Come annunciato il tanto atteso Decreto Semplificazioni ha prodotto i suoi frutti.

Il decreto semplificazioni (Decreto legge n. 5 del 9/2/2012) è ormai legge, dopo la pubblicazione in Gazzetta Ufficiale (n. 33 il 9/2/2012 suppl. ordinario n. 27) e la conseguente entrata in vigore in data 10/2/2012.

Il cosiddetto decreto “Salva Italia” del 6 dicembre 2011 n.201 approvato con legge di conversione 22 dicembre 2011 n.214 e pubblicata sulla G.U. il 27 dicembre scorso aveva già apportato delle modifiche al testo del decreto relativo alla Protezione dei Dati Personali, in particolare all’art. 4 comma 1- lett. b) ex D.lgs. 196/03. In quest’occasione parlando di dato personale e di interessato al trattamento si era fatto ben intendere che la persona giuridica non era compresa in questo ambito. Nella pratica, alla persona giuridica, ente o associazione, non si applicano più i diritti dell’interessato dell’art. 7 e per “non” addolcire la pillola, non valgono più le misure di tutela per il trasferimento dei dati all’estero. Un’azienda non potrà più far ricorso al Garante in caso di trattamento illecito o non conforme alla legge sui dati a lei riferiti come persona giuridica e poiché i provvedimenti sui dati personali riferiti a persone giuridiche non saranno più applicabili non saranno più necessarie:

• l’informativa al trattamento dei dati personali verso persone giuridiche (clienti, fornitori, partner, etc..);
• le richieste di consenso, anche per finalità commerciali o di marketing, sempre nei confronti delle persone giuridiche.

L’architettura legislativa che era un modello europeo di tutela ed estensione dei diritti anche per le persone giuridiche, perde di valore in poche nuove righe.

Come previsto l’ Art. 45  del D.L. 5/2012 legifera nuove disposizioni in materia di misure minime di sicurezza ex “Codice in materia di protezione dei dati personali”.

Tale D.L. modifica anche il decreto (n.138 del 2011) che aveva introdotto la possibilità di autocertificazione in sostituzione del DPS “per i soggetti che trattano soltanto  dati  personali  non sensibili e che trattano  come  unici  dati  sensibili  e  giudiziari quelli relativi  ai  propri  dipendenti  e  collaboratori,  anche  se extracomunitari, compresi quelli relativi al coniuge e ai parenti”. Lo stesso Garante della Privacy, Francesco Pizzetti aveva già commentato queste novità dichiarando che “sono certo maggiori i potenziali costi, relativa ai rischi che comporta, che gli attesi vantaggi in ordine alla riduzione degli oneri” (Il Sole 24ore – 10 dicembre 2011).

Al decreto legislativo 30 giugno 2003, n. 196, sono quindi apportate le seguenti modificazioni:

a) all’articolo 21 dopo il comma 1 è inserito il seguente: «1-bis. Il trattamento dei dati giudiziari è  altresì  consentito quando è effettuato in attuazione  di  protocolli  d’intesa  per  la  prevenzione e il contrasto dei fenomeni di  criminalità  organizzata  stipulati  con  il  Ministero  dell’interno  o  con  i  suoi   uffici  periferici di cui all’articolo 15, comma 2, del  decreto  legislativo 30 luglio 1999,  n.  300,  che  specificano  la  tipologia  dei  dati  trattati e delle operazioni eseguibili.»;
b) all’articolo 27, comma 1, è aggiunto, in  fine,  il  seguente periodo: “Si applica quanto previsto dall’articolo 21, comma 1-bis.”;
c) all’articolo 34 è soppressa la lettera g) del comma 1  ed  è  abrogato il comma 1-bis; (abrogazione obbligo D.P.S. e autocertificazione)
d) nel disciplinare  tecnico  in  materia  di  misure  minime  di sicurezza di cui all’allegato B sono soppressi i paragrafi  da  19  a 19.8 e 26.

COSA DEVONO FARE LE AZIENDE IN MATERIA DI PRIVACY?

Innanzitutto l’adeguamento alla Privacy in Italia NON È la redazione del DPS, già in vigore con l’ex D.lgs. 675/96, così come sarebbe sciocco pensare che la sicurezza sul lavoro sia solo la redazione del Documento di valutazione dei rischi (ex D.lgs. 81/08 smi), senza pensare minimamente alla reale sicurezza dei lavoratori, o, come nel nostro caso, dei dati delle persone e dei loro diritti di riservatezza. Come ho avuto spesso occasione di dire ai nostri clienti, il Garante ha sempre inteso l’adeguamento come una misura “cautelativa”, ricordando che il 90% delle sanzioni nasce da segnalazioni di privati e non da controlli degli organi competenti.

Il DPS non è che una delle misure minime di sicurezza obbligatorie, finalizzate alla riduzione dei rischi di distruzione, perdita, accesso non autorizzato e trattamento non consentito di dati personali.

Lo stesso articolo 34 infatti specifica come il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le misure minime ancora obbligatorie riportate in basso.

Chi in questi anni ha provveduto onestamente all’adeguamento alla norma sa che la Privacy è un’orchestra costituita, anche dopo il Decreto semplificazioni obbligatoriamente,  da:

1. designazioni e nomine (responsabili e incaricati interni e esterni, amministratori di sistema, responsabili della videosorveglianza);
2. obblighi di informativa ed eventuale consenso al trattamento (art. 13)
3. particolari provvedimenti generali dell’autorità Garante (videosorveglianza, amministratori di sistema, custodia delle password, utilizzo di Internet e mail nei luoghi di lavoro, ecc.)
4. previsioni specifiche previste nelle autorizzazioni generali o in provvedimenti simili (autorizzazione al trattamento di dati genetici, dati relativi al traffico ecc.).

RICORDATE che Rimangono in vigore sanzioni e potenziali controlli da parte dell’Autorità Garante, anche tramite il nucleo operativo privacy della GDF (su 230 controlli nel 1semestre 2011, 181 sono stati sanzionatori).

Eliminare il D.P.S. non vuol dire abrogare la Privacy e fregarsene della sicurezza dei dati.
Il titolare coscienzioso, elaborerà comunque un documento di sintesi sugli adempimenti minimi di sicurezza previsti anche per risparmiarsi un sacco di fatica in caso di controllo.
Il titolare più ingenuo riterrà che la Privacy sia solo una perdita di tempo e soldi e che questa è l’occasione giusta per avere una scusa!
La lungimiranza e il successo appartengono a pochi.
Chi vuole avere successo sa che occorre assumersi le proprie responsabilità, perciò se il decreto avrà nella prassi l’effetto di spingere i titolari a sostituire il D.P.S. eccessivamente formale dell’All. B con un nuovo documento più flessibile, il legislatore avrà raggiunto un risultato di pregio.

Articolo a cura del Dott. Daniele Scopece, consulente e docente in materia di Privacy

[RIPRODUZIONE VIETATA]