Decreto Salva Italia: ma quale semplificazione privacy?

di A. Lisi e G. Garrisi (www.studiolegalelisi.it) - Semplificazione? Nel Decreto "Salva Italia" gli adempimenti in materia di privacy rimangono tutti in vigore per imprese e PA, con qualche evidente peggioramento

Roma - "Niente più privacy nella PA e nelle imprese! Non si applica più il Codice privacy e tutto si semplifica! Attentato-privacy per enti pubblici e società!" si è letto di tutto in questi ultimi giorni in merito alle innovazioni contenute nel decreto "Salva Italia" e molti commentatori, salvo rare eccezioni, pur di divulgare per primi l'ultima novità, hanno inseguito i titoloni dei giornali senza fermarsi a meditare sulla reale portata di questa riforma oggi in vigore. Ebbene sì, è giusto dirlo subito: non cambia nulla, ma proprio nulla per imprese e PA in termini di adempimenti privacy, anzi, con quest'ultima riforma si blocca anche qualche pericolosa, precedente tendenza verso la selvaggia semplificazione. Molti hanno divagato spensieratamente sulla nuova definizione di dato personale, senza rendersi conto nella maggior parte dei casi che la nozione di titolare del trattamento dei dati personali non è cambiata e per i titolari imprese e PA non è, quindi, cambiato nulla!
Ma andiamo con ordine e proviamo a fare un minimo di necessaria chiarezza.

Il c.d. Decreto "Salva Italia" previsto dalla manovra Monti (Decreto Legge 6/12/2011 n. 201, in G.U. 6/12/2011 n. 284, Disposizioni urgenti per la crescita, l'equità e il consolidamento dei conti pubblici) ha introdotto alcune modifiche sostanziali al Codice Privacy.
A un primo sguardo sembrerebbe trattarsi di un semplice allineamento della normativa italiana a quella europea, che già vede al centro della tutela della riservatezza l'interessato inteso solo nella sua accezione di "persona fisica", attribuendo a quest'ultimo il diritto a un corretto trattamento dei dati personali che lo riguardano da parte di terzi (siano essi persone fisiche, giuridiche, enti o associazioni).
In realtà, le implicazioni sono di maggiore portata e degne di un commento un po' più approfondito. Ma proviamo a capire di cosa si tratta esaminando il testo della riforma.

L'art. 40 del Decreto, infatti, prescrive:
Per la riduzione degli oneri in materia di privacy sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all'articolo 4, comma 1, alla lettera b), le parole "persona giuridica, ente o associazione" sono soppresse e le parole "identificati o identificabili" sono sostituite dalle parole "identificata o identificabile".
b) All'articolo 4, comma 1, alla lettera i), le parole "la persona giuridica, l'ente o l'associazione" sono soppresse.
c) Il comma 3-bis dell'articolo 5 è abrogato.
d) Al comma 4, dell'articolo 9, l'ultimo periodo è soppresso.
e) La lettera h) del comma i dell'articolo 43 è soppressa"
.
Da quanto sopra si evince che è considerato dato personale "qualunque informazione relativa alla persona fisica" e, quindi, non più i dati relativi a società, enti o associazioni. Stessa cosa dicasi per la definizione di interessato, identificato oramai solo con la persona fisica a cui si riferiscono i dati personali.
A ben vedere - e come già in precedenza anticipato - da queste prime modifiche emerge un dato non trascurabile: tra le definizioni che sono state modificate resta immutato il concetto di titolare del trattamento. Infatti, il titolare è sempre la "persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo a cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza". La conseguenza immediata pertanto è che, nonostante l'intervenuta modifica, le imprese e gli enti dovranno continuare ad adottare tutte le prescrizioni e gli adempimenti previsti dal d.lgs. 196/2003, compreso il DPS e le prescrizioni contenute nei vari provvedimenti dell'Autorità Garante, emanati per regolamentare specifici casi (tali soggetti, infatti, continueranno inevitabilmente a trattare dati personali di persone fisiche o soggetti terzi come dipendenti, clienti, fornitori, cittadini, pazienti, per i quali la normativa in materia di privacy dispone una tutela completa).
Ma c'è di più: è stato abrogato, infatti, il comma 3-bis dell'art. 5 del Codice Privacy (introdotto dal recente "Decreto Sviluppo", D.L. n. 70/2011) che prevedeva addirittura l'esclusione dall'applicazione del Codice Privacy qualora il trattamento dei dati personali fosse effettuato da persone giuridiche, imprese, enti o associazioni nell'ambito di rapporti intercorrenti tra i medesimi soggetti esclusivamente per finalità amministrativo-contabili.
Altro che semplificazione! L'unico articolo che poteva davvero semplificare, infatti, è stato abrogato dal legislatore, quasi a voler ribadire con forza che la privacy e tutti i suoi adempimenti si continueranno ad applicare per tutti i titolari del trattamento (siano essi persone fisiche, giuridiche, enti o associazioni).
La privacy - ci sembra giusto ricordarlo - non deve, infatti, essere intesa solamente come riservatezza o diritto a non veder trattati i propri dati, ma come adozione di una serie di cautele tecniche, organizzative e di sicurezza che tutti (imprese ed enti compresi) devono rispettare per procedere in maniera corretta al trattamento dei dati personali e delle informazioni in genere (e, quindi, anche di titolarità di terze persone fisiche, giuridiche o enti).

