C'era una volta la Privacy

  • Martedì, 17 Maggio 2011
A cura di Avv. Graziano Garrisi e Dott. Lino Fornaro

A cura di Avv. Graziano Garrisi (D&L department) e Dott. Lino Fornaro (NET1)



Primo commento allo schema di decreto in materia di riduzione e semplificazioni degli adempimenti burocratici nell'applicazione del Codice Privacy

Nell'ambito delle tanto acclamate misure di semplificazione, è stato approvato dal Consiglio dei Ministri (precisamente il 5 maggio scorso) uno Schema di Decreto Legge, recante le prime disposizioni urgenti per l'economia, che avrà probabilmente (se convertito in legge) un effetto dirompente sull'applicazione delle norme in materia di protezione dei dati personali previste dal Codice Privacy.

In particolare, all'art. 6 (Ulteriori riduzioni e semplificazioni degli adempimenti burocratici) di tale decreto, al comma 1 lett. a), viene ripreso un principio che, a detta del legislatore, è ispirato, tra l'altro, alla normativa europea in materia di protezione dei dati personali (il riferimento dovrebbe essere, a nostro avviso, la Direttiva CE 95/46, rubricata proprio "Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati"), secondo il quale: "in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese".

Dal tenore di questa enunciazione, sembra che vi sia stato un ritorno al passato (come, d'altronde, già avveniva nella vecchia legge 675/96) e che al centro della tutela della riservatezza sia tornato l'uomo inteso come cittadino e, quindi, come persona fisica. La conseguenza che appare più immediata è che, in questo modo, molti dei principi e delle regole oggi previste dal Codice Privacy (informativa, consenso, etc.) non troveranno più applicazione nei rapporti tra imprese (purché vi sia sempre una finalità amministrativo - contabile), con tutta una serie di problematiche che, con molta probabilità, il legislatore non ha considerato con la dovuta attenzione.

Proseguendo nella disamina di tali novità, al comma 2 dello stesso articolo vengono poi introdotte alcune importanti modifiche in alcuni settori molto delicati che possiamo esaminare nei seguenti quattro punti:

1) ambito di applicazione del Codice Privacy.

Viene aggiunto nell'articolo 5 del Codice Privacy il comma 3-bis che recita: "Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo - contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice";

Nell'ipotesi di cui al punto 1), quindi, vengono meno tutti quei formalismi che sino ad oggi erano previsti nei rapporti e per il trattamento dei dati tra persone giuridiche, imprese, enti e associazioni. Questo vuol dire che nei rapporti che avvengono esclusivamente nel c.d. B2B, nell'ambito di attività amministrativo – contabili, il Codice Privacy non si applica; resta fermo, per come è novellato il comma 3-bis, che per tutti gli altri trattamenti, riferiti a persone fisiche e/o per finalità diverse dal quelle amministrativo-contabili, il codice resta efficace (rapporti con i dipendenti, rapporti con il pubblico, concorsi a premi, etc.).

A ben vedere, tuttavia, il problema principale risiede proprio in questa nuova integrazione apportata all'art. 5 del Codice Privacy. Tutte le imprese (e sono tante) che trattano dati personali (compresi quelli sensibili e giudiziari riferiti al personale o a terzi), non essendo più soggette all'applicazione del Codice Privacy nei loro rapporti commerciali, non sono tenute ad alcuna formalità, ma soprattutto non sono tenute all'applicazione di alcuna misura di sicurezza.

Una riflessione sorge alquanto spontanea: tutto questo poco ha a che fare con la semplificazione. Stante il basso livello di consapevolezza - purtroppo ancora molto diffuso – dei rischi legati alle problematiche di sicurezza delle informazioni, lasciare allo sbando (e, quindi, senza protezione) tutte quelle imprese che avevano adottato le misure minime di sicurezza è un atteggiamento sconsiderato e irrazionale (sia dal punto di vista logico che da quello giuridico). Volendo immaginare lo scenario futuro derivante da questa modifica legislativa, verosimilmente ci potremo trovare di fronte a una realtà in cui tutte le imprese, non essendo più obbligate ad avere un firewall, un antivirus o ad avere un regolamento sull'utilizzo di internet e della posta (d'altronde, se non sono tenute all'osservanza del Codice privacy, potranno altresì ignorare i Provvedimenti Generali del Garante), diventeranno un facile obiettivo di attacchi e/o di abusi e, quindi, vedranno aumentare al proprio interno il rischio informatico, sempre sussistente anche per le altre imprese e gli Enti per i quali in Codice Privacy resta in vigore.

Un ulteriore dubbio sorge poi spontaneo: posto che d'ora innanzi la privacy e tutti i suoi formalismi non saranno più applicabili nelle comunicazioni tra le imprese, e, dunque, verranno meno i principi che prima garantivano una qualche forma (seppur minima) di tutela anche in tal senso, come potrà essere tutelato il segreto industriale o come si potrà tutelare un soggetto giuridico da un'illecita diffusione di notizie considerate riservate? Come saranno regolamentati i trasferimenti di dati personali a soggetti esterni, ovvero quelli che oggi la normativa obbliga a nominare responsabili del trattamento?

