12 dicembre 2011
Novità anche per la privacy nel decreto Monti
Finalmente ci siamo!
Un piccolo comma inserito nell’art. 40 del D.L. 6 dicembre 2011 n. 201, contenente le Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici, crea una piccola “grande rivoluzione” nella disciplina della privacy nel nostro Paese.
Il comma 2 del citato art. 40 recita testualmente:
“Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.
b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.
c) Il comma 3-bis dell’articolo 5 è abrogato.
d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.
e) La lettera h) del comma 1 dell’articolo 43 è soppressa”.
Decifrando il complicato linguaggio giuridico (ma quando mai in Italia ci si deciderà ad eliminare questi incomprensibili richiami ad altri testi di legge?) questo significa una sola cosa: d’ora in poi – se il decreto Monti sarà convertito in legge senza che siano apportate modifiche al comma 2 dell’art. 40 – la tutela della privacy riguarderà solamente le persone fisiche!
Si tratta di una rivoluzione non di poco conto che allineerà la normativa italiana sulla tutela della privacy a quella di tutti gli altri paesi europei. L’Italia, infatti, era l’unico Stato dell’Unione Europea assieme all’Austria ad aver recepito la Direttiva comunitaria 95/46/CE estendendo la tutela dei dati personali, oltre che alle persone fisiche, anche alle persone giuridiche.
In pratica, d’ora in avanti si potranno trattare i dati di persone giuridiche, enti e associazioni, pubblici e privati, senza dover chiedere il loro consenso.
Si tratta di una semplificazione non da poco, che alleggerisce sicuramente il “carico privacy” per le imprese, ma lascia intatti tutti gli adempimenti (informativa, consenso, ecc.) e le misure di sicurezza quando si trattano i dati personali delle persone fisiche, ivi compresa la tanto discussa redazione del Documento Programmatico sulla Sicurezza (DPS), obbligatoria per coloro che trattano dati sensibili o giudiziari di persone fisiche con l’ausilio di strumenti elettronici di qualunque tipo (v. punto 19 del Disciplinare Tecnico allegato B) al D. Lgs. n. 196/03).
Particolarmente significativa è l’abrogazione del comma 3-bis dell’art. 5 del D.Lgs. n. 196/03, che fu introdotto dall’art. 6, comma 2, lettera a), numero 1), del D.L. n. 70/2011 (il cd. “Decreto Sviluppo” del Governo Berlusconi), che aveva escluso dall’applicazione del Codice della privacy , il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni, ma solo quando effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili.
Altra interessante novità è che, una volta convertito il decreto Monti, solo le persone fisiche potranno esercitare i diritti che sono loro riconosciuti dall’art. 7 del Codice della privacy, cioè conoscere quali dati siano trattati dal titolare del trattamento, ottenerne l’aggiornamento, la rettifica o l’integrazione o anche, in alcuni casi, la cancellazione e opporsi al loro trattamento. Una persona giuridica, ente o associazione non potrà più esercitare tali diritti, perchè i suoi dati non sono più soggetti all’applicazione del D.Lgs. n. 196/03 e, infatti, il decreto Monti abroga l’ultimo periodo dell’art. 9, comma 4 del Codice, in cui si precisavano le modalità per identificare la persona fisica titolata a esercitare i diritti per conto della persona giuridica, ente o associazione.
Infine, per la soppressione della lettera h) del comma 1 dell’art. 43, i dati delle persone giuridiche, enti e associazioni saranno anche trasferibili all’estero liberamente.
Perciò, se da un lato le imprese non dovranno più preoccuparsi della normativa sulla tutela della privacy quando trattano dati di altre imprese, d’altro lato dovranno continuare ad applicare tutto ciò che è previsto dal D.Lgs. n. 196/03 quando trattano i dati dei propri dipendenti e collaboratori, e anche dei clienti e fornitori se questi ultimi sono persone fisiche.
Nel complesso, sembra una manovra abbastanza equilibrata e positiva. Staremo a vedere i futuri sviluppi.
Scritto il 14-12-2011 alle ore 13:22
Non può esser che positivo il commento per l’avvio di una vera integrazione ‘europea’ nel settore privacy_ Ma redazione e tenuta del DPS -almeno nei termini previsti dalla legislazione italiana- continuano ad essere, a mio avviso, adempimenti ecces.nte gravosi ed in buona parte superflui, anche se previsti d’ora in avanti per (il trattamento de)i dati delle sole persone fisiche
Scritto il 15-12-2011 alle ore 10:46
Ci risiamo. Proprio non va giù questo benedetto DPS!!
