Decreto sviluppo: abolita la privacy tra le aziende?

INDICE

INTRODUZIONE

I – NOVITA’ IN MATERIA DI PRIVACY

II – INTERPRETAZIONE DOTTRINALE

III – PRINCIPALI IMPLICAZIONI

IV – RAGIONEVOLI DUBBI

FONTI:

Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone – Casa Editrice Hoepli Spa) – Decreto Legislativo 30 giugno 2003, n. 196 e Allegato B) – Decreto Legge 13 maggio 2011, n. 70 denominato “Decreto Sviluppo” coordinato con la legge di conversione 12 luglio 2011, n. 106 – Decreto Legislativo 30 dicembre 2010, n. 235 “ Codice dell’Amministrazione Digitale”

Copyright 2011 Padova – Dr. Eric Falzone

Web: www.eucs.it – E-mail: eric.falzone@eucs.it

Tutti i diritti sono riservati. La riproduzione, modifica e utilizzo di qualsiasi parte del presente documento è consentita solo previa autorizzazione dell’Autore. E’ comunque escluso ogni utilizzo del contenuto del presente documento per la redazione di ulteriori saggi, testi o pubblicazioni.

I – NOVITA’ IN MATERIA DI PRIVACY

Il Decreto Legge 13 maggio 2011, n. 70 denominato “Decreto Sviluppo” coordinato con la legge di conversione 12 luglio 2011, n. 106 e pubblicato sulla Gazzetta Ufficiale n. 160 del 12-7-2011, ha introdotto all’articolo 6) “Ulteriori riduzione e semplificazioni degli adempimenti burocratici” le seguenti modifiche e integrazioni al D.lg. 196/03:

• Articolo 5) comma 3-bis:

“Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, non e’ soggetto all’applicazione del presente codice”.

• Articolo 34) comma 1-ter:

“Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo -contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.

Tali modifiche al Codice Privacy hanno destato serie perplessità sulla reale applicabilità e sostenibilità di una norma che va contro i principi fondamentali del trattamento di dati personali.

Obiettivo di questo breve saggio è analizzare approfonditamente le reali implicazioni di un approccio legislativo privo di fondamenti giuridici e completamente scollegato dall’attuale contesto economico e tecnologico.

II – INTERPRETAZIONE DOTTRINALE

Da un’interpretazione letterale dell’articolo 5) comma 3-bis, si evince che il Codice Privacy non va applicato in tutti quei casi in cui una persona giuridica (Titolare del Trattamento), compie operazioni di trattamento di dati personali comuni, sensibili o giudiziari relativi ad un’altra persona giuridica (Interessato) per lo svolgimento di attività di natura organizzativa, amministrativa, finanziaria e contabile.

In particolare non si applica il Codice Privacy per lo svolgimento di attività tra persone giuridiche relative a:

• organizzazione interna aziendale

• adempimento di obblighi contrattuali e precontrattuali

• gestione del rapporto di lavoro in tutte le sue fasi

• tenuta della contabilità

• applicazione delle norme in materia:

  • fiscale

  • sindacale

  • previdenziale-assistenziale

  • salute

  • igiene e sicurezza sul lavoro

Sono, invece, sempre soggetti al Codice Privacy, i Lavoratori Autonomi e i Liberi Professionisti che svolgono attività non in forma associata e le persone fisiche che comunicano sistematicamente o diffondono dati personali.

Pertanto, qualora si intenda dare un’interpretazione restrittiva alla norma, non si dovrà applicare il Codice Privacy solamente in quei casi in cui una persona giuridica tratti dati personali, che si riferiscono ad un’altra persona giuridica, per lo svolgimento di una mera attività amministrativa-contabile nei confronti di quest’ultima.

Esempio di Interpretazione Restrittiva

Un’impresa in forma di società di capitali (Srl), che ha venduto un prodotto ad una società per azioni (SpA) e tratta i dati del cliente solo per effettuare le operazioni di spedizione, fatturazione e incasso.

Qualora, invece, si intenda dare un’interpretazione estensiva alla norma, si potrà non applicare il Codice Privacy in tutti quei casi in cui una persona giuridica tratti dati personali, che si riferiscono ad un’altra persona giuridica, per lo svolgimento di un’attività amministrativa-contabile con quest’ultima o per l’erogazione di servizi relativi ad attività amministrative-contabili svolti per conto di questa.

Esempio di Interpretazione Estensiva

Centro Elaborazione Dati (CED) costituito in forma di società di capitali (Srl), che svolge il servizio di tenuta della contabilità per una società per azioni (SpA).

III – PRINCIPALI IMPLICAZIONI

La non applicazione del Codice Privacy, per i trattamenti di dati personali relativi a persone giuridiche nei rapporti intercorrenti tra persone giuridiche in caso di svolgimento di attività di natura organizzativa, amministrativa, finanziaria e contabile, implica la possibilità di disattendere alle prescrizioni e agli adempimenti previsti dalle seguenti norme del d.lg. 196/03:

• Art. 7. Diritto di accesso ai dati personali ed altri diritti

• Art. 11. Modalità del trattamento e requisiti dei dati

• Art. 13. Informativa

• Art. 15. Danni cagionati per effetto del trattamento

• Art. 23. Consenso

• Art. 29. Responsabile del trattamento

• Art. 30. Incaricati del trattamento

• Art. 31. Obblighi di sicurezza

• Art. 33. Misure minime

• Art. 37. Notificazione del trattamento

• Art. 45. Trasferimenti vietati

Esempio:

Nel caso in cui una persona giuridica tratti dati personali (comuni, sensibili o giudiziari) di un’altra persona giuridica per lo svolgimento di attività di natura contabile, non è più necessaria l’informativa, non serve alcuna misura di sicurezza logica o fisica per la protezione dei dati, non è necessaria la nomina a responsabile del trattamento, non vi è alcun obbligo di rispondere ad una richiesta di accesso ai dati ed è possibile trasferire liberamente i dati senza consenso in qualsiasi paese estero.

Viceversa per i Lavoratori Autonomi e i Liberi Professionisti che svolgono attività non in forma associata si applica sempre il Codice Privacy e per le persone fisiche che trattano dati personali si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31 del d.lg. 196/03.

Che il legislatore sia stato un po’ tendenzioso o superficiale nella formulazione di questa norma?

IV – RAGIONEVOLI DUBBI

La possibilità per le aziende di essere in qualche modo esentati dall’applicazione delle disposizioni del Codice Privacy, oltre ad essere un evidente salto nel passato verso la preistoria dell’informatica, porta all’impoverimento e all’imbarbarimento della già bassa cultura media aziendale relativa alla sicurezza informatica e all’organizzazione aziendale digitale.

L’inserimento di questa nuova norma comporta un forte sbilanciamento dell’assetto del Codice Privacy e un netto disallineamento e scostamento della legislazione italiana dai principi fondamentali sanciti a livello europeo in materia di protezione dei dati personali; inoltre pone seri problemi di applicabilità stessa del d.lg. 196/03 e dei numerosi provvedimenti emanati dall’Autorità Garante per la Protezione dei Dati Personali.

In generale la volontà del legislatore di voler tentare di semplificare a tutti i costi senza tener conto del contesto storico ed economico e dello sviluppo tecnologico, appare miope follia normativa e “idiosincrasia esegetica”, che combinata ad un’insana schizofrenia porta al paradosso di voler un mondo digitalizzato senza alcuna misura di sicurezza e alcun diritto sulle proprie informazioni.

Vi è pertanto, da una parte una forte spinta del legislatore verso la digitalizzazione della pubblica amministrazione attraverso il continuo aggiornamento e revisione del “D.lg. 82/05 – Codice dell’Amministrazione Digitale (CAD)” e dall’altra un’inconsapevolezza diffusa che il rispetto del D.lg. 196/03, in quanto normativa di riferimento in materia di sicurezza informatica e protezione dei dati personali, è il requisito minimo per lo sviluppo di un’organizzazione digitale correttamente strutturata, sicura efficiente e efficace.