Smau Roma 2012 Massimo Farina

27
Semplificazioni Privacy: Addio DPS? Qual è il vero significato delle ultimissime semplificazioni? ultimissime semplificazioni? di Massimo Farina [email protected] http://www.massimofarina.it http://www.diricto.it

description

Semplificazioni Privacy: Addio DPS?Qual è il vero significato delleultimissime semplificazioni?

Transcript of Smau Roma 2012 Massimo Farina

Page 1: Smau Roma 2012 Massimo Farina

Semplificazioni Privacy: Addio DPS? Qual è il vero significato delle ultimissime semplificazioni? ultimissime semplificazioni?

di

Massimo Farina

[email protected]

http://www.massimofarina.it

http://www.diricto.it

Page 2: Smau Roma 2012 Massimo Farina

Le modifiche dell’ultimo anno

D.L. 70/2011 conv. L. 106/2011 - “DECRETO SVILUPPO”

D.L. 201/2011conv. L. 214/2011 - “DECRETO SALVA ITALIA”

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it2

D.L. 201/2011conv. L. 214/2011 - “DECRETO SALVA ITALIA”

D.L. 5/2012 - “DECRETO SEMPLIFICAZIONI”

Page 3: Smau Roma 2012 Massimo Farina

� comma3-bis aggiuntoall’art . 5;

MODIFICHE DEL “DECRETO SVILUPPO”

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it3

� comma3-bis aggiuntoall’art . 5;� comma 1-bis dell’art. 34;� modifica l’art. 13;� Modifica art. 24;� nuova lettera i-ter dell’art. 24;� comma 3 dell’art. 26 del Codice, nuova lettera b-bis� art. 130, comma 3-bis.

Page 4: Smau Roma 2012 Massimo Farina

aggiunto all’art. 5 prevede che:“Il trattamento dei dati personali relativi a persone giuridiche,imprese, enti o associazioni effettuato nell’ambito di rapportiintercorrenti esclusivamente tra i medesimi soggetti per le

Il nuovo comma 3-bis

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it4

intercorrenti esclusivamente tra i medesimi soggetti per lefinalità amministrativo-contabili, come definite all’articolo 34,comma 1-ter, non è soggetto all’applicazione del presentecodice”

RISULTATO: la protezione della riservatezza deidati personali è limitata alle persone fisiche e nontrova applicazione nei rapporti tra imprese, chepossono essere trattati senza vincoli, purchè sitratti di trattamenti per le normali finalitàamministrativo-contabili.

ELIMINATOD.L. 201/2011

Page 5: Smau Roma 2012 Massimo Farina

Questa limitazione lasciava, certamente, qualche perplessità inquanto non considerava che l’impresa (o, in generale, la personagiuridica) possa assumere il ruolo di interessato al trattamento e

OSSERVAZIONE

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it5

giuridica) possa assumere il ruolo di interessato al trattamento enon soltanto di titolare. Se, infatti, è vero che potrebbe essereritenuto comodo, per l’impresa che tratta dati altrui (cioè titolare)beneficiare di uno snellimento degli adempimenti (spesso pesanti),non vale altrettanto quando quell’impresa necessita di tutela per iltrattamento dei suoi dati da parte di altro titolare, che potrebbeanche abusarne.

Page 6: Smau Roma 2012 Massimo Farina

“ L’informativa di cui al comma 1 non è dovuta in caso diricezione di curricula spontaneamente trasmessi dagliinteressati ai fini dell’eventuale instaurazione di un rap porto dilavoro. Al momento del primo contatto successivo all’invio delcurriculum, il titolare è tenuto a fornire all’interessato, anche

Nuovo comma 5-bis dell’art. 13 (informativa)

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it6

curriculum, il titolare è tenuto a fornire all’interessato, ancheoralmente, una informativa breve contenente almeno gli ele mentidi cui al comma 1, lettere a), d) ed f) ”

RISULTATO: soltanto in un momento successivo a quello in cui ci sarà unprimo contatto, il titolare del trattamento (per esempio l’ azienda checonvoca l’interessato), anche durante il colloquio con il c andidato, saràtenuto a fornire gli elementi dell’informativa previsti da ll’art. 13

Page 7: Smau Roma 2012 Massimo Farina

Al momento del contatto (per esempio in caso di convocazione per un colloquio), successivo all’invio del curriculum, il titolare è tenuto a fornire un’informativa breve contenente almeno i seguenti punti:

finalità e modalità del trattamento;

OSSERVAZIONE

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it7

- finalità e modalità del trattamento;- soggetti che possono venire a conoscenza dei dati i n quanto responsabili o incaricati del trattamento e ambito di diffusione dei dati;- indicazione delle modalità per conoscere l’identità di tutti i responsabili del trattamento.

Non è prevista l’indicazione dei diritti dell’inter essato!!!!!!

