Riforma Monti, Direttive Comunitarie e Decreto semplificazione, ma cosa cambia davvero per la sicurezza dei dati personali?

La disciplina sulla protezione dei dati personali è una tematica in continuo divenire, per il suo naturale rapporto inscindibile con l’evoluzione tecnologica

Prova di tutto ciò è l’evidenza che al vigente testo del decreto legislativo n.196/03, adottato il 30 giugno del 2003, quindi poco più di otto anni fa, sono state apportate sino ad oggi di ben 23 modifiche e integrazioni, che, ad una attenta lettura, hanno in generale alleggerito il peso degli oneri per le piccole e medie imprese e hanno lasciato però intatto quello delle grandi aziende e degli enti pubblici.

È di tutta evidenza che nessun altra disciplina al pari di questa, solitamente indicata come “legge privacy”, ha avuto un’evoluzione così dinamica, che costringe coloro che ne devono gestire le misure ad uno studio continuo e le aziende che trattano dati a dover rivedere le proprie policy e procedure con cadenza ravvicinata.

La disciplina di riferimento, come ormai noto, va, inoltre, ricercata nella sommatoria tra le disposizioni di legge sopra citate e i diversi Provvedimenti dell’Autorità Garante che, sulla base delle indicazioni della lettera C del primo comma dell’articolo 154 del Decreto Legislativo n.196/03 può “..prescrivere anche d’ufficio..le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti..” ,come nel caso, ad esempio, delle misure prescritte per l’attività degli amministratori di sistema .

Per quanto riguarda le riforme più recenti alla disciplina la legge 214 del 22 dicembre 2011 ha escluso dal novero dei dati personali quelli riferibili alle persone giuridiche,eliminando così qualsiasi forma di tutela per tale tipo di informazione.

Il dover intendere per dati personali solo quelli riferiti alle persone fisiche è una riforma che è stata ampiamente pubblicizzata, utilizzando al riguardo slogan del tipo”semplificazioni in vista per la privacy”.

Il messaggio è però , almeno in parte, fuorviante.

Certamente, dal punto di vista concettuale l’innovazione è rilevante, ma dal punto di vista operativo tale riforma ha una portata di valore solo per quanto riguarda l’attività di marketing rivolto a persone giuridiche, i cui dati possono essere oggetto di trattamento senza alcuna limitazione.

Oltre a ciò, però, scarsi sono i vantaggi per i singoli titolari del trattamento , in quanto, ad esempio, quando questi stipula un contratto con una persona giuridica, questo viene sottoscritto non dalla persona giuridica ma dal suo rappresentante legale, che fornisce i suoi dati personali, che dovranno essere trattati secondo le indicazioni di legge.

Legge che , comunque , subirà una profonda riforma appena entrerà in vigore quanto presentato il 25 gennaio scorso dall’Unione Europea, cioè un nuovo Regolamento e una Direttiva, che hanno lo scopo di rimpiazzare la Direttiva 95/46/EC , ispiratrice delle normative italiane L.675/96 prima e dell’attualmente in vigore decreto legislativo n..196/2003 e di disciplinare il trattamento dei dati personali in ambito di provvedimenti giudiziari e polizia.

Le misure ivi previste, in realtà, andranno in vigore da qua a inizio 2014 ma con queste si opera una profonda ristrutturazione delle procedure e delle garanzie che i Titolari del trattamento saranno tenuti a assicurare, pena l’applicazione di sanzioni cospicue, che potranno arrivare ad incidere fino al 2% del fatturato annuo dell’impresa stessa.

I già numerosi contributi dottrinari che evidenziano le specifiche di tali provvedimenti e li raffrontano con le disposizioni attualmente vigenti mettono in luce che i Titolari del trattamento dovranno assicurare, mediante procedure molto accurate, il rispetto dei diritti del cittadino, avvalendosi, nel caso di aziende pubbliche o con un numero elevato di addetti, di appositi professionisti, al momento individuati come Privacy Officier.

Ma c’è ancora una novità, più recente: lo scorso 3 febbraio il Governo ha approvato il Decreto Legge “Disposizioni urgenti in materia di semplificazione e di sviluppo” del quale in questi giorni si è già parlato ampiamente anche per il suo articolo 45, che tratta di “Semplificazioni in materia di dati sensibili”.

L’articolo citato porta con sé due modifiche alla disciplina normativa preesistente.

La prima riguarda il trattamento dei dati giudiziari per la prevenzione ed il contrasto dei fenomeni di criminalità organizzata e consente, ad esempio, che la Prefettura, la Questura o i Comandi provinciali del Corpo Nazionale dei Vigili del Fuoco possano, previa stipula di appositi protocolli di intesa, accedere ai dati giudiziari in possesso degli enti pubblici o di particolari aziende private, in possesso di dati specificatamente rilevanti.

La seconda modifica, già oggetto di diversi articoli di stampa e di proposte di modifica, riguarda l’abolizione, all’interno del pacchetto di misure di sicurezza minime che devono essere attivate da parte di ogni azienda , del Documento Programmatico sulla Sicurezza, più noto come DPS, che avrebbe dovuto essere oggetto, così come per tutti gli anni passati, di aggiornamento entro il prossimo 31 marzo.

Tale misura di sicurezza, in realtà, altro non era, per la sua maggior parte, che la sommatoria e riepilogo delle misure di sicurezza, minime ed idonee che dovevano essere adottate e che dovranno continuare ad essere adottate.

Nel corso degli ultimi anni con le varie modifiche apportate alla disciplina di legge, il DPS per le piccole e medie imprese si era impoverito dei contenuti e era addirittura stato sostituito, in taluni casi da una autocertificazione del Titolare del trattamento.

Non v’è dubbio che le piccole e medie imprese legittimamente ritenessero, così come riportato dalle loro associazioni di categoria, l’adozione di un proprio DPS un adempimento superfluo, costoso e non necessario se rapportato alla tipologia, quantità dei dati oggetto di trattamento e alle modalità con cui questo avveniva.

Ma tale considerazione non può in alcun modo ritenersi logica per quanto riguarda quei Titolari del trattamento che in considerazione della loro mission ed organizzazione, rappresentano invece contesti aziendali più complessi e critici in cui avviene il trattamento costante e massivo di dati personali, ed in particolar modo sensibili.

Dando una lettura sintetica all’articolo 45, comunque è bene ricordare che se il documento sulla sicurezza non andrà più aggiornato , le misure di sicurezza minime ed idonee dovranno essere comunque gestite.

Pare, quindi , curioso e poco opportuno che il legislatore abbia totalmente soppresso l’onere di adottare un documento come quello programmatico sulla sicurezza per tutti i Titolari del trattamento, non distinguendo, quindi, fra policy di peso diverso come ad esempio quelle che sono tenute ad adottare un impresa di import export di prodotti per la casa e un centro clinico per la riproduzione e fecondazione assistita.

Proprio per questo, quindi , mi associo, al coro di critiche sull’abolizione , senza ma e senza se, del DPS, il documento in cui il titolare andava a rappresentare lo stato dell’arte dell’adozione delle misure di sicurezza.

Polito Filomena

Scrivi un commento

Accedi per poter inserire un commento