Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Protezione dei dati personali

DPS: chi può semplificare e chi autocertificare?

di Paolo Ricchiuto* - 20.01.09

 
Dopo il primo provvedimento di semplificazioni adottato dal Garante nel giugno 2008, e dopo la entrata in vigore dell’art. 29 del decreto-legge 25 giugno 2008, n. 112 nella versione emendata dalla legge di conversione, si chiude il cerchio della stagione di semplificazioni in materia di privacy (vedi Dati personali: semplificazioni vere e apparenti e Semplificazioni privacy: le complicazioni della legge).

Con il provvedimento generale del 27.11.08 (pubblicato in G.U. n. 287 del 9 dicembre 2008) "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali", il Garante ha infatti adempiuto al compito assegnatogli dal legislatore, mettendo mano ad un provvedimento che doveva (o avrebbe dovuto) innanzitutto fare un po’ di chiarezza sul tema dei requisiti soggettivi necessari per entrare o uscire dalle singole categorie prese in considerazione dalla legge, e che doveva (o avrebbe dovuto) dettare indicazioni di sostanziale semplificazione degli adempimenti in favore di determinati soggetti.

Ora, al di là del contenuto delle singole misure adottate (che avremo modo di esaminare nel dettaglio nelle prossime settimane) sembra opportuno tentare innanzitutto di fare un po’ di ordine, a livello generale, sulla platea dei soggetti coinvolti, e sull’effettivo impatto inerente la gestione dell’adempimento del DPS, certamente considerato urbi et orbi il più critico.
Sono bastate, infatti, poche settimane dalla diffusione del provvedimento per scatenare la solita ridda di voci discordanti e di richieste disperate: non ci si capisce niente, autocertifichiamoci tutti! Oppure: facciamo comunque il DPS semplificato? O ancora: nessuno dei due, siamo ancora quasi tutti costretti a riempire tabelle e tabelline? Che diavolo significa “correnti attività amministrative e contabili”?

Calma. Facciamo un passo indietro:

il decreto dell’estate convertito, oggi art. 34 comma 1-bis del codice prevede sostanzialmente due categorie:
- da un lato, i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale. Solo ed esclusivamente a costoro, è concessa la formidabile possibilità di ricorrere alla autocertificazione in luogo della redazione del DPS. Un’analisi sintattica del dato normativo consente di identificare abbastanza agevolmente le categorie riconducibili a questo bacino, sulla base di un paio di considerazioni:

a) il riferimento ai “soggetti che trattano”, non presenta alcuna caratteristica qualitativa e quantitativa: anche enormi organizzazioni, laddove limitino il trattamento di dati sensibili a quelli del personale indicato nella norma, possono usufruire della autocertificazione (es: un supermercato con 100 dipendenti; al limite, un’industria di 1.000 dipendenti). La misura semplificatoria della esenzione dal DPS prevista dal legislatore, quindi, non è affatto ispirata (a dispetto di quanto si è letto in giro) dalla volontà di semplificare la vita alle realtà medio-piccole, avendo un raggio di azione molto più ampio, la cui latitudine è identificata solo ed esclusivamente con riferimento alla tipologia di dati trattati;

b) l’unico sforzo da compiere per verificare se si rientra o meno nell’area dell’autocertificazione, consiste quindi in una approfondita mappatura dei trattamenti effettuati. Anche chi a prima vista potrebbe rientrare nel campo di applicazione della norma, infatti, potrebbe trovarsi di fronte a brutte sorprese: si pensi ad un gestore di call center con 1.000 dipendenti (o con 1.000 collaboratori), che apparentemente tratta come soli dati sensibili quelli del personale. Poniamo l’ipotesi in cui quel provider di servizi gestisca anche una commessa inerente la prenotazione di visite mediche nell’interesse di una casa di cura: basterebbe ciò ad escludere che i trattamenti effettuati siano “soltanto” quelli indicati dal legislatore, con l’ineludibile effetto di impedire il ricorso all’autocertificazione;

- dall’altro lato, l’art. 34-bis contempla una apparentemente ampia area di soggetti identificabili “in particolare” (ma non solo) con le piccole e medie imprese, liberi professionisti, artigiani, che non rientrano nella prima categoria, e che comunque limitano i trattamenti alle ormai leggendarie correnti finalità amministrative e contabili. A costoro, esclusi dall’autocertificazione, il legislatore concede una semplificazione che potremmo definire mediata, atteso che, in sé, nulla prevede la norma, se non il rinvio al provvedimento che il Garante doveva adottare, e che (anche per i soggetti che potevano usufruire della autocertificazione) avrebbe dovuto avere ad oggetto modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1

