Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoNilda Valentino Modificato 10 anni fa
1
LE RECENTI SEMPLIFICAZIONI AL CODICE DELLA PRIVACY: ATTUAZIONE PRATICA IN AZIENDA Vicenza, 6 Ottobre 2011 Prof. Avv.. Alessandro del Ninno adelninno@tonucci.com
2
CONSIDERAZIONI INTRODUTTIVE
3
Nei mesi scorsi la normativa italiana sul trattamento dei dati personali ha subito rilevanti modifiche e aggiornamenti. Si va dal recente Decreto Sviluppo (decreto legge 13 maggio 2011 n. 70 convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106) – che ha introdotto alcune semplificazioni allimpianto del Codice della privacy - fino alla nuova disciplina sul trattamento dei dati personali per finalità di marketing effettuato tramite telefono o posta ordinaria (con le nuove norme – per luso del telefono – di modifica dellart. 130 del Codice della privacy e di attivazione del Registro delle Opposizioni prevista dal d.p.r. 178/2010 e quelle sul marketing postale contenute nel citato Decreto Sviluppo). Inoltre, anche il Garante è intervenuto con ladozione di alcuni Provvedimenti Generali di rilevante impatto organizzativo in azienda, come quello del 16.6.2011 sulloutsourcing delle attività di marketing (Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali).
4
SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE Art. 5 – comma 3-bis del Codice della privacy Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo - contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice. CHE COSA SIGNIFICA IN PRATICA?
5
SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE Intanto occorre delimitare con precisione il campo applicativo della semplificazione. Lintera disciplina sul trattamento dei dati personali (informative, consenso, misure di sicurezza, notificazione dei trattamenti, etc) è inapplicabile: A.ai dati delle persone giuridiche in quanto autonomamente considerati [più chiaramente, linteressato - così come definito dallart. 4, comma 1, lettara (i) del Codice della privacy è in questi casi la persona giuridica, lente o lassociazione cui si riferiscono i dati personali]
6
SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE B.ai dati delle persone giuridiche che siano oggetto di trattamento in forza di un già esistente rapportointercorrente esclusivamente tra le aziende interessate (casi di esclusione: ricerca potenziali fornitori, comunicazione di dati di un impresa ad altre imprese da parte di unazienda, etc); C. ai dati delle persone giuridiche che siano oggetto di trattamento per finalità amministrativo - contabili, come definite all'articolo 34, comma 1-ter.
7
DEFINIZIONE DI FINALITA AMMINISTRATIVO- CONTABILI Già il Garante aveva provato a dare una definizione difinalità amministrativo-contabili, allora normativamente assente, chiarendo nel Provvedimento del 19.6.2008 (Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili) che: Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti).
8
DEFINIZIONE DI FINALITA AMMINISTRATIVO- CONTABILI Ancora il Garante, aveva chiarito casi tipici di trattamenti dei dati personali per finalità amministrativo- contabili: trattamenti con strumenti elettronici finalizzati alla gestione dell'autoparco aziendale, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali (F.A.Q. 24 del Provvedimento 27.11.2008 in tema di amministratori di sistema).
9
DEFINIZIONE DI FINALITA AMMINISTRATIVO- CONTABILI Ora è invece lart. 34, comma 1-ter del Codice della privacy a fornire una definizione normativa (che era sistematicamente meglio inserire allart. 4): Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
10
LE FINALITA AMMINISTRATIVO-CONTABILI COME PRESUPPOSTO DI VARIE IPOTESI DI SEMPLIFICAZIONE Di seguito è riportato un elenco di casi in cui il perseguimento di finalità amministrativo-contabili è il presupposto ipotesi di semplificazione diverse tra loro: A. inapplicabilità del Codice della privacy ai dati delle persone giuridiche (art. 5-bis); B. Esclusione dellobbligo di richiedere il consenso allinteressato nello specifico caso di comunicazione (non di diffusione) di dati (di qualsiasi interessato) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e A.T.I. con i soggetti ad essi aderenti debitamente informati di tali finalità con l'informativa di cui all'articolo 13 [art. 24, comma 1, lettera i-ter)];
11
LE FINALITA AMMINISTRATIVO-CONTABILI COME PRESUPPOSTO DI VARIE IPOTESI DI SEMPLIFICAZIONE C. Autocertificazione in luogo del DPS e semplificazione delle modalità applicative del Disciplinare Tecnico sulle misure minime di sicurezza – Allegato B al Codice della privacy [art. 34, comma 1-bis)]; D. Applicazione delle misure pratiche di semplificazione contenute nel Provvedimento del Garante privacy del 19 Giugno 2008.
12
COSA NON SONO LE FINALITA AMMINISTRATIVO- CONTABILI Al di fuori dei casi di trattamento per finalità amministrativo-contabili, vengono meno le semplificazioni e – per le persone giuridiche – la totale inapplicabilità del Codice della privacy. Ciò può accadere : A. nel trattamento di dati personali a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (Marketing);
13
COSA NON SONO LE FINALITA AMMINISTRATIVO- CONTABILI B. nel trattamento dei dati personali per finalità organizzative esterne (es: trasferimento dei dati allestero in Paesi extra-UE); C. nel trattamento di dati personali per le valutazioni preventive di affidabilità di aziende clienti o fornitrici
14
SEMPLIFICAZIONI IN MATERIA DI DPS LAutocertificazione Lart. 34, comma 1-bis – che era stato già modificato del d.l. 112/2008 (che aveva inopinatamente limitato la semplificazione in materia di DPS al solo caso di esclusivo trattamento dei dati sanitari e sindacali di dipendenti e collaboratori – escludendo tutti gli altri dati sensibili e i dati giudiziari – prevede ora che: Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del d.p.r. 445/2000, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal codice e dal disciplinare tecnico contenuto nell'allegato B).
15
SEMPLIFICAZIONI IN MATERIA DI DPS I rischi connessi allautocertificazione Lautocertificazione sostitutiva deve essere sottoscritta dal titolare del trattamento (nel caso di società, dal rappresentante legale) e conservata presso la sede per essere esibita in caso di controlli, unitamente a fotocopia non autenticata di un documento di identità del sottoscrittore. Il beneficio dellautocertificazione tuttavia:
16
SEMPLIFICAZIONI IN MATERIA DI DPS I rischi connessi allautocertificazione A. non esonera dalladempimento degli altri obblighi in materia di sicurezza richiesti dal Codice (artt. 33 e seguenti) e dal disciplinare tecnico (Allegato B del Codice), per cui in caso di inosservanza delle restanti misure minime il titolare del trattamento sarà comunque tenuto a risponderne sul piano penale e amministrativo;
17
SEMPLIFICAZIONI IN MATERIA DI DPS I rischi connessi allautocertificazione B. le imprese che intendano sostituire la tenuta del D.P.S. aggiornato con il beneficio dellautocertificazione devono tener conto del concreto contesto di operatività aziendale, indagando circa la possibilità di svolgere attività di trattamento di dati personali sensibili diversi da quelli indicati allart. 34, comma 1-bis del Codice (dati sensibili e giudiziari di dipendenti, collaboratori, coniuge o parenti degli stessi) e, quindi, rilevante ai fini dellobbligo del D.P.S., al fine di non incorrere nelle conseguenze penali cui possono andare incontro i dichiaranti in caso di dichiarazioni mendaci (art. 483 c.p.).
18
SEMPLIFICAZIONI IN MATERIA DI DPS I rischi connessi allautocertificazione C. lautocertificazione deve essere comunque aggiornata in caso contenga dati non più rispondenti a verità «lesibizione della autocertificazione contenente dati non più rispondenti a verità equivale ad uso di atto falso» (art. 76, comma 2, D.P.R. 28 dicembre 2000, n. 445). D. infine, qualora intervengano variazioni in ordine alla tipologia dei dati utilizzati dal titolare, tali da far venir meno i presupposti dellautocertificazione, il titolare è tenuto a predisporre il D.P.S. per non incorrere in sanzioni penali.
19
SEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTI lart. 13, comma 5-bis del Codice della privacy prevede che linformativa non è più necessaria in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini delleventuale instaurazione di un rapporto di lavoro. Si è voluto tener conto del fatto che chi invia il curriculum per trovare lavoro certamente è disponibile allutilizzo dei dati in esso contenuti da parte dellimpresa a cui si indirizza. Linformativa dovrà essere fornita al candidato al momento del primo contatto successivo allinvio del curriculum. In questo caso il titolare può fornire allinteressato, anche oralmente, uninformativa breve che, in questo specifico caso, deve contenere: le finalità e le modalità del trattamento; i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati; gli estremi del titolare e del responsabile.
