|
Il Governo ha approvato al Consiglio dei Ministri dello
scorso 5 maggio uno schema di decreto legge che, fra
l'altro, all’art. 6 affronta alcune questioni in materia
di privacy. In particolare, l’art. 6 dello schema di
decreto legge è stato strutturato per delineare diverse
azioni, ma la prima è quella relativa alla riservatezza
e la logica posta alla base dell'intervento normativo
viene indicata alla lettera a) e descritta nei termini
seguenti:
in corretta applicazione della normativa europea le
comunicazioni relative alla riservatezza dei dati
personali sono limitate alla tutela dei cittadini,
conseguentemente non trovano applicazione nei rapporti
tra imprese.
Il citato assioma sembra voler giustificare l’intervento
in commento su una presunta “corretta applicazione della
normativa europea”. Sul sito del Ministero per la
pubblica amministrazione ed innovazione, peraltro, si
legge: “La proposta prevede che il Codice della Privacy
non si applichi ai trattamenti di dati personali nei
rapporti tra persone giuridiche per sole finalità di
natura amministrativo-contabile, in modo da allineare la
normativa italiana a quella degli altri Paesi
dell'Unione Europea (solo l'Italia infatti, insieme
all'Austria, aveva una normativa sulla privacy che si
applicava sia alle persone fisiche, sia a quelle
giuridiche). Sono previste inoltre semplificazioni per
le imprese che trattano solo i dati sensibili del
personale, dei collaboratori e dei loro familiari (circa
l'80% del totale): una semplice autocertificazione
sostituisce il Documento Programmatico per la
Sicurezza”.
Riguardo all’allineamento all’Europa l’impostazione
metodologica è errata e non condivisibile.
Il Governo sembra ignorare le azioni della Commissione
Europea sul fronte privacy ed in particolare la
Comunicazione in data 4.11.2010 dalla Commissione al
Parlamento Europeo, al Consiglio, al Comitato Economico
e Sociale e il Comitato delle Regioni dal titolo “A
comprehensive approach on personal data protection in
the European Union” con cui è stata delineata la linea
d’azione riguardo alla privacy. È appena il caso di
rilevare che tra gli aspetti problematici su cui
intervenire si menzionano i seguenti:
• Addressing the impact of new technologies
• Enhancing the internal market dimension of
data protection
• Addressing globalisation and improving
international data transfers
• Providing a stronger institutional
arrangement for the effective enforcement of data
protection rules
• Improving the coherence of the data
protection legal framework
Emerge chiaramente la volontà della Commissione di
intervenire, ad esempio, sulle questioni del mercato
interno riguardo alla protezione dei dati, ma non sembra
che i predetti interventi siano diretti alle imprese e
soprattutto a rendere non applicabile alle aziende il
diritto dell'individuo alla riservatezza e alla tutela
dei dati personali. La Commissione con il citato
documento, molto chiaramente, proponeva di sviluppare un
approccio comprensivo e coerente per garantire il
diritto fondamentale alla protezione dei dati personali
per gli individui.
Il testo
è il seguente: "The above challenges require the EU to
develop a comprehensive and coherent approach
guaranteeing that the fundamental right to data
protection for individuals is fully respected within the
EU and beyond. The Lisbon Treaty provided the EU with
additional means to achieve this: the EU Charter of
Fundamental Rights - with Article 8 recognising an
autonomous right to the protection of personal data -
has become legally binding, and a new legal basis has
been introduced allowing for the establishment of
comprehensive and coherent Union legislation on the
protection of individuals with regard to the processing
of their personal data and on the free movement of such
data. In particular, the new legal basis allows the EU
to have a single legal instrument for regulating data
protection, including the areas of police cooperation
and judicial cooperation in criminal matters. The area
of Common Foreign and Security Policy is only partly
covered by Article 16 TFEU, as specific rules for data
processing by Member States must be laid down by a
Council Decision based on a different legal basis.
Building on these new legal possibilities, the
Commission will give the highest priority to ensuring
respect for the fundamental right to data protection
throughout the Union and all its policies, while at the
same time enhancing the internal market dimension and
facilitating the free flow of personal data. In this
context, other relevant fundamental rights enshrined in
the Charter, and other objectives in the Treaties, have
to be fully taken into account while ensuring the
fundamental right to the protection of personal data.
