|
Con la legge 6 agosto 2008 n.
133, è stato convertito in
legge il "decreto dell’estate" (DL 25 giugno 2008, n. 112).
Molte le modifiche e le novità, introdotte rispetto al testo originario dell’art. 29, tante e tali da aver trasformato la
norma in una specie di patchwork multicolore, non sempre pienamente
leggibile.
Tentiamo, allora, di mettere un po’ di ordine, seguendo il filo della nuova
disposizione (e rinviando, per tutto quanto è rimasto immutato, alle
considerazioni già operate nel precedente intervento Dati personali:
semplificazioni vere e apparenti.
1. La prima, importante innovazione è costituita dall’estensione
dell’area dei trattamenti di dati sensibili che, anche se effettuati con
strumenti elettronici, non comporteranno l’obbligo di redazione del DPS,
aprendo la porta al ben più semplice adempimento della autocertificazione: il
testo originario dell’art. 29 del decreto, modificando l’art. 34 del codice
della privacy, esentava soltanto i datori di lavoro che trattano, come unici
dati sensibili, quelli “costituiti dallo stato di salute o di malattia dei dipendenti”:
così formulata, la norma rischiava di vanificare essa stessa l’intenzione
semplificatrice che la sosteneva, atteso che era sufficiente che il dato
sanitario riguardasse un collaboratore oltre che un dipendente, per far
rientrare dalla finestra l’obbligo di redazione del DPS.
Inoltre, nella versione iniziale, non si era contemplata l’ampia area delle
aziende sindacalizzate, in cui il datore di lavoro tratta necessariamente anche
il dato, sensibile, relativo all’adesione ad organizzazioni sindacali
(trattamento, questo, di fatto necessario, non foss’altro per la trattenuta in
busta paga della relativa quota di adesione). Riparando ad entrambe le
dimenticanze, il nuovo testo dell’art. 29 estende l’autocertificazione anche
a chi gestisce elettronicamente i dati di malattia dei “collaboratori anche a
progetto”, nonché i dati relativi alla “adesione ad organizzazioni
sindacali o a carattere sindacale”.
2. nel testo originario dell’art. 29 del decreto,
era previsto che “l’obbligo di cui alla lettera g) del comma 1 e di cui al
punto 19 dell’allegato B” (e cioè, l’obbligo di tenuta di un aggiornato
DPS), fosse sostituito “dall’autocertificazione”, mediante la quale il
titolare del trattamento doveva attestare non solo che gli unici trattamenti di
dati sensibili effettuati con strumenti elettronici fossero quelli contemplati
dalla norma (i dati sanitari dei dipendenti), ma anche che il trattamento fosse
“eseguito in osservanza delle misure di sicurezza richieste dal Codice,
nonché dell’allegato B”: tradotto in italiano, ciò equivaleva a
formalizzare un principio importantissimo, e cioè che la esenzione dal DPS non
potesse tradursi nell’allentamento delle altre misure di sicurezza comunque
previste dal codice, cui anche i titolari coinvolti dalla autocertificazione
erano comunque tenuti a dare seguito (si pensi, ad esempio, a tutte le norme
previste dal disciplinare tecnico per i trattamenti effettuati con strumenti
cartacei – regole 27 e ss.).
Ora, in sede di conversione, deve esserci stato chi ha pensato di chiarire ancor
meglio tali profili. Ne è uscita una norma dall’incedere sintattico malcerto
ed esteticamente orripilante. Recita infatti oggi l’art. 29 (depurato
degli incisi che ne rendono ancor più difficile la lettura): “la tenuta di un
aggiornato DPS è sostituita dall’obbligo di autocertificazione… di
trattare soltanto tali dati in osservanza delle altre misure di sicurezza
prescritte”. Se si riesce a superare la cacofonia, il senso della norma
non dovrebbe esser cambiato: chi rientra nell’autocertificazione, è vincolato
ad attestare la corretta adozione delle misure di sicurezza diverse dal DPS;
3. accanto a discutibili, semplici maquillage come quello
appena descritto, l’aspetto sicuramente più importante della legge di
conversione consiste nella eliminazione del comma 2 dell’originario art. 29
del decreto, a tenore del quale si profilava, entro due mesi, un salutare
aggiornamento/adeguamento del disciplinare tecnico inteso alla semplificazione
delle modalità di redazione del DPS. Tanto sarebbe dovuto avvenire nelle forme
prescritte dall’art. 36, e cioè con decreto del Ministero della giustizia, di
concerto con il Ministero per la innovazione tecnologica, ed avrebbe dovuto
comunque riguardare soltanto i trattamenti effettuati per le “correnti
finalità amministrative e contabili”.
