Ecco come il Governo Monti ci ha cambiato la… Privacy
ERIC FALZONE
INDICE
I – INTRODUZIONE
II – IL DECRETO SALVA ITALIA
III – IL DECRETO SEMPLIFICAZIONI
IV – CONCLUSIONI
FONTI:
Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone – Casa Editrice Hoepli Spa) – Decreto Legislativo 30 giugno 2003, n. 196 e Allegato B) – Decreto Legge 06 dicembre 2011 n. 201, così come convertito con modificazioni dalla Legge 22 dicembre 2011 n. 214, denominato “Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici” – Decreto Legge 09 Febbraio 2012 n. 5, così come convertito con modificazioni dalla Legge 04 Aprile 2012 n. 35, denominato “Disposizioni urgenti in materia di semplificazione e di sviluppo”.
Copyright 2012 Padova – Dr. Eric Falzone
Web: www.eucs.it – E-mail: eric.falzone@eucs.it
Tutti i diritti sono riservati. La riproduzione, modifica e utilizzo di qualsiasi parte del presente documento è consentita solo previa autorizzazione dell’Autore. E’ comunque escluso ogni utilizzo del contenuto del presente documento per la redazione di ulteriori saggi, testi o pubblicazioni.
I – INTRODUZIONE
In questi ultimi due anni la normativa privacy italiana è stata inondata da un susseguirsi continuo di semplificazioni e contro semplificazioni, che hanno stravolto e annegato il Codice Privacy in una marea di imprecisioni e di macroscopici errori giuridici.
Sotto il vessillo delle “semplificazioni burocratiche” è stata portata avanti a spada tratta la lotta alla “privacy”, ovvero la “guerra di liberazione” contro le oppressioni per le aziende derivanti dall’obbligo del rispetto del diritto fondamentale alla protezione dei dati personali dei propri clienti, fornitori e dipendenti.
Questa guerra di trincea, si è protratta per diversi anni, ha mietuto vittime illustri nei Governi precedenti ed ha portato al risultato delle ultime variazioni normative introdotte dall’attuale Governo Monti.
Ma queste modifiche servivano veramente?
Cos’è cambiato realmente nel modo di adempiere agli obblighi in materia di privacy da parte di aziende e pubbliche amministrazioni?
Forse nulla… ma in verità ancora nessuno se ne è accorto.
In questo saggio andremo ad analizzare le principali modifiche normative apportate al Codice Privacy dal Governo Monti e proveremo a valutare l’impatto in termini di semplificazioni e di garantismo per il diritto fondamentale alla protezione dei dati personali.
II – IL DECRETO SALVA ITALIA
La prima modifica normativa in materia di privacy introdotta dal Governo Monti è stata il famoso “Decreto Salva Italia” ovvero il Decreto Legge 06 dicembre 2011 n. 201, così come convertito con modificazioni dalla Legge 22 dicembre 2011 n. 214, denominato “Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici”.
Il suddetto decreto all’articolo 40 comma 2 così recita:
“Art. 40. Riduzione degli adempimenti amministrativi per le imprese
2. Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all’articolo 4, comma 1, alla lettera b), le parole «persona giuridica, ente od associazione» sono soppresse e le parole «identificati o identificabili» sono sostituite dalle parole «identificata o identificabile».
b) All’articolo 4, comma 1, alla lettera i), le parole «la persona giuridica, l’ente o l’associazione» sono soppresse.
c) Il comma 3-bis dell’articolo 5 e’ abrogato.
d) Al comma 4, dell’articolo 9, l’ultimo periodo e’ soppresso.
e) La lettera h) del comma i dell’articolo 43 e’ soppressa.”
Analizzando nel dettaglio le modifiche in materia di protezione dei dati personali apportate dal decreto, scopriamo che sono: “disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici” emesse per ridurre gli adempimenti amministrativi per le imprese con l’obiettivo “Salvare l’Italia”.
Già da questa prima considerazione, emergono già alcuni dubbi sulla reale efficacia e portata di questo decreto in ambito privacy.
Le modifiche apportate dal decreto riguardano i seguenti articoli del Codice Privacy:
– Articolo 4 comma 1 lettera b) – Definizione di Dato Personale
La nuova definizione di dato personale è la seguente: “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;”
– Articolo 4 comma 1 lettera i) – Definizione di Interessato
La nuova definizione di interessato è la seguente: “la persona fisica cui si riferiscono i dati personali;”
– Articolo 5 comma 3-bis – Ambito di Applicazione del Codice Privacy
E’ stato abrogato il seguente articolo: “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”
– Articolo 9 comma 4 – Modalità di Esercizio dei Diritti dell’Interessato
E’ stato abrogato il seguente periodo: “Se l’interessato è una persona giuridica, un ente o un’associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.”
– Articolo 43 comma 1 lettera h) – Modalità di Trasferimento di Dati Personali Consentiti in Paesi Terzi
E’ stato soppresso il seguente periodo: “il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni”.
