Novità in tema di tutela e trattamento dei dati personali introdotte dal D.L. 25 giugno 2008, n. 112

E' stato pubblicato in Gazzetta Ufficiale n. 147 del 25 giugno 2008 il D.L. 25 giugno 2008, n. 112 che,

 all'art. 29, importa alcune modifiche al D.lgs. 30 giugno 2003, n. 196, con particolare riferimento agli artt. 34 (Trattamenti con strumenti elettronici) e 38 (Modalità di notificazione) del Codice della Privacy, nell'ottica di semplificare e snellire le modalità di trattamento dei dati sensibili e le modalità di notificazione al Garante della Privacy.

All'interno dell'art. 34 del citato Codice è stato inserito il comma 1 bis, la cui previsione riguarda “i soggetti che trattano soltanto dati personali non sensibili e l'unico dato sensibile” in loro possesso “è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi”.

Costoro, dunque, secondo la nuova prescrizione normativa, non sono più obbligati a tenere un “aggiornato documento programmatico sulla sicurezza” attenendosi a quanto previsto dalla lett. g), comma 1 dell'art. 34 del d.lgs. 1962003. Tale obbligo, infatti, è stato sostituito da un autocertificazione, della cui presentazione è onerato il titolare del trattamento, il quale deve attestare di “trattare soltanto dati personali non sensibili, che l'unico dato sensibile è costituito dallo stato di salute e malattia dei propri dipendenti senza indicazione della relativa diagnosi” e che il trattamento di tale unico dato è stato eseguito in osservanza delle misure di sicurezza richieste dal D.lgs. n. 196/2003 nonché dall'allegato B)” annesso ad esso.

In seconda battuta, l'art. 29 del D.L. n. 112/2008 prevede un generale snellimento nella redazione del documento programmatico per la sicurezza di cui alla lett. g), comma 1, dell'art. 34 D.lgs. 196/2003 e di cui al punto 19 dell'Allegato B per le “correnti finalità amministrative e contabili”. Si prevede, infatti, un aggiornamento del disciplinare tecnico adottato nelle forme del Decreto Ministeriale dal Ministro della Giustizia di concerto con il Ministro per la Pubblica Amministrazione e l'Innovazione e con il Ministro per la Semplificazione Normativa ai sensi dell'art. 36 del Codice della Privacy, entro due mesi dall'entrata in vigore della Legge di Conversione del D.L. n. 112/2003, tramite il quale devono essere prescritte modalità semplificate per la redazione del documento stesso.

Qualora, inoltre, non sia aggiornato il disciplinare tecnico sopra citato entro il termine previsto, il documento programmatico per la sicurezza deve essere redatto nella medesima forma indicata per i soggetti che trattano soltanto dati personali non sensibili e di cui si è detto, cioè presentando l'autocertificazione di cui all'art. 47 del D.P.R. 28 dicembre 2000, n. 445.

Dal breve esame delle modifiche apportate all'art. 34 del Codice della Privacy emerge che l'importante semplificazione nella redazione del documento programmatico per la sicurezza porta ad un alleggerimento dell'onere per le imprese e ad una riduzione dei costi derivanti dalla necessità di avvalersi di una consulenza, nonché alla minore possibilità di incorrere in sanzioni qualora non ci si adegui perfettamente a prescrizioni che risultavano particolarmente complesse nella loro attuazione; sotto un altro profilo, però, è opportuno identificare una zona d'ombra nell'avere generalizzato l'uso dell'autocertificazione per le “correnti finalità amministrative e contabili”: infatti, inserendo una locuzione ampia e generica si determina scarsa chiarezza riguardo a cosa debba intendersi in relazione alle finalità stesse.

Per quanto attiene, invece, le modifiche apportate all'art. 38 del Codice della Privacy/, il nuovo D.L. prevede la sostituzione dell'intero comma 2° della norma sopra citata, comma che riguarda la validità della notificazione del trattamento dei dati da presentarsi al Garante prima dell'inizio del trattamento.

Le variazioni introdotte con la nuova disposizione attengono, in primo luogo, alla modalità di trasmissione della notifica stessa, che può ritenersi validamente effettuata solo se inviata attraverso il sito del Garante.

In secondo luogo, il nuovo 2° comma prevede l'adeguamento ad opera del Garante del modello per effettuare la notificazione e inserisce un'elencazione tassativa di informazioni che devono essere contenute all'interno del modello stesso.