Gli ultimi due mesi hanno portato una serie di cambiamenti alle disposizioni in materia di protezione dei dati personali, ovvero in tema di privacy. L’Italia, mediante il Decreto Semplificazioni e il Decreto Sviluppo, ha eliminato l’adempimento del Documento Programmatico sulla Sicurezza (DPS) e modificato il significato di “dato personale”, mentre la Commissione Europea ha presentato una proposta di revisione della normativa comunitaria sulla protezione dei dati personali.

Il Decreto Semplificazioni

L’articolo 45 “Semplificazioni in materia di dati personali” del Decreto Legge 9 febbraio 2012 n. 5 “Disposizioni urgenti in materia di semplificazione e sviluppo” introduce nel DLgs 30 giugno 2003 n. 196 il nuovo articolo 17-bis, che prevede l’estensione del trattamento di dati giudiziari anche in attuazione dei protocolli di intesa per la lotta alla criminalità organizzata, ed elimina gli obblighi inerenti il DPS mediante soppressione del comma 1 lettera g) e del comma 1-bis dall’articolo 34 del testo unico e dei paragrafi dal 19 al 19.8 (DPS) e del paragrafo 26 (obbligo di riferire sulla stesura o l’aggiornamento del DPS nella relazione accompagnatoria del bilancio di esercizio) dall’allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”.

In pratica il DPS è completamente depennato dal Codice Privacy e da qualsiasi altro adempimento in materia di protezione dei dati personali. Di conseguenza scompare anche l’obbligo dell’autocertificazione per quei soggetti precedentemente esclusi dalla redazione del DPS. Ma c’è di più: l’abrogazione degli obblighi inerenti il DPS, il cui mancato adempimento era sanzionato penalmente, comporta la non punibilità delle violazioni dell’obbligo abolito commesse sotto la previgente normativa. Ergo, le aziende e gli enti che non hanno mai prodotto il DPS o che lo hanno prodotto in maniera errata o incompleta, non potranno essere oggetto di sanzione nemmeno per i 4 anni precedenti previsti dal termine di prescrizione.

Il Decreto Sviluppo

L’articolo 40 “Riduzione degli adempimenti amministrativi per le aziende”, comma 2, del Decreto Legge 6 dicembre 2011 n. 201 “Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici” elimina le parole “persona giuridica, ente od associazione” dall’articolo 4 comma 1 lettere b) e i), sopprimendo anche il comma 3-bis dell’articolo 5, l’ultimo periodo del comma 4 dell’articolo 9 e, infine, la lettera h) del comma 1 dell’articolo 43.

In pratica elimina dal Codice Privacy ogni forma di applicazione ai dati riferiti alle persone giuridiche, eliminando da questi soggetti la qualifica di interessato. Pertanto la definizione di dato personale riguarda solo informazioni sulle persone fisiche.

La riforma proposta dalla Commissione Europea

Il 25 gennaio 2012 la Commissione Europea di Bruxelles ha presentato una proposta di revisione della normativa comunitaria sulla protezione dei dati personali, con l’obiettivo di rafforzare i diritti dell’individuo e far fronte alle sfide della globalizzazione e delle nuove tecnologie. L’insieme delle regole, che si vuole rendere comuni a tutta l’Unione Europea, prevedono un aumento di responsabilità ed obblighi per le aziende, in particolare sul consenso esplicito e su accesso e trasferimento ai dati, nonché un rafforzamento del “diritto all’oblio” e l’estensione dell’applicazione delle regole UE nel caso i dati personali siano trattati presso un paese extra-UE.

I dati personali potranno essere raccolti solo in maniera legale in base a condizioni rigorose e per scopi legittimi. Le imprese che li raccolgono e gestiscono devono proteggerli dall’uso improprio e rispettare rigorosamente i diritti dei titolari dei dati, garantendo un livello elevato di protezione. Il cittadino ha il diritto di denunciare le irregolarità e di ottenere un risarcimento in caso di uso improprio dei suoi dati personali nell’Unione Europea. Egli ha anche il diritto di essere informato in modo semplice e chiaro sulle procedure di gestione e protezione dei suoi dati da qualsiasi azienda con sede legale in UE a prescindere da dove risiedano i server che ospitano effettivamente i dati.