La considerazione non è di poco conto se si considera che ad oggi, in riferimento alla Pubblica Amministrazione (e alla luce del nuovo CAD) e ai futuri rapporti con le imprese, il Codice Privacy viene richiamato in più articoli (1). La problematica in esame, poi, assume ancor più valore se consideriamo i vari processi di conservazione digitale e fatturazione elettronica (si ricorda, il prossimo obbligo di legge per tutte quelle imprese che vorranno continuare ad avere rapporti commerciali con la P.A.) che molte imprese stanno sviluppando con l'aiuto di società informatiche specializzate del settore. Questo vuol dire che nella regolamentazione dei loro rapporti vengono meno tutte quelle formalità e regole che sino ad oggi hanno ispirato il corretto trattamento dei loro dati personali?     

Inoltre, un'azienda che effettua esclusivamente trattamenti di dati personali per finalità amministrativo-contabili manterrebbe, in base all'art. 5 comma 3-bis, gli oneri di informativa e consenso e, in generale, l'applicabilità del Codice Privacy, esclusivamente verso le persone fisiche (i propri dipendenti, ad esempio) e nei confronti dei dati personali di questi ultimi dovrebbe applicare le misure di sicurezza "semplificate", potendosi astenere dall'applicare misure di sicurezza per gli altri dati personali trattati ed i relativi strumenti: questo è un assurdo, essendo già un eufemismo definire "misure di sicurezza" le c.d. misure di sicurezza semplificate; per non parlare degli effetti organizzativi della mancata applicazione del Codice nei casi citati, che porterebbe il titolare a dover nominare incaricati del trattamento solo coloro che trattano dati personali e sensibili riferiti ai dipendenti, escludendo da ogni forma di autorizzazione al trattamento, istruzione operativa e formazione tutti quei dipendenti (non più definibili incaricati) che trattano dati personali di altre imprese clienti o fornitori per finalità amministrativo-contabili. Si ritiene che sarebbe stato più opportuno limitarsi ad escludere da specifici adempimenti burocratici (informativa, consenso e se proprio si doveva, anche il DPS) i casi che rientrano nella fattispecie di cui all'art. 5 comma 3-bis, piuttosto che definire non applicabile l'intero Codice Privacy!

2) gestione dei curricula.

All'articolo 13 è aggiunto il comma 5-bis che sancisce: "L'informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all'invio del curriculum, il titolare è tenuto a fornire all'interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f)".

Tale modifica, invece, è da valutarsi positivamente perché introduce una norma di buon senso nella ricezione e gestione dei curricula, fattispecie questa che sino ad aggi ha creato non poche problematiche ai datori di lavoro che si sono trovati in difficoltà nell'applicazione pratica di alcuni precetti previsti dal Codice Privacy in materia di informativa da fornire ai candidati interessati al trattamento. Vi è da dire, tuttavia, che già alcune delle problematiche evidenziate potevano essere superate dall'applicazione della normativa con un minimo di buon senso.

All'articolo 24 (Casi nei quali può essere effettuato il trattamento senza consenso), comma 1, lettera g), vengono poi soppresse le parole "anche in riferimento all'attività di gruppi bancari e di società controllate o collegate" e, dopo la lettera i), vengono aggiunte ulteriori due lettere:

i-bis) riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis;

i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall'art. 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanee di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa di cui all'articolo 13.

Viene confermata, quindi, l'esclusione dell'acquisizione del consenso scritto per quanto riguarda i dati sensibili contenuti nel curriculum vitae, tant'è che un'ulteriore modifica è prevista all'articolo 26, comma 3 che, dopo la lettera b), vede aggiungersi la b-bis: "dei dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis".

Tale esclusione, però, riguarda anche il trattamento finalizzato alla comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, purché si rientri in una delle finalità amministrativo contabili. Ma come viene indicata una finalità nell'informativa, se viene a mancare (così come statuito dall'art. 5 comma 3-bis) l'obbligatorietà della stessa? E poi, se il trattamento riguarda i soli dati personali comuni, siamo sicuri che tale ipotesi di esclusione dal consenso non fosse già stata prevista negli altri commi di tale articolo?

3) Misure di sicurezza e concetto di finalità amministrativo - contabili

Al punto 5 del citato art. 6 del Decreto Legge viene introdotta un'altra modifica, questa volta in materia di misure di sicurezza.

All'articolo 34, infatti, il comma 1-bis è sostituito così come segue:

"1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo - contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.

1-ter. "Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro".

