Una
strada obbligata per semplificare
di Manlio Cammarata -
20.10.97
Con l'ormai prossimo 1.
gennaio 1998 scatta l'obbligo di notificazione dei
trattamenti di dati personali, ai sensi degli articoli 7, 16 e 28
della legge 675/96. Con opportuno anticipo, il
Garante ha diffuso una prima bozza del modello di
notificazione, con l'intento di raccogliere i
suggerimenti delle parti interessate prima della
pubblicazione del modello definitivo.
Non riteniamo opportuno
riportare in queste pagine la bozza, sia per qualche
difficoltà tecnica(1),
sia per non creare confusione con il modulo definitivo,
che pubblicheremo appena sarà disponibile.
Prima di tentare una sommaria ricognizione del documento,
è necessaria una premessa. La legge 675/96 non è, come
credono molte persone e come spesso riportano i giornali,
"la legge sulla privacy", e anche il suo
lunghissimi titolo non ne rispecchia esattamente il
contenuto. Infatti. più che di di "Tutela delle
persone e di altri soggetti rispetto al trattamento dei
dati personali" si tratta di "Norme per il
trattamento dei dati personali ai fini della tutela delle
persone" eccetera eccetera. Solo tenendo presente
questo punto si può capire il principio sul quale è
basato il modulo: una specie di "740", diviso
in diversi quadri, molti dei quali composti di lunghe
serie di caselle da sbarrare.
Come appunto nel
"740" c'è un riquadro A) per i dati del
titolare. Poi c'è un quadro B) per i luoghi in cui sono
custoditi i dati e quindi si incomincia con le serie di
quadratini su cui apporre le crocette: C) Ambito di
comunicazione e diffusione dei dati, D) Descrizione
generale delle misure adottate per la sicurezza dei dati
E) Cessazione del trattamento, F) Notizie volte a
facilitare i rapporti con il Garante, G) Responsabile, H)
Persona fisica che sottoscrive la notificazione in forma
semplificata, I) Finalità e modalità del trattamento,
L) Natura dei dati soggetti a trattamento, M) Categorie
di interessati cui i dati si riferiscono, N)
Trasferimento di dati all'estero, O) Banca (o banche)
dati cui si riferisce il trattamento, infine P) Estremi
del notificante per il modello in forma ordinaria.
La successione dei quadri potrebbe essere più intuitiva;
per esempio, i quadri sulla natura, le finalità e le
modalità di trattamento potrebbero essere messi vicino
all'ambito di comunicazione e diffusione, ma sono
dettagli, perché di fatto il modulo non fa altro che
seguire pressoché alla lettera le puntigliose
elencazioni della legge. E, come nella legge, la
defatigante analisi delle casistiche, delle regole e
delle eccezioni finisce col far perdere il punto di vista
essenziale della tutela della riservatezza. La forma,
anzi la procedura, prevale sul contenuto. Ma non c'è
altra strada percorribile, la legge è quella che è, e
non si può chiedere al Garante di inventare procedure
diverse da quelle che la legge prevede.
Date queste premesse, si
deve riconoscere che è stato fatto uno sforzo notevole
per semplificare al massimo un adempimento che semplice
non può essere; la lettura delle lunghe e dettagliate
liste di casi tra i quali trovare quelli su cui apporre
la crocetta rivela un'analisi molto attenta di un grande
numero di situazioni e l'intervento di veri esperti della
materia. Infine, la previsione in ogni lista di una riga
"Altro (indicare)" lascia ai titolari lo spazio
per esporre situazioni particolari e potrebbe rivelarsi
molto utile per una futura nuova edizione del modello.