L’avere circoscritto l’applicazione del D.Lgs. 196/03 al solo trattamento di dati riguardanti le persone fisiche, è a mio avviso una soluzione equilibrata, in linea con quanto disposto dalla Direttiva comunitaria 95/46/CE, che ha introdotto la tutela della privacy nell’Unione Europea.
Come dicevo nella premessa al mio libro “La tutela della privacy in azienda” il problema di fondo del nostro Paese in questa materia è la generale mancanza di “cultura della privacy”, acuita – per quanto riguarda le imprese – dal “fastidio” verso ogni nuovo adempimento burocratico che venga loro imposto la legislatore.
Nemmeno i quindici anni trascorsi dal recepimento della Direttiva comunitaria (con l’introduzione in Italia della Legge 675/96 sulla protezione dei dati personali) hanno fatto aumentare questa “cultura”, e solo la minaccia di sanzioni penali ed amministrative molto pesanti (a mio avviso eccesive, se riferite alla generalità delle infrazioni riscontrate) ha fatto sì che nel nostro Paese da parte delle imprese si prestasse un minimo di attenzione alla problematica della privacy. La “cultura” nelle imprese è ben lungi dall’essere stata ottenuta!
Detto questo, rimane il problema della redazione dell’odiato/inutile DPS. Orbene, come sostenevo nel mio libro sopra citato, un’impresa secondo me dovrebbe cercare di applicare il D.Lgs. 196/03 non in maniera formale e inutile, ma traendone un’effettiva utilità. Per fare ciò – a mio avviso – il primo passo da compiere è quello di affrontare gli obblighi imposti dalla normativa sulla privacy con un approccio positivo, ossia cercando di cogliere e di valorizzare quegli aspetti della legge che portano valore aggiunto all’organizzazione aziendale. Basti pensare, in particolare, alle misure di sicurezza, che, se correttamente applicate, servono ad evitare rischi non soltanto per la privacy altrui ma, soprattutto, per l’impresa.
Alcuni adempimenti contenuti nella legge sulla privacy possono sembrare talvolta inutili ed eccessivamente onerosi e destinati ad intralciare lo svolgimento delle ordinarie attività d’impresa, specialmente nelle realtà di piccole dimensioni. Tuttavia, non va sottovalutato che, al di là degli aspetti etici di una giusta protezione dei dati personali e della riservatezza (aspetti che devono necessariamente essere tenuti presenti in una nazione “civile”), la protezione delle informazioni può rappresentare una risorsa per l’impresa, rendendone più efficiente e ordinata l’attività. Inoltre, questa caratteristica, se adeguatamente pubblicizzata, può persino incrementare la fiducia dei clienti, dei consumatori e degli utenti, dando all’impresa un vantaggio competitivo sulle altre. Se poi pensiamo agli assalti sempre più frequenti degli hackers informatici e dei crackers, alle truffe informatiche, alla diffusione dei virus informatici, ai messaggi spam contenuti nella posta elettronica, alle perdite di dati per cali d’alimentazione del sistema informatico o per un backup non effettuato correttamente o non sicuro e ai tanti altri problemi che capitano frequentemente nel lavoro quotidiano, ci rendiamo conto che questi problemi, a volte, possono provocare conseguenze molto dannose per l’azienda in se stessa e non soltanto per la privacy di qualcuno.
Ecco allora, che l’applicazione del Codice della privacy è l’occasione – se non ci avessimo già pensato prima – per verificare che in azienda sia rispettata la normativa sui diritti d’autore, controllando le licenze dei programmi per elaboratore (senza le quali, tra l’altro, non è possibile ottenere i necessari aggiornamenti dei programmi e del sistema operativo, che la legge sulla privacy impone di avere); è l’occasione per assicurare la corretta utilizzazione di delicati strumenti di lavoro quali la posta elettronica e Internet; e, soprattutto, è l’occasione per garantire un’efficace tutela del know-how aziendale, mettendo in sicurezza l’importantissimo patrimonio informativo dell’azienda.
Solamente operando in questo modo, con un approccio positivo al decreto 196, si può considerare la normativa sulla privacy come un’opportunità per l’azienda e non come un inutile e costoso adempimento burocratico.
