utilizzata dall'Agenzia è illegittima.

L'Agenzia delle entrate dovrà quindi far cessare definitivamente l'indiscriminata consultabilità, tramite il sito, dei dati relativi alle dichiarazioni dei redditi per l'anno 2005.

L'Autorità ha altresì specificato che va ritenuta illecita anche l'eventuale ulteriore diffusione dei dati dei contribuenti da parte di chiunque li abbia acquisiti, anche indirettamente, dal sito Internet dell'Agenzia. Tale ulteriore diffusione può esporre a conseguenze di carattere civile e penale.

Fonte: Autorità Garante della privacy (Redditi online: illegittima la diffusione dei dati sul sito Internet dell'agenza delle entrate).

By Stefano Bendandi
Stefano Bendandi
Powered by RSSlib

Proroga dei termini in materia di data retention [08.01.2008]

L'art. 34  del  decreto  legge 31  dicembre  2007,  nr. 248  ha  prorogato  fino al  31/12/2008  i  termini in  materia  di  data retention  di  cui  all'art. 6  del  decreto-legge  27 luglio  2005,  n.  144, convertito,  con  modificazioni, dalla  legge  31  luglio 2005,  n.  155.
Pertanto i  gestori  di  telefonia e  gli  Internet  Service Provider  dovranno  continuare  a conservare  i  dati del traffico telefonico etelematico anche oltre i  quattro  anni complessivi previsti dal codice della privacy.
Emendamento art. 70 della L.D.A [08.01.2008]

E'  stato recentemente  approvato  il disegno  di  legge  nr. 1861  che,  oltre  a riconoscere  alla  SIAE  la natura  di  ente  pubblico economico,  ha  emendato  l'art. 70  della  legge  22 aprile  1941,  nr.  633, e  successive  modificazioni, introducendo  il  comma  1-bis:

(Usi liberi  didattici  e  scientifici)
"È consentita  la  libera pubblicazione  attraverso  la rete    internet,  a titolo  gratuito,  di  immagini e  musiche  a  bassa risoluzione  o  degradate,  per uso  didattico  o  scientifico e  solo  nel   caso  in  cui  tale utilizzo  non  sia  a scopo  di  lucro.  Con  decreto del Ministro per i beni e le attività culturali, sentiti il  Ministro della pubblica istruzione e il Ministro dell'università e della ricerca, previo parere delle  Commissioni parlamentari competenti,  sono definiti  i limiti  all'uso  didattico o scientifico di  cui  al presente comma".

««« ««  1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | [...]  »» »»»

admin Powered by MyNews 1.2
-->