In teoria le imprese potranno disporre di norme più chiare e coerenti nell’applicazione in tutti i paesi dell’UE, insieme ad una riduzione degli oneri amministrativi. In caso di gravi violazioni alla normativa privacy le imprese e le organizzazioni dovranno denunciarli in tempi brevissimi (normalmente entro 24 ore) alle autorità nazionali di controllo. Ogni impresa dovrà relazionarsi con l’autorità nazionale del paese UE in cui è ubicata la propria sede principale.

Le autorità nazionali competenti, infine, avranno il potere di attuare le norme sulla privacy con maggiore rigore, arrivando a comminare sanzioni pecuniarie di importo elevatissimo in caso di violazioni del diritto UE.

La scomparsa del DPS

L’effetto più eclatante delle novità normative italiane è costituito dalla scomparsa del DPS, un provvedimento che certamente sarà accolto con soddisfazione dalla maggior parte delle aziende nazionali che l’hanno sempre visto come un adempimento inutile e costoso. Anche l’approccio generalmente adottato dalle società di consulenza è spesso stato indirizzato verso la produzione di documenti pesanti e voluminosi a scapito della validità, dell’esaustività e della correttezza dei contenuti, in parte dovuto alle pressioni delle aziende clienti in tal senso.

Gravi errori che hanno minato profondamente il ruolo di importante driver sulla sicurezza delle informazioni che il DPS avrebbe dovuto rivestire, se fatto come si deve, dimostrando l’approccio positivo e l’attenzione dei titolari del trattamento in merito alla corretta e completa applicazione delle misure di protezione. La retroattività delle norme, poi, com’è nel migliore costume della legislazione italiana, premia ancora una volta i più furbi, cioè quelle aziende che finora non avevano rispettato le norme di legge sulla corretta ed esaustiva redazione del DPS.

Un fallimento ampiamente preventivabile vista la cronica miopia delle aziende nell’approcciare provvedimenti di questo tipo. Il DPS era un’ottima occasione per le aziende di dare valore alla sicurezza come importantissimo elemento abilitante del business, di assumere consapevolezza sulle misure di sicurezza e di promuovere la cultura della sicurezza nei vari reparti. Invece esso è sempre stato considerato come una seccatura, una costosa formalità. Spesso con risultati finali decisamente vergognosi e scandalosi. È altrettanto prevedibile che la cancellazione del DPS venga, almeno inizialmente, vista dalle aziende come una vera e propria liberazione e un conseguente allentamento dei vincoli di protezione richiesti alle aziende.

Altro grave errore. I nuovi decreti di semplificazione e sviluppo non eliminano alcuna altra norma sulla tutela dei dati personali, conservando di fatto immutate tutte le disposizioni che obbligano gli interessati ad applicare idonee misure di protezione e di sicurezza, in particolare quelle citate nell’articolo 34 del Codice Privacy. Articolo che resta adesso a totale carico del Responsabile del Trattamento che avrà il compito di attestare in prima persona l’effettiva sussistenza delle misure di protezione dei dati personali.

La prossima normativa UE

A questa ingiustificata euforia e al prevedibile rilassamento delle aziende farà però seguito il varo della nuova normativa UE in tema di tutela dei dati personali che, sebbene debba ancora passare il vaglio dei governi nazionali e del parlamento europeo, prima o poi verrà approvata ed imposta a tutti gli stati dell’unione. Con l’aggravante delle pesanti sanzioni previste e della maggiore chiarezza delle norme che lascerà meno zone grigie e, quindi, sempre minori margini per le mirabolanti capacità di interpretazione delle leggi tipiche delle imprese italiane.

Ben venga, quindi, questo nuovo driver di sicurezza, nella speranza che, sebbene sembri maggiormente focalizzato sui diritti dei cittadini più che sui doveri delle imprese, consenta finalmente alle aziende di comprendere il vero valore della sicurezza delle informazioni, di investire maggiormente sulla formazione di sicurezza e di imparare a misurare il ROSI che la sicurezza è in grado di offrire in termini di miglioramento dei servizi di business e dell’immagine aziendale sul mercato.

Il testo completo della riforma proposta è consultabile sul sito della Commissione Europea in questo articolo: Commission proposes a comprehensive reform of the data protection rules (in lingua inglese).

Ettore Guarnaccia