Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

Quello che il Garante dice (e non dice) in materia di DPS e Notificazioni

Scritto da Andrea Lisi

 

Premessa: i nuovi poteri del Garante

 

In questi ultimi giorni il Garante per la protezione dei dati personali è intervenuto - autorevolmente e per ben due volte - al fine di chiarire le incertezze generate da alcune norme del D. Lgs. 196/03 (ormai conosciuto come Codice della Privacy): con un primo parere ha cercato di dipanare la intricata matassa relativa al Documento Programmatico sulla Sicurezza (in proposito ci permettiamo di segnalare un nostro articolo sul DPS alla pagina http://www.scint.it/appr_new.php?id=109) e, dopo pochi giorni, con un altro provvedimento “interpretativo” lo stesso Garante ha fornito utili indicazioni in materia di notificazioni (si ricorda ancora la nostra “provocazione”, rimasta senza risposta, in materia di ri-notificazione alla pagina http://www.scint.it/appr_new.php?id=111 e soprattutto l’articolo “Privacy e notificazione al Garante...quando si esagera a parlare di stress per le imprese!” alla pagina http://www.scint.it/appr_new.php?id=105).

Il Garante si è di fatto sostituito al legislatore, al giudice, al giurista fornendo in maniera incontrovertibile l’interpretazione autentica, la “bocca della legge”. Effettivamente il Garante ha colmato un “vuoto interpretativo”: è sotto gli occhi di tutti la totale mancanza di seri riferimenti dottrinali e giurisprudenziali in materie nuove come la “privacy” e ormai un po’ tutti (cittadini, giudici, giuristi) aspettano con ansia le indicazioni del Garante, in modo da poter fare sogni più tranquilli e stare con la coscienza a posto, sotto le coperte, senza dover pensare in continuazione alla protezione dei dati personali!

In verità, in quest’ultimo periodo (ma è un processo che dura da tempo) il Garante è andato al di là di quelle che sono le sue competenze specificate nell’art. 154 del Codice, generando nella “coscienza sociale” la certezza che il termine per il DPS è stato prorogato e che le notificazioni sono state “decimate”.

A ben vedere, molte delle conclusioni cui è giunto il Garante in materia di DPS e di notificazioni non sono, come viene avvertito dalla “coscienza sociale”, nuove fonti legislative, ma semplici (pur autorevoli) interpretazioni del testo di legge; interpretazioni alle quali poteva/doveva giungere qualsiasi giurista attento alla “ratio legis” sottesa a tale decreto legislativo (e, quali interpretazioni di un testo legislativo, le tesi del Garante meritano anche qualche critica).

 

 

Il Parere sul DPS

 

Il recente parere del 22 marzo 2004 - Obblighi di sicurezza e documento programmatico: al 30 giugno la redazione del “DPS” – fornito dal Garante della Privacy a seguito di una richiesta di Confindustria ha suscitato vasta eco nel mondo degli operatori economici interessati al tema del trattamento dei dati personali e, naturalmente, tra i giuristi esperti del settore.

In tale parere, il Garante ha fornito una lettura degli articoli 31-36 del decreto legislativo 196/03, nonché dell’Allegato B) a tale decreto, in alcuni punti condivisibile ed in altri foriera, almeno a parere di chi scrive, di più di un dubbio interpretativo.

Innanzitutto, si sottolinea ancora una volta come da più parti il parere del Garante sia stato avvertito come una sorta di “valvola di salvezza” per quanti non avrebbero fatto in tempo ad adeguarsi alla normativa dettata dal Codice in tema di misure minime di sicurezza. In particolare, essendo ormai “scaduta” la data del 31 marzo, prevista per la redazione del documento programmatico per la sicurezza, il parere del Garante (fornito appena una settimana prima della scadenza) avrebbe dato, almeno secondo alcuni, ossigeno ad imprese e soggetti pubblici prorogando il ricordato termine al 31 giugno.

 

 

Ma veramente si può parlare di proroga? Può il Garante introdurre nuovi termini oltre a quelli già previsti dal legislatore?

 

Procediamo con ordine.

Si è già detto che il parere del 22 marzo 2004 sia in alcuni punti condivisibile, avendo contribuito a fare un po’ di chiarezza (almeno si spera) in tema di sicurezza nel trattamento dei dati personali.

