Ebbene sì. Con il decreto-legge 158/04,
pubblicato sulla Gazzetta ufficiale il 24 giugno, pare proprio sia arrivata l'italica
proroga, tanto agognata da far tirare un sospiro di sollievo a tutti quelli
(professionisti, aziende e loro consulenti) che nelle ultime settimane stavano
cercando, in modo più o meno rabberciato, di compilare il leggendario Documento
Programmatico sulla Sicurezza.
E, ne sono certo, non sarò stato l'unico a ricevere telefonate, SMS ed e-mail
da clienti che, in mancanza di soddisfazioni sul fronte calcistico, hanno
sfogato la propria energia positiva innalzando canti di giubilo per lo scampato
pericolo.
Ma, al pari di un goal che solo apparentemente garantisce la qualificazione.
tutta questa avventata euforia rischia di portare ad un duro, durissimo
risveglio.
Per quanto possa sembrare banale a tutti coloro che seguono la materia, la
domanda da porsi è infatti la seguente: che cosa è stato prorogato?
Faccio solo un paio di esempi, per cercare di dimostrare la drammatica portata
della inconsapevolezza che, all'occhio di qualsiasi operatore che lavori sul
campo, sembra permeare larghissimi settori produttivi e professionali.
Lo scorso 3 maggio, il Consiglio dell'Ordine degli avvocati di Roma, ha
organizzato un incontro che aveva ad oggetto l'impatto del codice della
privacy sulla attività forense, e che ha visto la partecipazione di illustri
relatori.
Dopo vari interessantissimi interventi si è passati al momento delle domande,
e, accanto a quesiti che dimostravano una chiara conoscenza delle problematiche
in campo, un collega ha.stracciato il velo di Maja ponendo il seguente
interrogativo:
"Gli avvocati sono tenuti a dare un informativa ai propri clienti soltanto per
i fascicoli aperti dopo l'entrata in vigore del codice, vero ?"
E ancora, subito dopo la notizia della proroga, il responsabile di una impresa
di medie dimensioni, nel rivolgersi al nostro studio per impostare l'intera privacy
policy (sconosciuta fino a quel momento alla sua azienda sotto ogni
profilo), mi ha comunicato quanto segue:
"Bene, avvocato, visto che è tutto rimandato a dicembre. ci sentiamo dopo l'estate"!!
Ora, non è questa la sede per cercare di capire come mai una legge in vigore
dal 1996 sia stata letteralmente ignorata da una enorme platea di suoi
destinatari; e troppo ci sarebbe da scrivere sulla portata distorta di un certo
tipo di informazione avviata in occasione della emanazione del DLgs 196/03.
Quello che mi preme sottolineare, è che al di là dei grandi gruppi
(industriali, bancari, assicurativi etc.etc.) che hanno posto una grande
attenzione ai problemi relativi alla data protection, il tessuto del
quale è composta la nostra realtà produttiva, e cioè le piccole e medie
imprese, così come il mondo delle professioni, siano rimasti in larga parte
letteralmente estranei a quel faticoso processo di assimilazione di una cultura
della privacy cui la L 675/96 aveva cercato di dare avvio.
E allora, alla luce di queste riflessioni (che nulla intendono avere di
polemico, volendo costituire solo uno spunto di riflessione per tutti noi),
proviamo a disegnare lo stato dell'arte, per comprendere cosa stia realmente
accadendo in questi giorni:
1) Esiste tutta un'area di adempimenti, quali informativa, acquisizione del
consenso (ove necessaria), designazione di responsabili ed incaricati (se
presenti), cui tutti i titolari di trattamenti sono tenuti da circa otto anni.
La famigerata proroga non ha nulla a che vedere con tali ambiti: chi (e per la
mia esperienza, come dicevo, sono tantissimi) sta affrontando il
problema-privacy per la prima volta in queste settimane, ha quindi
maledettamente bisogno di accelerare la sua attività di allineamento alla
normativa sotto questi profili, e non deve farsi distrarre da una. sirena del
rinvio, il cui canto non li riguarda affatto;
2) Il documento programmatico sulla sicurezza fa parte delle misure minime di
sicurezza già previste dal DPR 318/99, per
tutti coloro che effettuano "trattamenti di dati sensibili o giudiziari
mediante elaboratori accessibili mediante una rete di telecomunicazioni
disponibile al pubblico".
Costoro erano tenuti a redigere il loro primo DPS entro il 29 marzo 2000, e ad
aggiornarlo annualmente.
Ad esempio (secondo una interpretazione estensiva del DPR 318/99, criticata e
criticabile ma certamente sostenibile sulla base della formulazione normativa)
una qualsiasi piccola azienda, che avesse trattato i dati sensibili dei propri
dipendenti - malattia, trattenute sindacali etc.etc.- tramite un computer
connesso ad internet, poteva dunque considerarsi obbligata alla stesura del DPS
già da quattro anni!
Ora, una delle grandi innovazioni del codice, è stata quella di allargare la
platea dei titolari coinvolti da tale adempimento, da un lato ampliando la
definizione di "dato giudiziario", dall'altro estendendo l'obbligo a
tutti coloro che effettuano trattamenti mediante utilizzo di strumenti
elettronici (a prescindere dal fatto che si tratti o meno di elaboratori
accessibili al pubblico, secondo la previgente definizione). Il contenuto del
DPS è stato inoltre decisamente appesantito, stimolando una più attenta
analisi da parte dei titolari tenuti a redigerlo.
