Le ulteriori semplificazioni in materia di privacy introdotte dal DL n. 70/2011
Il decreto legge 13/05/2011 n. 70 convertito, con modificazioni, nella legge 12 luglio 2011, n. 106 rappresenta un nuovo ed ulteriore tentativo, dopo quello del 2008, di semplificare la materia della privacy e della gestione dei relativi adempimenti formali.
In particolare l’art. 6 del predetto decreto intervene, modificandoli, su alcuni articoli del D.lgs n. 196/2003 (detto Codice privacy). Trattamento dei dati effettuato per finalità amministrativo-contabile Viene aggiunto all’art. 5 (Oggetto ed ambito di applicazione)
il comma 3-bis il quale dispone che “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice." Una prima considerazione: sembra che il Legislatore voglia escludere completamente dall’ambito di applicazione del Codice Privacy (è chiara la formula utilizzata "non è soggetto all’applicazione del presente codice") il trattamento dei dati amministrativo-contabili, così come definiti dall’art. 34 comma 1 ter. Ciò, se da un lato rappresenta una notevole semplificazione in quanto vengono eliminati parecchi adempimenti burocratico-formali (ad esempio non obbligo dell’informativa), dall’altro comporterebbe la non applicazione solo per tali tipologie di trattamento delle misure minime di sicurezza previste dall’allegato b) al Codice (ad esempio Sistema di autenticazione informatica, Sistema di autorizzazione, Documento programmatico sulla sicurezza etc.). Tutto ciò non appare logico a parere di chi scrive: anche i dati trattati per tali finalità meriterebbero quanto meno l’applicazione delle citate misure minime di sicurezza che rappresentano la parte sostanziale del Codice Privacy. Inoltre, per effetto di tale previsione chi effettua solo tali tipologie di trattamento non sarebbe soggetto a sanzioni di tipo amministrativo e di tipo penale. Seconda considerazione: dalla lettura combinata del comma 3-bis succitato e della nuova lettera 1-ter) (vedi sotto) si evince che l’esclusione di cui al comma 3-bis riguarda il trattamento dei soli dati delle persone giuridiche che tra loro intrattengono rapporti, con esclusione quindi del trattamento dei dati di terzi. Infine, poiché l’esclusione riguarda "Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti tra di loro", rientra pienamente nel campo di applicazione del Codice il trattamento dei dati personali effettuato da persone giuridiche, imprese, enti o associazioni in cui l’interessato del trattamento sia una persona fisica. Facciamo qualche ipotesi in base alla nostra interpretazione Esempio 1 Trattamento dei dati effettuato per le predette finalità da società di persone con solo due soci lavoratori che intrattiene rapporti commerciali e di lavoro esclusivamente con persone giuridiche: sarebbe escluso dal campo di applicazione del Codice sollevando tale società dai relativi oneri ed adempimenti. Esempio 2 Trattamento effettuato per le predette finalità da società di persone con due soci lavoratori ed un dipendente che intrattiene rapporti commerciali e di lavoro esclusivamente con persone giuridiche: sarebbe escluso dal campo di applicazione del Codice, sollevando tale società dai relativi oneri ed adempimenti, per ciò che concerne il trattamento dei dati effettuato nell’ambito dei rapporti intercorrenti con le altre persone giuridiche, rimanendo però incluso nel campo di applicazione del Codice il trattamento dei dati personali del dipendente-interessato. Esempio 3 Trattamento effettuato per le predette finalità da società di persone con due soci lavoratori ed un dipendente che intrattiene rapporti commerciali e di lavoro sia con persone giuridiche che fisiche: sarebbe escluso dal campo di applicazione del Codice, sollevando tale società dai relativi oneri ed adempimenti, per ciò che concerne il trattamento dei dati effettuato nell’ambito dei rapporti intercorrenti con le altre persone giuridiche, rimanendo però incluso nel campo di applicazione del Codice il trattamento dei dati personali del dipendente-interessato e delle persone fisiche con cui intrattiene rapporti commerciali. Obbligo di informativa e curriculum trasmessi spontaneamente A seguito dell’introduzione nell’art. 13 del comma 5-bis, in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro l’informativa di cui al comma 1 art. 13 non è più dovuta. Solo successivamente, al momento del primo contatto, il titolare del trattamento dovrà fornire all’interessato, anche oralmente, un’ informativa breve contenente almeno i seguenti elementi: - le finalità e le modalità del trattamento cui sono destinati i dati (lettera a); - i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi (lettera d); - gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile (lettera f). Sempre per quanto riguarda i curricula ricevuti spontaneamente contenenti dati sensibili non è necessario il previo consenso dell’interessato per il loro trattamento . Naturalmente permane l’obbligo di informativa completa (e di raccolta dell’eventuale