Le modifiche al Testo Unico in materia di Tutela dei dati personali intervenute con la Manovra d'estate (Legge n. 113 del 6 agosto 2008) e le note operative contenute nel Provvedimento Generale dell'Autorità Garante per la tutela dei dati personali del 27 novembre 2008, facilitano notevolmente gli adempimenti di piccole aziende e studi professionali in ordine alla tutela della privacy. In primo luogo viene resa più semplice l'adozione delle misure di sicurezza previste dal Testo Unico in caso di trattamenti di dati personali con strumenti elettronici; in secondo luogo, è stabilito, per un'ampia gamma di soggetti, l'esonero dalla redazione del Documento Programmatico sulla Sicurezza, sostituito da un'autocertificazione.

I destinatari della semplificazione

Il Provvedimento di semplificazione è applicabile ai soggetti che soddisfino le tre seguenti condizioni:

-      il titolare del trattamento deve essere uno studio professionale o rientrare nella definizione di piccola e media impresa che, secondo la normativa comunitaria, è l'impresa con meno di 250 dipendenti e con fatturato annuo inferiore ai 50 milioni di euro.

-      i dati trattati non devono essere sensibili, o se sensibili devono essere unicamente riferiti ai propri dipendenti e collaboratori anche a progetto e riguardanti lo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero l'adesione ad organizzazioni sindacali.

-      Il trattamento dei dati deve riguardare solamente le ordinarie operazioni di tipo amministrativo e contabile sottese all'attività aziendale o professionale.

In sintesi, tutte le piccole e medie aziende e gli studi professionali che trattano, avvalendosi di strumenti elettronici, i dati personali sensibili dei dipendenti o collaboratori per l'ordinaria amministrazione del rapporto di lavoro e l'adempimento degli obblighi contabili sono destinatari della semplificazione.

Il contenuto della semplificazione

Il Provvedimento del Garante prevede che i soggetti sopra individuati possano contare sui seguenti adempimenti, di minore impatto organizzativo rispetto a quanto stabilito originariamente nel Testo Unico:

-      le necessarie istruzioni in materia di tutela dei dati personali e utilizzo di strumenti informatici possono essere fornite al personale anche in forma verbale, non più esclusivamente in forma scritta;

-      il sistema di autenticazione informatica può essere qualsiasi, è sufficiente che a ciascun incaricato siano assegnati username e password univoche. Quale procedura di autenticazione è pienamente ammessa anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete;

-      in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e intervenire per necessità di sicurezza del sistema, se l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite, non più secondo le regole tassative stabilite nell'allegato B del Testo Unico;

-      L'aggiornamento dei programmi e volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus) viene effettuato con cadenza almeno annuale in luogo della cadenza semestrale;

-      Il salvataggio dei dati deve essere effettuato con cadenza almeno mensile, in luogo della periodicità settimanale altrimenti prevista. Il salvataggio periodico può non riguardare i dati non modificati dal momento dell'ultimo salvataggio effettuato, purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino.

Autocertificazione e Documento programmatico sulla sicurezza

Il Decreto Legge 112/2008 stabilisce inoltre che i titolari di trattamenti rientranti nelle categorie sopra individuate sono esonerati dal redigere un Documento Programmatico Sulla Sicurezza e possano invece produrre un'autocertificazione in cui dichiarino di trattare esclusivamente dati personali non sensibili o dati sensibili costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale e di trattare tali dati in osservanza delle altre misure di sicurezza prescritte.

Se l'azienda ad esempio si limita a registrare le assenze per malattia dei dipendenti in un foglio di calcolo od un programma gestionale senza l'indicazione della diagnosi ovvero ad inviare allo studio di consulenza le informazioni sull'orario di lavoro e ricevere i prospetti paga con posta elettronica è esonerata dalla redazione del Documento programmatico sulla Sicurezza e può redigere e sottoscrivere l'autocertificazione sostitutiva.

In conclusione, le ordinarie operazioni amministrative in materia di rapporto di lavoro e previdenza poste in essere dalle piccole e medie aziende con dipendenti non comportano in linea generale l'obbligo di redazione del DPS anche se effettuate con mezzi elettronici o telematici.

Diversamente, se i trattamenti di dati personali esulano dai limiti sopra descritti e prevedono ad esempio la registrazione di immagini negli ambienti di lavoro, l'utilizzo di apparecchi per la rilevazione della posizione geografica di dipendenti o terzi soggetti (come nel caso di strumenti satellitari in vetture ed autocarri aziendali), l'utilizzo di dati sensibili appartenenti a soggetti estranei a rapporti di lavoro con l'azienda, come nel caso di dati appartenenti ai clienti di strutture sanitarie, medici, oftalmologi, studi legali, e commercialistici, rimangono pienamente vigenti gli obblighi di redazione del Documento Programmatico sulla Sicurezza.