This Communication intends to lay down the Commission's
approach for modernising the EU legal system for the
protection of personal data in all areas of the Union’s
activities, taking account, in particular, of the
challenges resulting from globalisation and new
technologies, so as to continue to guarantee a high
level of protection of individuals with regard to the
processing of personal data in all areas of the Union's
activities. This will allow the EU to remain a driving
force in promoting high data protection standards
worldwide".
Dal testo della Commissione emerge una priorità per il
diritto alla protezione dei dati personali che non si
estrinseca, neppure in funzione di programma, in una
disapplicazione delle norme privacy per le imprese.
Peraltro, il citato documento non è l'unico intervento
in materia operato dalla Commissione. Difatti,
successivamente la Commissione ha avviato una
consultazione pubblica, che è scaduta il 15 gennaio
scorso, finalizzata alla revisione della normativa
europea in un’ottica di armonizzazione della disciplina
esistente. La Commissione Europea in più occasioni ha
dichiarato che non si tratterà di una riforma ma proprio
di una “revisione” della normativa perché non esiste una
volontà tesa allo stravolgimento dei principi privacy
attualmente vigenti. Un dato è certo: la direttiva
1995/46/EC si rivolge alle persone fisiche e non alle
persone giuridiche, ma non esclude la tutela della
riservatezza nei rapporti tra imprese e persone fisiche
(come ad esempio i dipendenti). Del resto, anche il
Garante Europeo, intervenendo sull'argomento, ha
sottolineato la necessità di rafforzare il diritto degli
individui alla privacy; tale concetto è stato
successivamente ribadito con altro intervento,
rimarcando quanto affermato dalla Commissione e
specificamente che si dovrà considerare nella revisione
del corpus normativo europeo il risultato
dell'evoluzione tecnologica, oltre che gli effetti della
globalizzazione e del trasferimento dei dati da un Paese
all'altro. La tutela del diritto alla privacy degli
individui coinvolge necessariamente le attività delle
imprese; pertanto, non si comprende come si possa
parlare di allineamento all'Europa eliminando, di fatto,
le norme privacy per le imprese. In effetti, secondo
questo testo, le imprese godranno di una esenzione
globale per la privacy e non soltanto, come invece si
vuole rappresentare, nei soli rapporti tra imprese, ma
anche con riferimento ai dati trattati all’interno delle
stesse aziende per i rapporti di lavoro e per quelli di
natura finanziario-contabile. Al di là di questo
scenario, volutamente non ci si sofferma sul regime dei
sistemi privacy vigenti nei Paesi d’oltreoceano
(fondamentalmente USA e Canada), poiché – anche se
effettivamente si tratta di situazioni differenti – le
discrasie riguardo alla tutela dei dati personali anche
da parte delle imprese sono davvero profonde.
Soffermandosi sulla logica indicata dal Governo, non ci
si può, inoltre, esimere dal rilevare un ulteriore
errore di fondo, posto che la privacy viene relegata al
solo campo delle comunicazioni. È superfluo sottolineare
quanto sia fuorviante ed estremamente riduttivo tale
approccio. Peraltro, il postulato realizzato per
giustificare la logica contenuta nel comma 1 lett. a)
dell’art. 6 esclude categoricamente l’applicabilità
delle norme privacy alle imprese perché “la riservatezza
dei dati personali” sarebbe limitata “alla tutela dei
cittadini”. Un simile assioma denota che al legislatore
sfuggono i principi fondamentali in materia di privacy.
In buona sostanza il citato articolo 6 riserva il comma
2 alle modifiche al codice privacy; la prima modifica di
rilievo riguarda l’introduzione del comma 3-bis all’art.
5 nei termini seguenti:
3-bis. Il trattamento dei dati personali relativi a
persone giuridiche, imprese, enti o associazioni
effettuato nell’ambito di rapporti intercorrenti
esclusivamente tra i medesimi soggetti per le finalità
amministrativo - contabili, come definite all’articolo
34, comma 1-ter, non è soggetto all’applicazione del
presente codice.
Si tratta della norma che esclude l’applicazione della
normativa privacy alle imprese per le finalità
amministrativo-contabili.