consenso) da rendersi al momento della raccolta dei dati nel caso di ricerca di personale da parte del titolare del trattamento (ricezione non spontanea dei curricula). Casi nei quali può essere effettuato il trattamento senza consenso Tra i casi nei quali il trattamento può essere effettuato senza il consenso dell’interessato all’art. 24 vengono aggiunti: - lettera 1-bis) il trattamento dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis; - lettera 1-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, quando il trattamento dei dati riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanee di imprese con i soggetti ad essi aderenti, per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13. Esempio 4 Trattamento dei dati effettuato per le predette finalità da società di capitali controllante un’altra società di capitali per finalità amministrativo-contabili che comunica dati di terzi: sarebbe escluso dal campo di applicazione del Codice con il solo obbligo dell’informativa. Trattamento dei dati con l’ausilio di strumenti elettronici All’art. 34 il comma 1-bis – introdotto dall’art. 29, comma 1, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133 in un’ottica semplificatrice - viene completamente sostituito da un nuovo comma 1-bis e dal comma 1-ter (già esaminato in precedenza). Per effetto del nuovo comma 1-bis i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti potranno sostituire la tenuta di un aggiornato documento programmatico sulla sicurezza con un’autocertificazione in cui si dichiari di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). L’introduzione del nuovo comma 1-bis va a sanare la precedente situazione in cui l’autocertificazione era ammessa nei soli casi dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale: situazione che costringeva comunque a redigere un documento programmatico sulla sicurezza nel caso di trattamento di dati sensibili di parenti del lavoratore con strumenti elettronici (si pensi ad esempio alla madre che invia via e-mail il documento che attesta la malattia del bimbo per giustificare l’assenza dal lavoro). Ancor prima nella versione del decreto legge n. 112 D.L. 25.06.2008 (prima della conversione con modificazioni) il comma 1-bis contemplava la possibilità dell’autocertificazione soltanto nel caso del trattamento dei dati personali non sensibili e quando l’unico dato sensibile fosse costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, escludendo clamorosamente, ad esempio, il trattamento dei dati che rivelano l’adesione al sindacato. Naturalmente l’autocertificazione non solleva il titolare del trattamento dall’applicazione delle misure minime di sicurezza previste dall’allegato b) nonché da quelle, eventuali, adeguate. Resta ferma la previsione precedente di cui all’ultimo periodo del comma 1-bis che dispone che “in relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1” ed in forza del quale il Garante Privacy ha già introdotto le relative semplificazioni con Provvedimento del 27 novembre 2008. Ci si chiede se tutte queste semplificazioni a singhiozzo non peggiorino lo stato delle cose. Almeno per i piccoli soggetti ci vuole più tempo (e denaro) ad analizzare le varie situazioni peculiari che a redigere la documentazione ed adottare le misure di sicurezza classiche. Infatti, se riconsideriamo gli esempi precedenti in ogni caso specifico dovremmo soffermarci a valutare gli obblighi da adempiere stando attendi ad ogni variazione del trattamento che non ne sorga uno in precedenza escluso. In conclusione meglio una riforma organica della materia che una serie di provvedimenti incoerenti dettati più dalla fretta che dalla logica.
Vedi il decreto legge 30 dicembre 2008, n. 207 convertito con modificazioni dalla L. 27 febbraio 2009, n. 14 (c.d DL mille proroghe), seguiti dal provvedimento del Garante del 27 novembre 2008.
Vedi Art. 34 comma 1 Ter aggiunto dall’art. 6, comma 2, lettera a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106.
Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.
Per effetto dell’introduzione della lettera b-bis nel comma 3 dell’art. 26.
Al riguardo si veda art. 130 del Codice nominato “Comunicazioni indesiderate”.
1-bis “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e` sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.
Resa dal titolare del trattamento ai sensi art. 46 D.P.R. 28/12/2000 n. 445.
1-bis “Per i soggetti che trattano soltanto dati personali non sensibili e l’unico dato sensibile e’ costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, l’obbligo di cui alla lettera g) del comma 1 e di cui al punto 19 dell’Allegato B e’ sostituito dall’autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto dati personali non sensibili, che l’unico dato sensibile e’ costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, e che il trattamento di tale ultimo dato e’ stato eseguito in osservanza delle misure di sicurezza richieste dal presente codice nonché dall’Allegato B)”.