La formulazione stessa della norma, ha immediatamente posto una serie di interrogativi. E infatti:

a) innanzitutto deve essere valutato il riferimento alla natura dei soggetti coinvolti (piccole e medie realtà imprenditoriali e professionali): ciò esclude che possano rientrare nell’ambito preso in considerazione anche soggetti di più ampie dimensioni? Assolutamente no, se si considera che quelle categorie sono indicate “in particolare”, e non completano quindi l’area di coloro che la norma contempla;
b) a differenza che nel bacino degli “esentati dal DPS” (identificato dalla natura dei dati trattati), il legislatore, nel delineare le caratteristiche di questo secondo ventaglio di soggetti, ha scelto di non fissare, come punto di riferimento, la natura dei dati e la tipologia di trattamenti svolti, bensì di mirare sul diverso profilo delle finalità perseguite, che devono essere esclusivamente le “correnti finalità amministrative e contabili”.

In linea del tutto teorica, quindi, anche un trattamento di dati sensibili ulteriori e diversi da quelli del personale effettuato con strumenti elettronici, ma che sia svolto esclusivamente per “correnti finalità amministrative e contabili”, porterebbe da un lato ad escludere la possibilità di autocertificarsi, dall’altro, però, la chance di rientrare nella diversa area destinataria delle semplificazioni di cui al provvedimento del Garante.

Ciò posto, la domanda che subito ci si è fatti, era: ma quali sono, allora, questi soggetti? Dando per assodato che gli stessi non possono ovviamente coincidere con coloro che fruiscono della autocertificazione, a chi si riferisce il legislatore? Ad esempio: uno studio di ingegneria che ha alle sue dipendenze una segretaria? E’ uno dei mille casi che, rientrando nell’area della autocertificazione, non può coincidere con l’insieme che stiamo esaminando.

Ma, andando oltre: un avvocato che tratta i dati sensibili dei propri clienti per rendere la propria prestazione professionale (e che dunque non può certamente usufruire della autocertificazione), può essere considerato come un soggetto che tratta il dato per correnti finalità amministrative e contabili? E ancora: un laboratorio di analisi cliniche, che tratta i dati sensibili per gli esami richiesti dai pazienti (anch’esso di certo non autocertificabile), può usufruire delle semplificazioni del Garante?


Nessuno può dire di avere la risposta in tasca: quello che è certo, e che se si valorizza l’elemento dell’oggetto della prestazione per escludere che lo stesso possa identificarsi con le correnti finalità amministrative e contabili, si rischia di arrivare a dire che nessuno dei casi indicati possa rientrare nel perimetro della norma, con il risultato di ridurre ad una sorta di incredibile sacco vuoto la categoria indicata dal legislatore.
In questo contesto, è ovvio che tutti gli operatori del settore si aspettavano che il Garante, in sede di emanazione del provvedimento, affrontasse prima di tutto, ed in modo esaustivo, proprio il tema della identificazione dei soggetti cui le misure erano destinate.
Di contro, nulla del genere è previsto nel provvedimento 27.11.08, dove ci si è limitati alla seguente, piatta tautologia:

Soggetti che possono avvalersi della semplificazione
Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili  riferiti ai propri dipendenti e collaboratori anche a progetto  quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (
cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).

Il paradosso che ne deriva, è quindi il seguente:
a) chi già prima sapeva di poter rientrare sulla scialuppa della autocertificazione, fruisce a pieno dei contenuti semplificatori del provvedimento (ammesso e non concesso che sia reperibile sul mercato un antivirus che si aggiorna annualmente....);
b) chi, se esiste, pensava di esser fuori dalla autocertificazione ed aspettava le auspicate semplificazioni, non potrà mai avere nessuna certezza sulla possibilità di rientrare o meno all’interno di coloro che trattano dati per correnti finalità amministrative e contabili. Con il risultato che la parte potenzialmente più importante del provvedimento stesso, e cioè quella relativa al DPS semplificato (ovviamente inutile per chi già fruisce della autocertificazione), rischia di restare allo stadio di puro esercizio di stile del suo ideatore.

Risultato finale? Il 31 marzo si avvicina: forse la cosa più conveniente da fare, è iniziare a lavorare all’aggiornamento del DPS per come lo abbiamo sempre conosciuto!
 

* Avvocato in Roma

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2009 Informazioni sul copyright