Il testo unico sulla privacy:  sicurezza ed adempimenti per gli studi professionali

Cosola Rosa 22/09/05
Scarica PDF Stampa

Quando introduciamo il decreto 196/2003, che rappresenta oggi il testo unico in materia di privacy, dobbiamo primariamente ricordare che quando parliamo di privacy , parliamo di un diritto dell?era moderna che fino al 1800 non era conosciuto e che nasce dal celeberrimo saggio di due famosi scrittori americani che nel 1880 circa, inventano il ?right to privacy?, che arriver? in Europa intorno al 1920, fino a raggiungere dignit? normativa intorno al 1980. In realt? il nostro legislatore ci mette un po? a metabolizzare il concetto di privacy, tant?? vero che la prima norma in materia, in Italia, ? del 1996. La legge 675/1996 sulla privacy avrebbe dovuto cos? segnare un passo decisivo nell?ambito di una materia nuova ed estremamente importante, anche se cos? in realt? non ? stato perch? successivamente il legislatore ha sentito l?esigenza, con il decreto 196/2003 di intervenire nuovamente in materia e questa volta per esigenze soprattutto sistematiche e per consegnare? al cittadino, agli operatori ed a ai fruitori un testo unico contenente anche i pi? recenti interventi legislativi. La nuova esigenza di emanare un testo unico, forse coincide con l?esigenza di dare un nuovo slancio al concetto di privacy, diritto di cui tanto si parla ma che concretamente occupa poco spazio nella nostra vita di tutti i giorni. Il diritto alla privacy lo possiamo guardare da due punti di vista, dalla parte di colui che deve osservare le norme in materia di privacy e che quindi le sente come un appesantimento burocratico delle proprie procedure, dall?altra parte possiamo guardarle dal punto di vista del cittadino o del professionista o del nostro cliente che pu? subire un?aggressione alla propria privacy. Molto spesso noi guardiamo solo verso la prima prospettiva, avvertendo pi? il disagio di queste norme, mentre viceversa la seconda prospettiva, ? assai importante, in quanto tutti noi quotidianamente siamo, vittime di aggressione alla nostra privacy. Per privacy, in questo contesto, non si fa solo riferimento alla nostra riservatezza personale, ma a tutti quei diritti soggettivi, legislativamente riconosciuti che possono essere lesi da un trattamento illecito dei nostri dati personali, infatti non ? detto che un trattamento illecito dei dati, produca esclusivamente dei danni alla riservatezza. Il dlg.196/2003 entrato in vigore il 1 gennaio 2004, introduce significative novit?, nonostante il legislatore abbia voluto trasportare anche alcuni concetti della precedente normativa, come l?art.1: chiunque ha diritto alla protezione dei dati personali che lo riguardano, facendo riferimento tanto alle persone fisiche che alle persone giuridiche, l?art.2 inerente alle finalit? del presente codice, che sono quelle che riguardano chi subisce un trattamento dei propri dati personali che va contro la riservatezza, l?identit? personale, la dignit? dell?individuo, infatti nel concetto stesso di privacy , il nostro legislatore vuol far rientrare un?ampia sfera di diritti soggettivi, l?art.3, che riguarda il principio di necessit? del trattamento dei dati: qualunque trattamento dei dati personali lecito, deve essere limitato allo stretto necessario. Questo principio impone a chiunque tratti i dati personali di bilanciare sempre gli interressi sovrapposti, infatti oggi il decreto ci impone di effettuare questo bilanciamento e di effettuarlo a monte, e di chiedersi per chi si occupa della materia, quanto il trattamento dei dati personali, possa incidere sulla privacy altrui. I dati che servono, quindi,? per effettuare una funzione legittima sono solo quelli che servono effettivamente allo scopo e non altri, che per la circostanza potrebbero essere superflui. Fino ad oggi la giurisprudenza che si ? occupata del conflitto tra questi due interessi, diritto alla riservatezza e diritto alla trasparenza, ha sostenuto che in realt? in alcuni casi come quello del processo amministrativo, il diritto alla trasparenza prevalesse sul diritto alla privacy. Il Garante della? privacy, qui in Italia ha preso troppo sul serio la materia perch? forse si ? reso conto che qui in Italia la cultura della privacy non ? ancora passata e sta cercando con azioni in qualche modo coercitive di imporre questo ad una popolazione che in realt? la avverte ancora con fastidio. La giurisprudenza dei tribunali amministrativi, alla luce dei fatti, molto probabilmente oggi verr? rivista, perch? ? vero che laddove vi sia una norma di legge che prevede l?accesso ai dati del processo amministrativo, il diritto alla privacy fa un passo indietro nei limiti per? dello stretto indispensabile. Il principio in base al quale, a livello politico, i consiglieri provinciali e comunali, hanno avuto accesso ai dati amministrativi senza dover giustificare le ragioni del proprio accesso, andr? rivisto, perch? ? vero che il soggetto che svolge funzioni pubbliche ? autorizzato ad accedere ai dati, ma soltanto nei limiti in cui questo sia indispensabile all?esercizio delle sue funzioni, motivando il diritto di accesso, cosa che fino a poco fa non era doveroso fare. Numerose altre novit?? sono poi emerse dal decreto in materia di adempimenti, ricordiamo la redazione obbligatoria del Dps entro il 30 giugno 2005 e poi prorogata alla fine di dicembre e le innovazioni in tema di responsabilit?, in quanto fino ad oggi nelle aule di tribunale, la privacy ? entrata poco non raggiungendo in