DECRETO SEMPLIFICAZIONI - PRIVACY: IL DOCUMENTO NON SERVE PIÙ

L'art. 46 del D.L. sulle semplificazioni e sviluppo fa piazza pulita del Documento programmatico sulla sicurezza vale a dire il documento principale che soggetti pubblici e privati che trattano dati sensibili e giudiziari con strumenti elettronici erano tenuti a redigere.

Le novità privacy

In un'ottica di ulteriori tagli delle spese per le imprese e per gli enti pubblici il Governo ritorna sulla normativa a tutela dei dati personali provvedendo, questa volta, non a modificare la nozione di dato personale che fa ormai riferimento solo ai dati relativi alle persone fisiche con adeguamento alla normativa a tutela dei dati personali (cfr. art. 40, comma 2, lettere a) e B) del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214 che ha modificato l'art. 4, comma 1 lett. b) ed i) del D. Lgs. 196/2003 relativo alle definizioni) ma eliminando l'obbligo di redazione del Documento programmatico sulla sicurezza.

L'eliminazione del DPS

L'art. 46 del pacchetto sulle semplificazioni, infatti, ha eliminato dall'art. 34 del Codice privacy che enunzia le misure minime di sicurezza per i trattamenti elettronici e dal relativo all'allegato B del Codice (inerente le misure minime di sicurezza) le norme che facevano riferimento all'obbligo di adozione del Documento programmatico sulla sicurezza.

In via particolareggiata con il DL sono state eliminate la lettera g) che appunto prevede l'obbligo di tenere un documento programmatico sulla sicurezza (da aggiornare entro il 31 marzo di ogni anno), la regola 19 inerente il contenuto del DPS, la regola 26 che stabiliva l'obbligo menzione dell'avvenuta adozione del DPS nella relazione di accompagnamento al bilancio di esercizio nonché il comma 1 bis che, invece, prevede la possibilità - per alcune aziende - di sostituire l'obbligo di adozione del DPS con un'autocertificazione.

La decisione del Governo di eliminare definitivamente il DPS arriva dopo un lungo tragitto normativo che ha importato una graduale e sostanziale riduzione dei soggetti effettivamente tenuti alla redazione del DPS.

Originariamente l'obbligo di adozione del DPS sussisteva in capo a tutti coloro che trattavano i dati sensibili o giudiziari mediante l'impiego di strumenti elettronici, in pratica qualsiasi soggetto che, ad esempio, aveva dei dipendenti e che procedeva all'elaborazione elettronica delle buste paghe era tenuto ad adottare ed aggiornare un documento programmatico sulla sicurezza, non avente - contrariamente a quanto suggeriva la maggior parte dei consulenti privacy - data certa.

Sin dal 2008, infatti (cfr. legge 6 agosto 2008, n. 133 che aveva convertito il decreto legge 25 giugno 2008, n. 112 che aveva introdotto il comma 1 bis all'art. 34 con l'art. 29, comma 1) era stato previsto che non soggiacevano all'obbligo di adozione del DPS coloro che trattavano come unici dati sensibili i dati relativi alla salute o malattia dei dipendenti o collaboratori senza l'indicazione della diagnosi nonché i dati relativi all'adesione sindacale. Precedentemente, peraltro, la stessa Authority privacy con un provvedimento di semplificazione delle misure di sicurezza aveva circoscritto l'obbligo di adozione del DPS e previsto l'adozione di una forma di DPS semplificato per alcuni titolari del trattamento che sostanzialmente coincidevano (ma non necessariamente) con piccole e medie imprese. Più recentemente, dal luglio del 2011 (cfr. art. 6, comma 2, lettera a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106) sono stati apportati ulteriori correttivi prevedendo la possibilità di procedere all'autocertificazione per i soggetti che trattavano come unici dati sensibili e giudiziari quelli relativi ai dipendenti, collaboratori, compresi parenti e coniuge. Con l'autocertificazione, da adottare ai sensi dell'art. 47 del DPR 445/2000, il titolare del trattamento doveva attestare di eseguire il trattamento nel rispetto delle misure minime di sicurezza previste dal Codice privacy e dal disciplinare tecnico sulle misure di sicurezza di cui all'allegato B.

