Circolare informativa sulle semplificazioni Privacy 2012.
Con la Legge n° 183/2011 e il recente D.L. 5/2012 sono state introdotte importanti
novità in tema di privacy che riguardano anche gli Studi Legali.
Scopo della presente comunicazione è illustrare il contenuto dei suddetti
provvedimenti e le conseguenze pratiche.
Innanzitutto la semplificazione riguarda in particolare le persone giuridiche (imprese,
enti, associazioni). Il nuovo testo della norma, infatti, considera ora "interessato" (e quindi
destinatario e beneficiario delle tutele previste) solo le persone fisiche, mentre per "dato
personale" (quindi l'informazione da proteggere) si intende il dato riferito esclusivamente
alla persona fisica.
Applicando la norma alla lettera appare plausibile la possibilità di evitare di rendere
l'informativa e di chiedere il consenso ai clienti che siano persone giuridiche, tuttavia, dal
momento che nel corso di un procedimento il trattamento può riguardare anche dati
personali riferiti a persone fisiche che operano per conto del cliente (i suoi dipendenti), si
consiglia di continuare a fornire l'informativa ex art. 13 D.Lgs. 196/2003 e di chiedere la
firma per ricevuta e prestazione del consenso.
Ulteriori novità (valide anche per titolari persone fisiche).
A. Curriculum e candidature
Non è più necessario dare l'informativa a chi invia spontaneamente curriculum ai fini
di una assunzione lavorativa e non è più necessario il consenso per i dati sensibili ivi
contenuti.
Solo in caso di successivo contatto il Professionista deve fornire un'informativa breve
contenente: le finalità e modalità di trattamento; i soggetti o le categorie di soggetti ai quali i
dati possono essere comunicati o possono venirne a conoscenza; gli estremi identificativi
del titolare e del responsabile del trattamento.
ABOLIZIONE DELL'OBBLIGO DI REDAZIONE DEL D.P.S.
Con il recente decreto semplificazioni di gennaio 2012 è scomparso dal Codice
Privacy l'obbligo di redazione del Documento Programmatico sulla Sicurezza (DPS) e del
suo aggiornamento entro il 31 marzo di ogni anno.
Viene meno così uno degli adempimenti più importanti previsti dal Codice Privacy.
Va tenuto, però, in debita considerazione il fatto che rimangono comunque in vigore
(sanzioni comprese), oltre agli altri obblighi (informativa all'interessato, definizione delle
nomine degli incaricati e dei responsabili del trattamento) anche tutte le altre misure
minime ai sensi degli arti 34 e 35, e precisamente:
Trattamenti con l'ausilio di strumenti elettronici.
a) autenticazione informatica (username e password),
b) adozione di procedure di gestione delle credenziali di autenticazione
(custodia e sostituzione periodica delle password),
e) utilizzazione di un sistema di autorizzazione (l'insieme degli strumenti e delle
procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli
stessi, in funzione del profilo di autorizzazione previsto);
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati programmi informatici
(antivirus, firewall, eco.);
i) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi (back-up e recovery).
Trattamenti senza l'ausilio di strumenti elettronici.
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative (in particolare i
praticanti e le segretarie, ma anche colleghi di studio);
b) previsione di procedure per un'idonea custodia di atti e documenti affidati
agli incaricati per lo svolgimento dei relativi compiti (mansionario)',
e) previsione di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati.
Sicuramente il Decreto sulle semplificazioni ha portato un alleggerimento rilevante,
ma non l'esonero dalla necessità di verificare il rispetto di tutti gli altri adempimenti
relativi al trattamento dei dati personali, che potranno trovare evidenza e riscontro in un
documento equipollente al DPS, più snello e meno formale, che attesti la diligenza del
titolare del trattamento nell'osservanza degli obblighi di legge sopra descritti.
Con i migliori saluti.