Correttamente il Garante ha ricordato come il Codice della privacy abbia “confermato e aggiornato la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici introdotta nel 1996”.

Tra i principi già consolidati sotto il vigore della vecchia normativa vengono espressamente richiamati l’obbligo, di carattere generale, “di ridurre al minimo (n.d.a. si noti bene non già di azzerare) determinati rischi” nonché “nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le misure minime”.

Non è questa la sede per analizzare partitamene le singole misure di sicurezza previste dal Codice; tuttavia giova precisare che il legislatore ha espressamente ricondotto tra tali misure “la tenuta di un aggiornato documento programmatico sulla sicurezza” (art. 34, lett. g, decreto l.vo 196/03) sebbene la redazione e la tenuta di un DPS non valgono a diminuire, o evitare, danni o pericoli a carico dei dati, bensì rappresentano una formalità atta a rendere evidenti (agli occhi di eventuali controllori) quali reali misure di sicurezza si siano adottate.

È importante, altresì, sottolineare come, secondo il corretto e condivisibile argomentare del Garante, le misure di sicurezza siano diverse a seconda che il trattamento sia effettuato, o meno, con strumenti elettronici, oppure riguardi, da un lato, dati comuni e, dall’altro, dati sensibili o giudiziari.

Il parere del Garante, come detto, è stato visto come una fonte di legittimazione per una sorta di proroga del termine del 31 marzo per l’adozione del documento programmatico per la sicurezza.

 

Ma il Garante ha mai usato il termine “proroga”?

 

La risposta è certamente negativa, può dirsi in proposito che la lettura del parere ha fatto sorgere in molti l’idea sbagliata dell’operatività di una proroga.

Il Garante, in realtà, ha affermato che per alcune misure di sicurezza “sono previste scadenze periodiche ma le "misure minime" che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori”.

Il riferimento è stato, quindi, non già ad una proroga bensì all’operatività di termini transitori.

In particolare, “Il termine transitorio che permette di adottare le misure entro il 30 giugno 2004 riguarda solo le nuove misure (art. 180, comma 1, d.lg. n. 196/2003; per la precedente disciplina, v. gli artt.  15, comma 2 e  41 l. n. 675/1996, il d.P.R. n. 318/1999 e la  l. n. 325/2000)”.

Il parere del Garante, quindi, altro non fa che dare una corretta lettura della norma di cui all’art. 180, I comma, del Codice secondo la quale, invero, le misure di sicurezza che non erano previste dalla vecchia normativa “sono adottate entro il 30 giugno 2004” ed altrettanto corretto appare l’ulteriore argomentare secondo cui “è previsto un periodo più ampio per l’adeguamento (fino al 1° gennaio 2005) solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica” (in effetti in tal senso espressamente dispone l’art. 180, I e II comma).

 

 

…e ora qualche dubbio…

 

I dubbi sulla correttezza dell’argomentare del Garante sorgono dalla lettura del secondo paragrafo del parere 22 marzo 2004 dedicato, in particolare, al Documento Programmatico per la Sicurezza.

La sua riconducibilità nel novero delle misure minime appare, come già accennato, criticabile, ma di certo non è una scelta ascrivibile al Garante bensì al nostro Legislatore; al contrario proviene dal Garante la seguente affermazione:

Benché non si tratti a rigore di una misura "nuova", è quindi legittimamente sostenibile che il DPS da redigere quest'anno per la prima volta, o da aggiornare, possa essere predisposto al più tardi entro il 30 giugno 2004, anziché necessariamente entro il 31 marzo, data che è invece prevista a regime per i prossimi anni, a partire dal 2005 (cfr.  regola 19).

Si perviene a questa conclusione per tutti i destinatari dell'obbligo:

a) sia per coloro che devono redigere il DPS per la prima volta nel 2004;

b) sia per chi, già dotato di un DPS redatto o aggiornato nel 2003, ritenga necessario utilizzare un trimestre in più, rispetto al prossimo 31 marzo, per curare la stesura di un testo significativo e più impegnativo nella ricognizione dei rischi e degli interventi previsti”.

È una lettura che fa sorgere più di una perplessità.

Finora si è detto come solo per le nuove misure di sicurezza il termine ultimo per adeguarsi al Codice sia fissato, ordinariamente dal legislatore, al 30 giugno 2004; non vi è quindi una valida ragione per sostenere tout court che il DPS possa redigersi, o aggiornarsi, entro quest’ultima data.

