22 luglio 2009
E’ proprio vero che le semplificazioni hanno cancellato il DPS per molti titolari?
Le “semplificazioni” agli adempimenti in materia di privacy introdotte dall’art. 29 del D.L. 25.06.2008, n. 112 hanno fin da subito suscitato alcune perplessità sulla posizione da assumere nei confronti della propria clientela in chi, come me, fa parte degli “addetti ai lavori“. Invece, come era facile prevedere, tra i titolari del trattamento di dati personali si è diffusa una sorta di “euforia da sburocratizzazione“, dato che questi, fino a poco tempo prima, si sentivano oppressi da un obbligo di legge – la redazione annuale del DPS – generalmente ritenuto un inutile e oneroso appesantimento burocratico e avevano un approccio puramente formale verso questo adempimento.
Del resto, anche il Garante per la privacy aveva avuto modo di rilevare che nella prassi, “da parte di molte piccole imprese e professionisti, istituti posti a garanzia degli interessati vengono banalizzati e che ciò è in contrasto con lo spirito del Codice, che invece intende assicurare una protezione elevata dei diritti e delle libertà fondamentali «nel rispetto dei principi di semplificazione, armonizzazione ed efficacia» (art. 2, comma 2)“. “Da tali prassi – ha rilevato il Garante – conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento dei dati personali e che gli interessati avvertono con disinteresse o fastidio“.
Ora, non è questa la sede per fare una disamina tecnico-giuridica analitica sui contenuti dell’art. 29 del decreto n. 112/08, ma – anche a causa dei miei trascorsi di dirigente di Confindustria, naturalmente al servizio delle imprese – non posso non esprimere la mia soddisfazione ogniqualvolta venga introdotta una reale semplificazione per la vita delle imprese italiane (a condizione naturalmente, che questa non faccia venire meno i diritti fondamentali del cittadino). Perciò, l’esenzione dall’obbligo di aggiornare ogni anno il DPS, disposta dal Governo a favore di quei soggetti che non trattano dati di natura sensibile eccetto quelli riferiti allo “stato di salute dei propri dipendenti senza indicazione della relativa diagnosi” e, soprattutto, l’esenzione per queste categorie di soggetti titolari del trattamento dalle pesanti sanzioni civili e penali derivanti dal mancato adempimento a questo obbligo di legge, può sembrare a prima vista una scelta ragionevole ed equilibrata introdotta dall’Esecutivo, che va incontro alle esigenze delle tante piccole imprese che formano il tessuto produttivo del Paese.
Ad un’analisi più approfondita della portata del provvedimento, però, non si può non rilevare che, dato che il requisito affinchè un titolare del trattamento non sia più obbligato dalla legge a redigere il DPS è estremamente limitato e circostanziato, di fatto i soggetti che realmente ne possono beneficiare, sono anch’essi estremamente limitati.
Mi spiego meglio con un esempio pratico. Se una piccola azienda non tratta altri dati sensibili se non quelli contenuti nei certificati di malattia dei propri dipendenti (che nella copia destinata al datore di lavoro si limitano a riportare la prognosi del medico e non la diagnosi), questa rientra certamente tra i soggetti esentati dalla redazione del DPS. Ma sarebbe sufficiente che un dipendente di questa azienda chiedesse al proprio datore di lavoro un permesso per assistere un familiare malato, ovvero che un dipendente chiedesse tramite la delega sindacale di effettuare una trattenuta sul proprio stipendio a favore di un sindacato, per trovarsi in presenza di trattamenti di dati sensibili che, non essendo contemplati dall’esenzione prevista dall’art. 29 del D.L. 112/08, farebbero scattare per l’azienda titolare del trattamento l’obbligo di redazione del DPS. Anche nel caso in cui una lavoratrice comunicasse al datore di lavoro il suo stato di gravidanza, al quale seguissero i periodi di maternità obbligatoria e facoltativa dal lavoro e i permessi per allattamento, saremmo in presenza di trattamenti di dati sensibili che non rientrano nell’esenzione. E gli esempi potrebbero essere molteplici, a dimostrazione del fatto che evitare lo sconfinamento che costringerebbe tale datore di lavoro a redigere il suo DPS nella prassi quotidiana della vita aziendale potrebbe essere alquanto difficile.
Decidere quindi di redigere o meno il DPS sulla base di un esame generico e superficiale della propria struttura organizzativa eseguito in un dato momento, potrebbe essere fuorviante e condurre a facili errori di valutazione. Vi è poi da considerare che, il non essere obbligati per legge a redigere il DPS non equivale a non essere obbligati ad adottare tutte le altre misure minime di sicurezza per il trattamento dei dati ed eventualmente anche le maggiori misure “idonee” che si rendessero necessarie in concreto a seguito di un’approfondita analisi dei rischi. Anche se non dovesse redigere l’odioso documento, il titolare sarebbe comunque soggetto all’obbligo di provvedere a tutti gli adempimenti previsti dal Codice della privacy, che rimangono inalterati e sono sanzionabili, come ad esempio: la nomina degli incaricati del trattamento e la distribuzione dei compiti e delle responsabilità, l’applicazione delle misure di sicurezza informatica, la formazione del personale incaricato del trattamento dei dati, eccetera.
Pertanto, pur essendo necessario per decidere se avvalersi della semplificazione valutare attentamente la situazione caso per caso, a mio avviso sarebbe comunque bene continuare a redigere e a tenere aggiornato un documento programmatico per la sicurezza del trattamento dei dati personali, il quale (se ben fatto e soprattutto… se rispondente al vero), oltre a scongiurare situazioni di possibile sanzionabilità, rappresenta un valido strumento interno di verifica della corretta applicazione della normativa sula protezione dei dati personali (in particolare permette di controllare e gestire gli adempimenti che sono comunque obbligatori). Se poi pensiamo che, in sostituzione del DPS, si sarebbe comunque obbligati a redigere un’autocertificazione resa ai sensi dell’art. 47 del D.P.R. n. 445/2000, nella quale si dichiari di aver attuato tutte le misure minime di sicurezza previste dal D.Lgs. 196/03 ad eccezione del DPS (misure che devono essere effettivamente state adottate, altrimenti a nulla servirebbe questa dichiarazione sostitutiva), allora svanisce ogni dubbio e ci si rende conto che è meglio pensarci bene prima di accantonare definitivamente il DPS!
Scritto il 22-7-2009 alle ore 12:24
Condivido pienamente l’articolo. Mi permetto di segnalare un’inesattezza nella frase: “ovvero che un dipendente chiedesse tramite la delega sindacale di effettuare una trattenuta sul proprio stipendio a favore di un sindacato”. Tale trattamento di dato sensibile è previsto dalla norma di semplificazione di cui all’art. 29 del D.L. 25/06/2008 n. 112 convertito con modificazioni dalla Legge 133 del 06/08/2008.
Buon lavoro.