Ancora una volta, il legislatore tenta di semplificare taluni aspetti che riguardano gli adempimenti previsti nel Codice della Privacy. Lo scorso mese di agosto, infatti, con la Legge n. 133 [1], è stato convertito, con qualche modifica rispetto al testo originario, il D.L 25 giugno 2008, n. 112.
Gli aspetti coinvolti dall’intervento legislativo in esame riguardano la redazione del Documento Programmatico per la Sicurezza, l’aggiornamento periodico del disciplinare tecnico di cui all’allegato b) del Codice (in ordine alla adozione delle misure minime di sicurezza), l’obbligo di notificazione per i trattamenti elencati all’art. 37 e, infine, il trasferimento di dati personali nei paesi extra UE.

Già il testo originario dell’art. 29 del Decreto Legge 112/2008, modificava l’art. 34 del Codice della Privacy nel senso di esentare, dall’obbligo di redigere il DPS, i datori di lavoro che trattano, come dati sensibili, quelli “costituiti dallo stato di salute o di malattia dei dipendenti”.

Un riferimento cosi specifico lasciava fuori dalla semplificazione i trattamenti di dati sensibili diversi “dallo stato di salute o di malattia”, come ad esempio le informazioni sull’appartenenza sindacale del lavoratore (note nel rapporto di lavoro); rimanevano altresì, esclusi dall’esenzione, tutti i titolari che trattavano dati sensibili di collaboratori con i quali intercorreva un rapporto di lavoro diverso da quello subordinato.

Fortunatamente, il legislatore ha tenuto conto dei suddetti aspetti, che avrebbero creato una palese disparità di trattamento fra esentati e non esentati e in sede di conversione è stata estesa l’area dei trattamenti di dati sensibili anche ai casi di “collaboratori anche a progetto”, nonché ai dati relativi alla “adesione ad organizzazioni sindacali o a carattere sindacale”.

Quest’ultima versione, offre, pertanto, la possibilità a tutti i datori di lavoro che non trattano altri dati sensibili, se non quelli di cui sopra, di sostituire il “pesante” obbligo di redazione del Documento Programmatico per la Sicurezza con l’autocertificazione “resa dal titolare del trattamento, ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 [3]” di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.

Almeno apparentemente si snellisce il carico di adempimenti delle categorie interessate ma, ad una lettura più attenta, sorge spontanea qualche riflessione.

La disposizione, infatti, se da una parte sgrava i datori di lavoro dall’obbligo di redazione del D.P.S., dall’altra, tiene ferme, e le conferma espressamente, tutte le necessarie misure di sicurezza richieste dal codice nonché dall’Allegato b). Queste ultime, infatti, di norma, se adottate secondo le prescrizioni del Codice, devono essere annotate nel Documento Programmatico, il quale, rappresenta, anche, il documento riepilogativo degli adempimenti adottati dal titolare. È necessario, pertanto, interrogarsi sulla effettiva differenza sostanziale che intercorre tra il DPS e l’autocertificazione che lo sostituisce. Formalmente, si tratta di due adempimenti differenti ma sostanzialmente, il contenuto è pressoché simile.

Un altro aspetto di novità riguarda i trattamenti di cui sopra, nonché quelli effettuati per finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti ed artigiani: il Garante, entro due mesi dall’entrata in vigore della legge di conversione, sentito il Ministro per la semplificazione normativa, dovrà individuare, con proprio provvedimento, “le modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato b)”, in ordine all’adozione delle misure minime di sicurezza. 

La novità in esame va necessariamente confrontata con la disposizione contenuta nell’art. 36 del Codice, ove è previsto che l’allegato b) è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa [3].

Per la notificazione, lo snellimento riguarda il numero delle informazioni che devono essere indicate sull’apposito modello informatico; in esso non dovrà esser indicato il responsabile del trattamento ma semplicemente “le modalità per individuare il responsabile del trattamento, se designato”.

L’ultimo aspetto da considerare, tra l’altro non presente nel decreto legge originario, riguarda il trasferimento di dati personali nei paesi extracomunitari. Il Codice già dedica alcune disposizioni (art. 43 e 44) sulla possibilità di trasferire dati all’estero, alle quali aggiunge un’ulteriore ipotesi relativamente al trattamento dei dati da parte di società facenti parte di gruppi con unità operanti in paesi non aderenti all’Unione europea. Previa verifica della corretta adozione di “regole di condotta esistenti nell’ambito di società appartenenti ad un medesimo gruppo” sarà legittimata la circolazione transfrontaliera dei dati. Resta fermo che l’interessato può “far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine alla inosservanza delle garanzie medesime”.


[1] “Conversione in legge, con modificazioni, del decreto-legge 25 giugno 2008, n. 112”, recante “disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria”, in G.U. n. 195 del 21 agosto 2008 - Suppl. Ordinario n. 196.
Di seguito il testo dell’ art. 29, Legge n. 133/2008.
"Trattamento dei dati personali.
1. All'articolo 34 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 è aggiunto il seguente:
« 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1».
2. In sede di prima applicazione del presente decreto, il provvedimento di cui al comma 1 è adottato entro due mesi dall'entrata in vigore della legge di conversione del decreto stesso.
4. All’articolo 38 del decreto legislativo 30 giugno 2003, n. 196, il comma 2 è sostituito dal seguente:
« 2. La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l’apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.».
5. Entro due mesi dalla data di entrata in vigore della legge di conversione del presente decreto il Garante di cui all’articolo 153 del decreto legislativo 30 giugno 2003, n. 196 adegua il modello di cui al comma 2 dell'articolo 38 del decreto legislativo 30 giugno 2003, n. 196 alle prescrizioni di cui al comma 4.
5-bis. All’articolo 44, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, sono aggiunte le seguenti parole: «o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L’interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime». All'articolo 36, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: «Ministro per le innovazioni e le tecnologie» sono inserite le seguenti: «e il Ministro per la semplificazione normativa»".

[2] Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”, in G.U., 20 febbraio, n. 42, S.O. Il testo dell’art. 47, rubricato “Dichiarazioni sostitutive dell’atto di notorietà” dispone che: “L’atto di notorietà concernente stati, qualità personali o fatti che siano a diretta conoscenza dell'interessato è sostituito da dichiarazione resa e sottoscritta dal medesimo con la osservanza delle modalità di cui all'articolo 38. (R)
2. La dichiarazione resa nell'interesse proprio del dichiarante può riguardare anche stati, qualità personali e fatti relativi ad altri soggetti di cui egli abbia diretta conoscenza. (R)
3. Fatte salve le eccezioni espressamente previste per legge, nei rapporti con la pubblica amministrazione e con i concessionari di pubblici servizi, tutti gli stati, le qualità personali e i fatti non espressamente indicati nell'articolo 46 sono comprovati dall'interessato mediante la dichiarazione sostitutiva di atto di notorietà. (R)
4. Salvo il caso in cui la legge preveda espressamente che la denuncia all'Autorità di Polizia Giudiziaria è presupposto necessario per attivare il procedimento amministrativo di rilascio del duplicato di documenti di riconoscimento o comunque attestanti stati e qualità personali dell'interessato, lo smarrimento dei documenti medesimi è comprovato da chi ne richiede il duplicato mediante dichiarazione sostitutiva. (R)”

[3] Anche questa è una novità introdotta dalla Legge n. 133/2008: si veda la nota n. 2.