Decreto Salva Italia: ma quale semplificazione privacy?

di A. Lisi e G. Garrisi (www.studiolegalelisi.it) - Semplificazione? Nel Decreto "Salva Italia" gli adempimenti in materia di privacy rimangono tutti in vigore per imprese e PA, con qualche evidente peggioramento

Roma – “Niente più privacy nella PA e nelle imprese! Non si applica più il Codice privacy e tutto si semplifica! Attentato-privacy per enti pubblici e società!” si è letto di tutto in questi ultimi giorni in merito alle innovazioni contenute nel decreto “Salva Italia” e molti commentatori, salvo rare eccezioni , pur di divulgare per primi l’ultima novità, hanno inseguito i titoloni dei giornali senza fermarsi a meditare sulla reale portata di questa riforma oggi in vigore. Ebbene sì, è giusto dirlo subito: non cambia nulla , ma proprio nulla per imprese e PA in termini di adempimenti privacy , anzi, con quest’ultima riforma si blocca anche qualche pericolosa, precedente tendenza verso la selvaggia semplificazione. Molti hanno divagato spensieratamente sulla nuova definizione di dato personale, senza rendersi conto nella maggior parte dei casi che la nozione di titolare del trattamento dei dati personali non è cambiata e per i titolari imprese e PA non è, quindi, cambiato nulla!
Ma andiamo con ordine e proviamo a fare un minimo di necessaria chiarezza.

Il c.d. Decreto “Salva Italia” previsto dalla manovra Monti (Decreto Legge 6/12/2011 n. 201, in G.U. 6/12/2011 n. 284, Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici) ha introdotto alcune modifiche sostanziali al Codice Privacy.
A un primo sguardo sembrerebbe trattarsi di un semplice allineamento della normativa italiana a quella europea, che già vede al centro della tutela della riservatezza l’interessato inteso solo nella sua accezione di “persona fisica”, attribuendo a quest’ultimo il diritto a un corretto trattamento dei dati personali che lo riguardano da parte di terzi (siano essi persone fisiche, giuridiche, enti o associazioni).
In realtà, le implicazioni sono di maggiore portata e degne di un commento un po’ più approfondito. Ma proviamo a capire di cosa si tratta esaminando il testo della riforma.

L’ art. 40 del Decreto, infatti, prescrive:

Per la riduzione degli oneri in materia di privacy sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente o associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.
b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.
c) Il comma 3-bis dell’articolo 5 è abrogato.
d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.
e) La lettera h) del comma i dell’articolo 43 è soppressa”
.
Da quanto sopra si evince che è considerato dato personale “qualunque informazione relativa alla persona fisica” e, quindi, non più i dati relativi a società, enti o associazioni. Stessa cosa dicasi per la definizione di interessato , identificato oramai solo con la persona fisica a cui si riferiscono i dati personali.
A ben vedere – e come già in precedenza anticipato – da queste prime modifiche emerge un dato non trascurabile: tra le definizioni che sono state modificate resta immutato il concetto di titolare del trattamento . Infatti, il titolare è sempre la ” persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo a cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza “. La conseguenza immediata pertanto è che, nonostante l’intervenuta modifica, le imprese e gli enti dovranno continuare ad adottare tutte le prescrizioni e gli adempimenti previsti dal d.lgs. 196/2003 , compreso il DPS e le prescrizioni contenute nei vari provvedimenti dell’Autorità Garante, emanati per regolamentare specifici casi (tali soggetti, infatti, continueranno inevitabilmente a trattare dati personali di persone fisiche o soggetti terzi come dipendenti, clienti, fornitori, cittadini, pazienti, per i quali la normativa in materia di privacy dispone una tutela completa).

