di Dario Galliani, 13 gennaio 2014
L’art. 45, comma 1, lett. c), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35, eliminando la lettera g) dell’articolo 34 del Decreto Legislativo n. 196 del 2003 (Codice Privacy) ha di fatto abolito l’obbligo di redazione del DPS, in un’ottica di semplificazione degli adempimenti amministrativi in capo alle aziende, già peraltro iniziata con la Legge n. 106 del 12 luglio 2011 introduttiva di una serie di provvedimenti semplificativi in ordine alle autocertificazioni, nonché di nuove ipotesi di esonero dal consenso e successivamente con la Legge n. 214 del 22 dicembre 2011 che ha in qualche misura riconosciuto il diritto alla tutela dei dati unicamente in capo alle persone fisiche e non anche a quelle giuridiche e/o enti ed associazioni, in virtù della formulazione dei novellati articoli relativi alle definizioni di “dato personale” e di “interessato al trattamento”.
Se, da un canto, il DPS rappresentava un ulteriore incombente amministrativo per le imprese, d’altro, non poteva oggettivamente considerarsi né il più complesso né tantomeno il più inutile.
Soprattutto in un Paese come il nostro dove, a fronte di un uso a volte smodato degli strumenti tecnologici, per contro, gli effetti del loro utilizzo sono praticamente sconosciuti ai più, non essendo radicata nella nostra cultura giuridica l’importanza della tutela del dato personale in sé, spesso peraltro, quasi a voler colmare il vulnus, portata alle esasperazioni dell’ottenimento del consenso su qualsivoglia suo utilizzo (sistema di opt in), a fronte poi di un pressoché inesistente sistema di controlli sull’effettiva applicazione della normativa di riferimento.
Ciò detto, eliminato l’incombente formalistico, restano tuttavia in vigore le ulteriori disposizioni previste dall’articolo 34 del decreto Legislativo n. 196 del 30 giugno 2003, con particolare riferimento:
- all’autenticazione informatica e all’adozione di procedure di gestione delle credenziali di autenticazione;
- all’utilizzo di un sistema di autorizzazioni;
- all’aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, chiarendo i parametri per un’effettiva protezione dei dati;
- alla protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
- all’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
- all’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Talché, gli adempimenti sostanziali in capo alle imprese rimangono praticamente invariati.
Appare pacifica l’utilità, soprattutto per i grandi gruppi industriali, di prevedere comunque, a prescindere dal dettato normativo, la stesura periodica di relazioni programmatichein funzione di un corretto trattamento dei dati personali, monitorabili e continuamente aggiornate allo stato dell’arte, nonché migliorabili da un punto di vista tecnico sulla scorta degli eventuali bugsriscontrati.
Sul punto, i medesimi DPS redatti per gli anni precedenti, possono costituire, da un lato, il punto di partenza per la stesura delle informative interne aziendali in materia, nonché prova del corretto adempimento dell’obbligo normativo previgente.
Quanto poi al quadro legislativo europeo, si segnala la proposta del 25 gennaio 2012 della Commissione europea avente ad oggetto una normativa omogenea da applicarsi a tutti gli Stato membri mediante lo strumento legislativo del Regolamento comunitario.
La bozza attualmente in discussione, già peraltro modificata in data 21 ottobre 2013, prevede alcune novità, di seguito meglio specificate.
- introduzione di ulteriori definizioni di dato personale (biometrico e genetico), fermo restando le attuali;
- supporto per le PMI da parte dei Garanti nazionali circa l’interpretazione delle norme di riferimento;
- bilanciamento tra l’aspettativa di tutela della privacy dell’interessato e l’interesse legittimo del titolare del trattamento;
- previsione di simboli grafici da inserire nelle informative privacy;
- introduzione del Data ProtectionOfficer, figura professionale di consulenza in materia di trattamento dei dati personali, obbligatorio per le imprese che trattano dati personali riferiti ad un certo numero di interessati (5000) e per periodi di tempo determinati (più di 12 mesi), ovvero dati sensibili;
- obbligo di revisione periodica dei protocolli di protezione dei dati personali (ogni due anni) in capo al titolare del trattamento stesso;
- analisi dei rischi e valutazione dell’impatto privacy nelle singole attività di business, con conseguente verifica di conformità, da fornirsi, su richiesta del Garante.
Secondo alcune analisi, tale tentativo di uniformare la normativa in materia avvantaggerebbe le imprese del nord Europa nonché quelle franco-tedesche, le cui best practice sono già oggi in linea con l’impianto della futura normativa, la cui approvazione sembrerebbe posticipata per l’anno 2015, con conseguente esecutività per gli Stati membri per il successivo 2017.
La riflessione, a parere di chi scrive, andrebbe, per contro, rivolta non tanto a chi si avvantaggerà del futuro assetto normativo, quanto piuttosto al colpevole ritardo del Legislatore italiano nell’intuire l’enormità degli interessi sottostanti al trattamento dei dati personali e la conseguente incapacità di incidere in termini politici nella stesura dei provvedimenti in materia a livello europeo.