Il legislatore, re melius perpensa, in sede di conversione, ha deciso di
liberarsi della patata bollente, gettandola nelle mani del Garante. Prevede,
infatti, il nuovo testo dell’art. 29 come in relazione a tali trattamenti (dati
sanitari di dipendenti e collaboratori e dati relativi all’adesione ad
organizzazioni sindacali) nonché a trattamenti comunque effettuati per
correnti finalità amministrative e contabili, in particolare presso piccole e
medie imprese, liberi professionisti ed artigiani, il Garante, sentito il
Ministro per la semplificazione normativa, individua con proprio provvedimento,
da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico di cui all’allegato B in ordine alla adozione delle
misure minime di sicurezza di cui al comma 1.
Prevede poi il comma 2, come detto provvedimento debba essere
emanato entro due mesi dall’entrata in vigore della legge di conversione. Ne
deriva che:
- è stata sostanzialmente accolta la sollecitazione che il
Garante aveva operato in calce al provvedimento di semplificazione del 19 giugno
2008 (rubricato sotto la voce “Semplificazioni di taluni adempimenti in ambito
pubblico e privato rispetto a trattamenti per finalità amministrative e
contabile”): la norma attuale, riprende anche sintatticamente la indicazione
suggerita dal Garante;
- il provvedimento di semplificazione che l’autorità
dovrà adottare, oltre ad avere una portata limitata agli ambiti disegnati dalla
norma, non si concreterà in un aggiornamento formale del disciplinare tecnico
(atteso che il Garante non ha il potere di modificare quanto a suo tempo
stabilito con il decreto ministeriale mediante il quale venne adottato l’allegato
B). Stiamo per assistere, dunque, all’ennesima stratificazione, per cui al
disposto del disciplinare tecnico verrà affiancato un provvedimento sì,
semplificatorio, ma di diversa natura ed adottato in una diversa sede. Con buona
pace delle intenzioni sistematizzatorie che avrebbero dovuto caratterizzare l’adozione
del testo unico 196 del 2003;
- almeno per ora, alla luce di tutto ciò, non abbiamo
davanti alcuna modifica formale del disciplinare tecnico. Da notare, però, che
il giorno in cui si deciderà di dare corso “all’adeguamento” comunque
previsto dall’art. 36 del codice, il decreto del Ministero di Giustizia dovrà
esser adottato di concerto non solo con il Ministero dell’Innovazione, ma
anche, in virtù della modifica dell’art. 36 del codice apportata sul punto
dalla legge di conversione, con l’attivissimo (!) Ministero della
semplificazione normativa.
Due ultime annotazioni:
- nessuna rilevante novità nel testo convertito dell’art. 29 del decreto con
riguardo alle nuove procedure per la notificazione (resta fermo, quindi, il
superamento dell’uso della firma digitale). Unico chiarimento, riguarda il
fatto che nel nuovo modello non dovrà necessariamente (come sembrava esser
previsto in precedenza) esser indicato il responsabile del trattamento, essendo
possibile limitarsi ad indicare “le modalità per individuare il responsabile
del trattamento, se designato”;
- in linea con il discutibilissimo costume del legislatore di inserire in sede
di conversione norme in nessun modo previsto nel decreto legge originario
(prassi sulla cui tenuta costituzionale, come ben sappiamo, c’è molto da
discutere), la legge di conversione del decreto dell’estate ha introdotto una
nuova, importante ipotesi intesa a legittimare il trasferimento di dati
personali nei paesi extra UE: oltre agli altri casi già previsti dagli artt. 43
e 44, e sull’onda delle esigenze più volte rappresentate da molte
multinazionali (e di quanto va accadendo in altri paesi, ove il tema è stato
già affrontato), è stata infatti introdotta un ulteriore ipotesi di
autorizzazione da parte dell’Autorità intesa a legittimare la circolazione
transfrontaliera dei dati, consistente nella previa verifica della corretta
adozione di “regole di condotta esistenti nell’ambito di società
appartenenti ad un medesimo gruppo”: sarà quindi sufficiente la
articolazione di corrette corporate rules relativamente al trattamento
dei dati da parte di tutte le società facenti parte del medesimo gruppo
imprenditoriale, per consentire la libera circolazione intra-gruppo dei predetti
dati, anche con riguardo a unità operanti in paesi non aderenti all’Unione
europea. Tutto ciò, aggiunge la norma, fermo il diritto dell’interessato di
“far valere i propri diritti nel territorio dello Stato, in base al presente
codice, anche in ordine alla inosservanza delle garanzie medesime”.
Eccole, allora, le novità che potremo considerare “definitive”
introdotte in questa calda estate di semplificazioni. A questo punto, solo l’esperienza
sul campo saprà dirci se questa specie di fiammata sarà in grado di portare i
suoi effetti, oppure se i prossimi mesi saranno (come sommessamente sospetto)
dedicati più a capire come applicare le nuove disposizioni, che non a fare
salti di gioia per quanto ci sentiamo semplificati.
|
Pagina stampabile