Ma c’è di più: è stato abrogato , infatti, il comma 3-bis dell’art. 5 del Codice Privacy (introdotto dal recente “Decreto Sviluppo”, D.L. n. 70/2011) che prevedeva addirittura l’esclusione dall’applicazione del Codice Privacy qualora il trattamento dei dati personali fosse effettuato da persone giuridiche, imprese, enti o associazioni nell’ambito di rapporti intercorrenti tra i medesimi soggetti esclusivamente per finalità amministrativo-contabili.
Altro che semplificazione! L’unico articolo che poteva davvero semplificare, infatti, è stato abrogato dal legislatore, quasi a voler ribadire con forza che la privacy e tutti i suoi adempimenti si continueranno ad applicare per tutti i titolari del trattamento (siano essi persone fisiche, giuridiche, enti o associazioni).
La privacy – ci sembra giusto ricordarlo – non deve, infatti, essere intesa solamente come riservatezza o diritto a non veder trattati i propri dati, ma come adozione di una serie di cautele tecniche, organizzative e di sicurezza che tutti (imprese ed enti compresi) devono rispettare per procedere in maniera corretta al trattamento dei dati personali e delle informazioni in genere (e, quindi, anche di titolarità di terze persone fisiche, giuridiche o enti).

D’altronde proprio in questo periodo, con una Circolare del 3 agosto 2011, l’Agenzia delle Entrate ha avviato una serie di controlli e verifiche nei confronti degli intermediari Entratel (commercialisti e soggetti intermediari), dettando altresì una serie di regole e di misure (fisiche e organizzative) per tutelare la riservatezza degli interessati (clienti, dipendenti, fornitori di beni e servizi).

Per altro verso anche l’appena riformato Codice dell’Amministrazione Digitale ha introdotto notevoli misure di sicurezza tecnologiche e organizzative (si pensi all’art. 50-bis sulla “continuità operativa” o ai rinvii alle varie norme del Codice Privacy agli artt. 44 e 44 comma 1-bis o 51, che richiamano espressamente i principi di sicurezza e gli adempimenti in materia privacy di cui al d.lgs. 196/2003) che non avrebbero più senso se intendessimo l’attuale riforma del Codice Privacy come un semplice alleggerimento degli adempimenti per le persone giuridiche e gli enti.

Pertanto, se anche la finalità dichiarata poteva forse essere quella della riduzione degli adempimenti burocratici (e noi abbiamo comunque dubbi in proposito), il risultato ottenuto va nella direzione opposta: infatti, se il riferimento a persone giuridiche ed enti rimane nella definizione di “titolare” e “abbonato” (continuando, ad esempio, questi ultimi a essere tutelati e protetti in tema di telemarketing), di semplificazione non c’è traccia.
L’unico risultato oggettivo, piuttosto, è che imprese ed enti non avranno più la possibilità di esercitare i diritti di cui all’art. 7 del d.lgs. 196/2003 e di far valere tali diritti in un eventuale contenzioso giudiziario (es. richieste di risarcimento danni) o dinanzi all’Autorità Garante, in quanto non possono più essere considerati “interessati al trattamento”. Imprese, enti o associazioni potranno solo essere chiamati in causa quali semplici convenuti, in qualità di titolari o responsabili del trattamento, senza poter essere soggetti attivi e poter tutelare le proprie ragioni.

In conclusione, sicuramente imprese ed enti saranno meno tutelati (in quanto persone giuridiche) dalla normativa in materia di privacy, ma dal punto di vista organizzativo e delle misure di sicurezza non cambia assolutamente nulla ed essi dovranno comunque preoccuparsi di adottare e rispettare i consueti adempimenti in tema di misure minime, necessarie e idonee.
Quale impresa o pubblica amministrazione, infatti, può affermare di non trattare dati di “persone fisiche”? Oppure potrà, forse, un’impresa o un ente che si avvale di servizi di conservazione digitale o di cloud computing prescindere dal regolamentare col suo fornitore di servizi il rispetto delle condizioni di sicurezza e privacy solo perché si tratta di un rapporto tra persone giuridiche? Evidentemente no e c’è da scommettere invece che il Garante Privacy vigilerà in maniera ancora più rigorosa sul rispetto dei provvedimenti e delle regole a tutela dei dati, delle informazioni e della riservatezza degli interessati.

