“Niente più privacy nella PA e nelle imprese! Non si applica più il Codice privacy e tutto si semplifica! Attentato-privacy per enti pubblici e società!” si è letto di tutto in questi ultimi giorni in merito alle innovazioni contenute nel decreto “Salva Italia” e molti commentatori, salvo rare eccezioni , pur di divulgare per primi l’ultima novità, hanno inseguito i titoloni dei giornali senza fermarsi a meditare sulla reale portata di questa riforma oggi in vigore. Ebbene sì, è giusto dirlo subito: non cambia nulla , ma proprio nulla per imprese e PA in termini di adempimenti privacy , anzi, con quest’ultima riforma si blocca anche qualche pericolosa, precedente tendenza verso la selvaggia semplificazione. Molti hanno divagato spensieratamente sulla nuova definizione di dato personale, senza rendersi conto nella maggior parte dei casi che la nozione di titolare del trattamento dei dati personali non è cambiata e per i titolari imprese e PA non è, quindi, cambiato nulla!
Ma andiamo con ordine e proviamo a fare un minimo di necessaria chiarezza.
Il c.d. Decreto “Salva Italia” previsto dalla manovra Monti (Decreto Legge 6/12/2011 n. 201, in G.U. 6/12/2011 n. 284, Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici) ha introdotto alcune modifiche sostanziali al Codice Privacy.
A un primo sguardo sembrerebbe trattarsi di un semplice allineamento della normativa italiana a quella europea, che già vede al centro della tutela della riservatezza l’interessato inteso solo nella sua accezione di “persona fisica”, attribuendo a quest’ultimo il diritto a un corretto trattamento dei dati personali che lo riguardano da parte di terzi (siano essi persone fisiche, giuridiche, enti o associazioni).
In realtà, le implicazioni sono di maggiore portata e degne di un commento un po’ più approfondito. Ma proviamo a capire di cosa si tratta esaminando il testo della riforma.
L’ art. 40 del Decreto, infatti, prescrive:
Per la riduzione degli oneri in materia di privacy sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:Da quanto sopra si evince che è considerato dato personale “qualunque informazione relativa alla persona fisica” e, quindi, non più i dati relativi a società, enti o associazioni. Stessa cosa dicasi per la definizione di interessato , identificato oramai solo con la persona fisica a cui si riferiscono i dati personali.
a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente o associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.
b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.
c) Il comma 3-bis dell’articolo 5 è abrogato.
d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.
e) La lettera h) del comma i dell’articolo 43 è soppressa” .
A ben vedere – e come già in precedenza anticipato – da queste prime modifiche emerge un dato non trascurabile: tra le definizioni che sono state modificate resta immutato il concetto di titolare del trattamento . Infatti, il titolare è sempre la ” persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo a cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza “. La conseguenza immediata pertanto è che, nonostante l’intervenuta modifica, le imprese e gli enti dovranno continuare ad adottare tutte le prescrizioni e gli adempimenti previsti dal d.lgs. 196/2003 , compreso il DPS e le prescrizioni contenute nei vari provvedimenti dell’Autorità Garante, emanati per regolamentare specifici casi (tali soggetti, infatti, continueranno inevitabilmente a trattare dati personali di persone fisiche o soggetti terzi come dipendenti, clienti, fornitori, cittadini, pazienti, per i quali la normativa in materia di privacy dispone una tutela completa).
Ma c’è di più: è stato abrogato , infatti, il comma 3-bis dell’art. 5 del Codice Privacy (introdotto dal recente “Decreto Sviluppo”, D.L. n. 70/2011) che prevedeva addirittura l’esclusione dall’applicazione del Codice Privacy qualora il trattamento dei dati personali fosse effettuato da persone giuridiche, imprese, enti o associazioni nell’ambito di rapporti intercorrenti tra i medesimi soggetti esclusivamente per finalità amministrativo-contabili.