Sintetizzando, il risultato finale del decreto è stato una sostanziale modifica dei concetti di “dato personale” e di “interessato”, con l’esclusione delle persone giuridiche dall’ambito di protezione garantito dal Codice Privacy e la consequenziale restrizione della tutela dei dati personali ai soli soggetti persone fisiche.
Il considerevole enigma, che affiora alla mente a seguito dell’introduzione di questa modifica normativa, è l’entità, in termini quantitativi e qualitativi, della reale riduzione degli adempimenti amministrativi in materia privacy a carico delle aziende derivante dalla sua applicazione.
Nonostante i più grandi sforzi di fantasia e creatività, risulta, infatti, veramente difficile dimostrare una benché minima riduzione degli adempimenti amministrativi previsti per le aziende in materia di privacy.
La logica base di partenza di quest’affermazione è il fatto che, non cambiando gli obblighi in materia di privacy a carico dei Titolari in caso di trattamento di dati personali di persone fisiche, e essendo praticamente impossibile che un soggetto si limiti a trattare esclusivamente dati di persone giuridiche, nessuna riduzione di adempimenti amministrativi viene realmente garantita alle aziende dall’introduzione del suddetto decreto.
Accertato che, di fatto, il decreto non ha apportato nessun effetto benefico, forse è il caso di stimare anche i possibili danni che possono emergere per le imprese a seguito della sua applicazione.
Considerato che, in generale, il risarcimento di danni, patrimoniali e non, conseguenti al compimento di una fattispecie illecita è da sempre riconosciuto oltre che alle persone fisiche anche alle persone giuridiche, la modifica del Codice Privacy attuata dal decreto, può essere considerata un pericoloso precedente in grado di minare il principio cardine di equità dell’ordinamento giuridico italiano.
Eliminando la protezione dei dati personali delle persone giuridiche, infatti, viene meno il diritto degli stakeholders di vedere tutelati i loro diritti patrimoniali derivanti da un trattamento illecito dei dati della propria azienda.
Si apre, pertanto, un’incongruenza normativa tra responsabilità penale di un soggetto derivante dal trattamento illecito di dati di una persona giuridica a seguito della commissione di un delitto informatico e la completa mancanza di responsabilità del medesimo soggetto derivante dal trattamento illecito di “ex dati personali” della stessa persona giuridica.
Un’ulteriore complicazione, di non poco conto, potrebbe derivare dall’applicazione del D.lg. 231/01 in materia di responsabilità amministrativa delle persone giuridiche, in quanto per assurdo un’azienda potrebbe adottare un modello organizzativo 231 senza essere obbligata ad adottare le misure minime di sicurezza previste dal D.lg. 196/03.
Da quanto analizzato il quadro del Decreto Salva Italia appare chiaro: poca semplificazione e tanta confusione!
III – IL DECRETO SEMPLIFICAZIONI
La seconda modifica normativa in materia di privacy introdotta dal Governo Monti è stata il celeberrimo “Decreto Semplificazioni” ovvero il Decreto Legge 09 Febbraio 2012 n. 5, così come convertito con modificazioni dalla Legge 04 Aprile 2012 n. 35, denominato “Disposizioni urgenti in materia di semplificazione e di sviluppo”.
Il suddetto decreto all’articolo 45 così recita:
“Art. 45 – Semplificazioni in materia di dati personali
1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) all’articolo 21 dopo il comma 1 e’ inserito il seguente: 1-bis. Il trattamento dei dati giudiziari e’ altresì consentito quando e’ effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.»;
b) all’articolo 27, comma 1, e’ aggiunto, in fine, il seguente periodo: «Si applica quanto previsto dall’articolo 21, comma 1-bis.»;
c) all’articolo 34 e’ soppressa la lettera g) del comma 1 ed e’ abrogato il comma 1-bis;
d) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.”
Analizzando nel dettaglio le modifiche in materia di protezione dei dati personali apportate da questo secondo decreto, scopriamo che anche questa volta sono: “disposizioni urgenti in materia di semplificazione e di sviluppo” emesse per semplificare gli adempimenti in materia di privacy.
Da questa seconda considerazione, permango e si acuiscono i dubbi in precedenza espressi in merito alla reale efficacia di questi interventi normativi in materia di protezione di dati personali.
Le modifiche apportate dal decreto riguardano i seguenti articoli del Codice Privacy:
– Articolo 21 comma 1-bis – Principi Applicabili al Trattamento di Dati Giudiziari
E’ stato inserito il seguente articolo: “Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.”
– Articolo 27 comma 1 lettera g – Garanzie per i dati giudiziari
E’ stato aggiunto il seguente periodo: “Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Si applica quanto previsto dall’articolo 21, comma 1 bis.”
– Articolo 34 comma 1 lettera g) – Trattamenti con Strumenti Elettronici
E’ stato abrogato il seguente periodo: “tenuta di un aggiornato documento programmatico sulla sicurezza;”
– Articolo 34 comma 1-bis – Trattamenti con Strumenti Elettronici
E’ stato abrogato il seguente articolo: “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’ articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.”
