Il trattamento dei dati personali è disciplinato:
i) dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 27 aprile 2016, meglio noto come “Gdpr”;
ii) dal Dlgs. n. 196 del 30 giugno 2003, meglio noto come “Codice della Privacy”, così come novellato dal recente Dlgs. n. 101 del 10 agosto 2018, pubblicato sulla G.U. del 4 settembre 2018.
Nel presente commento ci si sofferma, in particolare, sulle novità introdotte dal Dlgs. n. 101/2018 per gli Enti pubblici e per le Imprese.
Novità per gli Enti pubblici
La puntualizzazione dei “motivi di interesse pubblico rilevante”
La principale novità per gli Enti pubblici consiste nella puntualizzazione delle materie nelle quali i soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblico poteri possono trattare dati, anche di categorie particolari, “per motivi di interesse pubblico rilevante”, ai sensi dell’art. 9, par. 2, lett. g), del Regolamento.
Con l’introduzione al “Codice della Privacy” dell’art. 2-sexies, il Dlgs. 101/2018 chiarisce che “si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie”:
a) accesso a documenti amministrativi e accesso civico;
b) tenuta degli atti e dei registri dello Stato civile, delle Anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all’estero, e delle Liste elettorali, nonché rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalità;
c) tenuta di registri pubblici relativi a beni immobili o mobili;
d) tenuta dell’Anagrafe nazionale degli abilitati alla guida e dell’Archivio nazionale dei veicoli;
e) cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato;
f) elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonché documentazione delle attività istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell’attività di assemblee rappresentative, commissioni e di altri Organi collegiali o assembleari;
g) esercizio del mandato degli Organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento, nonché l’accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche;
h) svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l’accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all’espletamento di un mandato elettivo;
i) attività dei soggetti pubblici dirette all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale;
l) attività di controllo e ispettive;
m) concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;
n) conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di Associazioni, Fondazioni ed Enti, anche di culto, accertamento dei requisiti di onorabilità e di professionalità per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di Istituzioni scolastiche non statali, nonché rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patronati e premi di rappresentanza, adesione a comitati d’onore e ammissione a cerimonie ed incontri istituzionali;
o) rapporti tra i soggetti pubblici e gli Enti del “Terzo Settore”;
p) obiezione di coscienza;
q) attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
r) rapporti istituzionali con Enti di culto, confessioni religiose e comunità religiose;
s) attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
t) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;
u) compiti del Servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, Protezione civile, salvaguardia della vita e incolumità fisica;
v) programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’Amministrazione ed i soggetti accreditati o convenzionati con il Servizio sanitario nazionale;
z) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria;
aa) tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili;
bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario;
cc) trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli Enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica, nonché per fini statistici da parte di soggetti che fanno parte del Sistema statistico nazionale (Sistan);
dd) instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell’ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva.
I principi relativi al trattamento di dati relativi a condanne penali e reati
Con l’introduzione al “Codice della Privacy” dell’art. 2-octies, il Dlgs. n. 101/2018 chiarisce i principi relativi al trattamento dei dati relativi a condanne penali è reati. Ad avviso di chi scrive, si tratta di una precisazione estremamente importante con riferimento alle procedure di appalto.
Nel dettaglio, l’art. 2-octies del “Codice della Privacy” (introdotto dal Dlgs. n. 101/2018) dispone che “il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito se autorizzato da una norma di legge o, nei casi previsti dalle legge, di regolamento, riguardanti, in particolare: …
c) la verifica o l’accertamento dei requisiti di onorabilità, requisiti soggettivi e presupposti interdittivi nei casi previsti dalle leggi o dai regolamenti;
f) l’esercizio del diritto di accesso ai dati e ai documenti amministrativi, nei limiti di quanto previsto dalle leggi o dai regolamenti in materia;
h) l’adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e informazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di pericolosità sociale, nei casi previsti da leggi o da regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d’appalto;
i) l’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalle vigenti normative in materia di appalti;
l) l’attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese ai sensi dell’art. 5-ter del Dl. n. 1/2012, convertito con modificazioni dalla Legge n. 27/12;
m) l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo”.
La tutela del “whistleblower”
Il Dlgs. n. 101/2018, introducendo nel “Codice della Privacy” l’art. 2-undecies, ha rafforzato le tutele per il c.d. “whistleblowing”, ossia la disciplina di tutela di chi segnala illeciti nella P.A. introdotta con la Legge n. 190/2012.
In particolare, l’art. 2-undecies del “Codice della Privacy”, nel fissare le limitazioni ai diritti dell’interessato sancisce che “i diritti di cui agli artt. da 15 a 22 del Regolamento non possono essere esercitati … qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto: … f) alla riservatezza dell’identità del dipendente che segnala ai sensi della Legge n. 179/2017, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio”.
Durata del trattamento
Il Dlgs. n. 101/2018 riscrive l’art. 99 del “Codice della Privacy”, prevedendo che “il trattamento dei dati personali ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici può essere effettuato anche oltre il tempo necessario per conseguire i diversi scopi per i quali sono stati in precedenza raccolti o trattati”.
Attribuzioni di funzioni e compiti a soggetti designati
Sebbene tale fattispecie non riguardi solo i soggetti pubblici, la trattazione avviene in collegamento alle novità rilevanti per gli Enti pubblici attesa l’impatto della normativa sugli Enti.
Il Dlgs. n. 101/2018 ribadisce che il Titolare del trattamento può farsi supportare nelle attività di trattamento dal proprio personale interno riaffermando quanto già previsto all’interno dell’art. 29 del “Gdpr”. Infatti, il Decreto afferma che, nell’ambito del proprio assetto organizzativo e sotto la propria responsabilità, il Titolare del trattamento può prevedere che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche che operano sotto la sua autorità. Questi soggetti inoltre com’è noto devono essere espressamente designati per tali compiti.
Novità per le imprese
Ricezione spontanea dei cv
La principale novità per le imprese riguarda la comunicazione dell’informativa in occasione della ricezione spontanea di curriculum vitae ai propri indirizzi.
Il Dlgs. n. 101/2918 (introducendo l’art. 111-bis nel “Codice della Privacy”) specifica che, in caso di ricezione di un curriculum spontaneamente trasmesso dall’interessato al fine dell’instaurazione di un rapporto di lavoro, l’Informativa Privacy prevista dall’art. 13 del “Gdpr” dovrà essere fornita al momento del primo contatto utile successivamente all’invio del curriculum.
Divieto di controllo a distanza
Sempre nella prospettiva delle imprese e di rapporti di lavoro, è interessante notare come il Dlgs. n. 101/2018 abbia espressamente ribadito il divieto di controllo a distanza dei lavoratori previsto dall’art. 4 dello “Statuto dei Lavoratori”, confermando anche la relativa sanzione penale.
Semplificazione per le piccole e medie imprese
Il Dlgs. n. 101/2018 (inserendo nel “Codice della Privacy” l’art. 154-bis) evidenzia con chiarezza l’esigenza di semplificare gli adempimenti per le micro, piccole e medie imprese. Il Garante per la Protezione dei dati personali dovrà pertanto adottare delle linee-guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del “Gdpr” per il Settore delle Pmi, individuando delle modalità semplificate di adempimento degli obblighi del Titolare del trattamento.
Tuttavia, deve essere molto chiaro che ciò non autorizza le Pmi a non adeguarsi – anzi, per essere precisi, a non essere già adeguate – al dettato del “Gdpr” e del nostro nuovo “Codice della Privacy”.
Avv. Flavio Corsinovi