Si tratta di un'ulteriore modifica (tale articolo, infatti, era stato già oggetto di una semplificazione introdotta dal Decreto Legge n. 112/2008, poi convertito nella legge n. 133/08) e semplificazione in materia di applicazione delle misure minime di sicurezza, che chiarisce in maniera un po' più precisa cosa deve intendersi per "finalità amministrativo – contabili". Viene, infatti, esteso l'ambito dei soggetti che potranno beneficiare di questa semplificazione, comprendendo anche i trattamenti (inclusi quelli di dati sensibili e giudiziari) non strettamente legati ai propri dipendenti o collaboratori, ma anche di coniugi o parenti degli stessi e ai lavoratori extracomunitari.

4) Marketing cartaceo

All'articolo 130, comma 3-bis, dopo le parole "mediante l'impiego del telefono" sono inserite "e della posta cartacea" e dopo le parole "l'iscrizione della numerazione della quale è intestatario" sono inserite "e degli altri dati personali di cui all'articolo 129, comma 1".

Viene, così, esteso il principio dell'opt-out, che ha ispirato la recente riorganizzazione del trattamento per finalità di marketing telefonico, anche agli indirizzi postali e alla pubblicità cartacea (i cui effetti positivi, tra l'altro, ancora oggi si stenta ad averne una benché minima percezione).

Conclusioni

E' evidente che la spinta del Governo verso la digitalizzazione dell'agire amministrativo e privato dovrà tenere in considerazione anche tutte le problematiche che la gestione del dato personale digitalizzato inevitabilmente comporta, senza farsi prendere troppo dall'entusiasmo (spesso controproducente) del voler semplificare a tutti i costi, al fine di venir incontro alle esigenze e alle problematiche del mondo imprenditoriale, che possono essere risolte sicuramente in maniera meno traumatica rispetto a quanto oggi viene proposto.

Se un'impresa procede al trattamento dati personali di persone giuridiche, enti o organismi, esclusivamente per finalità amministrativo-contabili, infatti, è giusto che non sia necessario ricorrere a informative e richieste di consenso; ma, poiché viene meno anche l'applicazione del Codice Privacy e non saranno più applicabili nemmeno le misure minime di sicurezza, una domanda sorge spontanea: cosa succede a quanto previsto e richiamato dal CAD che, ad oggi, si basa sulle misure di sicurezza previste dal Codice Privacy? Come si rifletterà tutto questo nell'ambito dei processi di conservazione digitale dei documenti contabili, fiscali e amministrativi?

Sicuramente molte delle novità faciliteranno l'applicazione pratica della normativa all'interno delle imprese e agevoleranno il processo di semplificazione, ma non dobbiamo dimenticare che, a parte alcuni inutili formalismi (oramai, tra l'altro, già ampiamente superati dalla prassi e dal buon senso che già trova applicazione nelle varie realtà organizzative), tale normativa è finalizzata alla tutela del dato e delle informazioni nel suo complesso e, smontare pezzo dopo pezzo i principi e le regole che sino ad oggi hanno animato il d.lgs. 196/03 (soprattutto in materia di misure di sicurezza), può essere molto più pericoloso, soprattutto se si perde di vista quello che oggi è il bene primario che occorre difendere, ovvero il dato personale come "patrimonio delle informazioni e della memoria storica e digitale nella Società dell'Informazione". 

Pertanto, è un vero e proprio colpo di spugna nei confronti del Codice Privacy quello che il legislatore ha messo in atto, come se ogni articolo e principio che sino ad oggi aveva un suo intrinseco valore (ricordiamo che il "diritto alla riservatezza" viene riconosciuto anche a livello costituzionale) fosse stato semplicemente scritto sulla sabbia, dove basta l'arrivo di un soffio del vento e della risacca del mare per cancellare tutto in un colpo solo.

Dopo tutto questo possiamo ancora chiamarlo "Codice in materia di protezione dei dati personali"?

E in tutto ciò ….. il Garante Privacy tace.

Note: 

(1) E' opportuno richiamare in questa sede il principio generale stabilito dal comma 2 dell'art. 51 del d.lgs. 82/2005 (Codice dell'Amministrazione Digitale), secondo il quale i documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati in modo da ridurre al minimo qualsiasi rischio di "distruzione, perdita, accesso non autorizzato o non consentito o non conforme alla modalità di raccolta" e l'art. 44 comma 1 (Requisiti per la conservazione dei documenti informatici), che così stabilisce:

         "Il sistema di conservazione dei documenti informatici garantisce:

         a) l'identificazione certa del soggetto che ha formato il documento e dell'amministrazione o dell'area organizzativa omogenea di riferimento di cui all'articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

         b) l'integrità del documento;

         c) la leggibilità e l'agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari;

         d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in Allegato B a tale decreto".

 

 

 

 

 

 

 

 

 

 

 

 

 


A cura di Avv. Graziano Garrisi e Dott. Lino Fornaro

D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma