Dati personali: semplificazioni vere e apparenti

di Paolo Ricchiuto* - 16.07.08

L’Autorità riferisce di aver ritenuto opportuno “promuovere alcune misure di semplificazione per l'intero settore pubblico e privato in relazione alle correnti attività amministrative e contabili,  in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani”; di aver all’uopo condotto una approfondita istruttoria; di voler con il provvedimento enunciare “nuove linee guida-interpretative della normativa vigente”, anche mediante la individuazione di “soluzioni concrete”.

Quali sono gli strumenti utilizzati per perseguire questi importanti obiettivi?
Per comprenderne la portata, e la originalità, è necessario, come di consueto, partire dai requisiti giuridico-formali che caratterizzano l’impianto del provvedimento, costruito su tre direttrici fondamentali:
- la “prescrizione di misure opportune o necessarie” impartite dall’Autorità nell’esercizio dei poteri di cui all’art. 154 comma 1 lett. c), e cioè a dire prescrizioni il cui mancato rispetto può comportare la “non conformità del trattamento alle disposizioni vigenti”, con ogni conseguenza in termini di inutilizzabilità dei dati (art. 11 comma 2), di esposizione alle sanzioni amministrative ed a provvedimenti di divieto e/o blocco del trattamento (art. 161 e ss ed art. 154 comma 1 lett. d) ed, in ipotesi limite (in presenza degli altri presupposti previsti dall’art. 167) anche a responsabilità penale;
- una nuova ipotesi di bilanciamento di interessi, e cioè l'individuazione da parte del Garante, ai sensi dell’art. 24 comma 1) lett. g), delle condizioni per la effettuazione di un legittimo trattamento anche in assenza del consenso dell’interessato;
- una serie di (utilizziamo la dizione adottata nel provvedimento) “richiami” dell’attenzione degli operatori circa le modalità di gestione di alcuni adempimenti.

Ora, è sufficiente leggere il documento per verificare come (a tratti, come si dirà, sotto il cappello dell’esercizio di poteri di natura prescrittiva) l’area certamente più ampia del medesimo sia occupata da indicazioni operative di natura squisitamente interpretativa.
Non diversamente si potrebbero definire ad esempio, i consigli relativi alla impostazione di una informativa caratterizzata da linguaggio semplice e corredata dalle sole notizie essenziali in un quadro adeguato di lealtà e correttezza; o ancora all’inserimento della informativa stessa negli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili.

E natura non diversa, sembrerebbe potersi assegnare al puro e semplice richiamo del contenuto di alcune norme, come accade con riferimento alla designazione degli incaricati (semplice rimando operato dal Garante all’esistenza dell’art. 30 comma 2 in ordine alla cosiddetta designazione per classi omogenee di incarico in luogo degli incarichi individuali); o con riguardo alla notificazione (assenza dell’obbligo per i trattamenti effettuati con mere finalità attività amministrative e contabili, come agevolmente si arguisce dalla lettura dell’art. 37).

Domanda: come mai il Garante ritiene di dover sensibilizzare gli operatori ponendosi nella insolita posizione di super-consulente? La risposta è nelle premesse del documento, laddove si specifica senza mezzi termini come nel dare applicazione alle disposizioni del Codice, ci si sia lasciati andare ad approcci prettamente burocratici e si sia dato seguito ad adempimenti superflui o ripetuti inutilmente, e ciò talvolta (almeno… ndr) per effetto di erronee valutazioni fornite in sede di consulenza.

In altri termini: una certa quota della percezione di disinteresse e fastidio con cui vengono universalmente vissuti gli adempimenti per la privacy, è dovuta secondo l’Autorità a consulenti che non sanno fare il loro mestiere, che non hanno saputo interpretare o anche semplicemente leggere le norme del codice, ed hanno malconsigliato ai propri clienti soluzioni burocratiche e prive di valore aggiunto.

