Smau Roma 2012 Massimo Farina

1,307 views

Published on

Semplificazioni Privacy: Addio DPS?
Qual è il vero significato delle
ultimissime semplificazioni?

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,307
On SlideShare
0
From Embeds
0
Number of Embeds
279
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau Roma 2012 Massimo Farina

  1. 1. Semplificazioni Privacy: Addio DPS? Qual è il vero significato delle ultimissime semplificazioni? di Massimo Farina massimo@massimofarina.it http://www.massimofarina.it http://www.diricto.it
  2. 2. Le modifiche dell’ultimo annoD.L. 70/2011 conv. L. 106/2011 - “DECRETO SVILUPPO”D.L. 201/2011conv. L. 214/2011 - “DECRETO SALVA ITALIA”D.L. 5/2012 - “DECRETO SEMPLIFICAZIONI” Massimo Farina - massimo@massimofarina.it 2 http://www.massimofarina.it - http://www.diricto.it
  3. 3. MODIFICHE DEL “DECRETO SVILUPPO”comma 3-bis aggiunto all’art. 5;comma 1-bis dell’art. 34;modifica l’art. 13;Modifica art. 24;nuova lettera i-ter dell’art. 24;comma 3 dell’art. 26 del Codice, nuova lettera b-bisart. 130, comma 3-bis. Massimo Farina - massimo@massimofarina.it 3 http://www.massimofarina.it - http://www.diricto.it
  4. 4. Il nuovo comma 3-bis aggiunto all’art. 5 prevede che: “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice”RISULTATO: la protezione della riservatezza deidati personali è limitata alle persone fisiche e nontrova applicazione nei rapporti tra imprese, chepossono essere trattati senza vincoli, purchè sitratti di trattamenti per le normali finalità ELIMINATOamministrativo-contabili. D.L. 201/2011 Massimo Farina - massimo@massimofarina.it 4 http://www.massimofarina.it - http://www.diricto.it
  5. 5. OSSERVAZIONEQuesta limitazione lasciava, certamente, qualche perplessità inquanto non considerava che l’impresa (o, in generale, la personagiuridica) possa assumere il ruolo di interessato al trattamento enon soltanto di titolare. Se, infatti, è vero che potrebbe essereritenuto comodo, per l’impresa che tratta dati altrui (cioè titolare)beneficiare di uno snellimento degli adempimenti (spesso pesanti),non vale altrettanto quando quell’impresa necessita di tutela per iltrattamento dei suoi dati da parte di altro titolare, che potrebbeanche abusarne. Massimo Farina - massimo@massimofarina.it 5 http://www.massimofarina.it - http://www.diricto.it
  6. 6. Nuovo comma 5-bis dell’art. 13 (informativa) “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f)”RISULTATO: soltanto in un momento successivo a quello in cui ci sarà unprimo contatto, il titolare del trattamento (per esempio l’azienda checonvoca l’interessato), anche durante il colloquio con il candidato, saràtenuto a fornire gli elementi dell’informativa previsti dall’art. 13 Massimo Farina - massimo@massimofarina.it 6 http://www.massimofarina.it - http://www.diricto.it
  7. 7. OSSERVAZIONEAl momento del contatto (per esempio in caso di convocazione per uncolloquio), successivo all’invio del curriculum, il titolare è tenuto a fornireun’informativa breve contenente almeno i seguenti punti:- finalità e modalità del trattamento;- soggetti che possono venire a conoscenza dei dati in quantoresponsabili o incaricati del trattamento e ambito di diffusione dei dati;- indicazione delle modalità per conoscere l’identità di tutti i responsabilidel trattamento.Non è prevista l’indicazione dei diritti dell’interessato!!!!!! Massimo Farina - massimo@massimofarina.it 7 http://www.massimofarina.it - http://www.diricto.it
  8. 8. Modifica all’art. 24 – lett. i-bis)Introduce l’esclusione dell’obbligo del consenso per iltrattamento dei dati dei curricula ricevuti“all’art. 24, dopo la lettera i) è aggiunta la lettera i-bis)che prevede che il trattamento dei dati comuni puòessere effettuato senza consenso quando riguardadati contenuti nei curricula, nei casi di cui all’articolo13, comma 5-bis” Massimo Farina - massimo@massimofarina.it 8 http://www.massimofarina.it - http://www.diricto.it
  9. 9. Nuova lettera i-ter dell’art. 24 (gruppi societari)il trattamento dei dati comuni non necessita di consenso (fermorestando l’obbligo di rilasciare idonea informativa agliinteressati) quando:“[…] riguarda la comunicazione di dati […] tra società, enti oassociazioni con società controllanti, controllate o collegate […]ovvero con società sottoposte a comune controllo, nonché traconsorzi, reti di imprese e raggruppamenti e associazionitemporanei di imprese con i soggetti ad essi aderenti, per lefinalità amministrativo contabili, come definite all’articolo 34,comma 1-ter, e purché queste finalità siano previsteespressamente con determinazione resa nota agli interessatiall’atto dell’informativa di cui all’articolo 13 Massimo Farina - massimo@massimofarina.it 9 http://www.massimofarina.it - http://www.diricto.it