20
SEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTI (Consenso) Lart. 24 del Codice già stabiliva in proposito alcuni casi in cui il consenso dellinteressato non è necessario. Il decreto sviluppo è intervenuto ampliando dette cause di esclusione, ora il consenso non è più necessario anche: A. nelle comunicazioni di dati infra-gruppo tra società, enti o associazioni con società controllanti, controllate o collegate ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanee di - imprese con i soggetti ad essi aderenti per finalità amministrativo-contabili; B. nei trattamenti dei dati dei curricula ricevuti spontaneamente trasmessi dagli interessati ai fini delleventuale instaurazione di un rapporto di lavoro. Lesonero dal consenso riguarda dati comuni [art. 24, comma 1, lett. i-bis)] e sensibili eventualmente contenuti nei curricula stessi [art. 26, comma 3, lett. B-bis)].
21
SEMPLIFICAZIONE VS. COMPLICAZIONE Una tendenza in atto è quella del susseguirsi di tentativi di semplificazione normativa del Legislatore alla disciplina sul trattamento dei dati personali a cui corrisponde una proliferazione dei Provvedimenti Generali del Garante in vari settori dalla cui lettura emergono prescrizioni e adempimenti che appaiono addirittura ulteriori rispetto agli stessi vincoli contenuti nelle norme.
22
SEMPLIFICAZIONE VS. COMPLICAZIONE Esempi: la nomina del Responsabile del trattamento Da sempre – anche sotto il vigore della legge 675/96 – la nomina di uno o più responsabili del trattamento è non obbligatoria ma facoltativa. Eppure, la lettura di più di un Provvedimento Generale del Garante sembra far emergere un obbligo specifico di detta nomina, come ad esempio nel recente Provvedimento generale intitolato Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali del 15 giugno 2011:
23
SEMPLIFICAZIONE VS. COMPLICAZIONE Esempi: la nomina del Responsabile del trattamento Il Garante dispone che tutti i preponenti, che sono titolari del trattamento in quanto, ai sensi di cui in motivazione, svolgono le attività proprie di tale qualifica, procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le società ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice. (sanzione da 30 a 180mila Euro)
24
SEMPLIFICAZIONE VS. COMPLICAZIONE Esempi: gli ulteriori elementi obbligatori dellinformativa ex art. 13 del Codice della privacy Oltre agli elementi obbligatori contenuti nellart. 13 del Codice della privacy, si potrebbe incorrere nella sanzione di inidonea informativa (da 6 a 36mila Euro) anche nel caso di mancanza di taluni elementi informativi ulteriori previsti da vari provvedimenti del Garante, come: A. il provvedimento su email e Internet del 1° marzo 2007; B. il provvedimento sulla Videosorveglianza dell8 aprile 2010; C. il provvedimento sugli amministratori di sistema.
25
IL MARKETING DELLE AZIENDE Il sistema opt-out per il marketing telefonico e postale La versione da ultimo vigente dellart. 130, comma 3-bis del Codice della privacy prevede che: In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui all'articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1 in un registro pubblico delle opposizioni.
26
IL MARKETING DELLE AZIENDE Il Registro delle opposizioni In base al d.p.r. 178/2010, a partire dal 1 Febbario 2011 gli abbonati agli elenchi telefonici pubblici che non vogliono più ricevere chiamate dagli operatori per attività commerciali, promozionali o per il compimento di ricerche di mercato tramite luso del telefono o della posta cartacea, possono opporsi alle telefonate indesiderate iscrivendosi al Registro Pubblico delle Opposizioni. Rispetto al precedente impianto normativo basato sullopt- in – che non ammetteva il contatto telefonico o postale nei confronti di quanti non avessero preventivamente fornito il proprio consenso – il legislatore ha privilegiato il sistema dellopt-out.
27
IL MARKETING DELLE AZIENDE Il Registro delle opposizioni Ciascun abbonato – sia persona fisica sia persona giuridica, ente o associazione – il cui numero telefonico è presente negli elenchi telefonici pubblici, può richiedere al Gestore liscrizione gratuita nel Registro Pubblico delle Opposizioni. È importante ricordare che il Registro Pubblico delle Opposizioni mette labbonato al riparo dalle chiamate indesiderate degli operatori che utilizzano come fonte dei propri contatti gli elenchi telefonici pubblici.
28
IL MARKETING DELLE AZIENDE Il Registro delle opposizioni Liscrizione di un abbonato nel Registro non esclude il trattamento dei suoi dati per finalità di marketing da parte dei singoli soggetti che abbiano raccolto i dati – forniti consenzientemente dagli abbonati – da fonti diverse dagli elenchi telefonici pubblici (per esempio tessere di fidelizzazione, tessere per raccolta punti, promozioni, eccetera), purché ciò sia avvenuto nel rispetto della normativa vigente.