D'altronde proprio in questo periodo, con una Circolare del 3 agosto 2011, l'Agenzia delle Entrate ha avviato una serie di controlli e verifiche nei confronti degli intermediari Entratel (commercialisti e soggetti intermediari), dettando altresì una serie di regole e di misure (fisiche e organizzative) per tutelare la riservatezza degli interessati (clienti, dipendenti, fornitori di beni e servizi).

Per altro verso anche l'appena riformato Codice dell'Amministrazione Digitale ha introdotto notevoli misure di sicurezza tecnologiche e organizzative (si pensi all'art. 50-bis sulla "continuità operativa" o ai rinvii alle varie norme del Codice Privacy agli artt. 44 e 44 comma 1-bis o 51, che richiamano espressamente i principi di sicurezza e gli adempimenti in materia privacy di cui al d.lgs. 196/2003) che non avrebbero più senso se intendessimo l'attuale riforma del Codice Privacy come un semplice alleggerimento degli adempimenti per le persone giuridiche e gli enti.

Pertanto, se anche la finalità dichiarata poteva forse essere quella della riduzione degli adempimenti burocratici (e noi abbiamo comunque dubbi in proposito), il risultato ottenuto va nella direzione opposta: infatti, se il riferimento a persone giuridiche ed enti rimane nella definizione di "titolare" e "abbonato" (continuando, ad esempio, questi ultimi a essere tutelati e protetti in tema di telemarketing), di semplificazione non c'è traccia.
L'unico risultato oggettivo, piuttosto, è che imprese ed enti non avranno più la possibilità di esercitare i diritti di cui all'art. 7 del d.lgs. 196/2003 e di far valere tali diritti in un eventuale contenzioso giudiziario (es. richieste di risarcimento danni) o dinanzi all'Autorità Garante, in quanto non possono più essere considerati "interessati al trattamento". Imprese, enti o associazioni potranno solo essere chiamati in causa quali semplici convenuti, in qualità di titolari o responsabili del trattamento, senza poter essere soggetti attivi e poter tutelare le proprie ragioni.

In conclusione, sicuramente imprese ed enti saranno meno tutelati (in quanto persone giuridiche) dalla normativa in materia di privacy, ma dal punto di vista organizzativo e delle misure di sicurezza non cambia assolutamente nulla ed essi dovranno comunque preoccuparsi di adottare e rispettare i consueti adempimenti in tema di misure minime, necessarie e idonee.
Quale impresa o pubblica amministrazione, infatti, può affermare di non trattare dati di "persone fisiche"? Oppure potrà, forse, un'impresa o un ente che si avvale di servizi di conservazione digitale o di cloud computing prescindere dal regolamentare col suo fornitore di servizi il rispetto delle condizioni di sicurezza e privacy solo perché si tratta di un rapporto tra persone giuridiche? Evidentemente no e c'è da scommettere invece che il Garante Privacy vigilerà in maniera ancora più rigorosa sul rispetto dei provvedimenti e delle regole a tutela dei dati, delle informazioni e della riservatezza degli interessati.

Avv. Andrea Lisi e Avv. Graziano Garrisi
Digital&Law Department - Studio Legale Lisi
Notizie collegate
10 Commenti alla Notizia Decreto Salva Italia: ma quale semplificazione privacy?
Ordina
  • Bene adesso hanno abrogato anche quello (il DPS) !!!
    Certo finché solo a Roma ci sono più avvocati che in tutta la Francia... le semplificazioni saranno SOLO un miraggio... ed i processi dureranno sempre più a lungo...
    Avvocati e Notai sono i peggiori parassiti del Nostro Paese... sanguisuga che lavorano sul lavoro degli altri, complicando inutilmente la vita ai cittadini ! E poi gli stolti se la prendono con i tassisti !
    Sarebbe bello liberalizzare VERAMENTE queste professioni.... ed invece Monti ha persino salvato la tariffe minime dei Notai !!!
    non+autenticato
  • ripeto ciò che già a suo tempo avevo detto...
    (v. http://punto-informatico.it/b.aspx?i=3360143&m=336...)