realt? l?esito del risarcimento dei danni, sia dal punto di vista civilistico che penalistico, perch? scarso ? il contenzioso che ha avuto come esito il risarcimento del danno, perch? forse il cittadino che vede leso il proprio diritto alla privacy, se non avverte come risarcibile il danno che ha subito, evita di chiedere l?avvio di un procedimento. Fino ad oggi, per come era strutturata la legge 675/1996, accedere al risarcimento dei danni, non era cos? semplice, ovvero, occorreva investire ingenti risorse per dimostrare il danno subito, il nesso di causalit? con il trattamento altrui per poi sperare di poter accedere ad un risarcimento che il pi? delle volte difettava nel quantum, perch? se il danno alla privacy produce anche immediati effetti economici e patrimoniali ? pi? facile orientarsi, ma se il danno alla privacy produce solo danni non patrimoniali, in questo caso, riscontriamo delle difficolt? di quantificazione. Il decreto incide anche su questo versante, perch? imponendo un Dps generalizzato e quindi prevedendo che alla scadenza del termine ultimo per redigere questo documento, la polizia ? autorizzata ad accedere negli studi professionali, nelle sedi delle imprese, per verificare il rispetto della normativa in materia di privacy, quando trover? un Dps non conforme, o peggio che non rispetta la reale organizzazione dello studio professionale o dell?impresa, quella forza di polizia avr? l?obbligo di dare comunicazione alla Procura della Repubblica competente, in quanto sono previste delle sanzioni penali per il mancato rispetto della normativa in materia di privacy. Quindi se il procuratore o il GIP dovessero ritenere l?accusa fondata, e quindi se ci dovesse essere un rinvio a giudizio, molti danneggiati potrebbero quindi avviare un procedimento, chiedendo il risarcimento del danno. Oggi i professionisti devono iniziare a prendere sul serio la privacy, in virt? della grossa ed incombente responsabilit? di far passare la cultura della privacy, di cui non possiamo pi? fare a meno, in quanto viviamo in una societ? dell?informazione e che vive sullo scambio di informazioni che pu? produrre dei seri danni alla riservatezza personale, anche perch? laddove la privacy diventa un processo che noi per primi trattiamo seriamente, forse solo allora si potranno evitare certi sconfinamenti anche da parte del legislatore. Ritornando al dlg.196/2003, in materia di trattamento dei dati personali, l?art.18 c.1, stigmatizza la differenza fra le norme previste per i soggetti pubblici e quelle previste per gli enti pubblici economici, questi ultimi sono infatti equiparati per quel che riguarda il trattamento dei dati, ai soggetti privati. Una prima importantissima differenza, riguarda proprio il consenso al trattamento da parte dell?interessato, che per l?ente pubblico non esiste sempre, ovviamente nei limiti delle funzioni istituzionali che le leggi ed i regolamenti attribuiscono all?ente stesso, infatti, l?art.23 del dlg.196/2003 prevede che il trattamento in questione da parte dei privati o enti pubblici economici, ? ammesso solo con il consenso espresso dell?interessato. Il consenso pu? essere totale o parziale, questo significa che l?interessato deve ricevere tutte le informazioni relative al trattamento al momento della raccolta dei dati stessi. Il consenso si ritiene validamente prestato solo se rilasciato in forma libera, specifica e scritta e se l?interessato ha ricevuto tutte le informazioni previste dall?art?13 del T.U. in materia di privacy. Bisogna poi fare un?importante distinzione per consenso al trattamento dei dati personali per il quale sono previste esenzioni e consenso per il trattamento dei dati sensibili, che necessitano indubbiamente di maggiore tutela. Proprio per questi ultimi dati sono previste particolari misure di sicurezza, infatti tutti coloro che trattano dati personali devono adattare una serie di misure minime per garantire un livello di protezione delle informazioni presenti nei loro database. In questo contesto si deve distinguere a seconda che il trattamento avvenga sulla base di un archivio cartaceo, oppure con strumenti informatici. Il codice si sofferma soprattutto sulla criticit? di quest?ultimo aspetto, in quanto i dati personali devono essere protetti contro il rischio di intrusione e dall?azione di virus, tramite l?attivazione di strumenti elettronici idonei, come antivirus e firewall, da aggiornare continuamente. Nel caso si tratti di dati sensibili o giudiziari, gli strumenti elettronici devono essere periodicamente aggiornati con adeguati programmi. Questi dati verranno poi ulteriormente protetti con adeguate misure elettroniche che evitino intrusioni, procedure per la generazione, accessi non autorizzati e quindi trattamenti non consentiti. Infine i dati devono essere salvati su copie di riserva almeno settimanalmente. Tutte le aziende, indipendentemente dall?attivit? esercitata e dalle dimensioni, sono obbligate quindi, ad una serie di adempimenti sanzionati sia civilmente che penalmente. Inoltre per garantire la sicurezza del trattamento dei dati, ogni persona che accede alla banca dati dei clienti deve essere preventivamente riconosciuta dal sistema attraverso un identificativo associato ad una password. Per quel che riguarda invece la notificazione del trattamento dei dati, questo riguarda solo particolari tipologie ed ? rappresentato dall?adempimento iniziale per il legittimo utilizzo degli stessi dati. La notificazione deve essere iniziata prima dell?inizio del trattamento.

