DDL Semplificazioni: cambia davvero qualcosa per il Responsabile?

News 31/10/2012

di avv. Valentina Frediani (Coordinatore ABIRT) e avv. Graziano Garrisi (Vice Coordinatore ABIRT)

Il nuovo DDL sulle semplificazioni attualmente all'attenzione del Parlamento ("Nuove disposizioni di semplificazione amministrativa a favore dei cittadini e delle imprese") dovrebbe introdurre importanti novità sul fronte privacy. Specificamente l'art. 17 del DDL vorrebbe modificare l'art. 5 del decreto legislativo 196/2003, disponendo che il trattamento dei dati personali da parte di chi agisce nell'esercizio dell'attività di impresa, anche individuale, non è soggetto all'applicazione del Codice privacy, facendo salve le disposizioni dello stesso (di cui alla Parte II, Titolo X) relative al trattamento di dati riguardanti contraenti ed utenti di servizi di comunicazioni elettroniche.

Ma qual è la portata effettiva di questa proposta di modifica sugli oneri per il Responsabile?
La modifica giunge in uno scenario normativo che recentemente ha stravolto la ratio con cui il Codice privacy era stato originariamente adottato, contribuendo a quel lungo processo di sgretolamento e scarnificazione che ha svuotato il Codice di rilevanti contenuti.
I tagli sono stati fatti per perseguire un unico obiettivo: semplificare gli obblighi a carico dei titolari del trattamento dati, valorizzando la protezione solo di quei dati ritenuti veramente a rischio di violazione della riservatezza.
Via dunque il documento programmatico di sicurezza, via la persona giuridica dal concetto di interessato, riformulazione degli obblighi in materia di marketing, ed ora questa ulteriore "precisazione", che tanto precisa poi non è. Al contrario ha generato molta confusione, dando adito ad interpretazioni disparate e consentendo ai giornali di scrivere i grandi titoloni come "MORTE ALLA PRIVACY" o di simile tenore!

Questa ulteriore proposta di semplificazione non fa altro che consolidare una scelta del legislatore, quella ovvero di esonerare dall'applicazione delle misure di sicurezza in ambito privacy le imprese che intrattengono rapporti B2B, laddove nessuna garanzia di riservatezza o obblighi formali a cui adempiere (informative e richieste di consenso) viene richiesta ai titolari del trattamento.
Ma anche questo passaggio ha dato adito ad inutili interpretazioni, che altro non fanno che confondere il Responsabile rispetto agli oneri normativi vigenti.
Cerchiamo di capire bene dunque che cosa potrebbe comportare questa ulteriore modifica normativa. Anzitutto partiamo dalla famiglia di appartenenza del comma che viene introdotto con il DDL: siamo nell'art. 5 del decreto legislativo 196, e specificatamente, stiamo trattando l'OGGETTO E L'AMBITO DI APPLICAZIONE del codice privacy.
Il legislatore sta dunque operando un taglio netto a tutte quelle forme di tutela dei dati sostenute per quasi dieci anni.
Attenzione: stiamo parlando di un disegno di legge. Di un disegno di legge che è palesemente contrario a tutti i princìpi di tutela apprestati a livello europeo, e che se ora dovessero essere rimossi dal legislatore italiano, tra qualche mese rientrerebbero a gamba tesa con il Regolamento Europeo, i cui contenuti, non essendo una direttiva ma un regolamento, saranno immediatamente attuati.

L'Autorità Garante per la protezione dei dati personali ha già espresso forti preoccupazioni in merito, in quanto escludere dall'applicazione del Codice Privacy coloro che agiscono nell'esercizio dell'attività imprenditoriale, anche individuale, non significa semplificare la vita degli imprenditori, bensì privarli, in quanto persone fisiche, di ogni garanzia rispetto al trattamento dei loro dati (a dispetto di ogni valutazione circa la peculiarità e la delicatezza che contraddistinguono tali trattamenti); il Garante non nasconde neppure le proprie perplessità a causa del citato contrasto del DL Semplificazioni con la normativa europea annunciando che, se il testo venisse confermato, non si esimerebbe dal sollevare la questione di legittimità in sede comunitaria.

