Infogiuridica

30-01-2009

Semplificazioni Privacy: le ultime novità

Dott.ssa Maria Colonnello -

Con  il provvedimento a carattere generale del 27 novembre 2008, il Garante per la protezione dei dati personali ha individuato, nel dettaglio,  le modalità attuative di semplificazione delle misure di sicurezza, previste dalla norma di cui all’art. 29 del d. l. 112/2008, come modificato dalla legge di conversione 133/2008. 

La prima importante riflessione al riguardo è quella relativa all’ aggiunta, operata dal legislatore, all’art. 34 del Codice in materia di protezione dei dati personali, del comma 1bis, che prevede la facoltà, per alcuni soggetti, di eseguire, in luogo della redazione del documento programmatico di sicurezza (d’ora in avanti “DPS”), un’autocertificazione. 

Nello specifico, il provvedimento del Garante stabilisce, in conformità a quanto previsto dal legislatore, che le modalità semplificate sono fruibili da tutti i soggetti pubblici o privati che trattano, con strumenti elettronici, dati personali non sensibili o che trattano come unici dati sensibili - riferiti esclusivamente ai propri dipendenti o collaboratori anche a progetto -  quelli costituiti dallo stato di salute o malattia (senza indicazione della relativa diagnosi) ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale.

E’ dunque importante sottolineare che i datori di lavoro beneficiari di tali previsioni semplificative, per esercitare tale facoltà, debbano compiere un’attività diretta a verificare che non esista alcuna documentazione concernente dati sensibili diversi da quelli relativi allo stato di salute o malattia, oppure all’adesione ad organizzazioni sindacali o a carattere sindacale; che nessun documento concernente lo stato di malattia o salute riporti informazioni di natura diagnostica; che non si abbia la disponibilità di informazioni relative a soggetti diversi dai dipendenti o collaboratori.

Due considerazioni si rendono necessarie sul punto: innanzitutto, l’ambito di applicazione delle modalità semplificative è molto più ristretto di quanto si possa pensare: tra i beneficiari della nuova normativa non vi rientra il datore di lavoro che tratti dati sensibili diversi da quelli indicati dall’art. 29 (si pensi ad esempio ai curricula vitae dei propri dipendenti, indicanti l’adesione a una particolare fede religiosa, o anche agli atti concernenti la gestione del personale, quali i permessi per l’attività politica, la documentazione sanitaria recante l’indicazione di una diagnosi, o ancora i particolari accorgimenti alimentari nella fruizione del servizio mensa), e non vi rientra neanche il datore di lavoro che tratti dati sensibili riferiti a soggetti diversi dai dipendenti o collaboratori (si consideri il permesso per malattia del figlio del dipendente, che rivela un dato sensibile, relativo allo stato di salute). In secondo luogo, è importante sottolineare come l’adozione dell’autocertificazione possa implicare la rinuncia a una serie di vantaggi: il DPS, infatti, costituisce pur sempre un documento atto a provare l’approccio adottato dal titolare nel garantire la sicurezza dei dati trattati; svolge dunque una funzione utile, non soltanto a livello organizzativo, ma anche in caso di controlli o in sede difensiva, nell’ipotesi di eventuali controversie. Consideriamo, poi, che l’esonero dalla sua redazione non esenta anche dall’obbligo di protezione dei dati e dall’applicazione di idonee e preventive misure di sicurezza, di cui il titolare deve dichiarare l’attuazione.

A tal proposito è necessario tenere presente che l’autocertificazione comporta un’altra rilevante conseguenza: un’assunzione di responsabilità anche a livello penale. La mancata adozione del DPS da parte di chi vi è tenuto, infatti, ai sensi dell’art. 169 del d.lg. 196/03, costituisce un reato, che tuttavia può essere estinto mediante una corretta adozione delle misure minime omesse e con il pagamento di una determinata somma al Garante.  L’autocertificazione, invece, riguarda un profilo ancor più delicato: qualora si attestino informazioni non rispondenti alla realtà, è configurabile un’autonoma fattispecie di reato, perseguibile a norma dell’art. 76 d.p.r. 445/2000. 

Vi sono, peraltro, altri soggetti per i quali sono state previste innovative semplificazioni per la redazione del DPS. Il provvedimento attuativo del Garante, infatti, recita testualmente che “i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi  professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato (…)”. Al riguardo, è innanzitutto necessario tentare di risolvere un problema interpretativo: ci si può domandare, infatti, se siano soltanto i liberi professionisti, artigiani e piccole e medie imprese ad essere interessati dalla norma, o se – e questa è l’opinione di chi scrive – l’espressione “in particolare” abbia un mero scopo esemplificativo e non limiti l’ambito soggettivo delle agevolazioni. Secondo quest’ultima interpretazione, le modalità semplificate si applicherebbero, quindi, a tutti i titolari che effettuano trattamenti per ordinarie finalità amministrativo – contabili, ovviamente limitatamente a questa specifica attività.

