24 luglio 2009
Ma aumentare le sanzioni aiuta davvero a rispettare la legge sulla privacy?
Lo scorso anno il Governo aveva imboccato la strada della semplificazione legislativa in materia di adempimenti per la protezione del trattamento dei dati personali e l’Autorità Garante per la privacy proseguendo per questa strada aveva emanato un opportuno provvedimento di semplificazione (v. art. 29 D.L. n. 112/08 e provv. 27/11/2008 del Garante). Sembrava davvero la fine di una specie di incubo per molti piccoli imprenditori, artigiani e professionisti, sospesi tra il dover adempiere a disposizioni per loro incomprensibili e fin troppo complesse e il rischiare pesanti sanzioni penali e amministrative. Ma ecco che, inopinatamente, il Governo proprio alla fine dell’anno è tornato a battere cassa, inasprendo le già pesanti sanzioni per le violazioni del Codice della privacy (v. art. 44, D.L. n. 207/08).
Rilevazioni statistiche di fonti autorevoli hanno dimostrato che le pesanti sanzioni introdotte dal D.Lgs. n. 196/03 non hanno prodotto un adeguamento generalizzato alla normativa sulla privacy da parte dei titolari dei trattamenti di dati personali, ma piuttosto una situazione incerta e disomogenea nella quale la maggioranza dei piccoli e medi imprenditori sono rimasti inoperosi (forse sperando di sfuggire ai controlli della Guardia di Finanza), mentre altri hanno risolto il “problema privacy” affidando la gestione della materia a un pacchetto software, oppure producendo dei DPS formali, il cui valore è pari… a quello della carta dal quale sono formati. Soltanto pochi titolari, specialmente medie e grandi imprese strutturate e grandi enti pubblici, si sono davvero adeguati al Codice della privacy.
Ora, all’indomani dell’introduzione delle semplificazioni da parte di molti operatori del diritto si era pensato che, finalmente, si era imboccata la strada giusta e che se queste semplificazioni avessero avuto un seguito coerente probabilmente si sarebbe potuto convincere anche gli scettici che per essere in regola con la normativa sulla privacy e dedicarsi tranquillamente al proprio core business poteva bastare soltanto un po’ di buona volontà e un modesto investimento in termini di tempo e di denaro. Ma ecco che alla fine dello scorso anno il Governo è tornato alla linea dura.
Per dare un’idea delle conseguenze aberranti del recente provvedimento governativo, facciamo il caso di un piccolo imprenditore che, per il semplice fatto di trattare alcuni banali dati sensibili diversi dallo stato di malattia dei propri dipendenti o dalla loro iscrizione al sindacato (ad es. un certificato di maternità, o un permesso di soggiorno, ecc.), è tenuto a redigere ed aggiornare entro il 31 marzo di ogni anno il suo DPS. Ora, se questi non adempisse a tale obbligo e venisse “scoperto” dalla Finanza, alla luce del recente inasprimento delle sanzioni rischierebbe, oltre all’arresto sino a due anni, anche una sanzione amministrativa che può arrivare fino a 120.000 euro, per la quale non è ammesso il pagamento in misura ridotta. E’ facile ipotizzare che, per il piccolo imprenditore in parola, una simile evenienza potrebbe comportare la cessazione dell’attività.
Un altro esempio dell’abnormità dell’inasprimento delle sanzioni decretato dall’art. 44 del D.L. 207/08 si ha nel caso di omessa informativa. Se per esempio un piccolo imprenditore, pur avendo redatto il suo DPS ed applicato correttamente tutte le altre misure minime di sicurezza previste dal Codice della privacy, avesse “dimenticato” di inviare l’informativa sul trattamento dei dati personali ad alcuni suoi clienti o fornitori (magari un’informativa relativa ai semplici trattamenti di dati necessari per gli adempimenti amministrativi e contabili) e tale inadempienza venisse accertata nell’ambito di un’ispezione della Guardia di Finanza, questi potrebbe essere punito con una sanzione amministrativa da 6.000 a 36.000 euro. Ora, è vero che l’ignoranza della legge non scusa, ma, francamente… mi sembra un po’ eccessivo!
Pensare che un “regime del terrore” possa indurre gli scettici e i renitenti ad adeguarsi alle disposizioni del Codice del privacy (sia pure semplificate) è, a mio avviso, pura utopia, come del resto dimostrato dalla sostanziale disapplicazione della precedente legge n. 675/96 che, pur essendo anch’essa sanzionata pesantemente, è stata abrogata il 31 dicembre 2003 dal D. Lgs. n. 196/03 senza aver prodotto alcun effetto e senza che quasi nessuno si fosse accorto… della sua esistenza!
Educare i cittadini alle regole di una convivenza “civile” (delle quali il rispetto della privacy fa sicuramente parte) è compito dello Stato; ma non è detto che “minacciando” sanzioni esagerate si riesca davvero ad instillare nei più questa coscienza civile. Un atteggiamento più comprensivo e indulgente da parte del legislatore e una maggiore diffusione dei principi fondamentali sui quali si basa la normativa sulla privacy, forse potrebbero servire di più.
Scritto il 24-7-2009 alle ore 23:22
Privacy e Safety perseguono scopi importanti ed etici e l’approccio del bastone è confermato… e anche per me, purtroppo, non è che risolva