Certo, in giro si sono viste le cose più incredibili (dal DPS venduto on line da qualche avvocato a 19 euro, a software cervellotici che avrebbero fatto incartare su se stesso anche il più solerte dei titolari). E certamente è a tali distorsioni che il Garante si riferisce, stimolando chiunque si occupi di questa materia ad atteggiamenti più professionali

Se fosse solo questo il problema, ci si potrebbe fermare ad una semplice riflessione sulla opportunità che un’ autorità, anche solo incidentalmente, spenda le sue energie per polemizzare sulle capacità degli interpreti. O ancora ci si potrebbe limitare ad interrogarsi sulla possibilità di ravvisare anche in altri fattori le problematiche culturali e pratiche che hanno condotto al senso di “fastidio e disinteresse” che ammanta gli adempimenti, compresi, forse, anche alcuni interventi non proprio chiari del Garante in alcune materie (un esempio su tutti: il provvedimento del 01.03.07, contenente le linee guida su posta elettronica ed internet che, a distanza di un anno e mezzo dalla sua pubblicazione, non ha ancora trovato una sua chiara collocazione, scatenando una ridda di voci dissonanti sulla necessarietà o meno di ricondurre i disciplinari interni redatti dalle aziende alla dinamica di cosiddetta co-detereminazione sindacale prevista dell’art. 4 dello statuto dei lavoratori).

Ma il problema è un altro. Come già accennato, infatti, soltanto alcuni dei consigli impartiti dal Garante sono rimasti allo stato di “richiami all’attenzione”.
Di contro, tutte le importanti soluzioni operative relative alla informativa e al consenso (adottate in ossequio al principio di semplificazione nella elevata tutela di cui all’art. 2 comma 2), vengono espressamente formalizzate dal Garante come misure “opportune o necessarie” indicate ai titolari nell’esercizio dei poteri di cui all’art. 154 comma 1 lett. c).

Ecco allora che il quadro si complica, atteso che, non dando seguito ai consigli dell’’Autorità, non si cade semplicemente nel mancato recepimento di una good practice, ma si rischia di incappare nella violazione di una misura opportuna o necessaria, con tutte le conseguenze che ne possono derivare sulla liceità del trattamento.

Guardato sotto questo punto di vista, l’approccio al provvedimento diventa decisamente problematico. Quando infatti l’Autorità invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati qualora sussista uno dei casi di esclusione previsti dall’art. 24 richiamati, e tanto fa espressamente, ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), l’Autorità non sta dispensando un semplice suggerimento illuminato, ma sta impartendo una prescrizione. Con il risultato, abbastanza originale, che l’acquisizione di un consenso laddove non sia richiesto, non solo è inutile, ma è potenzialmente tale da rendere il trattamento “non conforme alle disposizioni vigenti”.

O ancora: quando il Garante indica la strada della informativa semplificata seguita da una più articolata informativa reperibile ad esempio on line, e tanto fa richiamando, oltre all’art. 13 commi 3 e 5, anche l’art. 154 comma 1 lett. c), non sta soltanto indicando una via esegetica o una soluzione semplificata, ma sta dando una prescrizione almeno apparentemente vincolante. Il che, a stretto rigore (si consenta il paradosso, a semplici fini argomentativi) dovrebbe condurre all’aberrante risultato che il titolare che sia riuscito a congegnare una informativa unica, snella e completa di tutti i suoi elementi, veda la sua virtuosa condotta messa a rischio dal fatto di aver con ciò violato la prescrizione di farla precedere da una informativa “breve” appiattita sul testo redatto dall’Autorità.

E c’è di più: fra le misure prescrittive, infatti, il Garante introduce un elemento del tutto nuovo, consistente nel fatto che il titolare sia tenuto, nella informativa “finale”,“a specificare la data dell'ultimo aggiornamento, elemento questo non previsto dall’art. 13, e che dunque appare – diciamolo eufemisticamente – abbastanza in controtendenza rispetto alla spirito di semplificazione che avrebbe dovuto caratterizzare il provvedimento.