L'eliminazione del DPS, tuttavia, importerà l'obbligo per le aziende di ristrutturare taluni adempimenti privacy che venivano soddisfatti proprio in occasione del DPS.

Si pensi, a mero titolo esemplificativo:

- all'obbligo per le aziende di eseguire periodicamente un aggiornamento degli ambiti dei trattamenti sia cartacei che elettronici che normalmente confluivano nei cosiddetti elenchi dei trattamenti costituenti anche l'occasione per l'aggiornamento delle nomine ad incaricato al trattamento (cfr. artt. 34 lett. d) e 35 lett. a) del Codice privacy);

- all'obbligo, per le aziende, di indicare il personale che esegue le attività di controllo circa l'uso degli strumenti elettronici aziendali di cui alle Linee Guida per l'uso di internet e posta elettronica del 1° marzo 2007;

- agli obblighi inerenti la nomina degli Amministratori di sistema (v. provvedimento del Garante del 27 novembre 2008);

- all'obbligo di tenere un elenco aggiornato dei soggetti nominati responsabili in modo da metterlo a disposizione dei soggetti interessati (art. 13);

- all'obbligo per i soggetti pubblici di tenere piani di disaster recovery.

Residua, tuttavia, l'opportunità per le aziende di avere un documento se non più programmatico almeno storico relativo a tutte le misure di sicurezza adottate in azienda sia minime che adeguate anche al fine di fornire prove in sede civile di fronte ad eventuali contestazioni di danni per violazione della normativa a tutela dei dati personali.

Il controllo mediante il DPS

Nelle attività di controllo eseguite dal Nucleo speciale operativo privacy è noto che la visione del DPS costituisce uno degli strumenti maggiormente impiegati al fine di ottenere un riscontro dell'adempimento anche degli altri obblighi privacy e sovente era il punto di partenza; si pensi, semplicemente, all'opportunità nel caso in cui si intenda contestare la sanzione per omessa notificazione al Garante ex art. 37 del Codice privacy di verificare che quello specifico trattamento figuri nel DPS. Il DPS, in sostanza, costituiva un ottimo punto di partenza per buona parte degli accertamenti ispettivi condotti dagli organi preposti di cui occorrerà fare a meno.

Il DPS, peraltro, poteva essere considerato anche come uno degli strumenti preventivi di taluni reati introdotti dal D. Lgs. 231/2001 che importano la responsabilità delle persone giuridiche per i reati commessi da soggetti che si trovano in posizione apicale (si pensi, ad esempio, ai reati informatici il cui rischio di commissione certamente poteva essere circoscritto a seguito dell'adozione di una corretta analisi dei rischi informatici che doveva necessariamente essere presente nel DPS in virtù del disposto di cui alla regola 19 del Disciplinare (pure abrogata) e della stessa Guida del Garante del 2004 per la redazione del DPS.

La sopravvivenza delle misure di sicurezza semplificate

L'art. 46 del Pacchetto semplificazioni sembrerebbe, prima facie, dare un colpo di spugna anche alle misure di sicurezza semplificate che dovevano essere adottate tramite un provvedimento del Garante sentito il Ministro per la semplificazione normativa da aggiornare periodicamente per coloro che trattano i dati solo per correnti finalità amministrativo - contabili in particolare presso piccole e medie imprese.

In verità l'eliminazione del comma 1 bis dell'art 34 del Codice privacy non importa il venir meno del provvedimento del Garante sulle misure di semplificazione delle misure di sicurezza del 27 novembre 2008, rubricato "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali" e pubblicato sulla G.U. n. 287 del 9 dicembre 2008, che continuerà a produrre i suoi effetti e consentirà l'adozione di misure semplificate.

