30 marzo 2011
31 marzo = DPS. E’davvero necessaria la “data certa”?
Siamo alle solite. Come ogni anno (ormai dal 2006) il problema che assilla la maggior parte dei titolari del trattamento di dati personali è “ma devo mettere o no una data certa anteriore al 31 marzo al mio documento?”
Questo è il vero problema della privacy in Italia: redigere un DPS e preoccuparsi di certificare che il documento è stato confezionato prima della scadenza del 31 marzo. Quello che il titolare scrive (o fa scrivere) nel proprio DPS è assolutamente secondario, tanto… si tratta di un’inutile formalità burocratica.
Povera “privacy” in Italia, ridotta ad un pacco di carta inutile.
Poveri “consulenti privacy”, generalmente percepiti come degli spillatori di quattrini (…sempre troppi) che cavalcano una legge inutile per far pagare alle imprese e ai professionisti una “tassa” annuale ingiustificata. Questa è la percezione che ho quasi sempre girando per le imprese, cercando di svolgere onestamente il mio “sporco lavoro”… ahimè!
Ma parlare della percezione della legislazione sulla privacy in Italia ci porterebbe molto lontano; oggi, invece, bisogna parlare della scadenza ormai imminente: quella che in queste ultime settimane mi fa correre come un forsennato da un cliente all’altro, cercando di accontentare tutti in pochi giorni, dopo che per undici mesi tutti si sono… dimenticati della privacy. Ma tant’è, e allora parliamo proprio di questa benedetta scadenza.
Purtroppo, per mettere a fuoco il problema, è necessario partire da alcune premesse storiche per definire il quadro giuridico attuale e dare delle indicazioni operative.
Cercherò di essere breve…
Tralasciando quanto previsto dal DPR n. 318/1999 che stabiliva le misure minime di sicurezza da adottare in applicazione dell’ormai abrogata legge n.675/1996 che introdusse per la prima volta una disciplina organica della privacy nel nostro Paese, e venendo al Codice della privacy del 2003, la nostra attenzione deve focalizzarsi sull’art. 180 del D.Lgs. n. 196/2003. Quest’articolo del T.U. sulla privacy contiene alcune disposizioni transitorie per adeguare a quanto previsto dal D.Lgs. 196/2003 le precedenti misure minime di sicurezza introdotte dal D.P.R. n. 318/1999 in attuazione dell’abrogata legge n. 675/1996, e fissa al 30 giugno 2004 il termine per applicare le nuove misure di sicurezza previste dagli artt. 34, 35, 36 e dall’allegato B) al Codice della privacy.
Lo stesso art. 180, al secondo comma, stabilisce che: “Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura”. Questo “documento a data certa” doveva essere redatto entro il 30 giugno 2004, ma il termine fu prorogato più volte e, da ultimo, il D.L. n. 273/2005 fissò la scadenza per l’adozione delle misure minime (compreso il DPS) al 31 marzo 2006. Il decreto di proroga stabilì anche che quei titolari che avessero comprovate ragioni tecniche per non poter rispettare tale scadenza avevano tempo per adeguarsi sino al 30 giugno 2006, descrivendo – come il solito – entro tale data in un “documento a data certa” le obiettive ragioni tecniche che richiedevano tre mesi in più di tempo per adeguarsi.
Pertanto il 30 giugno 2006 è scaduto il termine ultimo per adeguarsi alle misure minime di sicurezza previste dal D.Lgs. 196/2003, ivi compreso il “terribile” Documento Programmatico sulla Sicurezza, che da allora in poi deve essere aggiornato entro il 31 marzo di ogni anno.
La possibilità di avvalersi della proroga per l’applicazione delle misure minime, stabilita dall’art. 180, comma 2, D.Lgs. n. 196/2003, ha creato però notevoli problemi interpretativi ai titolari del trattamento di dati personali, sia relativamente ai termini da rispettare che ai documenti da redigere. Molti titolari infatti, hanno confuso il DPS con il documento a data certa, che in realtà è cosa ben diversa. Basta pensare che la redazione del DPS è una misura di sicurezza prevista obbligatoriamente dalla legge, la cui inosservanza dà luogo ad una sanzione penale ex art. 169; mentre il documento a data certa era facoltativo e non rilevava ai fini della responsabilità civile per danno derivante da omessa o inidonea adozione di misure di sicurezza, essendo utile solo a quei titolari del trattamento che nel 2006 intendevano beneficiare di un termine più ampio per adottare le misure minime di sicurezza.
Quindi, in sostanza, il problema della data certa nasce da un’errata interpretazione dei testi legislativi, infatti, non risulta da alcuna fonte normativa che il DPS debba avere una data certa. Né gli artt. 33, 34, 35 né il punto 19 del Disciplinare Tecnico allegato al D.Lgs. 196/2003 menzionano la necessità di una data certa per il DPS. Queste norme impongono al titolare soltanto l’obbligo di redigere il DPS una prima volta entro il 31 marzo 2006 e di tenerlo aggiornato entro il 31 marzo di ogni anno. In sostanza il DPS è un documento che il titolare è obbligato ad aggiornare a dimostrazione del fatto che applica le misure minime previste per il trattamento di dati personali. Pertanto, tale documento è soggetto solamente a quanto previsto dall’art. 2702 c.c. in materia di efficacia della scrittura privata.