Le modifiche apportate dal decreto riguardano le seguenti regole dell’Allegato B del Codice Privacy:
– Regola 19 – Documento Programmatico sulla Sicurezza
Sono stati abrogati i seguenti paragrafi: “ Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l’elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
19.3. l’analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.”
– Regola 26 – Misure di Tutela e Garanzia
E’ stato abrogato il seguente paragrafo: “Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.”
Sintetizzando, il risultato finale di maggior interesse del decreto è, da una parte l’abolizione del famigerato “Documento Programmatico sulla Sicurezza” e dell’insensato obbligo di “Autocertificazione” e dall’altra la contestuale eliminazione delle modalità semplificate di applicazione delle misure minime di sicurezza per finalità amministrativo-contabili.
Anche questa volta, la prima domanda che affiora alla mente è che genere di riduzione di adempimenti amministrativi potrà mai essere quella che si basa sull’eliminazione di precedenti semplificazioni.
Viene quasi da pensare che se semplificare è un modo per complicare, forse solo complicando le cose si possono veramente semplificare!
Tralasciando le battute, la realtà è che anche questo decreto di semplificazioni in materia di privacy ne ha apportate realmente poche.
In primis l’abolizione del DPS, può essere considerata una semplificazione solamente da chi ignora completamente la materia privacy; la cosa è particolarmente chiara andando ad analizzare gli articoli del Codice Privacy e dell’Allegato B) in cui il Titolare del Trattamento è obbligato ad adottare misure di sicurezza che prevedono documentazione scritta quali:
– Articolo 29 comma 4: “I compiti affidati al responsabile sono analiticamente specificati per iscritto […]”
– Articolo 30 comma 2: “La designazione [degli incaricati] è effettuata per iscritto […]”
– Articolo 34 comma 1 lettera b): “[…] adozione di procedure di gestione delle credenziali di autenticazione […]”
– Articolo 34 comma 1 lettera f): “adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi […]”
– Articolo 35 comma 1 lettera b): “previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati […];”
– Articolo 35 comma 1 lettera c): “previsione di procedure per la conservazione di determinati atti […] e […] delle modalità di accesso […].”
– Regola 4): “Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza […] della credenziale e la diligente custodia dei dispositivi […]”
– Regola 9): “Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.”
– Regola 10): “[…] sono impartite idonee e preventive disposizioni scritte volte a individuare […] le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici […] In tal caso la custodia delle copie delle credenziali è organizzata […] individuando preventivamente per iscritto i soggetti incaricati […]”
– Regola 15): “[…] la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione […]”
– Regola 18): “Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.”
– Regola 21): “Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili […]”
– Regola 25): “Il titolare […] riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità […]”.
– Regola 27): “Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia […] degli atti e dei documenti contenenti dati personali […]”
Da questa semplice analisi, si deduce chiaramente l’obbligo formale di adottare idonee e preventive procedure, che per essere condivise e comunicate non possono che essere scritte.
La necessità di una “Relazione sul Sistema di Gestione Privacy Aziendale” ovvero di un documento formale descrittivo dello stato di adeguamento in materia di protezione dei dati personali del Titolare è, inoltre, ampiamente giustificata dal punto di vista normativo dalla definizione di misure minime di sicurezza di cui all’articolo 4 comma 3 lettera a) del D.lg. 196/03:
– “il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31;”
e dagli obblighi di sicurezza di cui all’articolo 31 del D.lg. 196/03:
– “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”
Nessuna misura di sicurezza può, infatti, essere ritenuta “idonea” a ridurre al minimo un rischio se non è stata adottata sulla base di una preventiva e documentata analisi del rischio, nella quale sia stata valutato l’impatto in termini di probabilità, gravità e conseguenze di un evento e siano state ritenute non applicabili altre misure di sicurezza migliori in termini di organizzativi, tecnici ed economici.
IV – CONCLUSIONI
Le modifiche apportate dal Governo Monti al D.lg. 196/03, qualitativamente e tecnicamente si allineano a quelle dei governi precedenti, seguendo la scia di profonda miopia e incongruenza normativa in materia di privacy di questi ultimi anni.
Il problema di fondo è la mancanza, da parte del legislatore, di una reale comprensione dei problemi sottostanti al diritto alla protezione dei dati personali e la scarsa importanza attribuita alla sicurezza delle informazioni e all’organizzazione dei sistemi informativi nei piani di sviluppo dell’economia del paese.
Questa mancata presa di coscienza del problema, poi, mal si sposa con gli obiettivi di digitalizzazione a breve termine evangelizzati con gli ultimi interventi legislativi.
Non vi potrà, infatti, mai essere una florida e sostenibile economia digitale e della conoscenza senza lo sviluppo e la promozione di solida una cultura organizzativa aziendale volta alla progettazione e all’implementazione di infrastrutture informatiche stabili e sicure, che garantiscano nel tempo la fornitura di prodotti e servizi nel pieno rispetto dei diritti fondamentali dei cittadini.
Pubblicato su AmbienteDiritto.it il 21 maggio 2012