Questo disegno di legge non dovrà passare se non vorremo fare l'ennesimo passo anacronistico nella tutela del patrimonio aziendale.
Le aziende hanno investito capitali e risorse per attuare il Codice privacy, e molte lo hanno fatto non solo per essere conformi alla legge, ma anche per ottimizzare i processi aziendali finalizzati alla prevenzione e alla tutela dei propri dati intesi come capitale aziendale. L'abolizione del DPS ed ora questa ulteriore modifica appaiono come elementi che potrebbero da un lato causare una diminuzione del livello di attenzione in tema di misure di sicurezza e, dall'altro, incentivare l'aumento nelle aziende di problematiche quali il furto di dati e le frodi informatiche, questioni strettamente connesse al Codice privacy, che solo recentemente ha cominciato ad essere percepito per quello che è in realtà: uno strumento normativo che indichi la strada di tutela programmatica per le strutture aziendali.

Semmai la semplificazione serve altrove: il Codice non dovrebbe essere applicato alle piccole realtà aziendali - nelle quali non ha senso fare delle nomine, rilasciare delle informative, redigere un documento di programmazione - ma nelle grandi realtà, dove peraltro la normativa privacy si incontra con altre norme (dalla 231/2001, relativa al modello organizzativo, alla 81/2008 per la protezione ai fini della sicurezza sul lavoro, sino ad arrivare alla complementarietà richiesta tra la figura del responsabile della conservazione rispetto a quelle della privacy).
Dobbiamo portare le nostre realtà aziendali a regredire anziché ad elevare il concetto di sicurezza informatica?
Queste stesse modifiche normative comportano, paradossalmente, l'applicazione del Codice privacy all'idraulico che lavori con i privati o ancora all'elettricista o a tutte quelle categorie di artigiani e piccole imprese che si rivolgono al mercato dei consumatori finali.

Questi continui interventi sul Codice Privacy, come giustamente affermato dall'Autorità Garante, operati in maniera non organica (e - si aggiunge - spesso contraddittoria rispetto alla stessa legislazione comunitaria e nazionale), espongono i titolari e, soprattutto, i responsabili del trattamento (braccio operativo che dovrebbe rendere effettive le misure organizzative e di sicurezza all'interno della propria organizzazione di appartenenza) a difficoltà applicative e dubbi interpretativi tali da vanificare le stesse finalità di semplificazione che si intendono perseguire.

Il legislatore deve focalizzare la ratio della normativa, deve riprendere in mano in modo meno "vago" e trasandato il decreto legislativo 196 ed innovarlo nei punti che sin dalla nascita erano inutili gravami, in particolare deve "scremare" i soggetti destinatari dell'applicazione rifacendosi a quanto a breve ci imporrà la Comunità Europea: solo le grandi aziende e quelle che hanno ad oggetto esclusivamente il trattamento dati delle persone fisiche dovranno essere destinatari degli obblighi del Codice, valorizzando la sostanza rispetto alla forma.

Anche l'ex Presidente dell'Autorità Garante Privacy, Stefano Rodotà, ha giustamente affermato che "l'iniziativa economica privata non può svolgersi in contrasto con la sicurezza, la libertà e la dignità umana", ribadendo ulteriormente come l'attuale panorama normativo italiano in materia di privacy rischi ora di essere in contrasto con il diritto dell'Unione europea, esponendo il nostro paese alla possibilità di subire una procedura di infrazione.
Rodotà paragona questa nuova modifica proposta da un Governo che dovrebbe essere "tecnico" a un "rifugio in un'epoca non solo pre-direttiva europea, ma pre-tecnologica". Non si può, infatti, pensare di avvantaggiare un Paese con una riformulazione netta e sprovvista di lungimiranza, specialmente dopo tutto il cammino fatto, e soprattutto con alle porte un Regolamento Europeo che in pochi mesi imporrà ben altri obblighi, costringendo ancora una volta le aziende a "riformattare" la propria organizzazione, a reinvestire, a cercare di dare ancora un senso al concetto di protezione.

La speranza è ora riposta nel Parlamento, il quale ci auspichiamo possa correggere il tiro e salvare dallo sgretolamento una serie di norme che, in ogni caso, saranno a breve sostituite da un legislatore più attento e competente come quello comunitario.
Il legislatore ha infatti il compito di guidare ed educare facendo delle scelte sensate, di certo non smantellare la normativa per dare un contentino psicologico immediato quanto transitorio.  

Avv. Valentina Frediani - Coordinatore ABIRT
Avv. Graziano Garrisi – Vice Coordinatore ABIRT

 

Tag: DDL semplificazioni, Codice Privacy, Garante privacy, abolizione DPS, Stefano Rodotà