Va inoltre considerato, che tra le misure minime di sicurezza il punto 26 del Disciplinare Tecnico allegato al D.Lgs. 196/2003 prevede l’obbligo per il titolare del trattamento di riferire dell’avvenuta redazione o aggiornamento del DPS entro il 31 marzo nella relazione accompagnatoria di ciascun bilancio di esercizio – ovviamente se in base alle norme civilistiche egli è tenuto a fare il bilancio comprensivo della relazione accompagnatoria – e già di per sé quest’obbligo (sanzionato per chi dichiara il falso) può dare una data certa al DPS. La dichiarazione nella relazione accompagnatoria del bilancio potrebbe certamente essere utilizzata come prova in fase di contenzioso per dimostrare di aver correttamente ottemperato alla norma di legge.
Questo però può valere solo per alcuni titolari del trattamento (quelli tenuti a redigere un bilancio non in forma semplificata); mentre per tutti gli altri, posto che l’art. 157 del D.Lgs. 196/2003 prevede che in sede di accertamento ispettivo il titolare debba semplicemente esibire i documenti richiesti, sarà a loro carico la prova di avere rispettato il termine perentorio fissato dalla legge.
Come? Semplice! Redigendo effettivamente il loro DPS prima del 31 marzo e recandosi presso un qualsiasi Ufficio Postale dove, per pochi spiccioli, potranno ottenere la famosa “data certa”!
Scritto il 1-4-2011 alle ore 13:14
Ancora con la data certa?
Ma possibile che nessuno abbia mai letto che di data certa si parlava solamente nella ipotesi transitoria citata nell’articolo.
Se qualcuno dovesse contestare la data, deve anche motivare la contestazione, non basta “asserire” che la data non sia corretta.
Ovviamente, se si è _assolutamente sicuri_ di essere _totalmente a posto_, allora si possono utilizzare anche metodi più “tecnologici”, come apporre una marca temporale al/ai file contenenti il dps e gli allegati.
Attenzione perché se si dovesse passare per l’ufficio postale, occorre che sia timbrato ogni singolo foglio…e quindi dipende dal “peso” del malloppo.
Scritto il 1-4-2011 alle ore 14:02
Andare agli uffici postali per ottenere la data certa è un consiglio assolutamente inutile! Nessun funzionario del Garante o agente della GdF ha mai chiesto o verificato che il DPS debba avere la data certa.
Scritto il 1-4-2011 alle ore 14:19
€ 1,50 e hai la data certa con tre francobolli……quale peso del malloppo…non ci vuole poi molto a raggirare un’impiegata postale.. l’importante è che i fogli siano pinzati l’un l’altro..
Scritto il 1-4-2011 alle ore 15:41
Beh, certo, basta credere che la “pinzatura” sia una prova certa.
Scritto il 1-4-2011 alle ore 17:26
Totalmente d’accordo, e poi se solo una impresa/ente italiano su dieci si fosse recato alle poste per apporre un timbro sarebbe stato il caos…
quanto costano due ore di lavoro?
Scritto il 2-4-2011 alle ore 09:18
Gentili amici , caro marco, ormai sei esperienze per fortuna risoltesi tutte molto bene , mi hanno fatto capire dalle motivazioni delle sentenze che non bisogna avere paura nè del nucleo ispettivo del garante nè della G.D.F. ma guardare la norma in questione quale attività pericolosa trattata ai sensi del 2050 c.c.. Dalle mie esperienze ho desunto che nel caso si è chiamati dal tribunale per un a richiesta di un cliente o un terzo di risarcimento danni bisogna provare oltre ogni ragionevole dubbio di aver applicato le misure idonee previste dall’art.31 e dimostrare con prove documentali di avervi ottemperato. Bene per mia fortuna a tutti ho sempre fatto applicare la data certa al D.P.S.perchè sempre ai sensi del 2050 bisogna dimostrare che effettivamente il titolare o il responsabile abbiano attuato quanto prescritto al punto 19 del disciplinare tecnico ” Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni ecc. ” . Questa è la mia esperienza diretta, posso dirVi altrettanto con assoluta certezza che due società che si occupavano di di consulenze privacy sono state oggetto di procedimento penale per trattamento illecito con pubblicazione della sentenza su tre quotidiani del lazio perche’ erano soliti redigere il D.P.S. dei clienti senza farsi nominare Responsabili ai sensi dell’art. 29 D.Lgs. e facendo firmare ai titolari il D.P.S. senza che loro figurassero.Alla luce della sentenza della cassazione sui consulenti,mi permetto di suggerire a coloro che spacciandosi per consulenti privacy applicano misure di sicurezza e redigono D.P.S. facendoli firmare ai titolari, di recedere da tali comportamenti perchè non sono consentiti dal decreto 196/2003 che prevede esclusivamente le figure del titolare art. 28, responsabile art. 29 , incaricato art. 30 e responsabile ai sensi del’art. 29 in outsoursing. un cordiale saluto
Scritto il 3-4-2011 alle ore 12:44
SCUSATE MA AVETE DIMENTICATO CHE ABBIAMO LA PEC ? ORBENE BASTA MANDARSI UNA PEC A SE STESSI E LA DATA CERTA E’ FATTA …. MEDITATE GENTE AD OGNI ORPELLO C’E’ LA SOLUZIONE
Scritto il 4-4-2011 alle ore 00:54
interessante discussione..anche dal mio punto di vista la soluzione più semplice è ricorrere alla PEC, mi chiedo pero’ se non sia necessario utilizzare in abbinamento anche la firma digitale (appunto per far firmare digitalmente il DPS al legale del documento). Che ne pensate? basta semplicemente autoinviarsi tramite PEC il documento di testo del DPS anche senza firma digitale?
Scritto il 8-4-2011 alle ore 15:39
[…] spunto dal post del collega di Blog Marcello Polacchini e soprattutto dai successivi commenti, tra i quali mi sono […]