In sintesi, dunque, è quantomeno dubbio che il target di semplificare gli adempimenti possa ritenersi realmente raggiunto, se è vero che: a) in parte il provvedimento non fa altro che richiamare il testo di alcune norme; b) nel dettare le indicazioni semplificatrici, si è scelta in larga parte la strada della prescrizione, con ciò rischiando di appesantire, invece che di risolvere, dubbi e criticità.

Diversamente, un reale e salutare effetto semplificativo, potrebbe forse ravvisarsi nel nuovo caso di bilanciamento di interessi individuato dal Garante, che garantisce, fermo il rispetto delle relative indicazioni impartite, la possibilità di trattare i dati dell’interessato anche in assenza di un suo specifico consenso.
Il caso, è quello dei titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili: costoro, per poter contattare i propri clienti e proporre nuovi prodotti, erano tenuti, secondo l’assetto del codice, ad acquisire o meno un consenso a seconda del tipo di strumento utilizzato.
A norma dell’art. 130, infatti, qualora fossero utilizzati sistemi automatizzati di chiamata, fax, e-mail, tale trattamento non poteva in nessun caso prescindere dal consenso. Per strumenti di diversa natura (telefono con operatore o posta cartacea) operavano invece i principi generali dettati dagli artt. 23 e 24, potendo dunque il titolare usufruire di uno dei casi di esclusione previsti dall’art. 24 (ad es: quello previsto dall’art. 24 comma 1 lett. d, esercizio di attività economiche, che rendeva e rende certamente legittimo il mailing cartaceo nei confronti di professionisti o aziende anche in assenza del loro consenso preventivo).

Tale assetto era temperato da due ambiti specifici: a) quello previsto dall’art. 130 co. 4, che abilitava al mailing elettronico anche senza il consenso dell’interessato, purchè finalizzato alla promozione di prodotti o servizi analoghi; b) quello introdotto dall’art. 58 comma 2 del Codice del consumo (d.gsl. 206/05), che di fatto, nei rapporti con i consumatori, ed ove fossero utilizzati strumenti diversi da quelli di cui all’art 58 comma 1, escludeva il trattamento dalla applicazione delle regole privacy, e dunque anche dalla necessarietà della acquisizione del consenso.

L’impianto che ne derivava era dunque decisamente variegato, e, con riguardo specifico all’utilizzo della posta cartacea, si poteva affermare che per vagliare la utilizzabilità di tale tale strumento a fini promozionali, si dovesse necessariamente far riferimento al profilo soggettivo dell’interessato coinvolto, atteso che se si fosse trattato di imprese e professionisti si sarebbe potuto applicare il citato caso di esclusione dell’ art. 24 comma 1 lett. d); se si fosse trattato di un rapporto soggettivamente riconducibile all’ambito di applicazione del codice del consumo, si sarebbe potuto fruire della esenzione prevista dal relativo art. 58 comma 2 (d.lgsl. 206/05).

Il provvedimento di bilanciamento di interessi interviene sulla materia, spostando l’asse della valutazione su un piano, invece, esclusivamente oggettivo, e mutuando la dinamica già regolata per il mailing elettronico dall’art. 130 comma 4: le condizioni per poter effettuare il mailing cartaceo nei confronti dei propri clienti, sono infatti: a) che i dati siano stati acquisiti in sede di vendita di un prodotto o servizio; b) che l’attività promozionale riguardi esclusivamente beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita.
In tal modo l’area di esenzione dalla acquisizione del consenso per finalità commerciali perseguite mediante la posta tradizionale, si emancipa dai vincoli di natura soggettiva, e ferma la sussistenza delle predette condizioni oggettive, assume caratteri generalizzati, (controbilanciati dalla prescritta necessarietà della informativa all’interessato in ordine al suo diritto di opporsi comunque in qualsiasi momento a detti trattamenti, secondo dinamiche proprie di un sistema di opt-out).

