|
Circola in rete la bozza del c.d.
nuovo decreto legge sviluppo. In realtà sarebbe il
secondo provvedimento in materia di “sviluppo”, posto
che c’è già stato il decreto legge 13 maggio 2011, n. 70
coordinato con la legge di conversione 12 luglio 2011,
n. 106, pubblicato sulla Gazzetta Ufficiale n. 160 del
12/7/2011. Anche questo nuovo decreto sviluppo contiene
delle disposizioni in materia di protezione dei dati
personali (attualmente sono indicate nell’art. 94).
Il primo decreto legge (n. 70/2011)
è stato già oggetto di un breve commento riguardo alle
tematiche in materia di privacy.
La bozza del “nuovo decreto legge
sviluppo”, così come formulata, apporta modifiche al
codice privacy che – per alcuni versi – hanno una
incidenza sostanziale. Ecco le modifiche:
1) la prima delle introducende
modifiche comporta la sostituzione della lettera b)
dell’art. 4, comma 1, del codice privacy ed il nuovo
testo – si ribadisce nella bozza che è reperibile –
sarebbe il seguente:
b) “dato personale”, qualunque
informazione relativa a persona fisica, nonché,
limitatamente al settore delle comunicazioni
elettroniche, qualunque informazione relativa a persona
giuridica, ente od associazione abbonati ad un servizio
di comunicazione elettronica accessibile al pubblico,
sempre che si tratti di soggetti identificati o
identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso
un numero di identificazione personale.
2) Una ulteriore modifica
dell’art. 4, comma 1, è la seguente:
alla lettera i) le parole “la
persona giuridica, l’ente o l’associazione” sono
soppresse e sono aggiunte, in fine le seguenti: “nonché
la persona giuridica, l’ente o l’associazione abbonati
ad un servizio di comunicazione elettronica accessibile
al pubblico, limitatamente al trattamento dei dati
personali nel settore delle comunicazioni elettroniche”.
3) Viene abrogato il comma 3-bis
dell’art. 5 (peraltro introdotto proprio dal precedente
decreto sviluppo ed in particolare dall’art. 6, comma 2,
lettera a), numero 1), del decreto legge 13 maggio 2011,
n. 70, convertito, con modificazioni, dalla legge 12
luglio 2011, n. 106); riporto di seguito il teso:
3-bis. Il trattamento dei dati
personali relativi a persone giuridiche, imprese, enti o
associazioni effettuato nell’ambito di rapporti
intercorrenti esclusivamente tra i medesimi soggetti per
le finalità amministrativo – contabili, come definite
all’articolo 34, comma 1-ter, non è soggetto
all’applicazione del presente codice.
4) Viene soppresso l’ultimo periodo
(in grassetto) del comma 4 dell’art. 9 che riporto di
seguito:
4. L’identità dell’interessato
è verificata sulla base di idonei elementi di
valutazione, anche mediante atti o documenti disponibili
o esibizione o allegazione di copia di un documento di
riconoscimento. La persona che agisce per conto
dell’interessato esibisce o allega copia della procura,
ovvero della delega sottoscritta in presenza di un
incaricato o sottoscritta e presentata unitamente a
copia fotostatica non autenticata di un documento di
riconoscimento dell’interessato. Se l’interessato è una
persona giuridica, un ente o un’associazione, la
richiesta è avanzata dalla persona fisica legittimata in
base ai rispettivi statuti od ordinamenti.
5) Vengono soppressi il comma 1,
lettera g) e il comma 1-bis (introdotto con il
precedente decreto sviluppo già citato) dell’art. 34,
che riporto di seguito (in grassetto la modifica):
Art. 34. Trattamenti con
strumenti elettronici 1. Il trattamento di dati
personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell’allegato B), le
seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di
gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema
di autorizzazione;
d) aggiornamento periodico
dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione
o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti
elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati
programmi informatici;
f) adozione di procedure per la
custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
[g) tenuta di un aggiornato
documento programmatico sulla sicurezza;]
h) adozione di tecniche di
cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute
o la vita sessuale effettuati da organismi sanitari.
1-bis.(1) Per i soggetti che
trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili e giudiziari quelli
relativi ai propri dipendenti e collaboratori, anche se
extracomunitari, compresi quelli relativi al coniuge e
ai parenti, la tenuta di un aggiornato documento
programmatico sulla sicurezza è sostituita dall’obbligo
di autocertificazione, resa dal titolare del trattamento
ai sensi dell’ articolo 47 del testo unico di cui al
decreto del Presidente della Repubblica 28 dicembre
2000, n. 445, di trattare soltanto tali dati in
osservanza delle misure minime di sicurezza previste dal
presente codice e dal disciplinare tecnico contenuto
nell’allegato B). In relazione a tali trattamenti,
nonché a trattamenti comunque effettuati per correnti
finalità amministrativo-contabili, in particolare presso
piccole e medie imprese, liberi professionisti e
artigiani, il Garante, sentiti il Ministro per la
semplificazione normativa e il Ministro per la pubblica
amministrazione e l’innovazione, individua con proprio
provvedimento, da aggiornare periodicamente, modalità
semplificate di applicazione del disciplinare tecnico
contenuto nel citato allegato B) in ordine all’adozione
delle misure minime di cui al comma 1.
