Semplificazioni Privacy

  • Published on
    02-Jul-2015

  • View
    46

  • Download
    0

Embed Size (px)

DESCRIPTION

Addio DPS? Qual il vero significato delle ultimissime semplificazioni?

Transcript

<ul><li> 1. Semplificazioni Privacy: Addio DPS?Qual il vero significato delleultimissime semplificazioni?diMassimo Farinamassimo@massimofarina.ithttp://www.massimofarina.ithttp://www.diricto.it</li></ul><p> 2. Le modifiche dellultimo annoD.L. 70/2011 conv. L. 106/2011 - DECRETO SVILUPPOD.L. 201/2011conv. L. 214/2011 - DECRETO SALVA ITALIAMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it2D.L. 5/2012 - DECRETO SEMPLIFICAZIONI 3. MODIFICHE DEL DECRETO SVILUPPO comma 3-bis aggiunto allart. 5;Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it3 comma 1-bis dellart. 34; modifica lart. 13; Modifica art. 24; nuova lettera i-ter dellart. 24; comma 3 dellart. 26 del Codice, nuova lettera b-bis art. 130, comma 3-bis. 4. Il nuovo comma 3-bisaggiunto allart. 5 prevede che:Il trattamento dei dati personali relativi a persone giuridiche,imprese, enti o associazioni effettuato nellambito di rapportiintercorrenti esclusivamente tra i medesimi soggetti per leMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it4finalit amministrativo-contabili, come definite allarticolo 34,comma 1-ter, non soggetto allapplicazione del presentecodiceRISULTATO: la protezione della riservatezza deidati personali limitata alle persone fisiche e nontrova applicazione nei rapporti tra imprese, chepossono essere trattati senza vincoli, purch sitratti di trattamenti per le normali finalitamministrativo-contabili.ELIMINATOD.L. 201/2011 5. OSSERVAZIONEQuesta limitazione lasciava, certamente, qualche perplessit inquanto non considerava che limpresa (o, in generale, la personagiuridica) possa assumere il ruolo di interessato al trattamento eMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it5non soltanto di titolare. Se, infatti, vero che potrebbe essereritenuto comodo, per limpresa che tratta dati altrui (cio titolare)beneficiare di uno snellimento degli adempimenti (spesso pesanti),non vale altrettanto quando quellimpresa necessita di tutela per iltrattamento dei suoi dati da parte di altro titolare, che potrebbeanche abusarne. 6. Nuovo comma 5-bis dellart. 13 (informativa)Linformativa di cui al comma 1 non dovuta in caso diricezione di curricula spontaneamente trasmessi dagliinteressati ai fini delleventuale instaurazione di un rapporto dilavoro. Al momento del primo contatto successivo allinvio delcurriculum, il titolare tenuto a fornire allinteressato, ancheMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it6oralmente, una informativa breve contenente almeno gli elementidi cui al comma 1, lettere a), d) ed f)RISULTATO: soltanto in un momento successivo a quello in cui ci sar unprimo contatto, il titolare del trattamento (per esempio lazienda checonvoca linteressato), anche durante il colloquio con il candidato, sartenuto a fornire gli elementi dellinformativa previsti dallart. 13 7. OSSERVAZIONEAl momento del contatto (per esempio in caso di convocazione per uncolloquio), successivo allinvio del curriculum, il titolare tenuto a fornireuninformativa breve contenente almeno i seguenti punti:finalit e modalit del trattamento;Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it7- - soggetti che possono venire a conoscenza dei dati in quantoresponsabili o incaricati del trattamento e ambito di diffusione dei dati;- indicazione delle modalit per conoscere lidentit di tutti i responsabilidel trattamento.Non prevista lindicazione dei diritti dellinteressato!!!!!! 8. Modifica allart. 24 lett. i-bis)Introduce lesclusione dellobbligo del consenso per iltrattamento dei dati dei curricula ricevutiallart. 24, dopo la lettera i) aggiunta la lettera i-bis)Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it8che prevede che il trattamento dei dati comuni puessere effettuato senza consenso quando riguardadati contenuti nei curricula, nei casi di cui allarticolo13, comma 5-bis 9. Nuova lettera i-ter dellart. 