Ci risiamo. La proroga della proroga della proroga dell'adozione delle nuove
misure di sicurezza previste dal codice privacy, è stata definitivamente
approvata il 1. marzo scorso.
La notizia circolava già da qualche giorno: nel disegno di legge relativo alla
conversione del decreto legge 314/04 discusso alla Camera nella prima settimana
di febbraio, qualcuno aveva pensato di introdurre una norma che nulla aveva a
che vedere con le materie trattate dal decreto-legge oggetto di conversione, e
che spostava ancora una volta in avanti i termini per mettersi in regola con le
nuove misure di sicurezza.
Il testo è stato quindi trasmesso al Senato che, all'esito di una
discussione condotta sotto la spada di Damocle della decadenza, proprio l'ultimo
giorno utile ha licenziato il testo definitivo della legge di conversione, nel
quale è contenuto, appunto, l'art. 6-bis, rubricato "Misure di sicurezza
nel trattamento dei dati personali", ed a norma del quale:
All'articolo 180 del decreto legislativo 30 giugno 2003, n. 196, e successive
modificazioni, sono apportate le seguenti modificazioni:
a) al comma 1, le parole: «30 giugno 2005» sono sostituite dalle seguenti:
«31 dicembre 2005»;
b) al comma 3, le parole: «30 settembre 2005» sono sostituite dalle seguenti:
«31 marzo 2006»"
L'ennesimo rinvio lascia letteralmente sconcertati per una serie di motivi,
che cercherò di esporre il più sinteticamente possibile.
1. proprio in concomitanza con i lavori parlamentari alla Camera, il
presidente del Garante aveva presentato la sua relazione annuale per l'anno
2004. All'evento era stato dato un enorme rilievo, mediatico ed istituzionale,
impreziosito dalla partecipazione delle più alte cariche dello Stato.
Addirittura il presidente del Senato aveva proposto, per dare ancora maggiore
risalto al tema della privacy, che alla relazione annuale venisse data una veste
formale tale da assumere non un mero profilo informativo, quanto un effettivo
ruolo di stimolo al Parlamento per una maggiore attenzione alle principali
tematiche inerenti la protezione dei dati personali.
Nella relazione (consultabile sul sito www.garanteprivacy.it)
il Garante, dopo aver dato conto dell'immane lavoro svolto, con specifico
riferimento alla proroga ed alla proroga della proroga, manifestava tutto il suo
disappunto:
Devono comunque rilevarsi alcuni segnali che sembrano muoversi in
controtendenza rispetto al progetto di "stabilizzare" le regole di
protezione dei dati personali. Già nel primo anno di vigenza del Codice ,
infatti, sono stati introdotti alcuni, seppur circoscritti, interventi
modificativi in settori di rilievo, e segnatamente in relazione... alle ripetute
proroghe dei termini per adottare le misure minime di sicurezza e i regolamenti
sul trattamento dei dati sensibili da parte dei soggetti pubblici...
Con specifico riguardo alle misure minime di sicurezza, malgrado la scadenza
originariamente fissata potesse ritenersi congrua rispetto alle esigenze
prospettate (tanto più che era previsto il più ampio termine del 1° gennaio
2005 per i soggetti che alla data di entrata in vigore del Codice non
disponessero di strumenti elettronici tali da consentire l'immediata
applicazione delle misure di sicurezza), essa ha subito, in
appena un anno, un duplice rinvio.
Insomma: massima attenzione degli organi istituzionali, grandi petizioni di
principio, limpida e pungente lamentela del Garante sulla adozione di
provvedimenti "in controtendenza".
Risultato? A tre settimane di distanza... la proroga della proroga della
proroga.
Basterebbe questo per interrogarsi sulla sensibilità del legislatore rispetto
alla importanza dei temi legati alla data protection.
Ma c'è di più.
2. Come sappiamo, l'ultima proroga era stata adottata con il
decreto-legge 09.11.04 n. 266, poi convertito con la legge 2712.04, n. 306. Ora,
la legge nella quale è contenuto l'art. 6-bis, riguarda tutt'altro, e
segnatamente la conversione in legge del DL 314/04 nel quale veniva prorogato di
tutto e di più, ma che non conteneva riferimento alcuno alla privacy.
In altri termini: si è "infilato" in un provvedimento che conteneva mille
proroghe, un tema che nel decreto legge da convertire non era affatto
contemplato.
Bene. Già questo, ad una primissima impressione, mi aveva insinuato il
dubbio che ci fosse qualcosa che non funziona. Domanda: è possibile inserire
liberamente in una legge di conversione di un decreto-legge. anche disposizioni
che non erano affatto contenute nel decreto da convertire? La domanda non è
così peregrina se è vero che in Commissione affari costituzionali della
Camera, il deputato Giorgetti aveva sollevato una questione pregiudiziale
proprio relativa alla "inammissibilità per estraneità di materia di alcune
disposizioni non riconducibili alla materia oggetto del decreto legge in via di
conversione" e ciò sulla base della lamentata violazione degli art. 89 c. 1 e
96 c. 7 del regolamento della Camera.