6) Viene aggiunto il testo seguente
all’art. 43, lettera h), dopo la parola “dati” (in
grassetto la modifica introdotta):
Art. 43. Trasferimenti
consentiti in Paesi terzi
1.
Il trasferimento anche temporaneo fuori del territorio
dello Stato, con qualsiasi forma o mezzo, di dati
personali oggetto di trattamento, se diretto verso un
Paese non appartenente all’Unione europea è consentito
quando:
a) l’interessato ha manifestato
il proprio consenso espresso o, se si tratta di dati
sensibili, in forma scritta;
b) è necessario per
l’esecuzione di obblighi derivanti da un contratto del
quale è parte l’interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste
dell’interessato, ovvero per la conclusione o per
l’esecuzione di un contratto stipulato a favore
dell’interessato;
c) è necessario per la
salvaguardia di un interesse pubblico rilevante
individuato con legge o con regolamento o, se il
trasferimento riguarda dati sensibili o giudiziari,
specificato o individuato ai sensi degli articoli 20 e
21;
d) è necessario per la
salvaguardia della vita o dell’incolumità fisica di un
terzo. Se la medesima finalità riguarda l’interessato e
quest’ultimo non può prestare il proprio consenso per
impossibilità fisica, per incapacità di agire o per
incapacità di intendere o di volere, il consenso è
manifestato da chi esercita legalmente la potestà,
ovvero da un prossimo congiunto, da un familiare, da un
convivente o, in loro assenza, dal responsabile della
struttura presso cui dimora l’interessato. Si applica la
disposizione di cui all’articolo 82, comma 2;
e) è necessario ai fini dello
svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere un diritto in sede giudiziaria,
sempre che i dati siano trasferiti esclusivamente per
tali finalità e per il periodo strettamente necessario
al loro perseguimento, nel rispetto della vigente
normativa in materia di segreto aziendale e industriale;
f) è effettuato in accoglimento
di una richiesta di accesso ai documenti amministrativi,
ovvero di una richiesta di informazioni estraibili da un
pubblico registro, elenco, atto o documento conoscibile
da chiunque, con l’osservanza delle norme che regolano
la materia;
g) è necessario, in conformità
ai rispettivi codici di deontologia di cui all’allegato
A), per esclusivi scopi scientifici o statistici, ovvero
per esclusivi scopi storici presso archivi privati
dichiarati di notevole interesse storico ai sensi
dell’articolo 6, comma 2, del decreto legislativo 29
ottobre 1999, n. 490, di approvazione del testo unico in
materia di beni culturali e ambientali o, secondo quanto
previsto dai medesimi codici, presso altri archivi
privati;
h) il trattamento concerne dati
personali trattati nel settore delle comunicazioni
elettroniche riguardanti persone giuridiche, enti o
associazioni abbonati ad un servizio di comunicazione
elettronica accessibile al pubblico.
7) Viene aggiunto il seguente testo
all’art. 26, comma 4, lettera d) (la modifica in
grassetto):
Art. 26. Garanzie per i dati
sensibili
4. I dati sensibili possono
essere oggetto di trattamento anche senza consenso,
previa autorizzazione del Garante:
a) quando il trattamento è
effettuato da associazioni, enti od organismi senza
scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico, religioso o sindacale, ivi
compresi partiti e movimenti politici, per il
perseguimento di scopi determinati e legittimi
individuati dall’atto costitutivo, dallo statuto o dal
contratto collettivo, relativamente ai dati personali
degli aderenti o dei soggetti che in relazione a tali
finalità hanno contatti regolari con l’associazione,
ente od organismo, sempre che i dati non siano
comunicati all’esterno o diffusi e l’ente, associazione
od organismo determini idonee garanzie relativamente ai
trattamenti effettuati, prevedendo espressamente le
modalità di utilizzo dei dati con determinazione resa
nota agli interessati all’atto dell’informativa ai sensi
dell’articolo 13;
b) quando il trattamento è
necessario per la salvaguardia della vita o
dell’incolumità fisica di un terzo. Se la medesima
finalità riguarda l’interessato e quest’ultimo non può
prestare il proprio consenso per impossibilità fisica,
per incapacità di agire o per incapacità di intendere o
di volere, il consenso è manifestato da chi esercita
legalmente la potestà, ovvero da un prossimo congiunto,
da un familiare, da un convivente o, in loro assenza,
dal responsabile della struttura presso cui dimora
l’interessato. Si applica la disposizione di cui
all’articolo 82, comma 2;
c) quando il trattamento è
necessario ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere in
sede giudiziaria un diritto, sempre che i dati siano
trattati esclusivamente per tali finalità e per il
periodo strettamente necessario al loro perseguimento.