Vi è poi un altro aspetto da considerare. Al di là dell’obbligo o no di redigere il DPS, ogni impresa ha comunque l’obbligo di applicare almeno TUTTE le misure minime di sicurezza previste dal Disciplinare Tecnico allegato B) al D.Lgs. 196/03. Queste misure devono essere descritte nel DPS. Questo documento (che io ho sempre suggerito alle imprese di fare, anche quando non è obbligatorio), partendo dalle misure di sicurezza adottate per il trattamento dei dati personali (cioè partendo dalla descrizione dello stato attuale del livello di sicurezza), deve analizzare i potenziali rischi ed individuare le azioni correttive per evitare, o meglio, per “ridurre al minimo” il verificarsi di qualsiasi tipo di evento dannoso o pericoloso a carico degli stessi dati personali.
In definitiva, il DPS è una relazione tecnica che serve a “fotografare” la privacy policy, cioè la politica aziendale in tema di sicurezza dei dati personali e a definire e programmare – sulla base di un’attenta analisi dei potenziali rischi – quali misure saranno adottate per migliorare la sicurezza nel trattamento dei dati personali.
Predisporre IL DPS permette al titolare del trattamento di capire come sono trattati i dati all’interno della propria organizzazione (incaricati, responsabilità, strumenti, sistemi di accesso, sistemi e programmi informatici, attrezzature, locali, ecc.), quali trattamenti sono effettuati, quanto è necessario investire per difendere i dati e le informazioni e, soprattutto, permette di capire se l’azienda è sufficientemente tutelata dalle sanzioni penali e da pretestuose richieste di risarcimento danni provenienti da chi ritiene che in qualche modo il titolare del trattamento abbia violato la sua privacy.
Va tenuto presente, infatti, che il decreto considera il trattamento dei dati personali una “attività pericolosa” ai sensi dell’art. 2050 del codice civile”, e questo, in caso di danni dovuti a una violazione della privacy, comporta l’inversione dell’onere della prova a carico del titolare del trattamento dei dati, anziché del danneggiato.
Inoltre, la legge stabilisce che il danno non patrimoniale è risarcibile anche nei casi di violazione delle modalità del trattamento di cui all’art. 11 del D.Lgs. 196/03. Il titolare del trattamento, pertanto, dovrà dimostrare (anche nel suo DPS) di aver adottato tutte le misure “idonee” (cioè le misure di sicurezza facoltative, superiori a quelle minime di legge) per evitare il verificarsi del danno. Questa è la classica “probatio diabolica”, poiché il concetto di “idoneità” della misura di sicurezza è, per sua stessa natura, variabile nel tempo e nei luoghi ed è sempre rimesso alla valutazione soggettiva del magistrato giudicante. E’ evidente però, che se il titolare (pur non essendovi tenuto) ha redatto un DPS potrà più agevolmente dimostrare al magistrato di avere prestato attenzione al problema della privacy e di avere adottato un sistema di misure di sicurezza ragionevolmente “idoneo” e ciò potrà attenuare la sua responsabilità.
Quindi, in buona sostanza, il DPS è uno “strumento” utile in primo luogo al titolare del trattamento stesso, per tenere sotto controllo il proprio sistema di sicurezza, anzi – a mio avviso – è la misura di sicurezza più utile, perchè contiene tutte le altre misure di sicurezza obbligatorie.
Scritto il 19-12-2011 alle ore 16:14
Dott. Polacchini, esaustivo il Suo commento (così com’è lecito aspettarsi da un consulente d’impresa x la privacy, Autore tra l’altro di più testi in materia)_ La mia modesta notazione sul DPS faceva peraltro riferimento sopratutto allo (inesplorato) mondo degli Autonomi: in quel caso, non sfuggirà di certo ad un esperto del settore cosa ha sinora prodotto -sul piano pratico, intendo..- la eccessività degli adempimenti (la cui inadempienza, come peraltro ben rilevato, è assai duramente sanzionata dalla normativa vigente) legati al DPS_ Una vera e propria congèrie di ciclostilati, più o meno ben redatti, firmati ‘alla cieca’ dagli (ignari) clienti_
Tutta colpa di un legislatore troppo ‘pignolo’ o piuttosto di una (pervicace) mancanza di ‘cultura della privacy’? La verità -come spesso accade- sta provabilmente nel mezzo….
Scritto il 23-12-2011 alle ore 10:42
Ieri (come previsto) è stato convertito in legge il decreto Monti che ha ottenuto la fiducia.
Per quanto riguarda la PRIVACY, l’art. 40 comma 2 è rimasto invariato nel testo contenuto nel D.L. 201/2011.