29
IL MARKETING DELLE AZIENDE Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente. L'Operatore è qualunque soggetto, persona fisica o giuridica, che intende avviare, mediante limpiego del telefono con addetto persona fisica che effettua la telefonata (è escluso dunque il fax marketing, che rimane opt-in), attività a scopo commerciale, promozionale o ricerche di mercato. Lentrata in vigore del Registro Pubblico delle Opposizioni obbliga lOperatore a registrarsi al sistema e a comunicare la lista dei numeri che intende contattare, pena incorrere nelle sanzioni previste dal Codice della Privacy
30
IL MARKETING DELLE AZIENDE Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente. Gli operatori che intendono contattare gli abbonati presenti negli elenchi telefonici pubblici per attività commerciali, promozionali o per il compimento di ricerche di mercato tramite luso del telefono o della posta ordinaria, sono tenuti a registrarsi al sistema gestito dalla Fondazione Ugo Bordoni - Gestore del servizio – e a comunicare la lista dei numeri/indirizzi che intendono contattare. Il Gestore mettendo a confronto le informazioni contenute nel Registro delle Opposizioni e la lista dei numeri/indirizzi fornita dallOperatore, cancellerà da questultima tutti i numeri degli abbonati che hanno richiesto di non essere contattati.
31
IL MARKETING DELLE AZIENDE Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente. La lista aggiornata dal Gestore - ovvero filtrata dai numeri telefonici e dagli indirizzi degli abbonati che si sono iscritti al Registro Pubblico delle Opposizioni - sarà messa a disposizione dellOperatore entro 24 ore dalla richiesta e avrà validità di 15 giorni, per consentire così il continuo aggiornamento dell'elenco delle opposizioni. Per registrarsi al sistema di aggiornamento delle liste (presentazione dell'istanza) l'operatore deve aderire alle condizioni generali di contratto. Le tariffe di accesso al servizio sono regolate dal d.m. 22.12.2010.
32
IL MARKETING DELLE AZIENDE Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente. La procedura di cui sopra (presentazione dell'istanza con modulo elettronico, invio e aggiornamento delle liste, pagamento di un fondo volto a costituire il credito, etc) si svolge totalmente on-line sull'Area Riservata agli Operatori disponibile sul sito www.registrodelleopposizioni.it www.registrodelleopposizioni.it
33
IL MARKETING DELLE AZIENDE A quali utenze si applica la nuova disciplina. Esclusivamente alle utenze inserite negli elenchi telefonici pubblici per le quali il titolare abbia effettuato l'iscrizione nel Registro Pubblico delle Opposizioni. Le utenze tratte da elenchi telefonici pubblici non iscritte nel Registro delle Opposizioni possono essere liberamente utilizzate senza dover richiedere il consenso preventivo solo dopo che il Gestore del Servizio abbia restituito le liste inviate dall'operatore "depurate" dai numeri telefonici iscritti.
34
IL MARKETING DELLE AZIENDE A quali ambiti non si applica la nuova disciplina. La nuova disciplina non si applica: ai dati personali tratti da fonti diverse dagli elenchi telefonici pubblici il trattamento commerciale/promozionale dei quali resta basato sull'opt-in (consenso preventivo, specifico e informato, ad esempio acquisito nell'ambito di contratti, ordini commerciali, form on- line, etc); alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite email (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy);
35
IL MARKETING DELLE AZIENDE A quali ambiti non si applica la nuova disciplina. alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite fax (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy);
36
IL MARKETING DELLE AZIENDE A quali ambiti non si applica la nuova disciplina. alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite sms o mms (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy); alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite telefono senza intervento di operatore, come ad esempio dischi automatici o comunicazioni pre-registrate (la normativa resta basata sull'opt-in).
37
IL MARKETING DELLE AZIENDE Sanzioni In caso di trattamento di dati personali effettuato in violazione delle nuove norme (cioè in caso di contatto telefonico o postale promozionale utilizzando recapiti tratti da elenchi pubblici ma inseriti nel Registro delle Opposizioni) è applicata in ogni caso la sanzione del pagamento di una somma da diecimila euro a centoventimila euro.
38
GRAZIE PER LATTENZIONE Prof. Avv. Alessandro del Ninno adelninno@tonucci.com adelninno@luiss.it
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.