È stato pubblicato nella Gazzetta Ufficiale 6 dicembre 2011, n. 284 il c.d. decreto legge “Salva Italia” approntato dal Governo Monti e recante ”Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici” (D.L. 201/11).
Tra le norme del decreto c’è una disposizione, passata inosservata ai più, che incide in maniera significativa sull’applicazione del Codice Privacy in ambito aziendale: l’art. 40, infatti, riformula le definizioni di “dato personale” e di “interessato” contenute nel Codice Privacy stabilendo che non sono dati personali quelli di “persone giuridiche, enti ed associazioni” e che questi ultimi non vanno considerati quali “interessati” ai fini dell’applicazione del Codice.
Testualmente la norma dispone, infatti, quanto segue:
“Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione”sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.
b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.
c) Il comma 3-bis dell’articolo 5 è abrogato.
d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.
e) La lettera h) del comma i dell’articolo 43 è soppressa.”
La conseguenza di questo intervento è che, dal 7 dicembre 2011, le disposizioni del Codice Privacy non si applicano più ai dati di imprese, enti e associazioni, mentre continueranno a essere tutelati quelli delle persone fisiche.
Ma cosa cambia per le aziende? Da un punto di vista pratico questa modifica incide su tutti gli adempimenti previsti dal Codice Privacy?
Il punto fondamentale è che le norme sulla privacy non si applicano più ai dati delle aziende, ma continuano ad applicarsi alle aziende…
In altre parole l’impresa non è più “interessato al trattamento” continua a rivestire il ruolo di “titolare del trattamento” e a dover rispettare tutte le regole che il D. Lgs. 196/03 prevede per il trattamento dei dati delle persone fisiche (es. informativa, richiesta di consenso. etc.).
Questa riforma non incide, pertanto, sulle norme relative al Documento Programmatico sulla Sicurezza (DPS) se non in casi del tutto eccezionali: chi era tenuto a redigerlo, magari nella forma semplificata, continua ad esserlo anche dopo l’entrata in vigore del decreto Salva Italia.
L’intervento normativo semplifica (forse!) esclusivamente i rapporti tra persone giuridiche (imprese, pubbliche amministrazioni, etc.) rendendo superflue le informative e le richieste di consenso al trattamento dei dati che le aziende si scambiavano reciprocamente.
L’intenzione del legislatore era di rendere più agili e meno burocratizzati i rapporti del cosiddetto Business to Business: ma se tra i vari dati del cliente/fornitore c’è anche il nome e il cognome di persone fisiche (perchè magari indicati nell’indirizzo e-mail)?