Subito è sorto (tra gli altri) un annoso problema interpretativo relativo
alla tempistica che avrebbe dovuto caratterizzare l'osservanza delle nuove
disposizioni:
- secondo la regola 19.1 contenuta nell'allegato
B del codice, infatti, il DPS deve esser redatto o aggiornato entro il 31 marzo
di ogni anno.
- di contro, l'art. 180 co. 1 del codice, dettando la disciplina transitoria,
prevede (anzi, prevedeva) che tutte le nuove misure di sicurezza di cui gli
artt. da 33 a 35 ed all'allegato B, compreso dunque il DPS, avrebbero dovuto
esser adottate entro il 30.06.2004 ( o al massimo entro il 31.12.04, in presenza
di impedimenti tecnici attestati in un documento di data certa da redigere entro
giugno, come previsto dall'art. 180 co. 2).
A ridosso della scadenza del 31.03.04, quindi, ci si è chiesti come avrebbe
dovuto essere gestita questa apparente discrasia. Sul punto, com'è noto, è
intervenuto il Garante per la protezione dei dati personali, in risposta ad un
quesito posto da Confindustria (Prima applicazione del Codice in materia di
protezione dei dati personali in materia di misure minime di sicurezza).
Pur se accompagnato da varie critiche (soprattutto per la sua anomala veste
formale, di difficile collocazione fra le fonti del diritto), tale documento ha
fissato degli importanti punti di riferimento. In particolare:
Benché non si tratti a rigore di una misura "nuova" è legittimamente
sostenibile che il DPS da redigere quest'anno per la prima volta o da
aggiornare, possa essere predisposto al più tardi entro il 30 giugno 2004,
anziché necessariamente entro il 31 marzo, data che è invece prevista a regime
per i prossimi anni, a partire dal 2005. Si perviene a questa conclusione per
tutti i destinatari dell'obbligo: a) sia per coloro che devono redigere il DPS
per la prima volta nel 2004; b) sia per chi, già dotato di un DPS redatto o
aggiornato nel 2003, ritenga necessario utilizzare un trimestre in più rispetto
all' (allora) prossimo 31 marzo, per curare la stesura di un testo
significativo e più impegnativo nella ricognizione dei rischi e degli
interventi previsti.
Alla luce di ciò, dunque, il 30 giugno era diventato il nuovo, indiscusso
punto di riferimento, tanto da aver generato una gravissima confusione :
anche tutti coloro che sono partiti da zero in questi mesi (e sono, lo ripeto,
tantissimi), e che in realtà erano tenuti a redigere il DPS già sulla base
della disciplina previgente, pur non avendovi provveduto, hanno guardato alla
scadenza come limite entro il quale compilare la prima versione del
documento! L'effetto-rinvio, cioè, ha portato a pensare che la dilazione del
termine (di fatto concessa dal Garante con la sua "legittima interpretazione"),
potesse consentire di dormire sonni tranquilli fino a giugno. Ma le cose, come
abbiamo visto, non stavano affatto in questo modo.
I mesi sono passati, i dubbi sulle tecniche di redazione del documento sono
aumentati, e quindi, sulla scorta di pressioni concentriche provenienti da più
parti, siamo giunti alla tanto auspicata proroga. Ma, chiediamoci ancora,
proroga di che cosa?
Il decreto-legge 158/04 prevede:
a) la modifica del termine previsto dall'art. 180 co. 1 (dal 30.06.04 al
31.12.04).
b) la modifica del termine previsto dall'art. 180 co. 2 (dal 31.12.04 al
31.03.05)
Ora, tali disposizioni debbono esser interpretate alla luce di quanto già
chiarito dal Garante nel documento sopra riportato. E quindi:
a) viene spostato in avanti di sei mesi il termine per la redazione del DPS,
soltanto per coloro che sono tenuti a compilarlo per la prima volta dopo l'entrata
in vigore del codice. Per gli altri, che già vi erano obbligati, potrà "legittimamente
sostenersi" che si sia spostato in avanti il termine per l'aggiornamento. Ma
né prima, né ora, coloro che sono rimasti inadempienti agli obblighi già
previsti dal DPR 318/99 (che, non mi stanco di sottolinearlo, sono la stragrande
maggioranza) possono permettersi di crogiolarsi in una pericolosissima inerzia;
b) con una norma veramente sorprendente, nonostante il legislatore abbia
previsto una proroga di sei mesi, viene riprodotto il meccanismo della
attestazione della impossibilità tecnica di adeguamento già previsto nell'art.
180 co. 2. Disposizione, questa, che poteva avere un senso nella versione
iniziale del codice, ma che alla luce dei descritti interventi normativi sarebbe
forse stato meglio eliminare completamente, per evitare la spiacevole sensazione
che i termini fissati dal DLgs196/03 avessero una valenza puramente
canzonatoria.
Concludendo: non c'è molto da esultare. Il grosso delle aziende e dei
professionisti deve al contrario lavorare duramente, e sollecitamente, per
assimilare policy interne e di relazione con l'esterno che siano
realmente (e non solo formalmente) conformi ai principi di una normativa che è
ancora ben lungi dall'esser stata metabolizzata dal nostro sistema-paese.
|
Pagina stampabile
