Home » Focus del mese

I nuovi faticosi adempimenti del Codice della Privacy per P.A., imprese e professionisti

12 Marzo 2004 Commenta

A. Lisi – Quando quest’estate, al caldo afoso di luglio, ho iniziato a sfogliare le numerose pagine del nuovo Codice per la Protezione dei Dati Personali (D.Lgs. 196/2003), dopo i primi sbadigli, un moto irrefrenabile di ira mi ha colto e sono stato sul punto di gettare dalla finestra le varie pagine stampate dal sito del Garante! Piu’ leggevo e piu’ pensavo a come far digerire a me stesso e alle varie societa’ o pubbliche amministrazioni mie clienti i numerosi adempimenti burocratici che comportava l’entrata in vigore del Codice…

Effettivamente, il capitolo “privacy e sicurezza” e’ oramai da tempo entrato a far parte della realta’ quotidiana delle nostre imprese o pubbliche amministrazioni. Dagli istituti bancari alle strutture alberghiere, dalle case di cura ai produttori di automobili, dagli operatori dell’e-commerce ai gestori della telefonia nessuno puo’ ritenersi piu’ esentato dall’osservare la normativa, nazionale ed europea, dettata a tutela dei dati personali. Ma una cosa e’ la formale constatazione di quel che si deve fare (magari con uno sbadiglio o un gesto inconsueto di stizza!), altra cosa e’ recepire sostanzialmente la normativa, assorbendone culturalmente il cambiamento, sentendo come utili e manifestando nella propria quotidianita’ i numerosi adempimenti che la normativa ci richiede…
Prima di tutto occorre premettere che per una effettiva tutela della privacy non si puo’ prescindere da una “politica aziendale” di sicurezza dei dati personali. Riservatezza fa rima con sicurezza, piu’ volte si e’ sentito dire… ma una cosa e’ il dire altra cosa e’ il fare e non sempre il legislatore ci aiuta a fare chiarezza…
Per quanto l’entrata in vigore (1° gennaio 2004) del Codice in materia di protezione dei dati personali (di seguito, Codice), dovrebbe segnare, almeno nelle intenzioni del legislatore, una svolta decisiva verso una maggiore uniformita’ e trasparenza in materia, in realta’, le imprese e le pubbliche amministrazioni sono ancora una volta chiamate a fare i conti con una normativa che appare in certi punti oscura e foriera di dubbi e contrasti interpretativi.
Adempimenti identici sono pensati per tutti i titolari del trattamento in materia di modalita’ di trattamento e informativa (artt. 11-17), con qualche ulteriore “specificazione” per i soli enti pubblici  (artt. 18-22): per gli enti pubblici (non economici) vale, infatti, la regola generale secondo la quale “qualunque trattamento di dati personali da parte di soggetti pubblici e’ consentito soltanto per lo svolgimento delle funzioni istituzionali” e, in questi casi, non e’ previsto il necessario previo consenso dell’interessato a tale trattamento. Regole particolari per privati ed enti pubblici economici sono previste per l’acquisizione del consenso (artt. 23-27): consenso al trattamento che per privati ed enti pubblici economici non e’ necessario acquisire solo in casi specifici previsti dalla legge (art. 24). Mentre l’informativa da conferire oralmente o per iscritto rimane un adempimento sempre necessario per tutti!

