29 giugno 2009
Privacy: tra semplificazioni e rigore sanzionatorio
L’inizio del 2009 ha visto l’introduzione di importanti novità in materia di “privacy”: da un lato con la semplificazione per molti soggetti delle misure minime di sicurezza (avviata dall’art. 29 del D.L. n. 112/08, convertito dalla L. n. 133/08 e proseguita dal provvedimento del Garante del 27 novembre 2008, pubblicato sulla G. U. n. 287 del 9 dicembre 2008) e dall’altro con il generale incremento delle sanzioni amministrative e penali per le violazioni in materia di protezione del trattamento dei dati personali (art. 44 del D.L. n. 207/08, convertito dalla L. n. 14/2009).
In sostanza, per molti titolari del trattamento dei dati gli adempimenti vengono alleggeriti e semplificati, ma il legislatore non fa sconti e, anzi, appesantisce notevolmente le sanzioni in caso di violazione degli adempimenti, seppure questi siano stati ridimensionati.
Misure minime di sicurezza
Per i titolari di trattamento che non trattano dati sensibili (ovvero che trattano, come unici dati sensibili, quelli sulla salute o la malattia dei propri dipendenti, senza indicazione della relativa diagnosi, oppure quelli relativi all’adesione a organizzazioni sindacali) e per quelli che trattano dati personali unicamente per le correnti finalità amministrative e contabili (in particolare professionisti, artigiani e piccole e medie imprese) il quadro delle misure minime di sicurezza è stato sicuramente ridimensionato sia dall’art. 29 del D.L. n. 112/08, sia dal provvedimento del Garante del 27 novembre 2008.
Il D.L. n. 112/08 ha disposto la possibilità di sostituire il Documento Programmatico sulla Sicurezza (DPS) con una autocertificazione del titolare del trattamento: la misura, tuttavia, è fruibile solo per i trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, oppure quelli relativi all’adesione a organizzazioni sindacali o a carattere sindacale.
Il provvedimento del Garante del 27 novembre 2008 ha invece specificato che:
- le istruzioni agli incaricati del trattamento (dipendenti e collaboratori) possono essere fornite anche oralmente in forma semplificata e non necessariamente per iscritto;
- viene ammesso l’uso di un livello base di credenziale di autenticazione (quella di login del sistema operativo dell’elaboratore connesso alla rete), con minori obblighi di variazione;
- non si prevede più la procedura della custodia delle copie delle credenziali, ma è sufficiente definire in anticipo le modalità per accedere all’elaboratore in caso di lunga assenza dell’incaricato;
- si ammette un livello base di profili di autorizzazione e non si fa menzione dell’obbligo di una loro verifica annuale;
- la cadenza dell’obbligo di aggiornamento dell’antivirus diventa annuale (anziché semestrale) e addirittura biennale per gli elaboratori non connessi ad Internet;
- l’obbligo di effettuare il salvataggio dei dati diventa mensile(anziché settimanale);
- l’aggiornamento del DPS è subordinato al verificarsi di variazioni rispetto a quanto dichiarato nel documento precedente ed è sufficiente una descrizione generale del trattamento effettuato e delle misure di sicurezza adottate per prevenire i rischi per i dati trattati.
Sanzioni penali e amministrative
L’art. 44 del D.L. n. 207/08, convertito dalla L. n. 14/09 inasprisce fortemente sia le sanzioni amministrative sia quelle penali.
Per quanto riguarda le sanzioni amministrative, sono stati sensibilmente ritoccati verso l’alto i minimi e i massimi delle sanzioni previste per gli illeciti descritti agli articoli 161 e seguenti del Codice; sono state introdotte nuove fattispecie di illecito amministrativo; sono state previste alcune attenuanti ed aggravanti degli illeciti amministrativi.
In particolare, il nuovo art. 161, in caso di omessa o inidonea informativa, prevede adesso un’unica sanzione che va da un minimo di 6.000 euro a un massimo di 36.000 euro. In pratica si tratta di un raddoppio della sanzione prevista Codice della privacy e tale sanzione è ulteriormente raddoppiabile in caso di violazione di maggiore gravità o addirittura quadruplicabile se la sanzione non è congrua rispetto alle condizioni economiche del contravventore.