Delle misure semplificate potranno continuare ad avvalersene piccole e medie imprese e liberi professionisti che eseguono i trattamenti per finalità amministrativo - contabili e soggetti che trattano come unici dati sensibili quelli sulla malattia dei dipendenti e dei collaboratori e quelli sindacali.

La lotta alla criminalità ed il trattamento dei dati giudiziari

Una delle novità del pacchetto semplificazioni in materia di privacy è costituita dall'introduzione dell'art. 17 bis che amplia le ipotesi di liceità del trattamento dei dati giudiziari non più limitate alle previsioni di legge o alla presenza di un'autorizzazione del Garante privacy ma anche all'esistenza di protocolli d'intesa per la prevenzione dei fenomeni di criminalità organizzata.

L'impiego dei protocolli costituisce uno degli strumenti maggiormente impiegati per le finalità di prevenzione e contrasto della criminalità non solo in ambito nazionale ma anche internazionale.

I protocolli perché possano legittimare il trattamento dei dati giudiziari dovranno essere realizzati con il Ministero dell'interno o gli uffici periferici e debbono indicare:

- la tipologia di dati trattati (ovviamente tra i dati giudiziari, es. i dati presenti sul certificato del casellario giudiziario, sui carichi pendenti o anche i dati relativi ai provvedimenti restrittivi della libertà personale, ecc.):

- e le operazioni che possono essere compiute, es. comunicazione dei dati, incrocio di dati, ecc.

Allo stato i protocolli intercorrono sopratutto tra soggetti pubblici posto che le finalità di prevenzione e contrasto della criminalità sono proprie di soggetti pubblici ma non si può escludere che in un futuro nemmeno troppo lontano possano essere stipulati protocolli anche con soggetti privati, vengono alla mente ad esempio le società che gestiscono infrastrutture critiche (si pensi ad appalti indetti dalle società di telecomunicazione ed all'interesse a richiedere dati giudiziari anche per evitare infiltrazioni mafiosi o delimitare il rischio di attentati terroristici) che certamente hanno un interesse maggiore rispetto ad altre ad accedere ai dati giudiziari anche oltre quelli che sono gli attuali limiti imposti dalla normativa vigente.

Conclusioni

Da ultimo si auspica una revisione della norma che, se del caso, delimiti ulteriormente l'obbligo di redazione del DPS ma che lasci inalterato l'obbligo per alcune categorie di titolari del trattamento: si pensa, ad esempio, alle strutture sanitarie pubbliche e private, agli istituti di ricerca scientifica o società farmaceutiche che trattano dati sanitari per finalità di ricerca o sperimentazione, a tutti i soggetti che, a qualsiasi tiolo trattano dati genetici ma anche alle assicurazioni.

Particolarmente utile, peraltro, sarebbe la specifica introduzione dell'obbligo per le società che seppur non trattano dati sensibili procedono al trattamento di particolari categorie di dati come i dati di geolocalizzazione o i dati biometrici, o ancora di taluni soggetti che in considerazione del loro core business potrebbero eseguire dei trattamenti particolarmente lesivi del diritto alla tutela dei dati personal, il pensiero corre alle società di telecomunicazioni, agli investigatori privati.

Si aggiunga, da ultimo, che la mancata conversione in legge dell'art. 46 nella parte inerente il DPS potrebbe importare l'obiettiva difficoltà di tutte le imprese attualmente tenute alla redazione del DPS di non riuscire ad adottare il DPS in tempo debito considerato che l'obbligo di aggiornamento per l'anno 2012 sarebbe venuto a scadere il 31 marzo p.v. e quindi qualche giorno dopo il termine ultimo per la conversione in legge del DL in analisi.

Fonte Ipsoa autore Eulalia Olimpia Policella