Per quel che riguarda in modo specifico il Dps, (Documento programmatico sulla sicurezza) esso ? considerato una delle misure minime di sicurezza per le imprese, va predisposto annualmente e deve contenere: l?elenco dei trattamenti dei dati personali effettuati dal titolare, la distribuzione dei compiti e delle responsabilit? tra gli addetti ai lavori, l?analisi dei rischi che incombono sui dati, le misure da adottare per garantirne l?integrit?, la protezione delle aree e dei locali volti a tale garanzia, la descrizione delle modalit? per il ripristino dei dati soggetti a modifica o distruzione, infine per i dati atti a rivelare lo stato di salute e la vita sessuale della persona, l?individuazione di criteri di cifratura per separarli dagli altri? dati personali dell?individuo. Deve essere redatto entro il 31 dicembre 2005 e successivamente aggiornato allo scadere di ogni 31 marzo. Esso ? disciplinato all?art 34 del suddetto decreto e deve essere effettuato da chiunque effettui un trattamento di dati sensibili e giudiziari con strumenti elettronici anche nell?ipotesi in cui tali strumenti non siano in rete, ? quindi sufficiente che tali dati siano trattati anche con un singolo elaboratore, perch? si debba procedere alla redazione del documento. Lo scopo ultimo del Dps sembra essere quello di stabilire le misure organizzative, fisiche e logiche, adottate dall?azienda attraverso l?analisi dei rischi e della distribuzione della responsabilit? in materia di trattamento dei dati.

Dal quadro appena descritto emerge l?importanza della salvaguardia dei dati personali e tutti sono concordi nel sostenere che un miglioramento delle procedure in tema di sicurezza era necessario, ma la sensazione finale che si avverte ? quella di un decreto che interviene in modo esagerato e che impone spese notevoli ai professionisti per l?adeguamento a quanto imposto da queste nuove norme. Certamente investire nella salvaguardia dei dati personali ? importante, ma non essendo state previste agevolazioni fiscali, la cifra di adeguamento sembra non indifferente. Le nuove normative creeranno sicuramente problemi nei rapporti con i clienti, soprattutto tra quelli pi? scettici che vedono le nuove procedure come eccessive e??strane?. Io personalmente credo che alcune cose andrebbero migliorate, perch? l?impegno richiesto per la messa in pratica del decreto ? troppo elevato e probabilmente per certi aspetti richiede un dispendio di energie e non solo di denaro, eccessivamente spropositato rispetto al diritto da tutelare e quindi direi proprio??strano???

?

Matera 28 agosto 2005

Cosola Rosa

Scrivi un commento

Accedi per poter inserire un commento