Se i dati sono idonei a rivelare lo stato di salute e la
vita sessuale, il diritto deve essere di rango pari a
quello dell’interessato, ovvero consistente in un
diritto della personalità o in un altro diritto o
libertà fondamentale e inviolabile;
d) quando è necessario per
adempiere a specifici obblighi o compiti previsti dalla
legge, da un regolamento, da contratti collettivi o
dalla normativa comunitaria per la gestione del rapporto
di lavoro, anche in materia di igiene e sicurezza del
lavoro e della popolazione e di previdenza e assistenza,
nei limiti previsti dall’autorizzazione e ferme restando
le disposizioni del codice di deontologia e di buona
condotta di cui all’articolo 111.
Come si può notare il provvedimento
continua nel solco della già tracciata linea di
“semplificazione” adottata dal Governo con il precedente
decreto legge “sviluppo” (70/2011), poiché secondo la
nuova formulazione il codice privacy sancirebbe la
tutela limitatamente alle persone fisiche. In realtà,
l’apparente continuità legislativa si appalesa come una
profonda incongruenza posto che questo nuovo emandando
decreto legge in sostanza abroga le disposizioni
introdotte dal precedente decreto legge sviluppo. Ciò
determina, ovviamente, una confusione per tutti coloro
che si occupano ex professo della materia i quali devono
essere ben allenati a recepire le modifiche introdotte
dal legislatore in modo disorganico e frequente.
Al di là di questa notazione
critica, è evidente come la volontà del legislatore sia
quella di escludere dal novero dei dati personali quelli
delle persone giuridiche, enti o associazioni se non in
ambito di comunicazioni elettroniche, lasciando così la
protezione dei dati personali alle sole persone fisiche.
In realtà, una simile prospettazione sembra confliggente
con il contenuto dell’art. 1 codice privacy che
testualmente recita: “Chiunque ha diritto alla
protezione dei dati personali che lo riguardano”. In
effetti, se il diritto alla protezione dei dati
personali è riservata a chiunque, non si comprende la
definizione riduttiva di “dato personale” che viene
proposta con la bozza del decreto legge che si commenta.
Altra novità è l’abrogazione
dell’obbligo di redazione e tenuta di un DPS, ma il
testo del decreto legge in commento (nella bozza su
citata) non contiene alcun riferimento alla abrogazione
dell’allegato B; del resto, la modifica che dovrebbe
essere apportata all’art 34 riguarda solo ed
esclusivamente la soppressione della lettera g).
L’eliminazione del DPS se da un lato potrebbe essere
comprensibile nell’ottica di semplificazione, dall’altro
suscita non pochi dubbi in ordine ai controlli sul
rispetto delle norme del codice privacy ed in
particolare il riferimento è all’allegato B. Difatti i
controlli si renderanno più complessi in quanto gli
Organi preposti non dovranno più verificare il DPS, ma
effettuare accertamenti approfonditi in ordine al
rispetto da parte del titolare del trattamento delle
misure indicate propri nell’allegato B. Il provvedimento
sembra che voglia unicamente evitare la redazione del
DPS ritenendo che si tratti, probabilmente, di un
adempimento inutile con conseguenti costi superflui. In
realtà, in un’ottica di semplificazione si potrebbe
provvedere a “semplificare” la redazione del DPS,
piuttosto che eliminarlo del tutto. Del resto, questo è
il proposito alla luce dell’introduzione del comma 1-bis
all’art. 34 con cui viene prevista la sostituzione del
DPS con l’autocertificazione soltanto “per i soggetti
che trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili e giudiziari quelli
relativi ai propri dipendenti e collaboratori, anche se
extracomunitari, compresi quelli relativi al coniuge e
ai parenti”. Sembra, quindi, che le modifiche
introducende con il nuovo decreto sviluppo – che si
sussegue al precedente provvedimento – piuttosto che
ridurre i costi in un’ottica di semplificazione, li
aumentino perché sarà necessario affidarsi a
professionisti preparati in questa materia.
Beh, trattandosi di provvedimento
in itinere, non può che auspicarsi l’apporto di
modifiche al codice privacy che siano comunque
compatibili con la emananda revisione della normativa
europea di cui si attende a breve la prima bozza.
|