Page 8: Smau Roma 2012 Massimo Farina

Introduce l’esclusione dell’obbligo del consenso per iltrattamento dei dati dei curricula ricevuti

“all’art . 24, dopo la lettera i) è aggiunta la lettera i-bis)

Modifica all’art. 24 – lett. i-bis)

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it8

“all’art . 24, dopo la lettera i) è aggiunta la lettera i-bis)che prevede che il trattamento dei dati comuni puòessere effettuato senza consenso quando riguardadati contenuti nei curricula, nei casi di cui all’articolo13, comma 5-bis ”

Page 9: Smau Roma 2012 Massimo Farina

il trattamento dei dati comuni non necessita di consenso (fe rmorestando l’obbligo di rilasciare idonea informativa agliinteressati) quando:

“[…] riguarda la comunicazione di dati […] tra società, enti oassociazioni con società controllanti, controllate o collegate […]

Nuova lettera i-ter dell’art. 24 (gruppi societari)

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it9

associazioni con società controllanti, controllate o collegate […]ovvero con società sottoposte a comune controllo, nonché tr aconsorzi, reti di imprese e raggruppamenti e associazionitemporanei di imprese con i soggetti ad essi aderenti, per lefinalità amministrativo contabili, come definite all’art icolo 34,comma 1-ter, e purché queste finalità siano previsteespressamente con determinazione resa nota agli interessa tiall’atto dell’informativa di cui all’articolo 13

Page 10: Smau Roma 2012 Massimo Farina

l’obbligo di consenso scritto per il trattamento deidati sensibili non si applica al trattamento “ dei daticontenuti nei curricula, nei casi di cui all’articolo 13,

Art. 26, comma 3 nuova lettera b-bis

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it10

contenuti nei curricula, nei casi di cui all’articolo 13,comma 5-bis ”

RISULTATO: L’esonero dall’obbligo del consenso riguarda a nche idati sensibili contenuti nei curricula

NOTA: è confermato l’obbligo di consenso scritto pe r tutti gli altri casi in cui si trattano dati sensibili

Page 11: Smau Roma 2012 Massimo Farina

(già modificato dalle semplificazioni introdotte con il D.L . n. 112/2008, convertitonella legge n. 133/08)

“ Ai fini dell’applicazione delle disposizioni in materia di p rotezione dei datipersonali, i trattamenti effettuati per finalità amminist rativo-contabili sono quelliconnessi allo svolgimento delle attività di natura organizza tiva, amministrativa,finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare,perseguono tali finalità le attività organizzative interne, quelle funzionali

Modifica al comma 1-bis dell’art. 34

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it11

perseguono tali finalità le attività organizzative interne, quelle funzionaliall’adempimento di obblighi contrattuali e precontrattua li, alla gestione del rapportodi lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione dellenorme in materia fiscale, sindacale, previdenziale-assist enziale, di salute, igiene esicurezza sul lavoro ”.

RISULTATO: non sono più necessarie informativee richieste di consenso se si trattano datipersonali relativi a persone giuridiche,esclusivamente per finalità amministrativo-contabili, nel senso chiarito dalla nuova norma.

ELIMINATOD.L. 5/2012

Page 12: Smau Roma 2012 Massimo Farina

Modifica all’art. 130, comma 3-bis (MARKETING CARTA CEO)

“In deroga a quanto previsto dall'articolo 129, il trattamen to dei dati di cuiall'articolo 129, comma 1, mediante l'impiego del telefono e della postacartacea per le finalità di cui all’articolo 7, comma 4, lett era b), è consentitonei confronti di chi non abbia esercitato il diritto di oppos izione, conmodalità semplificate e anche in via telematica, mediante l ’iscrizione dellanumerazione della quale è intestatario e degli altri dati personali di cui

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it12

numerazione della quale è intestatario e degli altri dati personali di cuiall'articolo 129, comma 1, in un registro pubblico delle opp osizioni”.

RISULTATO: estende anche agli indirizzi postali tradizion ali il regime dell’opt-out di recenteintrodotto in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio delmarketing telefonico.

Quindi anche per il marketing fatto per posta vale il registr o delle opposizioni e gli operatoridi marketing diretto potranno utilizzare anche gli indiriz zi degli abbonati contenutinell’elenco telefonico per finalità promozionali senza bi sogno di chiedere il consenso allasola condizione che questi ultimi non abbiano richiesto l’i scrizione del proprio numerotelefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dallaL. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.