In verita’, tutti questi adempimenti  – gia’ previsti in maniera simile o identica dalla vecchia normativa (la nota L. 675/1996) – pongono relativamente poche problematiche in merito alla loro concreta applicazione (dubbi continuano ad esserci, soprattutto se si guardano le pesanti sanzioni previste dal legislatore in caso di violazioni…e guai se non ci fossero!), mentre le complicazioni piu’ gravi sorgono allorquando l’interprete prova a leggere con piu’ attenzione il Titolo V e l’allegato B al Codice.
Il riferimento, per quanto piu’ da vicino ci interessa, e’ proprio alle disposizioni del Codice che regolano la particolare materia della sicurezza dei dati personali. L’autentico nodo interpretativo da sciogliere consiste, a parere di chi scrive, nell’individuare esattamente la cerchia dei soggetti tenuti alla redazione del c.d. Documento Programmatico sulla Sicurezza (di seguito, DPS).
Prima di addentrarci nell’analisi della questione dal punto di vista tecnico-giuridico e’ opportuno chiarire cosa si intenda per DPS e quale ruolo lo stesso svolga nell’economia del codice.
Il DPS, in realta’, altro non e’ che un resoconto delle misure di sicurezza adottate da chiunque (imprese, singoli ed istituzioni) sia titolare di un trattamento di dati personali altrui per evitare (o meglio per ridurre al minimo il verificarsi di) qualsiasi tipo di evento dannoso o pericoloso a carico degli stessi dati personali.
In definitiva, il DPS serve a fotografare la politica aziendale in tema di sicurezza dei dati personali e, una volta redatto, esso deve essere custodito in un luogo preciso (e ovviamente sicuro!) per gli eventuali possibili controlli.
Nell’economia del Codice, per quanto collocato nell’Allegato B (e, quindi, a corredo del Codice), il DPS assume un ruolo fondamentale anche in virtu’ del richiamo ad esso operato dall’art. 34 e del quale piu’ innanzi si dira’.


Uno sguardo alla normativa: tra vecchie e nuove disposizioni il quadro si complica

Abbiamo riferito che il problema principale e’ domandarsi chi sia tenuto obbligatoriamente a redigere il DPS secondo le nuove disposizioni del D.Lgs. n. 196/2003 (in vigore -come detto – dal  1° gennaio 2004), il quale segna la contestuale abrogazione sia della legge n. 675/1996, sia del relativo regolamento tecnico D.P.R. n. 318/1999.
Sotto il vigore della vecchia normativa la dottrina piu’ accreditata, in buona sostanza, effettuava dei distinguo tenendo in considerazione tre parametri principali: il tipo di dati trattati, gli strumenti con cui si effettuava il trattamento e le finalita’ proprie del trattamento stesso.
Sulla base dell’analisi della precedente normativa si giungeva cosi’ a ritenere doverosa la redazione del DPS quando oggetto di trattamento fossero stati dati sensibili (idonei a rivelare origine razziale ed etnica, convinzioni religiose e filosofiche, opinioni politiche, adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche’ stato di salute e vita sessuale di un individuo) e/o giudiziari (idonei a rivelare i provvedimenti di cui all’art. 686 c.p.p.), quando tale operazione avvenisse con l’ausilio di strumenti elettronici e, infine, quando il trattamento non fosse effettuato per fini esclusivamente personali.

Venendo ora all’analisi della nuova normativa si e’ gia’ ricordato che occorre fare riferimento alle disposizioni contenute negli articoli 33 e ss. del Codice, nonche’ alle disposizioni di cui all’Allegato B al Codice stesso.
Espressamente il legislatore afferma che le misure individuate dal Codice (definite minime) sono volte ad assicurare un livello minimo di protezione dei dati personali (art. 33), cioe’ rappresentano la base minima da cui partire per dotarsi di misure di sicurezza sempre migliori e piu’ efficaci e per evitare di incorrere nelle sanzioni penali previste dall’art. 169.
Il Codice, peraltro, assume tre parametri generali per garantire la sicurezza dei dati personali che variano in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento (art. 31). Inoltre, il legislatore impone comunque l’adozione di “idonee e preventive (n.d.a. cioe’ antecedenti rispetto alle operazioni di trattamento) misure di sicurezza” al fine di “ridurre al minimo (non vengono quindi richieste misure adottate al fine di “evitare” del tutto…anche perche’ risulterebbe impossibile!) i rischi di distruzione o perdita, anche accidentale, dei dati e di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita’ della raccolta”.