Nel successivo sviluppo dei lavori parlamentari, la questione è stata
superata a maggioranza.
Ma, al di là dei regolamenti di Camera e Senato, ed appuntando l'attenzione
sul più generale piano costituzionale, il problema c'è o no?
Da un primo esame della giurisprudenza sul punto, sembrerebbe che la Corte
costituzionale abbia risolto il quesito. Mi riferisco alla sentenza 26.07.95 n.
391, dove con riferimento all'art. 77 Cost. si afferma la legittimità
costituzionale di una disposizione, per l'appunto, introdotta per la prima
volta in sede di conversione di un decreto legge.
Nonostante ciò, continuo a sentire puzza di bruciato, e credo che tutti noi
dovremmo ulteriormente approfondire il tema, non foss'altro per fugare ogni
dubbio in proposito.
Una cosa, però, è certa: è sufficiente leggere gli atti parlamentari
(disponibili sul sito www.camera.it, nei
resoconti relativi al disegno di legge 5521 e sul sito www.senato.it, disegno di legge 3924), per
rendersi conto di quanto la scelta di inserire nella legge di conversione l'art.
6-bis sia stata scarsamente meditata.
I deputati si sono azzuffati sul ben più visibile argomento, elettoralmente
parlando, della proroga dell'incarico del procuratore antimafia, e sugli altri
temi contenuti nel disegno di legge. Ma, almeno io, da una sommaria lettura dei
lavori parlamentari, al di là di qualche blanda lamentela dei membri dell'opposizione,
non ho trovato un argomento che sia uno, tale da spiegare la opportunità di
dare seguito alla ennesima proroga dei termini di cui all'art. 180 del codice
della la protezione dei dati personali.
Sta di fatto che la proroga è legge, e non possiamo dunque esimerci dal
misurarne gli impatti pratici. Valgono, a tale riguardo, tutte le riflessioni
già ampiamente illustrate in occasione delle precedenti proroghe (vedi DPS: non tutti gli obblighi
sono stati prorogati e Misure
minime e DPS: la proroga della proroga) che ricapitoliamo qui:
1. La proroga non riguarda le misure di sicurezza già previste dal DPR
318/99, compresa la redazione del DPS, nella sua originaria conformazione. Non
tutti, quindi, possono gioire dell'ennesimo rinvio, ma chi era già tenuto a
redigere il DPS sulla base della disciplina precedente ("trattamenti di dati
sensibili o giudiziari mediante elaboratori accessibili mediante una rete di
telecomunicazioni disponibile al pubblico") continua ad esser vincolato all'adempimento
ed all'aggiornamento annuale (sul punto, qualcuno ha provato a sostenere che,
avendo il codice privacy abrogato tutte le disposizioni precedenti, compreso il
DPR 318/99, quest'ultimo non potrebbe più trovare applicazione. Tesi
interessante, ma che sembra collidere con le indicazioni date dal Garante ("Prima
applicazione del Codice in materia di protezione dei dati personali in materia
di misure minime di sicurezza", del 22.03.04, parere nel quale esplicitamente
si legge: "le misure minime che erano già obbligatorie in passato devono
essere adottate ancora oggi senza attendere il decorso di termini transitori").
2. L'ultima proroga, al pari di quelle precedenti, vale soltanto per
coloro che siano tenuti per la prima volta alla redazione del DPS, sulla base
della nuova configurazione degli obblighi di sicurezza previsti dal disciplinare
tecnico allegato al codice; per costoro, la scadenza relativa all'aggiornamento
del DPS prevista per il 31 marzo dalla reg. 19 del disciplinare tecnico, deve
considerarsi per quest'anno superata, ed il nuovo punto di riferimento,
secondo la tesi "legittimamente sostenibile"a parere del Garante (vedi il
citato documento 22.03.04), non può che essere quella dettata dall'art.
6-bis, e cioè il 31.12.05.
Questo, a grandi linee, il quadro che emerge da una lettura complessiva delle
norme e delle indicazioni date dal Garante.
Resta, sullo sfondo, la piena vigenza dell'art.
15 del codice, che al di là del delirio normativo sulle misure minime di
sicurezza, prevede un preciso obbligo risarcitorio a carico di chi cagioni ad
altri un danno per effetto del trattamento dei dati personali, ivi compresa la
mancata adozione di "idonee" misure di sicurezza (art. 31 del codice).
Ed allora, non foss'altro per questo, credo che la linea da seguire per chi
continua a crogiolarsi nelle proroghe non possa che essere quella di mettersi
immediatamente al lavoro per impostare una corretta policy di sicurezza.
Se non è il legislatore ad imporlo, avvitato com'è in un "loop da proroga"
che ormai può essere assimilato a quello relativo alla esecuzione degli
sfratti, dovrà essere la coscienza dei singoli a guidare il radicamento di una
cultura aziendale privacy oriented.
Sarà triste, ma è così.
|
Pagina stampabile
