In generale si è provveduto ad un allineamento rispetto agli ordinamenti di altri paesi europei, riducendo l’ambito di applicabilità del Codice sulla Privacy nell’operatività delle persone giuridiche in quanto “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”
In primis all’art. 5 del Codice Privacy è stato aggiunto il comma 3 bis secondo cui “il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo/contabili (come definite all’articolo 34, comma 1-ter della medesima norma) non è soggetto all’applicazione dello stesso D.Lgs 196/2003”.
A riguardo l’introduzione del comma 1-ter dell’articolo 34, originariamente inserito dalla legge 133/2008, già aveva avviato semplificazioni inerenti l’obbligo del DPS (documento programmatico sicurezza informatica) nell’ambito del trattamento dati con strumenti elettronici, disciplinato appunto dal primo comma 1 articolo 34 e nell’allegato B del Codice Privacy.
In merito al medesimo articolo 34, il decreto sviluppo 2011 ha rivisto il testo del comma 1-bis nel quale ora si stabilisce che “per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza (DPS) è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del D.P.R. n° 445/2000 (testo unico documentazione amministrativa), di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1. 1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”
Novità anche circa i curricula inviati spontaneamente dai candidati alle aziende; infatti sempre nel Codice Privacy, all’articolo 13, comma 5 è in fine aggiunto il comma 5-bis in cui si prescrive che “l’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f). (del Codice Privacy)”.
Sempre in tema di curricula, novelle affini al principio esposto compaiono anche all’art. 24 comma 1, dove al punto g) sono state soppresse le parole “anche in riferimento all’attività di gruppi bancari e di società controllate o collegate”, e a cui sono stati poi aggiunti il punto i-bis) riguardante dati contenuti nei curricula, nei casi di cui all’articolo 13 (informativa), comma 5-bis appena sopra descritto, e infine il punto i-ter) che introduce “l’esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice (comunicazioni indesiderate), riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile (Società controllate e società collegate) ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter (Trattamenti con strumenti elettronici per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati), e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13 (informativa) .”.
Infine, sempre nel Codice Privacy, all’articolo 26 comma 3, inerente l’esclusione dall’applicazione delle garanzie per i dati sensibili, è stato aggiunto per coordinamento il punto b-bis) “dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.”;
Da ultimo, relativamente agli elenchi di abbonati (art. 129) e alle correlate comunicazioni indesiderate (art. 130), al comma 3 bis dell’art 130 del Codice Privacy, dopo le parole: “mediante l’impiego del telefono” sono state inserite le seguenti: “e della posta cartacea” e dopo le parole: “l’iscrizione della numerazione della quale è intestatario” sono inserite le seguenti: “e degli altri dati personali di cui all’articolo 129, comma 1,”.