Il Consiglio dei Ministri dello scorso 21 marzo 2018, così indica il comunicato stampa, ha approvato in sede preliminare un D.lgs. (di seguito RI – Regolamento Italiano) che introdurrebbe disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento Europeo (di seguito RE), che entreranno in vigore il prossimo 25 maggio 2018, data in cui il D.lgs. 196/2003 verrebbe abrogato.
Forse anche questa volta il nostro legislatore “arriverà un po’ lungo” – non arriva mai lungo in altre occasioni, come ben sappiamo, infatti il RE è datato 2016 ed entrerà in vigore il 25 maggio 2018: i due anni di “distanza” costituivano il lasso di tempo necessario ad adeguare le normative nazionali al RE, infatti il Consiglio dei Ministri, pur avendo due anni a disposizione, è intervenuto – non si sa ancora in quale modo – dopo 23 mesi circa.
Tanto per fare un esempio la normativa nazione dovrà stabilire quale sia l’età dei minori cui si applica la tutela dei dati personali (l’articolo 8 del RE prevede infatti che gli stati membri possono stabilire un’età inferiore ai 16 anni ma comunque non inferiore ai 13, l’attuale D.lgs. 196/2003 prevede i 16 anni).
In vista dell’emanazione del RI se metto le mani al mio faldone privacy e riformulo in termini chiari e coincisi l’informativa e la richiesta di consenso per il trattamento di dati sensibili, ad esempio per il trattamento dei dati relativi al 730 o al modello Redditi PF cosa scrivo? faccio riferimento al D.lgs.196/2003 che tra circa due mesi sarà abrogato? E poi mi ritroverò a rifarle perché fanno riferimento ad una norma abrogata? Oppure cito le disposizioni del RE?
Ma non è l’unico punto sul quale il RI dovrà chiarire alcuni aspetti della privacy: sinora un’interpretazione rigida del dato sensibile “stato di salute” era costituita in estrema sintesi, nella condizione “sto bene”oppure “sto male”, secondo tale interpretazione rigida l’assenza per malattia di un dipendente – e l’indicazione dell’indennità sulla busta paga – comportava il trattamento di dato “sensibile” (il trattamento di dati sensibili avviene solo con il consenso – art. 9 RE – ed occorre dimostrare di aver acquisito il consenso -art. 7 RE); poi vi erano alcune pronunce del garante circa le diagnosi “in chiaro” che, a mio modesto avviso, avvaloravano quanto di seguito.
Il RE sembra andare al di là di tale interpretazione, in quanto il punto 35 dei “considerando” sembra individuare i dati sensibili relativi allo stato di salute nelle . “informazioni ..raccolte nel corso della sua registrazione…al fine di ricevere assistenza sanitaria…¸le informazioni risultanti da esami e controlli effettuati su una parte del corpo…..qualsiasi informazione riguardanti una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici…..”
Il certificato di malattia che riceve l’azienda è quindi un documento contenente “dati sensibili”? sul certificato di malattia non si riscontra l’indicazione della malattia, né della patologia.
Sul cedolino paga non risulta né la malattia né la patologia: vi è solo l’indicazione dell’indennità di malattia, e allora il cedolino paga contiene dati sensibili sullo stato di salute? E ancora: sul cedolino paga non è indicata a quale associazione sindacale viene versata la quota indicata dal dipendente, e allora il cedolino paga contiene dati sensibili relativi all’adesione a sindacati? Leggo su un testo (aggiornato – non un fascicoletto, un libro che viene venduto per più che affidabile) che sono dati sensibili “..i dati contenuti all’interno delle buste paga inerenti la trattenuta sindacale..”: il problema è che dalle buste paga fornitemi dal Consulente del Lavoro risulta unicamente la dicitura “trattenuta sindacale”, poi agli atti dell’azienda o del Consulente del Lavoro (e dai versamenti effettuati) risulta l’individuazione dello specifico sindacato, e questo è dato “sensibile”.
Considerato che non elaboro buste paga, se invece elaboro la contabilità della società XY e questa, per effettuare le registrazioni mi fornisce copia delle buste paga, non sto trattando alcun dato sensibile, nel senso che dalle buste paga non risulta né la patologia (per ciò che riguarda le condizioni di salute del dipendente) né l’associazione sindacale cui aderisce il dipendente.
Magari prima di pensare alle sanzioni, sproporzionate come al solito, una maggiore tempestività del Legislatore ed un po’ di chiarimenti non sarebbero male.