Le operazioni di trattamento dei dati e il DPS

Il DPS puo’ far parte delle misure minime di sicurezza previste dall’art. 33 del Codice e, quindi, occorre chiedersi quando debba essere redatto obbligatoriamente da parte del titolare del trattamento…. Il passaggio logico-giudico piu’ controverso in tema di redazione del DPS e’ rinvenibile nella bipartizione delle operazioni di trattamento dei dati personali a seconda che le stesse avvengano con o senza l’ausilio di strumenti elettronici.
Sul punto occorre riportarsi al contenuto delle norme presenti nell’art. 34 – Trattamenti con strumenti elettronici – e nell’art. 35 – Trattamenti senza l’ausilio di strumenti elettronici – per evidenziare come entrambe le norme prevedano diverse e molteplici misure minime di sicurezza e richiamino il disciplinare tecnico contenuto nell’allegato B al Codice; ma solo l’art. 34 dispone, nell’ipotesi di trattamento di qualsiasi tipo di dati personali, la tenuta di un aggiornato documento programmatico sulla sicurezza.
Con la nuova normativa puo’ dirsi pertanto che il DPS vada redatto obbligatoriamente solo nell’ipotesi di trattamento di qualsiasi tipo di dati effettuato con strumenti elettronici: la norma dell’art. 34 segnerebbe, quindi, il venir meno della precedente distinzione tra tipi di dati (comuni da un lato e sensibili/giudiziari dall’altro) e finalita’ di trattamento (personale/non personale) (1). In questa disposizione il legislatore non si preoccupa di indicare un termine entro il quale redigere, ovvero aggiornare, il DPS limitandosi ad affermare che lo stesso debba essere tenuto aggiornato.
Ma non e’ tutto. Occorre anche analizzare il contenuto del richiamato allegato B al Codice che, all’art. 19, rubricato “Documento programmatico sulla sicurezza”, tra l’altro recita “Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: (…)”(2).

A questo punto si potrebbe pensare ad una sorta di discrasia in cui e’ incorso il nostro legislatore.
Da una lettura delle prescrizioni contenute nell’allegato B, infatti, il DPS sembrerebbe doversi redigere per i soli dati sensibili e giudiziari oggetto di qualsiasi tipo di trattamento, con o senza ausilio di strumenti elettronici. Al contrario, come gia’ ricordato, secondo l’art. 34 del Codice, tale documento dovrebbe essere redatto per tutti i tipi di dati purche’ trattati con strumenti elettronici!
Ed il quadro interpretativo non e’ ancora completo! Vale la pena sottolineare come lo stesso allegato B, all’art. 20 disponga “Ulteriori misure in caso di trattamento di dati sensibili o giudiziari”: ma non e’ forse vero che gia’ l’art. 19 si riferiva ai soli dati sensibili e giudiziari? Come interpretare questa ulteriore disposizione??!
Concludiamo la nostra visione d’insieme riferendo come l’allegato B contenga anche delle disposizioni tecniche da rispettare nelle ipotesi “Trattamenti senza l’ausilio di strumenti elettronici” distinguendo tra operazioni di trattamento di dati comuni e operazioni di trattamento di dati sensibili e/o giudiziari.