Altro che semplificazione! L’unico articolo che poteva davvero semplificare, infatti, è stato abrogato dal legislatore, quasi a voler ribadire con forza che la privacy e tutti i suoi adempimenti si continueranno ad applicare per tutti i titolari del trattamento (siano essi persone fisiche, giuridiche, enti o associazioni).
La privacy – ci sembra giusto ricordarlo – non deve, infatti, essere intesa solamente come riservatezza o diritto a non veder trattati i propri dati, ma come adozione di una serie di cautele tecniche, organizzative e di sicurezza che tutti (imprese ed enti compresi) devono rispettare per procedere in maniera corretta al trattamento dei dati personali e delle informazioni in genere (e, quindi, anche di titolarità di terze persone fisiche, giuridiche o enti).
D’altronde proprio in questo periodo, con una Circolare del 3 agosto 2011, l’Agenzia delle Entrate ha avviato una serie di controlli e verifiche nei confronti degli intermediari Entratel (commercialisti e soggetti intermediari), dettando altresì una serie di regole e di misure (fisiche e organizzative) per tutelare la riservatezza degli interessati (clienti, dipendenti, fornitori di beni e servizi).
Per altro verso anche l’appena riformato Codice dell’Amministrazione Digitale ha introdotto notevoli misure di sicurezza tecnologiche e organizzative (si pensi all’art. 50-bis sulla “continuità operativa” o ai rinvii alle varie norme del Codice Privacy agli artt. 44 e 44 comma 1-bis o 51, che richiamano espressamente i principi di sicurezza e gli adempimenti in materia privacy di cui al d.lgs. 196/2003) che non avrebbero più senso se intendessimo l’attuale riforma del Codice Privacy come un semplice alleggerimento degli adempimenti per le persone giuridiche e gli enti.
Pertanto, se anche la finalità dichiarata poteva forse essere quella della riduzione degli adempimenti burocratici (e noi abbiamo comunque dubbi in proposito), il risultato ottenuto va nella direzione opposta: infatti, se il riferimento a persone giuridiche ed enti rimane nella definizione di “titolare” e “abbonato” (continuando, ad esempio, questi ultimi a essere tutelati e protetti in tema di telemarketing), di semplificazione non c’è traccia.
L’unico risultato oggettivo, piuttosto, è che imprese ed enti non avranno più la possibilità di esercitare i diritti di cui all’art. 7 del d.lgs. 196/2003 e di far valere tali diritti in un eventuale contenzioso giudiziario (es. richieste di risarcimento danni) o dinanzi all’Autorità Garante, in quanto non possono più essere considerati “interessati al trattamento”. Imprese, enti o associazioni potranno solo essere chiamati in causa quali semplici convenuti, in qualità di titolari o responsabili del trattamento, senza poter essere soggetti attivi e poter tutelare le proprie ragioni.
In conclusione, sicuramente imprese ed enti saranno meno tutelati (in quanto persone giuridiche) dalla normativa in materia di privacy, ma dal punto di vista organizzativo e delle misure di sicurezza non cambia assolutamente nulla ed essi dovranno comunque preoccuparsi di adottare e rispettare i consueti adempimenti in tema di misure minime, necessarie e idonee.
Quale impresa o pubblica amministrazione, infatti, può affermare di non trattare dati di “persone fisiche”? Oppure potrà, forse, un’impresa o un ente che si avvale di servizi di conservazione digitale o di cloud computing prescindere dal regolamentare col suo fornitore di servizi il rispetto delle condizioni di sicurezza e privacy solo perché si tratta di un rapporto tra persone giuridiche? Evidentemente no e c’è da scommettere invece che il Garante Privacy vigilerà in maniera ancora più rigorosa sul rispetto dei provvedimenti e delle regole a tutela dei dati, delle informazioni e della riservatezza degli interessati.
Avv. Andrea Lisi e Avv. Graziano Garrisi
Digital&Law Department – Studio Legale Lisi