All’art. 6 comma 2 del decreto legge 13 maggio 2011, n. 70 convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, sono contenute alcune semplificazioni per le imprese al Codice per la Protezione dei Dati Personali, come segue.
Dlgs 196-2003 aggiornato al luglio 2011
a) al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
1) all’articolo 5 e’ aggiunto in fine il seguente comma:
“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalita’ amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non e’ soggetto all’applicazione del presente codice.”;
2) all’articolo 13, comma 5, e’ aggiunto in fine il seguente comma:
“5-bis. L’informativa di cui al comma 1 non e’ dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare e’ tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”;
3) all’articolo 24, comma 1, lettera g) le parole: “anche in riferimento all’attivita’ di gruppi bancari e di societa’ controllate o collegate” sono soppresse e dopo la lettera i) sono aggiunte le seguenti:
“i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis;
i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra societa’, enti o associazioni con societa’ controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con societa’ sottoposte a comune controllo, nonche’ tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalita’ amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purche’ queste finalita’ siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;
4) all’articolo 26, comma 3, dopo la lettera b) e’ aggiunta la seguente:
“b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.”;
5) all’articolo 34, il comma 1-bis e’ sostituito dai seguenti:
“1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza e’ sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonche’ a trattamenti comunque effettuati per correnti finalita’ amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalita’ semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.
1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalita’ amministrativo – contabili sono quelli connessi allo svolgimento delle attivita’ di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalita’ le attivita’ organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilita’ e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”;
6) all’articolo 130, comma 3-bis, dopo le parole: “mediante l’impiego del telefono” sono inserite le seguenti: “e della posta cartacea” e dopo le parole: “l’iscrizione della numerazione della quale e’ intestatario” sono inserite le seguenti: “e degli altri dati personali di cui all’articolo 129, comma 1,”;
b) allo scopo di rendere effettivamente trasparente l’azione amministrativa e di ridurre gli oneri informativi gravanti su cittadini e imprese:
1) le pubbliche amministrazioni di cui all’articolo 1, comma 2 del decreto legislativo 30 marzo 2001, n. 165, entro 90 giorni dall’entrata in vigore del presente decreto pubblicano sui propri siti istituzionali, per ciascun procedimento amministrativo ad istanza di parte rientrante nelle proprie competenze, l’elenco degli atti e documenti che l’istante ha l’onere di produrre a corredo dell’istanza. Dall’attuazione della presente disposizione non devono derivare nuovi o maggiori oneri per la finanza pubblica e le attivita’ ivi previste sono svolte nell’ambito delle risorse umane, finanziarie e strumentali previste in base alla legislazione vigente;
E’ bene precisare che per adempimenti amministrativo-contabili non si intende la gestione dei dati di potenziali clienti nella fase di offerta/preventivo se poi non si concretizza in un contratto/ordine! Per tali dati di persone giuridiche utilizzati a fini commerciali valgono ancora tutti gli adempimenti del Codice della Privacy.
Speriamo che le aziende che non avranno più l’obbligo di DPS non si limitino all’autocertificazione dimenticandosi le misure “minime” di sicurezza.