Anche se intervenendo su un piano (quello del mailing cartaceo) nel quale esistevano già notevoli spazi di esenzione , sotto questo punto di vista si può dunque affermare che il provvedimento del Garante possa perseguire gli scopi di semplificazione cui era preordinato.

Un’ultima annotazione: il provvedimento del Garante si chiude con una segnalazione al Governo, circa la “opportunità” di una modifica normativa dell’art. 33 del Codice, che rimetta al Garante il potere di prevedere modalità semplificate di adozione delle misure di sicurezza (primo fra tutti, il DPS) con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani. Vari comunicati stampa hanno annunciato, all’esito di ciò, una serie di incontri tra il Garante e alcuni membri dell’attuale governo, che però, almeno allo stato, non hanno condotto agli esiti normativi ipotizzati dallo stesso Garante.
Diverse, infatti, come stiamo per vedere, sono state le scelte per il momento adottate dal legislatore.

Il secondo pilastro della descritta spinta semplificatrice, è infatti costituito dall’art. 29 del cosiddetto "decreto dell’estate", mediante il quale sono state introdotte alcune novità normative di grandissimo impatto operativo. Analizziamole.

1. Tutti sappiamo che dal combinato disposto dell’art. 34 comma 1 lett.g) e della regola 19 dell’allegato B del codice, emerge l’obbligo di redazione del documento programmatico sulla sicurezza (DPS), secondo le modalità meglio specificate nella stessa regola 19) a carico di tutti coloro che effettuino trattamenti di dati sensibili e giudiziari mediante l’utilizzo di strumenti elettronici. E tutti sappiamo che, in virtù di questa formulazione, per rimanere coinvolti in tale adempimento, è sufficiente avere alle proprie dipendenze un lavoratore che invii un certificato di malattia sul modulo INPS (dunque anche senza diagnosi), trattandosi comunque di dato sensibile, idoneo a rilevare lo stato di salute.

Ora, il primo e più importante intervento semplificatore operato dal legislatore nel decreto dell’estate, è stato quello di identificare una determinata area di soggetti, quelli che trattano soltanto dati personali non sensibili e l'unico dato sensibile e' costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, e di “sostituire” per tali soggetti l’adempimento del DPS con una autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, il cui contenuto potrà limitarsi alla attestazione di trattare soltanto dati personali non sensibili, che l'unico dato sensibile e' costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, e che il trattamento di tale ultimo dato e' stato eseguito in osservanza delle misure di sicurezza richieste dal presente codice nonche' dall'allegato B.

Tale intervento, che si può senza eufemismi qualificare come veramente rivoluzionario, consentirà di esonerare dal gravoso adempimento del DPS una fetta enorme di titolari, che potranno limitarsi alla semplice autocertificazione.

2. rendendo atto della vetustà e della complicatezza del disciplinare tecnico di cui all’allegato B del codice nella parte relativa al DPS, il decreto prevede poi un fulmineo aggiornamento della regola 19, rimettendo ad un decreto del Ministero della giustizia da emanarsi entro due mesi dalla legge di conversione, il compito di prevedere modalità semplificate di redazione del DPS, limitatamente, però, alle sole attività amministrative e contabili. Non si tratterà, dunque, di una revisione generalizzata, ma di un intervento mirato esclusivamente ai trattamenti che non eccedano le finalità così descritte;

3. Sempre in linea con l'accelerazione impressa al processo di semplificazione, il decreto prevede poi un meccanismo abbastanza curioso (che ha il colore di una sorta di auto-diffida) in forza del quale, qualora il decreto ministeriale non venga emanato entro il termine previsto, allora la esenzione totale dall’adempimento del DPS e la sostituzione del medesimo con una autocertificazione si estenderà anche a tutti i soggetti di cui al comma 2, e cioè a tutti coloro che da un lato sono tenuti alla redazione del DPS, ma che dall’altro svolgono trattamenti che si concretano in mere attività amministrative e contabili;