Page 13: Smau Roma 2012 Massimo Farina

MODIFICHE DEL “DECRETO SALVA ITALIA”

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it13

� articolo 4, comma 1, alla lettera b)� articolo 4, comma 1, alla lettera i)� comma 3-bis dell’articolo 5 [abrogato]� comma 4, dell’articolo 9 [ultimo periodo è soppresso]� lettera h) del comma 1 dell’articolo 43 [soppressa]

Page 14: Smau Roma 2012 Massimo Farina

Comprende soltanto le informazioni riferite allepersone fisiche e non più anche alle personegiuridiche, enti o associazioni

Definizione di “dato personale”

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it14

Definizione di “interessato”

È soltanto la persona fisica e non più anche allepersone giuridiche, enti o associazioni

Page 15: Smau Roma 2012 Massimo Farina

I riferimenti alle persone giuridiche non sono completamente spariti

OSSERVAZIONE

� La persona giuridica conserva la qualità di “Titolare” e“Responsabile”

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it15

“Responsabile”� La persona giuridica conserva la qualità di “Abbonato”

Viene a delinearsi, così, una posizione anomala per le perso ne giuridiche(e per gli enti in generale), le quali, da una parte, non posso no piùconsiderarsi soggetti “ interessati ” e dall’altra conservano il ruolo di“ abbonati ”, con la conseguente difficoltà di accedere alla tutela per gliabbonati che non siano anche “interessati”

Page 16: Smau Roma 2012 Massimo Farina

MODIFICHE DEL “DECRETO LIBERALIZZAZIONI”

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it16

� articolo 34, comma 1, lettera g)SPARISCE IL DPS

Page 17: Smau Roma 2012 Massimo Farina

È stato definitivamente eliminato l’adempimento

tanto odiato dalle imprese

D.L. 5/2012 - “DECRETO SEMPLIFICAZIONI”

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it17

DPSpredisposizione e

all’aggiornamento del Documento Programmatico

sulla Sicurezza(art. 34, comma 1, lett. g)

Page 18: Smau Roma 2012 Massimo Farina

Sparisce la forma ma persiste la sostanza

Tutti gli adempimenti che dovevano essere annotati nel DPS continuano ad esistere

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it18

DPS

Oggi, dove si annotano ?

Page 19: Smau Roma 2012 Massimo Farina

Controlli più faticosi?????

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it19

Page 20: Smau Roma 2012 Massimo Farina

Disposizioni abrogate

Art. 34. Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo sesono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), leseguenti misure minime:[…]g) “tenuta di un aggiornato documento programmatico sulla sicurezza”

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it20

g) “tenuta di un aggiornato documento programmatico sulla sicurezza”[…]1-bis. “Ai fini dell’applicazione delle disposizioni in materia di protezione dei datipersonali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessiallo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria econtabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono talifinalità le attività organizzative interne, quelle funzionali all’adempimento di obblighicontrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, allatenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale,previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.;

Page 21: Smau Roma 2012 Massimo Farina

Disposizioni abrogateAllegato b) - Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it21

19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;

19.3. l'analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

Page 22: Smau Roma 2012 Massimo Farina

Disposizioni abrogate

Allegato b) - Documento programmatico sulla sicurezza

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it22

titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato

Page 23: Smau Roma 2012 Massimo Farina

Disposizioni abrogate

Allegato b) - Misure di tutela e garanzia

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it23

sicurezza.

Page 24: Smau Roma 2012 Massimo Farina

Disposizioni residue

Art. 34. Trattamenti con strumenti elettronici

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo sesono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), leseguenti misure minime:

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it24

a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito aisingoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, adaccessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino delladisponibilità dei dati e dei sistemi;

Page 25: Smau Roma 2012 Massimo Farina

Disposizioni residueArt. 34. Trattamenti con strumenti elettronici

g) [ABROGATO]

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it25

1-bis. [ABROGATO]

1-ter.(1) Ai fini dell'applicazione delle disposizioni in materia di protezione dei datipersonali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessiallo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria econtabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono talifinalità le attività organizzative interne, quelle funzionali all'adempimento di obblighicontrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, allatenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale,previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.

Page 26: Smau Roma 2012 Massimo Farina

Grazie per lGrazie per lGrazie per lGrazie per l’attenzioneattenzioneattenzioneattenzione

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it 26

Massimo Farina

[email protected]

http://www.massimofarina.it

http://www.diricto.it

Page 27: Smau Roma 2012 Massimo Farina

Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5

Tu sei libero di riprodurre, distribuire, comunicare al pub blico, esporre in pubblico,rappresentare, eseguire o recitare l'opera, di creare oper e derivate alle seguenticondizioni :

LICENZA

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it 27

condizioni :

• Attribuzione. Devi riconoscere il contributo dell'autore originario.• Non commerciale. Non puoi usare quest’opera per scopi commerciali.• Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera

risultante solo per mezzo di una licenza identica a questa.

� In occasione di ogni atto di riutilizzazione o distribuzion e, devi chiarire agli altri itermini della licenza di quest’opera.

� Se ottieni il permesso dal titolare del diritto d'autore, è p ossibile rinunciare adognuna di queste condizioni.

� Le tue utilizzazioni libere e gli altri diritti non sono in ne ssun modo limitati daquanto sopra