Avv. Andrea Lisi e Avv. Graziano Garrisi
Digital&Law Department – Studio Legale Lisi

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • mostrica scrive:
    NESSUN PIANO PER LINUX
    si parla di os e android, ma ovviamente nessun accenno a linux...questo significa a mio modesto parere che come al solito gli utenti del pinguino dovranno accontentarsi di qualche implementezione homebrew totalmente instabile....
    • Funz scrive:
      Re: NESSUN PIANO PER LINUX
      - Scritto da: mostrica
      si parla di os e android, ma ovviamente nessun
      accenno a linux...questo significa a mio modesto
      parere che come al solito gli utenti del pinguino
      dovranno accontentarsi di qualche implementezione
      homebrew totalmente
      instabile....www.firefox.ite' sicuramente l'app migliore per accedere a Facebook.
  • antonino catanzaro scrive:
    Cancellare "Attività recenti" dal diario
    Salve a tutti! Avrei una domanda da porvi! Ho aggiunto un "Avvenimento importante" al mio diario, tuttavia non vorrei farlo comparire tra le "Attività recenti" Ho provato a cancellarlo cliccando sulla "x" ma nulla da fare! Perchè?
  • Andrea Costa scrive:
    Non mi piace facebook
    Io mi sono ufficialmente cancellato da facebook. Perdevo troppo tempo. E poi non tutela del tutto la privacy a mio avviso.
    • lol scrive:
      Re: Non mi piace facebook
      Quindi hai deciso di perdere solo tempo qua su PI? (rotfl)Scherzo ovviamente (anche se devo ammettere che spesso è divertente leggere i commenti di PI, più delle notizie, peccato che alcuni come Aran Banjo o come era il nome, sono ormai spariti).Ho un account su facebook, ho poca roba, attivato per curiosità ma alla fine lo uso più (raramente) come news feed. Non credo che lo cancellerò, ma sicuramente lo uso davvero poco.
    • Antony scrive:
      Re: Non mi piace facebook
      - Scritto da: Andrea Costa
      Io mi sono ufficialmente cancellato da facebook.
      Perdevo troppo tempo. E poi non tutela del tutto
      la privacy a mio avviso.E quindi?Non capisco il senso di questo intervento.Non tute la privacy???Ma è l'utente che pubblica quello che vuole che gli altri vedono e ci sono tutte le Impostazioni necessarie per evitare che gli altri ti "indicizzino" in luoghi, commenti, ecc ecc...Solito commento inutile di chi non sa usare uno strumento.E' come dire "non guido l'automobile perchè con quella si va a sbattere contro un muro"...ma non dipende dall'autista??
    • panda rossa scrive:
      Re: Non mi piace facebook
      - Scritto da: Andrea Costa
      Io mi sono ufficialmente cancellato da facebook.
      Perdevo troppo tempo. E poi non tutela del tutto
      la privacy a mio
      avviso.Tu <b
      credi </b
      di esserti ufficialmente cancellato da facebook, ma non ci si cancella da facebook!Loro sanno chi sei, dove abiti, che faccia hai, che amici hai, sanno tutto.
  • mauro scrive:
    plagio?
    per quanto ne so essitevano già altri due siti che funzioanvano con la stessa logica di archivio cronologico: www.timelines.com e www.mementonet.com
  • marker scrive:
    è un aggiornamento del profilo
    si tratta di un aggiornamento dell'interfaccia del profilo che rende più semplice e in modo cronologico la visulizzazione di tutti i post e le varie cose fatte sul sito, ovviamente c'è l'opzione per nascondere i post..I casi sono due:1) Chi condivideva la propria vita su facebook (non capisco che gusto ci sia a scrivere su un sito, oggi sono andato qui, sono andato la, sono triste, sono stanco..ecc.) allora il suo profilo sembrerà proprio un diario personale visibile a chi ha il permesso..2) Chi ha usato facebook solo per discutere di argomenti di interesse generale (cinema, libri, recensioni..ecc.) si ritroverà una specie di indice cronologico dei post (tipo home page di un sito) e di quello che si è condiviso ma visto che non ci sono nel profilo post che riguardano la vita privata non avrà il pensiero di nascondere post..ecc.
  • peppone scrive:
    certo i titoli...
    ..li fate un po come XXXXX ve pare. Uno pensa di leggere A, invece poi se ritrova B e se ne va affanXXXX..
  • pignolo scrive:
    Certo che...
    avete davvero una grande fantasia nello scegliere i titoli:http://punto-informatico.it/3363884/PI/News/bosone-higgs-forse-questi-schermi.aspxhttp://punto-informatico.it/3227197/PI/News/bosone-higgs-presto-tutti-schermi.aspxhttp://punto-informatico.it/3090893/PI/News/android-24-autunno-tutti-schermi.aspx
  • Paolo Rossi scrive:
    Ma andate ........
    Ma andate affanXXXX !!
Chiudi i commenti