4. Un ulteriore snellimento riguarda poi l’adempimento della notificazione che a) dovrà essere trasmessa “attraverso il sito del Garante” (ciò che sembra indirettamente superare la dinamica della sottoscrizione con firma digitale e del relativo invio telematico così come prevista dal previgente testo dell’art. 38 comma 2); b) dovrà avere contenuti molto più semplici rispetto a quelli attuali. Principi, tutti, che dovranno essere trasfusi in un nuovo modello di notificazione, che il Garante è chiamato ad adottare “entro due mesi dall’entrata in vigore della presente legge”.

Come è agevole verificare, si tratta dunque di un ventaglio di autentiche semplificazioni, che cambieranno almeno parzialmente il volto di una serie di adempimenti.
Certo, il decreto non è esente da alcune importanti criticità. Se ne possono individuare, a caldo, alcune, che solo la prassi operativa (o eventuali interventi in sede di conversione del decreto) saranno in grado di fugare.

1. L’autocertificazione dovrà essere reiterata annualmente entro il 31 marzo o no? In altri termini: l’intervento modificativo coinvolge anche il primo paragrafo della regola 19? Oppure i titolari coinvolti potranno effettuare una unica autocertificazione a valere anche per gli anni a venire? A prima vista, se è vero che la norma esenta alcuni titolari dall’adempimento stesso del DPS, si potrebbe anche ritenere sufficiente una autocertificazione operata una volta per tutte. Ma sul punto è certamente auspicabile un intervento chiarificatore;

2. Che cosa si intende per “attività amministrative e contabili” suscettibili delle semplificazioni da adottare con il decreto ministeriale? Se si tratta di soggetti che non rientrano nell’area di esenzione prevista dal comma 1 dell’art 29 del decreto, e che dunque non possono usufruire della autocertificazione, in che modo gli stessi possono rientrare nella diversa categoria di chi opera trattamenti a soli fini amministrativi e contabili ? Anche in questo senso, in assenza di un chiarimento, l’area dei soggetti coinvolti non dall’autocertificazione, ma dalla mera semplificazione del DPS rischia di rimanere pericolosamente indeterminata, e ciò anche ai fini della eventuale estensione della autocertificazione, laddove il DM non venga emanato tempestivamente;

3. Attenzione: rimanere esentati (o… semplificati) dall’adempimento del DPS, non fa venir meno il vincolo generale alla adozione delle idonee e preventive misure di sicurezza previste dall’art. 31 del codice. Redigere un buon ed equilibrato DPS, anche laddove a ciò non obbligati (prima, perché non si trattavano dati sensibili o giudiziari con strumenti elettronici; ora, perché coinvolti dalla autocertificazione), si è rivelato spesso un buon modo per mettersi in condizione, nell’ambito di un contenzioso civile, di dimostrare agevolmente la correttezza della propria condotta, a volte con effetti decisivi per poter scartare la inversione degli oneri probatori imposta dall’art. 15 del codice;

4. La previsione della sottoscrizione della notificazione con firma digitale, seppure con tutte le difficoltà che ha creato in sede di prima applicazione, è stata sempre considerata come uno dei volani più efficaci per consentire la definitiva affermazione di tale strumento. Superare tale meccanismo, dunque, da un lato certamente semplifica la vita a tutti coloro che non si erano ancora dotati del dispositivo di firma; dall’altro, però, rischia di tradursi in una sorta di retrocessione sulla via del lancio definitivo della firma digitale.

In conclusione: c’è tantissima carne al fuoco. Tanto da discutere. L’auspicio è che sia in sede interpretativa, sia a livello normativo, si riesca a trovare una via per far sì che nel semplificare…. le cose non si complichino!
 

* Avvocato in Roma