Una volta tanto vorrei approfittare di questo blog per chiarirmi qualche dubbio. Il problema riguarda il famigerato DL196/2003, il “Codice in materia di protezione dei dati personali”; personalmente ho cercato di districarmi nella legge, ma spero di trovare qualche esperto tra i lettori in grado di dipanare il groviglio che ho in testa.

Art.1 Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Le informative per il consenso al trattamento dei dati
Stiamo parlando della classica piccola azienda, per cui il trattamento riguarda “dati personali” e, solo in rari casi, “dati sensibili”.

a) “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) “dati identificativi”, i dati personali che permettono l’identificazione diretta dell’interessato;
d) “dati sensibili”, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

L’articolo 23, riguardante il consenso, parla chiaro

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

Ma altrettanto chiaro è l’articolo 24, “Casi nei quali può essere effettuato il trattamento senza consenso”

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

A mio avviso, bene o male, in queste tre categorie rientrano i dati trattati da un’azienda per il ciclo di fatturazione, per cui non è necessaria né informativa né consenso.

Dubbio: perché sono sommerso di richieste da parte di fornitori e clienti che mi chiedono il consenso al trattamento dei dati?

Il “Documento programmatico per la sicurezza”
Nell’allegato B, Disciplinare tecnico in materia di misure minime di sicurezza, si legge:

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

In altre parole: se un’azienda non gestisce dati sensibili o giudiziari non è tenuta alla compilazione del D.P.S.
Due esempi pratici di “dati sensibili” sono: iscrizione al sindacato, referti delle visite della medicina del lavoro. Se la gestione delle buste paga e delle pratiche per i dipendenti viene affidata ad un consulente esterno, direi che il problema non dovrebbe esserci.

Sempre nell’allegato B si legge:

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Il “se dovuta” sottolinea la non obbligatorietà.

Dubbio: perché i software per la compilazione del D.P.S. vengono venduti a destra e manca e nessuno dice nulla? Questo tralasciando la valutazione dell’oggettiva utilità di tali software.


6 commenti/trackback a “DL 196/2003, cercasi esperti”

  1. Francesco Loda scrive:

    I dati sono definiti sensibili in quanto:” idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
    Adottano termini molto generali che possono lasciare spazio al dubbio di fronte ad alcune informazioni apparentemente escludibili.
    Il commercialista, tende ad escludere il rischio e a dare la garanzia. Di fronte alla parola certezza ed a qualche euro in più, per non saper né leggere né scrivere si fa tutto e si dorme tranquilli. Io non mi occupo della materia, ma per l’aleatorietà che a volte la giurisprudenza può avere se la prassi può evitare rischi con poco e niente, si prende la sicurezza. Più distanze si mettono tra se e le rogne meglio è.
    Vista la puntualità meticolosa del tuo post ho capito che escludi situazioni di approssimazione che invece possono accadere nell’amministrazione pubblica. Va considerato che quelle dichiarazioni le mandi a ciò che è anche un manicomio.

  2. flod scrive:

    Quello che mi chiedo è: hai provato a dare un’occhiata al sito del Garante? Costa così tanta fatica mettere degli esempi pratici e raccoglierli in una FAQ?

    Ci sono in giro persone che sostengono che i commercialisti sono tenuti a notificare il trattamento al garante: secondo me è una cavolata che non sta né in cielo né in terra.

  3. Andrea Cerrito scrive:

    Ciao,
    purtroppo nel tuo esempio “a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

    c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
    d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;” non rientra il ciclo di fatturazione. Faccio un esempio per il punto a): la azienda telefonica Pinco S.p.A. firma un contratto con Mario Rossi, e manda l’azienda Pallo S.r.l. ad installare la linea. Per cui, in questo caso, Pinco S.p.A. ha dei dati personali ed identificativi che implicano il DPS, mentre l’azienda Pallo S.r.l. no, in quanto ha solo i dati per l’esecuzione del contratto (ad esempio: Mario Rossi in Via tal de tali 5).
    Inoltre “In altre parole: se un’azienda non gestisce dati sensibili o giudiziari non è tenuta alla compilazione del D.P.S.” è errato, in quanto anche il solo avere degli elenchi ottenuti, ad esempio, da società tipo pagine bianche (le famose ‘liste’), che non possono distribuire dati sensibili (ad esempio: il tuo nome, cognome, numero di telefono e spesa telefonica mensile), rientra nella normativa, pertanto un semplice call center DEVE avere un proprio DPS.

    Ciao

  4. flod scrive:

    Per cui, in questo caso, Pinco S.p.A. ha dei dati personali ed identificativi che implicano il DPS

    I dati personali ed identificativi non richiedono un DPS, solo quelli giudiziari e sensibili; credo che su questo punto non ci sia spazio per l’interpretazione (vedi il frammento di allegato riportato).

    L’es. del call center o dell’azienda telefonica secondo me è fuorviante; sto parlando di aziende che fatturano ad altre aziende, non lavorano con privati.
    Esempio pratico: parliamo di un’azienda che fattura ad un proprio cliente una produzione (es. officina meccanica lavora dei pezzi per cliente); tutti i dati raccolti sono necessari per adempiere ad un obbligo di legge (fattura), sono relativi allo svolgimento di un’attività economica (lavorazione) e sono reperibili nei pubblici registri (visura camerale).

    Ripeto: possibile che non ci sia una risposta chiara scritta da qualche parte?

  5. ruf scrive:

    Non concordo sulla tua interpretazione per quel che riguarda la non obbligatorietà della redazione del DPS per chi tratta dati non sensibili/giudiziari.

    consiglio al riguardo la lettura di questo documento:
    http://www.consulentelegaleprivacy.it/approfondimentidett.asp?id=20

Trackback e pingback

  1. pseudotecnico:blog » Blog Archive » MOMIS e splog
    [...] aveste inserito un commento a tema, rispondendo (con competenza) anche ad uno solo dei quesiti che ponevo nel post…

Non è possibile inserire nuovi commenti. I commenti vengono disattivati automaticamente dopo 60 giorni.