  10. 10. Art. 26, comma 3 nuova lettera b-bis l’obbligo di consenso scritto per il trattamento dei dati sensibili non si applica al trattamento “dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis”RISULTATO: L’esonero dall’obbligo del consenso riguarda anche idati sensibili contenuti nei curriculaNOTA: è confermato l’obbligo di consenso scritto per tutti gli altricasi in cui si trattano dati sensibili Massimo Farina - massimo@massimofarina.it 10 http://www.massimofarina.it - http://www.diricto.it
  11. 11. Modifica al comma 1-bis dell’art. 34 (già modificato dalle semplificazioni introdotte con il D.L. n. 112/2008, convertito nella legge n. 133/08) “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.RISULTATO: non sono più necessarie informativee richieste di consenso se si trattano datipersonali relativi a persone giuridiche,esclusivamente per finalità amministrativo- ELIMINATOcontabili, nel senso chiarito dalla nuova norma. D.L. 5/2012 Massimo Farina - massimo@massimofarina.it 11 http://www.massimofarina.it - http://www.diricto.it
  12. 12. Modifica all’art. 130, comma 3-bis (MARKETING CARTACEO) “In deroga a quanto previsto dallarticolo 129, il trattamento dei dati di cui allarticolo 129, comma 1, mediante limpiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui allarticolo 129, comma 1, in un registro pubblico delle opposizioni”.RISULTATO: estende anche agli indirizzi postali tradizionali il regime dell’opt-out di recenteintrodotto in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio delmarketing telefonico.Quindi anche per il marketing fatto per posta vale il registro delle opposizioni e gli operatoridi marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenutinell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso allasola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numerotelefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dallaL. n. 166/09 e gestito dalla Fondazione Ugo Bordoni. Massimo Farina - massimo@massimofarina.it 12 http://www.massimofarina.it - http://www.diricto.it
  13. 13. MODIFICHE DEL “DECRETO SALVA ITALIA”articolo 4, comma 1, alla lettera b)articolo 4, comma 1, alla lettera i)comma 3-bis dell’articolo 5 [abrogato]comma 4, dell’articolo 9 [ultimo periodo è soppresso]lettera h) del comma 1 dell’articolo 43 [soppressa] Massimo Farina - massimo@massimofarina.it 13 http://www.massimofarina.it - http://www.diricto.it
  14. 14. Definizione di “dato personale”Comprende soltanto le informazioni riferite allepersone fisiche e non più anche alle personegiuridiche, enti o associazioni Definizione di “interessato”È soltanto la persona fisica e non più anche allepersone giuridiche, enti o associazioni Massimo Farina - massimo@massimofarina.it 14 http://www.massimofarina.it - http://www.diricto.it
  15. 15. OSSERVAZIONE I riferimenti alle persone giuridiche non sono completamente spariti La persona giuridica conserva la qualità di “Titolare” e “Responsabile” La persona giuridica conserva la qualità di “Abbonato”Viene a delinearsi, così, una posizione anomala per le persone giuridiche(e per gli enti in generale), le quali, da una parte, non possono piùconsiderarsi soggetti “interessati” e dall’altra conservano il ruolo di“abbonati”, con la conseguente difficoltà di accedere alla tutela per gliabbonati che non siano anche “interessati” Massimo Farina - massimo@massimofarina.it 15 http://www.massimofarina.it - http://www.diricto.it
  16. 16. MODIFICHE DEL “DECRETO LIBERALIZZAZIONI” articolo 34, comma 1, lettera g)SPARISCE IL DPS Massimo Farina - massimo@massimofarina.it 16 http://www.massimofarina.it - http://www.diricto.it
  17. 17. D.L. 5/2012 - “DECRETO SEMPLIFICAZIONI” È stato definitivamente eliminato l’adempimento tanto odiato dalle impreseDPS predisposizione e all’aggiornamento del Documento Programmatico sulla Sicurezza (art. 34, comma 1, lett. g) Massimo Farina - massimo@massimofarina.it 17 http://www.massimofarina.it - http://www.diricto.it
  18. 18. Sparisce la forma ma persiste la sostanza Tutti gli adempimenti che dovevano essere annotati nel DPS continuano ad esistere DPS Oggi, dove si annotano ? Massimo Farina - massimo@massimofarina.it 18 http://www.massimofarina.it - http://www.diricto.it
  19. 19. Controlli più faticosi ????? Massimo Farina - massimo@massimofarina.it 19 http://www.massimofarina.it - http://www.diricto.it
  20. 20. Disposizioni abrogateArt. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo sesono adottate, nei modi previsti dal disciplinare tecnico contenuto nellallegato B), leseguenti misure minime:[…]g) “tenuta di un aggiornato documento programmatico sulla sicurezza”[…]1-bis. “Ai fini dell’applicazione delle disposizioni in materia di protezione dei datipersonali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessiallo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria econtabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono talifinalità le attività organizzative interne, quelle funzionali all’adempimento di obblighicontrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, allatenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale,previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.; Massimo Farina - massimo@massimofarina.it 20 http://www.massimofarina.it - http://www.diricto.it