Tali soggetti, in ogni caso, non possono agevolarsi dell’autocertificazione, ma soltanto avvalersi delle seguenti semplificazioni nella redazione del documento programmatico di sicurezza. In particolare, l’obbligo di aggiornamento annuale sussiste soltanto qualora si siano verificate variazioni o modifiche (nella normativa precedente, invece, l’aggiornamento annuale era obbligatorio in ogni caso); è inoltre sufficiente, relativamente al contenuto del DPS, l’indicazione di coordinate identificative del titolare del trattamento o di eventuali responsabili, ovvero le modalità attraverso le quali sia possibile individuare l’elenco aggiornato dei responsabili del trattamento (non è, quindi, più necessaria un’analitica descrizione della struttura, delle distribuzione dei compiti e delle responsabilità), e lo stesso si dica per l’elenco degli incaricati, che possono essere indicati anche soltanto per categorie. Infine, non è più richiesta un’analitica previsione delle misure di sicurezza da adottare per garantire l’integrità e la disponibilità dei dati, ma è sufficiente una chiara descrizione di tali misure. 

Analizzando, ora, le altre modalità semplificate, previste dal provvedimento del Garante, è possibile operare una prima distinzione tra trattamenti effettuati con strumenti elettronici e quelli realizzati senza l’ausilio di strumenti elettronici. Anche in questo caso, gli unici soggetti interessati alla nuova disciplina “semplificatrice” sono solo quelli indicati dal par. 1, lett. a) e b) del provvedimento stesso (quindi coloro che “utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti o collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi ,ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale” e coloro che “trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese”).

Se i trattamenti sono effettuati con l’ausilio di strumenti elettronici possono essere dunque osservate tali modalità semplificate: le istruzioni in materia di misure minime di sicurezza possono essere impartite agli incaricati del trattamento anche oralmente e non necessariamente per iscritto; è ammesso l‘uso di un livello base di credenziale di autenticazione informatica (non è quindi più necessario che la password sia modificata ogni tre mesi per i trattamenti di dati sensibili, né sussiste l’obbligo di disattivazione delle credenziali inutilizzate da un semestre); è ammessa, quale procedura di autenticazione, anche la semplice procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete; è sufficiente definire in anticipo le modalità per accedere all’elaboratore in assenza dell’incaricato (non è, quindi, più prevista la procedura della custodia delle copie delle credenziali); è ammessa l’assegnazione dei profili di autorizzazione per il trattamento diversificato senza obbligo di verifica annuale; è stabilita la cadenza annuale – o biennale, qualora il computer non sia connesso a reti di comunicazione elettronica accessibili al pubblico - per gli aggiornamenti dei programmi di prevenzione della vulnerabilità degli strumenti elettronici (come gli antivirus) e la cadenza mensile per le operazioni di back up.

Se, invece, i trattamenti sono realizzati senza l’ausilio di strumenti elettronici, sono innanzitutto previste istruzioni, anche orali, agli incaricati, finalizzate al controllo e alla custodia degli atti e dei documenti contenenti dati personali, ed è inoltre specificato un generale obbligo di custodia in capo all’incaricato del trattamento, che è tenuto a controllare, fino al momento della restituzione, che non accedano ai documenti persone prive di autorizzazione (non è quindi, ad esempio, previsto un obbligo di identificazione del personale che accede agli uffici dopo la chiusura). 

La norma di cui all’art. 29 della l. 133/2008, ai commi successivi, introduce altre importanti innovazioni che prevedono sia la sostituzione del comma 2 dell’art. 38, sia la modifica del comma 1, lett. a) dell’art. 44 del Codice in materia di trattamento dei dati personali. In particolare, con la prima statuizione, il legislatore ha inteso rendere meno gravoso – in questo caso per tutti i soggetti che in generale sono tenuti ad effettuare la notificazione, secondo la norma di cui all’art. 37 del dlg. 196/03 - tale adempimento, che adesso ha contenuti più semplici rispetto a quelli precedenti (le informazioni ora dovute sono dettagliatamente elencate nello stesso articolo) e che deve essere trasmessa attraverso il sito del Garante (non è dunque più necessaria la sottoscrizione con firma digitale e il relativo invio telematico). Sul punto, si conceda una riflessione: quest’ultima previsione, seppur sia chiaro e apprezzabile l’intento semplificatore - viste anche le difficoltà che ha creato in sede di prima applicazione –  potrebbe però costituire una pericolosa retrocessione per la definitiva affermazione, nel nostro ordinamento, dell’innovativo strumento della firma digitale.

Relativamente, invece, alla seconda statuizione, il legislatore ha introdotto una nuova, importante ipotesi tesa a legittimare il trasferimento di dati personali da una società che operi in Italia ad altre che si trovino nei paesi extra Ue, qualora dette società appartengano tutte al medesimo gruppo imprenditoriale. In questa fattispecie, resta ovviamente ferma la facoltà dell’interessato di far valere i propri diritti nel territorio dello Stato.