Il decreto legge 13/05/2011 n. 70 convertito, con modificazioni, nella legge 12 luglio 2011, n. 106 rappresenta un nuovo ed ulteriore tentativo, dopo quello del 2008, di semplificare la materia della privacy e della gestione dei relativi adempimenti formali.
In particolare l’art. 6 del predetto decreto intervene, modificandoli, su alcuni articoli del D.lgs n. 196/2003 (detto Codice privacy). Trattamento dei dati effettuato per finalità amministrativo-contabile Viene aggiunto all’art. 5 (Oggetto ed ambito di applicazione)
il comma 3-bis il quale dispone che “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice." Una prima considerazione: sembra che il Legislatore voglia escludere completamente dall’ambito di applicazione del Codice Privacy (è chiara la formula utilizzata "non è soggetto all’applicazione del presente codice") il trattamento dei dati amministrativo-contabili, così come definiti dall’art. 34 comma 1 ter. Ciò, se da un lato rappresenta una notevole semplificazione in quanto vengono eliminati parecchi adempimenti burocratico-formali (ad esempio non obbligo dell’informativa), dall’altro comporterebbe la non applicazione solo per tali tipologie di trattamento delle misure minime di sicurezza previste dall’allegato b) al Codice (ad esempio Sistema di autenticazione informatica, Sistema di autorizzazione, Documento programmatico sulla sicurezza etc.). Tutto ciò non appare logico a parere di chi scrive: anche i dati trattati per tali finalità meriterebbero quanto meno l’applicazione delle citate misure minime di sicurezza che rappresentano la parte sostanziale del Codice Privacy. Inoltre, per effetto di tale previsione chi effettua solo tali tipologie di trattamento non sarebbe soggetto a sanzioni di tipo amministrativo e di tipo penale. Seconda considerazione: dalla lettura combinata del comma 3-bis succitato e della nuova lettera 1-ter) (vedi sotto) si evince che l’esclusione di cui al comma 3-bis riguarda il trattamento dei soli dati delle persone giuridiche che tra loro intrattengono rapporti, con esclusione quindi del trattamento dei dati di terzi. Infine, poiché l’esclusione riguarda "Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti tra di loro", rientra pienamente nel campo di applicazione del Codice il trattamento dei dati personali effettuato da persone giuridiche, imprese, enti o associazioni in cui l’interessato del trattamento sia una persona fisica. Facciamo qualche ipotesi in base alla nostra interpretazione Esempio 1 Trattamento dei dati effettuato per le predette finalità da società di persone con solo due soci lavoratori che intrattiene rapporti commerciali e di lavoro esclusivamente con persone giuridiche: sarebbe escluso dal campo di applicazione del Codice sollevando tale società dai relativi oneri ed adempimenti. Esempio 2 Trattamento effettuato per le predette finalità da società di persone con due soci lavoratori ed un dipendente che intrattiene rapporti commerciali e di lavoro esclusivamente con persone giuridiche: sarebbe escluso dal campo di applicazione del Codice, sollevando tale società dai relativi oneri ed adempimenti, per ciò che concerne il trattamento dei dati effettuato nell’ambito dei rapporti intercorrenti con le altre persone giuridiche, rimanendo però incluso nel campo di applicazione del Codice il trattamento dei dati personali del dipendente-interessato. Esempio 3 Trattamento effettuato per le predette finalità da società di persone con due soci lavoratori ed un dipendente che intrattiene rapporti commerciali e di lavoro sia con persone giuridiche che fisiche: sarebbe escluso dal campo di applicazione del Codice, sollevando tale società dai relativi oneri ed adempimenti, per ciò che concerne il trattamento dei dati effettuato nell’ambito dei rapporti intercorrenti con le altre persone giuridiche, rimanendo però incluso nel campo di applicazione del Codice il trattamento dei dati personali del dipendente-interessato e delle persone fisiche con cui intrattiene rapporti commerciali. Obbligo di informativa e curriculum trasmessi spontaneamente A seguito dell’introduzione nell’art. 13 del comma 5-bis, in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro l’informativa di cui al comma 1 art. 13 non è più dovuta. Solo successivamente, al momento del primo contatto, il titolare del trattamento dovrà fornire all’interessato, anche oralmente, un’ informativa breve contenente almeno i seguenti elementi: - le finalità e le modalità del trattamento cui sono destinati i dati (lettera a); - i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi (lettera d); - gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile (lettera f). Sempre per quanto riguarda i curricula ricevuti spontaneamente contenenti dati sensibili non è necessario il previo consenso dell’interessato per il loro trattamento . Naturalmente permane l’obbligo di informativa completa (e di raccolta dell’eventuale consenso) da rendersi al momento