  21. 21. Disposizioni abrogateAllegato b) - Documento programmatico sulla sicurezza19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziariredige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezzacontenente idonee informazioni riguardo:19.1. lelenco dei trattamenti di dati personali;19.2. la distribuzione dei compiti e delle responsabilità nellambito delle strutture preposte altrattamento dei dati;19.3. lanalisi dei rischi che incombono sui dati;19.4. le misure da adottare per garantire lintegrità e la disponibilità dei dati, nonchè la protezionedelle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito adistruzione o danneggiamento di cui al successivo punto 23; Massimo Farina - massimo@massimofarina.it 21 http://www.massimofarina.it - http://www.diricto.it
  22. 22. Disposizioni abrogateAllegato b) - Documento programmatico sulla sicurezza19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischiche incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili delladisciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delleresponsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate daltitolare. La formazione è programmata già al momento dellingresso in servizio, nonché inoccasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevantirispetto al trattamento di dati personali;19.7. la descrizione dei criteri da adottare per garantire ladozione delle misure minime di sicurezzain caso di trattamenti di dati personali affidati, in conformità al codice, allesterno della struttura deltitolare;19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,lindividuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri datipersonali dellinteressato Massimo Farina - massimo@massimofarina.it 22 http://www.massimofarina.it - http://www.diricto.it
  23. 23. Disposizioni abrogateAllegato b) - Misure di tutela e garanzia26. Il titolare riferisce, nella relazione accompagnatoria del bilancio desercizio, sedovuta, dellavvenuta redazione o aggiornamento del documento programmatico sullasicurezza. Massimo Farina - massimo@massimofarina.it 23 http://www.massimofarina.it - http://www.diricto.it
  24. 24. Disposizioni residueArt. 34. Trattamenti con strumenti elettronici1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo sesono adottate, nei modi previsti dal disciplinare tecnico contenuto nellallegato B), leseguenti misure minime:a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dellindividuazione dellambito del trattamento consentito aisingoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, adaccessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino delladisponibilità dei dati e dei sistemi; Massimo Farina - massimo@massimofarina.it 24 http://www.massimofarina.it - http://www.diricto.it
  25. 25. Disposizioni residueArt. 34. Trattamenti con strumenti elettronicig) [ABROGATO]h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti didati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.1-bis. [ABROGATO]1-ter.(1) Ai fini dellapplicazione delle disposizioni in materia di protezione dei datipersonali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessiallo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria econtabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono talifinalità le attività organizzative interne, quelle funzionali alladempimento di obblighicontrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, allatenuta della contabilità e allapplicazione delle norme in materia fiscale, sindacale,previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. Massimo Farina - massimo@massimofarina.it 25 http://www.massimofarina.it - http://www.diricto.it
  26. 26. Grazie per l’attenzione l attenzione Massimo Farina massimo@massimofarina.it http://www.massimofarina.it http://www.diricto.it Massimo Farina - massimo@massimofarina.it http://www.massimofarina.it - http://www.diricto.it 26
  27. 27. LICENZAAttribuzione - Non Commerciale - Condividi allo stesso modo 2.5 Tu sei libero di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare lopera, di creare opere derivate alle seguenti condizioni: • Attribuzione. Devi riconoscere il contributo dellautore originario. • Non commerciale. Non puoi usare quest’opera per scopi commerciali. • Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. Se ottieni il permesso dal titolare del diritto dautore, è possibile rinunciare ad ognuna di queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra Massimo Farina - massimo@massimofarina.it http://www.massimofarina.it - http://www.diricto.it 27

×