    e che quanto si dice in questo articolo non fa altro che confermare, seppur indirettamente (" Imprese, enti o associazioni potranno solo essere chiamati in causa quali semplici convenuti, in qualità di titolari o responsabili del trattamento, senza poter essere soggetti attivi e poter tutelare le proprie ragioni. "):

    ...altro che semplificazione e risparmio: questa "genialata" serve solo a far "lavorare" meglio equitalia & C.: stangare le piccole e medie imprese è più facile se i loro dati non rientrano tra quelli "protetti" dal codice...
    non+autenticato
  • Non sono d'accordo con gli autori quando lamentano l'abrogazione del comma 3-bis dell'art. 5 del Codice Privacy. La norma escludeva dal perimetro del codice i trattamenti effettuati TRA PERSONE GIURIDICHE per finalità amministrativo-contabili (es. due imprese che concludono un contratto di servizi). Ora, poiché la definizione di "dato personale" non include più le persone giuridiche, il comma 3-bis dell'art. 5 diventava superfluo ed è stato giustamente rimosso. saluti
    non+autenticato
  • E invece gli autori hanno perfettamente ragione. nel diritto basta poco (fatto in fretta) per fare danni, pur se nelle intenzioni si voleva ottenere tutt'altro. nei contratti di servizi tra persone giuridiche normalmente si trattano dati personali di persone fisiche, quindi...il Codice privacy si applica!
    Il problema è che chi scrive le leggi spesso questi contratti non li ha mai visti! Occhiolino
    non+autenticato
  • quindi tutto come prima!
    a volte i giornalisti italiani dovrebbero rifare la scuola di giornalismo (ammesso che l'abbiano fatta!)
    a fidarsi dei titoli dei giornali società e pa avrebbero tranquillamente omesso di redigere il dps e allegramente avrebbero evitato lettere e nomine a incaricati e responsabili!
    Povera Italia!
    e per fortuna c'è ancora qualche avvocato competente
    non+autenticato
  • Non come prima, ma peggio di prima!
    abrogato il comma 3bis dell'art. 5, come giustamente ricordato da Lisi e Garrisi, tutte le PA e le imprese dovranno redigere il DPS e non più godere delle semplificazioni (infatti, mentre prima se il loro fornitore fosse stato una persona giuridica e lo scambio di dati fosse solo contabile si poteva fare il dps semplificato, adesso basta che i dati personali di qualche persona fisica siano in azienda per dover redigere il DPS)
    stiamo peggio, molto peggio di prima
    non+autenticato
  • Non sono d'accordo. Il DPS deve essere redatto solo se si trattano dati sensibili diversi da quelli dei propri dipendenti. Veda l'art. 34, co. 1-bis del Codice della Privacy, che concede il diritto di fare una semplice autocertificazione in luogo del DPS. saluti
    non+autenticato
  • - Scritto da: Garante
    > Non sono d'accordo. Il DPS deve essere redatto
    > solo se si trattano dati sensibili diversi da
    > quelli dei propri dipendenti. Veda l'art. 34, co.
    > 1-bis del Codice della Privacy, che concede il
    > diritto di fare una semplice autocertificazione
    > in luogo del DPS.

    ***Ma in che mondo vive? in quale azienda o PA ci si può permettere di dire che si trattano elettronicamente solo dati personali non sensibili??
    e poi come dimostro davanti ad una autorità di controllo la bontà della mia "autodichiarazione" se non documentando le misure di sicurezza che comunque devo implementare? a me sembra tutta una presa in giro!!! E il DPS è meglio redigerlo piuttosto che "autodichiarare" che dati sensibili non ne tratto in azienda (o PA)...e - ripeto - chi può dirlo con certezza (se non sviluppando un'analisi di tutti i propri diversi trattamenti che si sviluppa solo con una buona privacy policy, di cui è parte essenziale il DPS, appunto!
    Ripeto...ma chi scrive le leggi in che mondo vive???
    non+autenticato
  • - Scritto da: Pluto
    > quindi tutto come prima!
    > a volte i giornalisti italiani dovrebbero rifare
    > la scuola di giornalismo (ammesso che l'abbiano
    > fatta!)

    i giornalisti italiani dovrebbero rifare le elementari!
    non+autenticato
  • Non proprio.
    In verità esistono figure che si occupano esclsivamente dei titoli.
    Loro dovrebbero tornare a scuola, o perlomeno leggere l'articolo che devono intitolare (o farsi fare un breve e mirato resoconto da chi l'ha scritto)
    non+autenticato