L’ulteriore modifica comporta l’introduzione del comma
5-bis all’art. 13 del codice privacy, come segue:
5-bis. L’informativa di cui al comma 1 non è dovuta in
caso di ricezione di curricula spontaneamente trasmessi
dagli interessati ai fini dell’eventuale instaurazione
di un rapporto di lavoro. Al momento del primo contatto
successivo all’invio del curriculum, il titolare è
tenuto a fornire all’interessato, anche oralmente, una
informativa breve contenente almeno gli elementi di cui
al comma 1, lettere a), d) ed f).
Nessuna informativa verrà fornita in caso di ricezione
di curricula inviati dai soggetti interessati ad
instaurare un rapporto di lavoro. Tale approccio è in
evidente contraddizione con la logica sottesa alla
modifica della normativa che è enunciata nel comma 1
dell’art. 6. Difatti, sembra che il principio dello
schema di decreto legge voglia semplificare il rapporto
tra imprese, ma al contempo è indubbiamente rivolto a
limitare fortemente il diritto alla riservatezza delle
persone fisiche.
Ulteriore modifica di rilievo riguarda la sostituzione
del comma 1-bis dell’art. 34 e nell’introduzione di un
comma 1-ter nella formulazione che segue:
1-bis. Per i soggetti che trattano soltanto dati
personali non sensibili e che trattano come unici dati
sensibili e giudiziari quelli relativi ai propri
dipendenti e collaboratori, anche se extracomunitari,
compresi quelli relativi al coniuge e ai parenti, la
tenuta di un aggiornato documento programmatico sulla
sicurezza è sostituita dall’obbligo di
autocertificazione, resa dal titolare del trattamento ai
sensi dell’articolo 47 del testo unico di cui al decreto
del Presidente della Repubblica 28 dicembre 2000, n.
445, di trattare soltanto tali dati in osservanza delle
misure minime di sicurezza previste dal presente codice
e dal disciplinare tecnico contenuto nell’allegato B).
In relazione a tali trattamenti, nonché a trattamenti
comunque effettuati per correnti finalità amministrativo
- contabili, in particolare presso piccole e medie
imprese, liberi professionisti e artigiani, il Garante,
sentiti il Ministro per la semplificazione normativa e
il Ministro per la pubblica amministrazione e
l’innovazione, individua con proprio provvedimento, da
aggiornare periodicamente, modalità semplificate di
applicazione del disciplinare tecnico contenuto nel
citato allegato B) in ordine all’adozione delle misure
minime di cui al comma 1.
1-ter. Ai fini dell’applicazione delle disposizioni in
materia di protezione dei dati personali, i trattamenti
effettuati per finalità amministrativo - contabili sono
quelli connessi allo svolgimento delle attività di
natura organizzativa, amministrativa, finanziaria e
contabile, a prescindere dalla natura dei dati trattati.
In particolare, perseguono tali finalità le attività
organizzative interne, quelle funzionali all’adempimento
di obblighi contrattuali e precontrattuali, alla
gestione del rapporto di lavoro in tutte le sue fasi,
alla tenuta della contabilità e all’applicazione delle
norme in materia fiscale, sindacale, previdenziale -
assistenziale, di salute, igiene e sicurezza sul lavoro
Detta modifica ripercorre la soluzione già adottata
della semplificazione degli adempimenti sostituendo il
DPS all’autocertificazione ma viene fondamentalmente
esteso l’ambito operativo.
Il comma 1-ter definisce la natura dei trattamenti per
finalità amministrativo-contabili.
Il Ministro per la pubblica amministrazione e
l’innovazione ha sottolineato come la modifica della
disciplina sulla privacy per le sole aziende porterà un
risparmio di circa 600 milioni di euro. Tale approccio
conduce a far considerare la privacy come un vero e
proprio disvalore piuttosto che un quid pluris, svilendo
al contempo in modo infimo il diritto alla riservatezza
e alla tutela dei dati personali. Tutto ciò proprio
quando lo scenario internazionale manifesta come
preminente l’interesse per la privacy, tanto che
l’ultima conferenza mondiale dei Garanti ha adottato la
risoluzione sulla Privacy by Design che rappresenta
l’evoluzione della privacy per il nostro immediato
futuro.
L’auspicio è quello di una profonda revisione delle
posizioni e del testo adottato dal Consiglio dei
Ministri.
|