24 (gruppi societari)il trattamento dei dati comuni non necessita di consenso (fermorestando lobbligo di rilasciare idonea informativa agliinteressati) quando:[] riguarda la comunicazione di dati [] tra societ, enti oassociazioni con societ controllanti, controllate o collegate []Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it9ovvero con societ sottoposte a comune controllo, nonch traconsorzi, reti di imprese e raggruppamenti e associazionitemporanei di imprese con i soggetti ad essi aderenti, per lefinalit amministrativo contabili, come definite allarticolo 34,comma 1-ter, e purch queste finalit siano previsteespressamente con determinazione resa nota agli interessatiallatto dellinformativa di cui allarticolo 13 10. Art. 26, comma 3 nuova lettera b-bislobbligo di consenso scritto per il trattamento deidati sensibili non si applica al trattamento dei daticontenuti nei curricula, nei casi di cui allarticolo 13,Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it10comma 5-bisRISULTATO: Lesonero dallobbligo del consenso riguarda anche idati sensibili contenuti nei curriculaNOTA: confermato lobbligo di consenso scritto per tutti gli altricasi in cui si trattano dati sensibili 11. Modifica al comma 1-bis dellart. 34(gi modificato dalle semplificazioni introdotte con il D.L. n. 112/2008, convertitonella legge n. 133/08)Ai fini dellapplicazione delle disposizioni in materia di protezione dei datipersonali, i trattamenti effettuati per finalit amministrativo-contabili sono quelliconnessi allo svolgimento delle attivit di natura organizzativa, amministrativa,finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare,perseguono tali finalit le attivit organizzative interne, quelle funzionalialladempimento di obblighi contrattuali e precontrattuali, alla gestione del rapportodi lavoro in tutte le sue fasi, alla tenuta della contabilit e allapplicazione dellenorme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene esicurezza sul lavoro.Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it11RISULTATO: non sono pi necessarie informativee richieste di consenso se si trattano datipersonali relativi a persone giuridiche,esclusivamente per finalit amministrativo-contabili,nel senso chiarito dalla nuova norma.ELIMINATOD.L. 5/2012 12. Modifica allart. 130, comma 3-bis (MARKETING CARTACEO)In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cuiall'articolo 129, comma 1, mediante l'impiego del telefono e della postacartacea per le finalit di cui allarticolo 7, comma 4, lettera b), consentitonei confronti di chi non abbia esercitato il diritto di opposizione, conmodalit semplificate e anche in via telematica, mediante liscrizione dellanumerazione della quale intestatario e degli altri dati personali di cuiMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it12all'articolo 129, comma 1, in un registro pubblico delle opposizioni.RISULTATO: estende anche agli indirizzi postali tradizionali il regime dellopt-out di recenteintrodotto in materia di trattamento dei numeri telefonici degli abbonati per lesercizio delmarketing telefonico.Quindi anche per il marketing fatto per posta vale il registro delle opposizioni e gli operatoridi marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenutinellelenco telefonico per finalit promozionali senza bisogno di chiedere il consenso allasola condizione che questi ultimi non abbiano richiesto liscrizione del proprio numerotelefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dallaL. n. 166/09 e gestito dalla Fondazione Ugo Bordoni. 13. MODIFICHE DEL DECRETO SALVA ITALIAMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it13 articolo 4, comma 1, alla lettera b) articolo 4, comma 1, alla lettera i) comma 3-bis dellarticolo 5 [abrogato] comma 4, dellarticolo 9 [ultimo periodo soppresso] lettera h) del comma 1 dellarticolo 43 [soppressa] 14. Definizione di dato personaleComprende soltanto le informazioni riferite allepersone fisiche e non pi anche alle personegiuridiche, enti o associazioniMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it14Definizione di interessato soltanto la persona fisica e non pi anche allepersone giuridiche, enti o associazioni 15. OSSERVAZIONEI riferimenti alle persone giuridiche non sono completamente spariti La persona giuridica conserva la qualit di Titolare eResponsabileMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it15 La persona giuridica conserva la qualit di AbbonatoViene a delinearsi, cos, una posizione anomala per le persone giuridiche(e per gli enti in generale), le quali, da una parte, non possono piconsiderarsi soggetti interessati e dallaltra conservano il ruolo diabbonati, con la conseguente difficolt di accedere alla tutela per gliabbonati che non siano anche interessati 16. MODIFICHE DEL DECRETO LIBERALIZZAZIONIMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it16 articolo 34, comma 1, lettera g)SPARISCE IL DPS 17. D.L. 5/2012 - DECRETO SEMPLIFICAZIONI stato definitivamenteeliminato ladempimentotanto odiato dalle impreseMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it17DPSpredisposizione eallaggiornamento delDocumento Programmaticosulla Sicurezza(art. 34, comma 1, lett. g) 18. Sparisce la forma ma persiste la sostanzaTutti gli adempimenti chedovevano essere annotati nelDPS continuano ad esistereMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it18DPSOggi, dove si annotano ? 