Privacy, in arrivo «nuove» misure minime di sicurezza
Tra le semplificazioni allo studio del Governo, anche modifiche al DLgs. 196/2003 sulle modalità di aggiornamento di tali misure
Modifiche in arrivo in materia di privacy e misure minime di sicurezza. La bozza del “pacchetto semplificazioni” a cui il Governo sta lavorando interverrebbe, infatti, sul DLgs. 196/2003 (“Codice in materia di protezione dei dati personali”), accogliendo, da un lato, i desiderata del Garante e, dall’altro, risolvendo un dubbio sulla corretta applicazione del Codice ai trattamenti di dati riferiti a ditte individuali e liberi professionisti.
Modifiche in arrivo in materia di privacy e misure minime di sicurezza. La bozza del “pacchetto semplificazioni” a cui il Governo sta lavorando interverrebbe, infatti, sul DLgs. 196/2003 (“Codice in materia di protezione dei dati personali”), accogliendo, da un lato, i desiderata del Garante e, dall’altro, risolvendo un dubbio sulla corretta applicazione del Codice ai trattamenti di dati riferiti a ditte individuali e liberi professionisti.
Già da tempo – basti pensare al discorso del Presidente che accompagnava la Relazione Annuale 2010 – l’Autorità Garante ha chiesto al Parlamento di poter intervenire in materia di misure minime di sicurezza, disciplinate dagli artt. 33-36 del Codice, in ragione del fatto che tali misure erano diventate obsolete e la procedura in materia di adeguamento era alquanto impraticabile: l’art. 36 del citato DLgs. dispone infatti che, per aggiornare le misure minime di sicurezza, è necessario il concerto di tre Ministri.
Così, le misure minime previste dall’Allegato Tecnico (Allegato B) non sono mai state aggiornate. Nella precedente legislatura le misure di sicurezza introdotte con il DPR 318/99 erano rimaste in vigore per circa 4 anni, le attuali lo sono da quasi 10: un tempo troppo lungo per misure legate alla tecnologia e quindi soggette ad una rapida obsolescenza.
In base alle modifiche introdotte “pacchetto semplificazioni”, stando alla bozza circolata, il nuovo art. 36 stabilirebbe che il disciplinare tecnico di cui all’allegato B) del Codice, relativo alle misure minime di sicurezza, venga aggiornato periodicamente con decreto del Ministro della Giustizia di concerto con il Ministro per la Pubblica amministrazione e la semplificazione, sentiti il Garante e le associazioni maggiormente rappresentative a livello nazionale delle categorie economiche coinvolte, in relazione all’evoluzione tecnica e all’esperienza maturata nel settore, anche individuando modalità semplificate di adozione delle misure minime in caso di trattamenti effettuati in particolare presso piccole e medie imprese, liberi professionisti e artigiani. Tale procedura non sembra comunque andare verso una semplificazione, in quanto gli “attori” salgono a quattro e si dovranno individuare particolari modalità semplificate di adozione delle misure minime per le PMI e i liberi professionisti.
La semplificazione in materia di misure minime non è compito facile. Lo sa bene il Garante, che aveva già tentato un’operazione simile (si veda il DL 25 giugno 2008 n. 112, conv. L. 6 agosto 2008 n. 133 e il relativo Provvedimento del Garante del 27 novembre 2008). L’Allegato B del DLgs. 196/2003 non presenta tante vie d’uscita: come si fa a trovare una modalità semplificata per una disposizione che prevede come misura minima un elemento fisso (ci riferiamo alla lunghezza della parola chiave)? Si dovrà quindi mettere mano all’intero allegato, tenendo conto che esso deriva dagli artt. 33, 34 e 35 del Codice, che definiscono le misure minime. Tale lavoro necessiterà di tempo e si dovrà confrontare obbligatoriamente con il forte cambiamento che arriverà dal nuovo Regolamento europeo in materia. Si confida nel fatto che il Garante abbia già pronta una “bozza”, elaborata nel 2010, che, con i dovuti aggiustamenti, possa essere sottoposta agli altri soggetti per un rapido recepimento.
Escluse dal Codice le imprese con attività esercitata in forma individuale
La bozza di provvedimento introdurrebbe, poi, una semplificazione volta a escludere dal campo di applicazione del Codice quelle imprese la cui attività è esercitata in forma individuale (cioè da persona fisica). All’art. 5, dopo il comma 3, verrebbe infatti aggiunto il comma 3-bis, per effetto del quale il trattamento dei dati personali riguardanti l’attività delle imprese commerciali o agricole, esercitate anche in forma individuale, non sarebbe soggetto all’applicazione del Codice, fatte salve le disposizioni sul trattamento di dati riguardanti contraenti ed utenti di servizi di comunicazioni elettroniche.
Tale modifica sarebbe necessaria perché l’intervenuta eliminazione dei riferimenti a persone giuridiche nelle nozioni di “dato personale” e di “interessato” non aveva permesso di escludere dagli adempimenti privacy le imprese italiane che nei rapporti B2B (business to business) trattavano dati di clienti, fornitori, partner, agenti, consulenti, rientranti nel mondo delle ditte individuali, piccoli imprenditori o professionisti. Rimarrebbero in capo all’azienda o al libero professionista gli oneri derivanti dal Codice in caso di trattamenti di persone fisiche: si pensi al mondo degli appalti e al relativo scambio di dati riguardante i dipendenti, ad esempio la lista dei soggetti impegnati nell’appalto ai sensi del DLgs. 81/2008 o all’estratto del LUL. Si ricorda, infine, che nella nuova nozione di contraente rientrano anche le persone giuridiche.
Fonte: Eutekne autore Luca LEONE
Commenti
Posta un commento