Studio Synthesis

crm, BI, opensource, web marketing, sicurezza, etc

Comparazione tra normativa privacy e art. 35 legge 248/2006

leave a comment »

Contesto: un’impresa di pulizie è subappaltatore presso una Spa dei servizi di pulizia dei locali. I dipendenti dell’impresa utilizzano la struttura di rilevazione presenze in capo alla Spa. La Spa in qualità di appaltatore richiede all’impresa di pulizie di prendere visione dell’effettivo versamento dei contributi INPS/INAIL da parte di quest’ultima in ragione della normativa prevista dalla legge 248/2006 che prevede la responsabilità solidale dell’appaltatore nel caso di mancato pagamento degli stessi. Le sanzioni variano tra i 5.000 ed i 200.000 euro. Nella legge stessa non viene specificato quali siano i documenti ritenuti idonei e comprovanti che l’appaltatore possa richiedere al subappaltatore. Nel caso specifico vengono chiesti i cedolini busta paga.

Normative di riferimento: Legge 248/2006 e Testo unico 196/2003

Comparazione:

Estratto dell’Art. 35 legge 248/2006

28. L’appaltatore risponde in solido con il subappaltatore della effettuazione e del versamento delle ritenute fiscali sui redditi di lavoro dipendente e del versamento dei contributi previdenziali e dei contributi assicurativi obbligatori per gli infortuni sul lavoro e le malattie professionali dei dipendenti a cui e’ tenuto il subappaltatore.

29. La responsabilità solidale viene meno se l’appaltatore verifica, acquisendo la relativa documentazione prima del pagamento del corrispettivo, che gli adempimenti di cui al comma 28 connessi con le prestazioni di lavoro dipendente concernenti l’opera, la fornitura o il servizio affidati sono stati correttamente eseguiti dal subappaltatore. L’appaltatore può sospendere il pagamento del corrispettivo fino all’esibizione da parte del subappaltatore della predetta documentazione.

30. Gli importi dovuti per la responsabilità solidale di cui al comma 28 non possono eccedere complessivamente l’ammontare del corrispettivo dovuto dall’appaltatore al subappaltatore.

Questi 3 commi dell’articolo 35 della legge 248/2006 si riferiscono espressamente alla facoltà dell’appaltatore di verificare l’effettività dei versamenti e dei contributi fiscali/assicurativi, in quanto lo stesso risponderebbe in solido con il subappaltatore nel caso in cui da verifica dell’agenzia delle entrate dovessero risultare delle irregolarità negli stessi. Fino a qui dunque non vi sono problemi di regolarità alcuna.

Il problema sorge nel momento in cui l’appaltatore venga in possesso della “documentazione” comprovante gli avvenuti versamenti e quale di questa documentazione sia ritenuta necessaria da parte dell’appaltatore stesso.

Il cedolino busta paga, nello specifico, è un documento contenente diverse tipologie di dati riguardanti la persona fisica che ne beneficia; si pone pertanto un problema relativo al trattamento dei dati ed alla normativa del Testo unico 196/2003.

Il subappaltatore è azienda che provvede da anni alla Sua messa a norma sia adottando le misure minime di sicurezza sia adottando parte di quelle idonee e preventive. Assodato, che la stessa acquisisce regolarmente le informative dei suoi dipendenti, la possibilità per la gestione della problematica relativa al trasferimento di dati “sensibili” potrebbe essere risolta in due modi distinti a mio avviso:

  1. Informativa mirata fatta sottoscrivere al dipendente con la previsione nelle finalità della possibilità di far visionare a soggetti terzi il contenuto delle buste paga citando come riferimento normativo obbligatorio l’art. 35 del d.l. 248/2006.

  2. La visione delle buste paga deve avvenire in forma del tutto anonima da parte dell’appaltatore, consegnandogliene copia debitamente cancellata nelle parti anagrafiche e di eventuali sistemi meritocratici o anticipatori.

Da tutto questo comunque nasce la necessità che l’appaltatore dimostri al subappaltatore di essere pienamente a norma privacy avendo adottato le misure minime di sicurezza previste dal disciplinare tecnico “allegato B” al T.U. 196/2003, nonché parte delle misure idonee e preventive.

Più nello specifico:

  • Documento Programmatico sulla Sicurezza;

  • Analisi della catena delle responsabilità con relative nomine;

  • Incarichi mirati ai soggetti che prendono visione dei dati;

  • Nomina dei soggetti esterni ai quali vengono trasferiti i dati stessi;

  • Piano di formazione degli incaricati e relativo piano di verifica.

In presenza della suddetta documentazione sarebbe dunque ottima cosa prevedere a carico dell’appaltatore la “Nomina a responsabile esterno per la sicurezza dei dati” o spingendosi oltre la nomina a “Titolare autonomo del trattamento dei dati”.

Nel caso mancasse la documentazione di riferimento opterei per la soluzione sopra citata al punto 2), che lascierebbe comunque scoperti in caso di una denuncia di risarcimento del danno proveniente da parte del dipendente che dovesse palesare delle mancanze di riservatezza nella tenuta dei suoi dati.

Dott. Marco Bentivoglio

Studio Synthesis S.r.l.

ufficio.legale@studiosynthesis.biz

Una versione in formato .pdf di questo testo è disponibile nella sezione Downloads del sito web di Studio Synthesis.

Written by cbeschi

9 aprile 2008 a 10:25 AM

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: