|
Dopo il primo provvedimento di semplificazioni adottato dal Garante nel giugno
2008, e dopo la entrata in vigore dell’art. 29 del
decreto-legge 25 giugno 2008, n. 112 nella
versione emendata dalla legge di conversione, si chiude il cerchio della stagione di
semplificazioni in materia di privacy (vedi Dati personali:
semplificazioni vere e apparenti e Semplificazioni privacy: le
complicazioni della legge).
Con il provvedimento generale del 27.11.08 (pubblicato in G.U. n.
287 del 9 dicembre 2008) "Semplificazione delle misure di sicurezza
contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia
di protezione dei dati personali", il Garante ha infatti adempiuto al
compito assegnatogli dal legislatore, mettendo mano ad un provvedimento che
doveva (o avrebbe dovuto) innanzitutto fare un po’ di chiarezza sul tema
dei requisiti soggettivi necessari per entrare o uscire dalle singole categorie
prese in considerazione dalla legge, e che doveva (o avrebbe dovuto) dettare
indicazioni di sostanziale semplificazione degli adempimenti in favore di
determinati soggetti.
Ora, al di là del contenuto delle singole misure adottate (che avremo modo
di esaminare nel dettaglio nelle prossime settimane) sembra opportuno tentare
innanzitutto di fare un po’ di ordine, a livello generale, sulla platea dei
soggetti coinvolti, e sull’effettivo impatto inerente la gestione dell’adempimento
del DPS, certamente considerato urbi et orbi il più critico.
Sono bastate, infatti, poche settimane dalla diffusione del provvedimento per
scatenare la solita ridda di voci discordanti e di richieste disperate: non ci
si capisce niente, autocertifichiamoci tutti! Oppure: facciamo comunque il DPS
semplificato? O ancora: nessuno dei due, siamo ancora quasi tutti costretti a
riempire tabelle e tabelline? Che diavolo significa “correnti attività
amministrative e contabili”?
Calma. Facciamo un passo indietro:
il decreto dell’estate convertito, oggi art. 34 comma 1-bis del codice prevede sostanzialmente due categorie:
- da un lato, i soggetti che trattano soltanto dati personali non
sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato
di salute o malattia dei propri dipendenti e collaboratori anche a progetto,
senza indicazione della relativa diagnosi, ovvero dall'adesione ad
organizzazioni sindacali o a carattere sindacale. Solo
ed esclusivamente a costoro, è concessa la formidabile possibilità di
ricorrere alla autocertificazione in luogo della redazione del DPS. Un’analisi
sintattica del dato normativo consente di identificare abbastanza agevolmente le
categorie riconducibili a questo bacino, sulla base di un paio di
considerazioni:
a) il riferimento ai “soggetti che trattano”, non presenta alcuna
caratteristica qualitativa e quantitativa: anche enormi organizzazioni, laddove
limitino il trattamento di dati sensibili a quelli del personale indicato nella
norma, possono usufruire della autocertificazione (es: un supermercato con 100
dipendenti; al limite, un’industria di 1.000 dipendenti). La misura
semplificatoria della esenzione dal DPS prevista dal legislatore, quindi, non è
affatto ispirata (a dispetto di quanto si è letto in giro) dalla volontà di
semplificare la vita alle realtà medio-piccole, avendo un raggio di azione
molto più ampio, la cui latitudine è identificata solo ed esclusivamente con
riferimento alla tipologia di dati trattati;
b) l’unico sforzo da compiere per verificare se si rientra o meno nell’area
dell’autocertificazione, consiste quindi in una approfondita mappatura dei
trattamenti effettuati. Anche chi a prima vista potrebbe rientrare nel campo di
applicazione della norma, infatti, potrebbe trovarsi di fronte a brutte
sorprese: si pensi ad un gestore di call center con 1.000 dipendenti (o con
1.000 collaboratori), che apparentemente tratta come soli dati sensibili quelli
del personale. Poniamo l’ipotesi in cui quel provider di servizi gestisca
anche una commessa inerente la prenotazione di visite mediche nell’interesse
di una casa di cura: basterebbe ciò ad escludere che i trattamenti effettuati
siano “soltanto” quelli indicati dal legislatore, con l’ineludibile
effetto di impedire il ricorso all’autocertificazione;
- dall’altro lato, l’art. 34-bis contempla una apparentemente ampia area
di soggetti identificabili “in particolare” (ma non solo) con le piccole e
medie imprese, liberi professionisti, artigiani, che non rientrano nella prima
categoria, e che comunque limitano i trattamenti alle ormai leggendarie correnti
finalità amministrative e contabili. A costoro, esclusi dall’autocertificazione,
il legislatore concede una semplificazione che potremmo definire mediata, atteso
che, in sé, nulla prevede la norma, se non il rinvio al provvedimento che il
Garante doveva adottare, e che (anche per i soggetti che potevano usufruire
della autocertificazione) avrebbe dovuto avere ad oggetto modalità
semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in
ordine all'adozione delle misure minime di cui al comma 1
La formulazione stessa della norma, ha immediatamente posto una serie di
interrogativi. E infatti:
a) innanzitutto deve essere valutato il riferimento alla natura dei soggetti
coinvolti (piccole e medie realtà imprenditoriali e professionali): ciò
esclude che possano rientrare nell’ambito preso in considerazione anche
soggetti di più ampie dimensioni? Assolutamente no, se si considera che quelle
categorie sono indicate “in particolare”, e non completano quindi l’area
di coloro che la norma contempla;
b) a differenza che nel bacino degli “esentati dal DPS” (identificato dalla
natura dei dati trattati), il legislatore, nel delineare le caratteristiche di
questo secondo ventaglio di soggetti, ha scelto di non fissare, come punto di
riferimento, la natura dei dati e la tipologia di trattamenti svolti, bensì di
mirare sul diverso profilo delle finalità perseguite, che devono essere
esclusivamente le “correnti finalità amministrative e contabili”.
In linea del tutto teorica, quindi, anche un trattamento di dati sensibili
ulteriori e diversi da quelli del personale effettuato con strumenti
elettronici, ma che sia svolto esclusivamente per “correnti finalità
amministrative e contabili”, porterebbe da un lato ad escludere la
possibilità di autocertificarsi, dall’altro, però, la chance di
rientrare nella diversa area destinataria delle semplificazioni di cui al
provvedimento del Garante.
Ciò posto, la domanda che subito ci si è fatti, era: ma quali sono, allora,
questi soggetti? Dando per assodato che gli stessi non possono ovviamente
coincidere con coloro che fruiscono della autocertificazione, a chi si riferisce
il legislatore? Ad esempio: uno studio di ingegneria che ha alle sue dipendenze
una segretaria? E’ uno dei mille casi che, rientrando nell’area della
autocertificazione, non può coincidere con l’insieme che stiamo esaminando.
Ma, andando oltre: un avvocato che tratta i dati sensibili dei propri clienti
per rendere la propria prestazione professionale (e che dunque non può
certamente usufruire della autocertificazione), può essere considerato come un
soggetto che tratta il dato per correnti finalità amministrative e contabili? E
ancora: un laboratorio di analisi cliniche, che tratta i dati sensibili per gli
esami richiesti dai pazienti (anch’esso di certo non autocertificabile), può
usufruire delle semplificazioni del Garante?
Nessuno può dire di avere la risposta in tasca: quello che è certo, e che se
si valorizza l’elemento dell’oggetto della prestazione per escludere che lo
stesso possa identificarsi con le correnti finalità amministrative e contabili,
si rischia di arrivare a dire che nessuno dei casi indicati possa rientrare nel
perimetro della norma, con il risultato di ridurre ad una sorta di incredibile
sacco vuoto la categoria indicata dal legislatore.
In questo contesto, è ovvio che tutti gli operatori del settore si aspettavano
che il Garante, in sede di emanazione del provvedimento, affrontasse prima di
tutto, ed in modo esaustivo, proprio il tema della identificazione dei soggetti
cui le misure erano destinate.
Di contro, nulla del genere è previsto nel provvedimento 27.11.08, dove ci si
è limitati alla seguente, piatta tautologia:
Soggetti che possono avvalersi della semplificazione
Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o
privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati
sensibili riferiti ai propri dipendenti e collaboratori anche a
progetto quelli costituiti dallo stato di salute o malattia senza
indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni
sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalità amministrative e
contabili, in particolare presso liberi professionisti, artigiani e piccole e
medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante
adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole
e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
Il paradosso che ne deriva, è quindi il seguente:
a) chi già prima sapeva di poter rientrare sulla scialuppa della
autocertificazione, fruisce a pieno dei contenuti semplificatori del
provvedimento (ammesso e non concesso che sia reperibile sul mercato un
antivirus che si aggiorna annualmente....);
b) chi, se esiste, pensava di esser fuori dalla autocertificazione ed aspettava
le auspicate semplificazioni, non potrà mai avere nessuna certezza sulla
possibilità di rientrare o meno all’interno di coloro che trattano dati per
correnti finalità amministrative e contabili. Con il risultato che la parte
potenzialmente più importante del provvedimento stesso, e cioè quella relativa
al DPS semplificato (ovviamente inutile per chi già fruisce della
autocertificazione), rischia di restare allo stadio di puro esercizio di stile
del suo ideatore.
Risultato finale? Il 31 marzo si avvicina: forse la cosa più conveniente da
fare, è iniziare a lavorare all’aggiornamento del DPS per come lo abbiamo
sempre conosciuto!
|
Pagina stampabile