della raccolta dei dati nel caso di ricerca di personale da parte del titolare del trattamento (ricezione non spontanea dei curricula). Casi nei quali può essere effettuato il trattamento senza consenso Tra i casi nei quali il trattamento può essere effettuato senza il consenso dell’interessato all’art. 24 vengono aggiunti: - lettera 1-bis) il trattamento dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis; - lettera 1-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, quando il trattamento dei dati riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanee di imprese con i soggetti ad essi aderenti, per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13. Esempio 4 Trattamento dei dati effettuato per le predette finalità da società di capitali controllante un’altra società di capitali per finalità amministrativo-contabili che comunica dati di terzi: sarebbe escluso dal campo di applicazione del Codice con il solo obbligo dell’informativa. Trattamento dei dati con l’ausilio di strumenti elettronici All’art. 34 il comma 1-bis – introdotto dall’art. 29, comma 1, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133 in un’ottica semplificatrice - viene completamente sostituito da un nuovo comma 1-bis e dal comma 1-ter (già esaminato in precedenza). Per effetto del nuovo comma 1-bis i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti potranno sostituire la tenuta di un aggiornato documento programmatico sulla sicurezza con un’autocertificazione in cui si dichiari di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). L’introduzione del nuovo comma 1-bis va a sanare la precedente situazione in cui l’autocertificazione era ammessa nei soli casi dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale: situazione che costringeva comunque a redigere un documento programmatico sulla sicurezza nel caso di trattamento di dati sensibili di parenti del lavoratore con strumenti elettronici (si pensi ad esempio alla madre che invia via e-mail il documento che attesta la malattia del bimbo per giustificare l’assenza dal lavoro). Ancor prima nella versione del decreto legge n. 112 D.L. 25.06.2008 (prima della conversione con modificazioni) il comma 1-bis contemplava la possibilità dell’autocertificazione soltanto nel caso del trattamento dei dati personali non sensibili e quando l’unico dato sensibile fosse costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, escludendo clamorosamente, ad esempio, il trattamento dei dati che rivelano l’adesione al sindacato. Naturalmente l’autocertificazione non solleva il titolare del trattamento dall’applicazione delle misure minime di sicurezza previste dall’allegato b) nonché da quelle, eventuali, adeguate. Resta ferma la previsione precedente di cui all’ultimo periodo del comma 1-bis che dispone che “in relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1” ed in forza del quale il Garante Privacy ha già introdotto le relative semplificazioni con Provvedimento del 27 novembre 2008. Ci si chiede se tutte queste semplificazioni a singhiozzo non peggiorino lo stato delle cose. Almeno per i piccoli soggetti ci vuole più tempo (e denaro) ad analizzare le varie situazioni peculiari che a redigere la documentazione ed adottare le misure di sicurezza classiche. Infatti, se riconsideriamo gli esempi precedenti in ogni caso specifico dovremmo soffermarci a valutare gli obblighi da adempiere stando attendi ad ogni variazione del trattamento che non ne sorga uno in precedenza escluso. In conclusione meglio una riforma organica della materia che una serie di provvedimenti incoerenti dettati più dalla fretta che dalla logica.
Vedi il decreto legge 30 dicembre 2008, n. 207 convertito con modificazioni dalla L. 27 febbraio 2009, n. 14 (c.d DL mille proroghe), seguiti dal provvedimento del Garante del 27 novembre 2008.
Vedi Art. 34 comma 1 Ter aggiunto dall’art. 6, comma 2, lettera a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106.
Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.
Per effetto dell’introduzione della lettera b-bis nel comma 3 dell’art. 26.
Al riguardo si veda art. 130 del Codice nominato “Comunicazioni indesiderate”.
1-bis “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e` sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.
Resa dal titolare del trattamento ai sensi art. 46 D.P.R. 28/12/2000 n. 445.
1-bis “Per i soggetti che trattano soltanto dati personali non sensibili e l’unico dato sensibile e’ costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, l’obbligo di cui alla lettera g) del comma 1 e di cui al punto 19 dell’Allegato B e’ sostituito dall’autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto dati personali non sensibili, che l’unico dato sensibile e’ costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, e che il trattamento di tale ultimo dato e’ stato eseguito in osservanza delle misure di sicurezza richieste dal presente codice nonché dall’Allegato B)”.