19. Controlli pi faticosi?????Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it19 20. Disposizioni abrogateArt. 34. Trattamenti con strumenti elettronici1. Il trattamento di dati personali effettuato con strumenti elettronici consentito solo sesono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), leseguenti misure minime:[]g) tenuta di un aggiornato documento programmatico sulla sicurezza[]1-bis. Ai fini dellapplicazione delle disposizioni in materia di protezione dei datipersonali, i trattamenti effettuati per finalit amministrativo-contabili sono quelli connessiallo svolgimento delle attivit di natura organizzativa, amministrativa, finanziaria econtabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono talifinalit le attivit organizzative interne, quelle funzionali alladempimento di obblighicontrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, allatenuta della contabilit e allapplicazione delle norme in materia fiscale, sindacale,previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.;Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it20 21. Disposizioni abrogateAllegato b) - Documento programmatico sulla sicurezza19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziariredige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezzacontenente idonee informazioni riguardo:19.1. l'elenco dei trattamenti di dati personali;Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it2119.2. la distribuzione dei compiti e delle responsabilit nell'ambito delle strutture preposte altrattamento dei dati;19.3. l'analisi dei rischi che incombono sui dati;19.4. le misure da adottare per garantire l'integrit e la disponibilit dei dati, nonch la protezionedelle aree e dei locali, rilevanti ai fini della loro custodia e accessibilit;19.5. la descrizione dei criteri e delle modalit per il ripristino della disponibilit dei dati in seguito adistruzione o danneggiamento di cui al successivo punto 23; 22. Disposizioni abrogateAllegato b) - Documento programmatico sulla sicurezza19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischiche incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili delladisciplina sulla protezione dei dati personali pi rilevanti in rapporto alle relative attivit, delleresponsabilit che ne derivano e delle modalit per aggiornarsi sulle misure minime adottate daltitolare. La formazione programmata gi al momento dell'ingresso in servizio, nonch inMassimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it22occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevantirispetto al trattamento di dati personali;19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezzain caso di trattamenti di dati personali affidati, in conformit al codice, all'esterno della struttura deltitolare;19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri datipersonali dell'interessato 23. Disposizioni abrogateAllegato b) - Misure di tutela e garanzia26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, sedovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sullasicurezza.Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it23 24. Disposizioni residueArt. 34. Trattamenti con strumenti elettronici1. Il trattamento di dati personali effettuato con strumenti elettronici consentito solo sesono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), leseguenti misure minime:a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito aisingoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, adaccessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino delladisponibilit dei dati e dei sistemi;Massimo Farina - massimo@massimofarina.ithttp://www.massimofarina.it - http://www.diricto.it24 25. Disposizioni residueArt. 34. Trattamenti con strumenti elettronicig) [ABROGATO]h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti didati idonei a rivelare lo stato di salut...</p>