Una possibile lettura delle norme

Dopo questa lunga e faticosa esposizione di contrasti normativi (e dubbi amletici!) e’ ora di riordinare le idee ed offrire al lettore (che e’ giunto sin qui…) un’interpretazione che cerchi di elidere tali contrasti e che porti ad una corretta applicazione della legge.
Partiamo da un punto certo: il DPS – non definito da alcuna disposizione del Codice – consiste in una fotografia delle misure di sicurezza adottate in tema di trattamento dei dati personali dalle imprese (e dagli altri soggetti) titolari del trattamento stesso. Ma quando la legge obbliga il titolare del trattamento a fare il “fotografo”?
Procediamo con ordine: dapprima con riferimento esclusivo all’articolato del Codice, successivamente con riferimento anche all’allegato B.
Avuto riguardo alle sole norme del Codice, la distinzione fondamentale e’ quella gia’ segnalata tra trattamenti effettuati con l’ausilio di strumenti elettronici (art. 34) e trattamenti effettuati senza l’ausilio di strumenti elettronici (art. 35).
Nella prima ipotesi la redazione del DPS e’ sempre dovuta, qualsiasi tipo di dato (comune, sensibile, giudiziario…) sia fatto oggetto di trattamento e deve essere aggiornata periodicamente, cioe’, ogni volta in cui variano le misure di sicurezza adottate, ovvero i nominativi, le competenze e/o le mansioni degli addetti e in genere le altre informazioni in esso contenute.
Peraltro, nell’ipotesi di trattamento con l’ausilio di strumenti elettronici dei soli dati sensibili e giudiziari il DPS deve essere redatto entro il 31 marzo di ogni anno (termine che sembra essere perentorio e che va rispettato anche nelle ipotesi in cui il titolare non abbia modificato alcuna misura di sicurezza) e devono essere rispettate le ulteriori misure previste ai punti 20 e ss. dell’Allegato B (protezione dagli accessi abusivi; istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili; garanzie del ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni…).

Nella seconda ipotesi (cioe’ di trattamento senza l’ausilio di strumenti elettronici) non occorre la redazione del DPS a meno che essa non abbia ad oggetto dati sensibili e/o giudiziari per il cui trattamento andrebbero rispettate anche le regole previste ai punti 27 e ss. dell’Allegato B, almeno secondo una prima lettura molto rigorosa dell’allegato B).
Per concludere, a parere di chi scrive, il DPS e’ dovuto sempre nelle ipotesi di trattamento con mezzi elettronici di qualunque tipo di dati (art. 34) e nelle ipotesi di trattamento, sia con sia senza l’ausilio di strumenti elettronici, di dati sensibili e giudiziari.
Ovviamente tale tipo di lettura molto rigorosa delle disposizioni del Codice e dell’Allegato B viene effettuata con la consapevolezza che essa e’ frutto di un’interpretazione forzata di norme imprecise e probabilmente contenenti degli errori effettuati in sede di stesura del testo dallo stesso legislatore… ma leggere rigidamente una disposizione legislativa permette di tutelare maggiormente l’impresa o la pubblica amministrazione da possibili future sanzioni dettate proprio al fine di far osservare queste norme, anche se confuse (e’ un paradosso, ma purtroppo e’ cosi’!)…
Ad avviso di scrive, probabilmente non era nelle intenzioni del legislatore far adottare il DPS anche in caso di trattamento cartaceo di dati sensibili e/o giudiziari e, infatti, la prima parte dell’allegato B) sembrerebbe far riferimento al solo trattamento elettronico di dati personali…ma, ahime’, poiche’ l’allegato e’ pieno di imprecisioni e le norme si leggono e si devono poi interpretare e qualcuno deve pure farle applicare, allora e’ meglio stare tranquilli e fare anche di piu’ rispetto a quanto e’ apparentemente dovuto!
Infine, occorre riferire che, se nelle ipotesi di trattamento di dati comuni senza l’ausilio di strumenti elettronici il DPS e’ certamente facoltativo, resta preferibile utilizzare comunque questo strumento perche’ offre al titolare la possibilita’ di provare con un documento cartaceo di aver adottato tutte quelle misure volte ad evitare danni derivanti dal trattamento di dati personali altrui, anche in considerazione del fatto che l’attivita’ di trattamento e’ equiparata dal nostro legislatore (art. 15 del Codice) ad una attivita’ pericolosa di cui all’art. 2050 c.c., con ogni conseguenza che ne deriva in tema di risarcimento danni ed onere della prova.
Insomma, per tradurre – come al solito –  dal freddo “giuridichese”, l’adozione di un aggiornato DPS serve un po’ a tutti i titolari di un trattamento dati personali a prescindere da quello che il legislatore confusamente ci ha voluto dire circa l’obbligatorieta’ o meno di utilizzare questo strumento!