E adesso inizieranno le interpretazioni…
Scritto il 23-12-2011 alle ore 11:58
Il D.Lgs 196/2003 è da abrogate. E’ una palla al piede delle imprese e dei cittadini. E’ un carrozzone che costa milioni di euro.
Basterebbe riscrivere con correttezza alcune leggi di P.S. per eliminare e sopperire alla montagna di carte e di adempimenti a carico delle imprese. Tale provvedimento somiglia tanto alle disposizioni Ue che le “cipolle” e le “patate” devono essere poste in vendita in confezioni tipo sacchetti di juta e simili. come anche i sacchetti di cemento non devono pesare più di 25 Kg. Poi si assiste che dai paesi dell’europa orientale transitano per la nostra dogana Tir di cipolle e patate sfuse che vengono “normalmente” immesse nei nostri mercati (Tremonti docet).
Scritto il 23-12-2011 alle ore 12:46
Giuseppe privacy cipolle e patate non vanno molto d’accordo… E considerare la normativa sulla privacy come un sacco di cemento…. mi sembra un pò eccessivo.
Sta di fatto che in tutta l’Europa dei 27 esiste una normativa sulla protezione della riservatezza dei dati personali delle persone fisiche.
Forse… la privacy vale di più delle patate!!
Scritto il 24-12-2011 alle ore 14:32
Non mi sembra di aver posto una questione di “valore” comparativo tra la “privacy” e le patate. Ho sostenuto e sostengo che tale legge è inutile, dispendiosa, costosa per i cittadini, un carrozzone di lancio per traguardi politici, dannosa per i soggetti passivi d’imposta. Sostengo anche con convinzione che “ripassare” talune leggi sulla P.S. eliminerebbe alla radice archivi, documenti, personale e costi inutili. Se poi si vuole ragionare solo in termini di “valore” della privacy, allora questo merita tutt’altro approdo. Problema certo che non si risolve con una feroce inutile burocratizzazione, atteso che tale “mania” è solo una schedatura di ogni individuo mascherata dalla c.d. protezione della privacy.
Scritto il 25-12-2011 alle ore 23:08
Egregio Sig. Giuseppe, si potrebbe arogmentare all’infinito sul valore o sul disvalore della normativa comunitaria sulla protezione dei dati personali. A me, che NON “vivo” di privacy, sembra che la tutela della propria riservatezza sia NECESSARIA in un Paese che voglia definirsi “civile”; ad ogni modo, ciascuno è assolutamente libero di rimanere della propria opinione… ci mancherebbe altro!
Personalmente non sono assolutamente d’accordo sull’equazione privacy = inutile burocrazia. Se lei la vede così, probabilmente non ha colto pienamente l’essenza della questione e (forse mal consigliato), probabilmente si è riempito di un sacco di carta inutile. Come ho sempre sostenuto, rispettare la privacy è tutt’altra cosa che redigere un più o meno ben articolato DPS!
Quanto alla schedatura… purtroppo ci sono ben altri sistemi che non la normativa sulla privacy per “schedare” i cittadini: ad esempio l’utilizzo di Internet.
Le auguro un sereno 2012.
Scritto il 8-1-2012 alle ore 14:17
[…] http://marcellopolacchini.postilla.it/2011/12/12/novita-anche-per-la-privacy-nel-decreto-monti/ […]
Scritto il 26-1-2012 alle ore 17:07
[…] sul fatto che nessuno di noi ha piu’ Privacy http://marcellopolacchini.postilla.it/2011/12/12/novita-anche-per-la-privacy-nel-decreto-monti/, […]
Scritto il 15-6-2012 alle ore 11:20
Buongiorno dott.Polacchini,
volevo chiederle un parere in merito a come comportarsi con i dati dei reppresentati legali delle società nel caso in cui il Titolare abbia solo come clienti e fornitori persone giuridiche
grazie
Scritto il 16-6-2012 alle ore 18:29
Quando sostengo che le “semplificazioni” di Monti hanno cambiato poco o nulla mi riferisco anche al caso da lei prospettato Luca.
Adesso la privacy non riguarda più le persone giuridiche, ma continua a riguardare tutte le persone fisiche che si trovano all’interno di una società, delle quali il titolare del trattamento possieda e tratti dati personali.
Perciò ai dati dei rappresentanti legali delle società clienti e fornitrici(che sono persone fisiche) devono essere applicate tutte le norme del Codice della privacy (informativa, misure di sicurezza, ecc.).
In sostanza non è cambiato molto.
Scritto il 19-6-2012 alle ore 11:13
Grazie come immaginavo anche io.
Luca