Il D.L. n. 207/08 introduce delle nuove fattispecie di illecito amministrativo:
- in caso di violazione delle misure minime di sicurezza e in caso di trattamento illecito dei dati, oltre alla sanzione penale prevista dall’art. 169 del Codice, è applicata anche una sanzione amministrativa che va da un minimo di 20.000 euro a un massimo di 120.000 euro (nuovo comma 2-bis dell’art. 162)
- in caso di inosservanza dei provvedimenti del Garante di prescrizione di misure necessarie a rendere il trattamento dei dati conforme alle disposizioni vigenti, o di divieto di trattamento illecito o non corretto dei dati, è applicata una sanzione amministrativa che va da un minimo di 30.000 euro a un massimo di 180.000 euro (nuovo, comma 2-ter dell’art. 162).
Il quadro delle modifiche introdotte dal D.L. n. 207/08 si completa con il nuovo art. 164-bis, che prevede alcune fattispecie attenuate (con una sanzione più lieve per i casi di minore gravità), alcune fattispecie aggravate (con una sanzione più grave per i casi di maggiore gravità e per i casi in cui il livello ordinario della sanzione è inefficace rispetto alle condizioni economiche del contravventore) e una disciplina del concorso di contravvenzioni.
In particolare:
- per le violazioni di minore gravità, si applica una sanzione ridotta ai 2/5 dei minimi e dei massimi, considerando anche la natura economica o sociale dell’attività svolta dal trasgressore (comma 1);
- in caso di più violazioni amministrative commesse, anche in tempi diversi, in relazione a banche dati di particolare rilevanza o dimensioni, si applica una sanzione amministrativa da un minimo di 50.000 euro a un massimo di 300.000 euro e non e’ ammesso il pagamento in misura ridotta previsto dalla L. n. 689/81 (comma 2);
- in caso di maggiore rilevanza del pregiudizio per gli interessati, o quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni amministrative sono raddoppiati (comma 3);
- nel caso in cui, a causa delle condizioni economiche del contravventore, le sanzioni amministrative possono risultare inefficaci, queste possono essere aumentate fino al quadruplo (comma 4).
Infine, l’art. 165 modificato dal D.L. n. 207/08 prevede che la sanzione accessoria della pubblicazione sui giornali dell’ordinanza-ingiunzione del Garante che irroga la sanzione è facoltativa in tutte le ipotesi di violazione amministrativa, ma la pubblicazione ha luogo a cura e spese del contravventore.
Per quanto riguarda invece le sanzioni penali, il D.L. n. 207/08 aggrava notevolmente la sanzione per il reato di omessa adozione delle misure minime di sicurezza (art. 169 del Codice), eliminando l’ammenda prevista in alternativa alla pena detentiva e incrementando la somma da pagarsi a titolo di oblazione per ottenere la derubricazione del reato in illecito amministrativo ed estinguere la fattispecie penale; viene inoltre introdotta l’applicazione della sanzione amministrativa in aggiunta a quella penale.
In particolare, il nuovo art. 169 del Codice prevede che in caso di mancata adozione delle misure minime di sicurezza per il trattamento dei dati si è puniti con l’arresto sino a due anni (comma 1).
Il reato penale si estingue se l’autore del reato adempie alla prescrizione del Garante entro il termine fissatogli per la regolarizzazione (cd. “ravvedimento operoso”) ed entro 60 giorni dallo scadere di tale termine paga 30.000 euro a titolo di oblazione (comma 2).
Inoltre, in caso di mancata adozione delle misure minime di sicurezza per il trattamento dei dati, si applica anche la pesante sanzione amministrativa prevista dal comma 2-bis dell’art. 162, vale a dire il pagamento di una somma che va da un minimo di 20.000 euro a un massimo di 120.000 euro (aumentabile addirittura fino a 480.000 euro nei casi di maggiore gravità).