Il contenuto del DPS

Il contenuto del DPS, infine, proprio perche’ esso va a fotografare le politiche di sicurezza aziendale, non puo’ che variare da impresa ad impresa al punto che e’ impossibile predeterminarlo validamente per ogni realta’ aziendale.

In estrema sintesi, il DPS e’ un documento che deve contenere: l’elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilita’ nell’ambito delle strutture preposte al trattamento dei dati; l’analisi dei rischi che incombono sui dati; le misure da adottare per garantire l’integrita’ e la disponibilita’ dei dati, nonche’ la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita’; la descrizione dei criteri e delle modalita’ per il ripristino della disponibilita’ dei dati in seguito a possibili eventi di distruzione o danneggiamento; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu’ rilevanti in rapporto alle relative attivita’, delle responsabilita’ che ne derivano e delle modalita’ per aggiornarsi sulle misure minime adottate dal titolare; la descrizione dei criteri da seguire per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita’ al Codice, all’esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, inoltre il Codice prevede l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
Per concludere: e’ vero, a leggerle formalmente e senza possedere una cultura della sicurezza, queste disposizioni sembrano essere un’accozzaglia di formalita’ burocratiche assolutamente incomprensibili…per certi aspetti e’ anche cosi’ (e ancora leggendo il Codice quel gesto di stizza mi viene spontaneo), ma certamente utilizzare questo documento ci permetera’ di capire come funziona la nostra “azienda”, quali trattamenti effettua, quanto investiamo per difendere noi stessi e i nostri clienti e soprattutto ci permettera’ di tutelare noi stessi da sanzioni penali e da pretestuose richieste di risarcimento danni provenienti da chi ritiene che abbiamo in qualche modo violato la sua privacy… e non e’ poco…


Andrea Lisi
Corso di Alta Formazione post-graduate in Diritto & Economia del Commercio Elettronico Internazionale





(1) In verita’, l’art. 5 (oggetto e ambito di applicazione) recita al comma 3°: “Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali e’ soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilita’ e di sicurezza dei dati di cui agli articoli 15 e 31”. Quindi, chi – anche per scopi personali –  opera un trattamento di dati finalizzato alla comunicazione sistematica o diffusione e’ certamente tenuto a rispettare tutte le regole di sicurezza pensate nel Codice (ad esempio tutti coloro che hanno un sito web personale). Ma il rinvio all’art. 31 del Codice comporta comunque un adeguamento alle misure di sicurezza idonee se si vogliono in qualche modo evitare le conseguenze di cui all’art. 15 (anch’esso richiamato dall’art. 5)…e il DPS, inserito tra le misure “minime”, puo’ non essere considerato una misura “idonea”?


(2) Appare utile in proposito riportare il contenuto dell’art. 180 del Codice (misure di sicurezza)  “1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004. 
2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalita’ tecniche di cui all’allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.
3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all’articolo 31, adeguando i medesimi strumenti al piu’ tardi entro un anno dall’entrata in vigore del codice.”. Dalla lettura dell’articolo, appare chiaro pertanto che il Codice non deve assolutamente essere inteso come una “sanatoria” di quanto si doveva gia’ porre in essere con la vecchia normativa: chi doveva fare il DPS con la L. 675/1996 avrebbe gia’ dovuto farlo e deve affrettarsi a redigerlo subito se ancora non l’ha fatto! Il termine del 30 giungo riguarda solo l’adeguiamento alle “novita’” in materia di sicurezza previste con il nuovo Codice.

Scritto da

Commenta!

Aggiungi qui sotto il tuo commento. E' possibile iscriversi al feed rss dei commenti.

Sono permessi i seguenti tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>