Spulciando qua e là si
trovano indicazioni interessanti. Per esempio, nel
riquadro delle notizie volte a facilitare i rapporti con
il Garante c'è anche lo spazio per gli indirizzi e-mail
del o dei titolari e del o dei responsabili del
trattamento, con tanto di "@" prestampata (ma
un solo trattamento può avere più di un titolare?); nel
riquadro F), "notizie volte a facilitare i rapporti
con il Garante", si trova un riferimento agli
articolo 2 e 19 della direttiva
europea 95/46, la
"madre" della legge 675/96, invece che alla
legge stessa: se non si tratta di una svista della bozza,
il rinvio potrebbe aprire una discussione interminabile,
perché le disposizioni europee sono meno dettagliate di
quelle italiane; infine, gli allegati che indicano i
codici da inserire in determinati quadri (sempre nel più
puro stile "740") rivelano la struttura
sistematica della notificazione e alla fine aiutano anche
a interpretare la legge!
Il riquadro D)
"descrizione generale delle misure adottate per la
sicurezza dei dati" è stato scritto evidentemente
avendo sott'occhio una bozza dell'ormai imminente
regolamento sulla materia (che, secondo l'articolo 15 della legge, dovrebbe essere emanato entro
il 4 novembre prossimo) e ne anticipa in qualche misura i
contenuti. Le misure di sicurezza sono suddivise in
"organizzative", "fisiche" e
"logiche", con una casistica che rivela
un'analisi molto accurata del problema. Tuttavia una
valutazione su questo punto potrà essere data solo dopo
la lettura del regolamento, soprattutto per quanto
riguarda la graduazione delle misure di sicurezza in
relazione... alla natura dei dati e alle specifiche
caratteristiche del trattamento, come recita la
legge.
Infine si nota la mancanza
di qualsiasi riferimento alla spinosissima questione
della diffusione di dati personali su Internet.(2) E' vero che la materia dovrà
essere regolata dal decreto legislativo previsto dalla
legge 676/96, ma nulla esonera gli Internet provider
dalla presentazione delle notificazioni entro il termine
del 31 marzo prossimo (per i trattamenti già in corso
alla fine dell'anno) o comunque prima di iniziare
l'attività, per i nuovi operatori. E molte previsioni
contenute nella bozza del modello potrebbero causare
problemi: per esempio, nel riquadro C) "ambito di
comunicazione e diffusione dei dati", dove deve
essere sbarrata la casella "altri Paesi",
comportando una richiesta di autorizzazione per la
diffusione anche verso stati che non offrono un livello
di protezione paragonabile a quello della UE. Difficoltà
possono sorgere anche con il riquadro O) "banca o
banche dati cui si riferisce il trattamento", nel
quale si chiede di dichiarare se il trattamento è
connesso con altri trattamenti o banche dati, anche
all'estero, nel quale la risposta è "milioni, nel
mondo intero"...
Nella versione definitiva del modello si dovrebbe
inserire in forma specifica l'indicazione della
diffusione su Internet "a futura memoria",
cioè in funzione del previsto decreto legislativo, che
non potrà non contenere qualche eccezione alla normativa
generale.
In conclusione, sembra che
la bozza del modello di notificazione mantenga la
promessa di semplificazione degli adempimenti fatta dal
presidente Rodotà all'inizio del suo mandato (vedi Rodotà:
prima di tutto semplificare, intervista dell'11 giugno di quest'anno).
Con gli opportuni ritocchi (anche per una migliore
leggibilità) e con l'aiuto di qualche esperto,
solleverà molti operatori da quello che fino a oggi è
stato "l'incubo della notificazione". Non è
poco.
--------------------
(1) La bozza è stata diffusa
nell'infernale formato "Word 97", con qualche
particolare che provoca il blocco del programma quando si
tenta la conversione per leggere il testo in Word 6 o
Word 95. Sarà bene evitare qualsiasi formato Word per il
modello definitivo e per qualsiasi altro tipo di
comunicazione, per il fatto che con questo formato
all'interno del testo e non visibili dal normale utente
possono trovarsi informazioni spurie (e magari riservate)
che il programma, per qualche incomprensibile motivo,
raccoglie dal computer usato per la scrittura.
(2) Il modello sarà diffuso sia su
carta, sia su dischetto. Perché non prevedere sin d'ora
la possibilità di notificazione per via telematica, con
tanto di autenticazione digitale, posto che il
regolamento sul documento informatico è ormai imminente?
Ma per questo il Garante dovrebbe avere un sito
Internet...
|
Pagina stampabile