Al più, la data del 30 giugno 2004 può ritenersi termine ultimo per la redazione del DPS da parte di chi, anteriormente, all’entrata in vigore del Codice della privacy non era tenuto a tale adempimento ovvero per l’aggiornamento, limitatamente alle nuove disposizioni da rispettare, del DPS da parte di chi lo aveva già redatto vigente la vecchia normativa.

Senza sottacere, i molti dubbi cui il parere del Garante dà adito nella parte in cui afferma “In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice;  regola 19 dell’Allegato B)).

Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico)”.

 

 

Cosa vuol dire esattamente il Garante? Forse che il DPS è obbligatorio solo nell’ipotesi di trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici?

 

Probabilmente sì, anche se, in realtà, il Garante non fa riferimento ai “soli” titolari di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici… Tuttavia il Garante non fa neppure un cenno al trattamento di dati comuni, né al trattamento di dati sensibili o giudiziari effettuato su registri cartacei (e, quindi, non con strumenti elettronici).

Si tratta di omissioni che, a ben vedere, non possono mettere in dubbio il tenore letterale di alcune norme contenute nel Codice della Privacy, il quale, almeno secondo la lettura che chi scrive ritiene legittima, prescrive la redazione e l’aggiornamento del DPS nelle ipotesti di trattamento elettronico di qualsivoglia tipo di dati ex art. 34 e (secondo una possibile interpretazione rigida dell’allegato B) nell’ipotesi di trattamento sia cartaceo sia elettronico di dati sensibili e/o giudiziari.

Precisamente, l’art. 34 cit. consente il trattamento di dati personali effettuato con strumenti elettronici solo se sono adottate determinate misure minime di sicurezza tra le quali la tenuta di un aggiornato DPS (lett. g): si tratta di una norma che, come è evidente, non fa riferimento né ad alcun tipo di dati specifici, né alle ipotesi di trattamenti su registri cartacei. In definitiva, dall’art. 34 si evince, come detto, l’obbligo di redigere sempre il DPS quando si effettuano trattamenti elettronici di dati personali.

Alla norma di cui al punto 19 dell’allegato B) il legislatore sembrerebbe dettare la regola generale della tenuta del DPS per le ipotesi di trattamento di soli dati sensibili e giudiziari (e non per qualunque tipo di dato) anche trattati senza l’ausilio di strumenti elettronici.

In conclusione, può dirsi, come anticipato, che ad oggi l’obbligo della redazione del DPS opera in via generale sempre, salvo che non si proceda al trattamento di dati comuni avvalendosi di soli registri cartacei… ma quale impresa o pubblica amministrazione non utilizza oggi almeno un pc? Quale trattamento generalizzato di dati personali non presenta al suo interno qualche dato sensibile?

 

 

La nuova attesa del fac simile “autentico” del DPS

 

Un’ultima critica deve essere mossa alla notizia che a breve il Garante fornirà una sorta di fac-simile del DPS, utile quale guida per tutti gli operatori (soprattutto medio-piccoli) che trattino elettronicamente dati personali. Creare l’illusione che venga fornito uno schema (magari precompilato con “caselline di spunta”…come qualche imprenditore e avvocato si aspetta!) che risolva tutti i problemi operativi e di sicurezza insiti in una seria politica di sicurezza lascia sconcertati.

Il DPS va considerato l’“impronta digitale” della struttura – titolare del trattamento del dati ed è solo l’ultimo tassello di un articolato processo in materia di sicurezza. Far solo pensare che il tutto si risolva in un mero adempimento burocratico va a snaturare gli importanti principi sbandierati anche dallo stesso Garante in questi ultimi anni.

 

 

Notificazioni e rinotificazione

 

Solo due parole vanno spese per l’ultimo provvedimento (n. 1 del 31 marzo 2004) in materia di notificazioni. Esso si inserisce nel quadro dei provvedimenti previsti dall’art. 37, 2° comma. In realtà, il Garante, ancora una volta, ha soltanto dovuto meglio chiarire il tenore di alcune norme, che non potevano che essere lette secondo la chiave interpretativa fornita dallo stesso Garante. Un provvedimento utile, quindi, che evidenzia l’assenza in Italia (per alcune delicate materie legate alle nuove tecnologie) del raffinato giurista che legga le norme, le interpreti ed eviti le facili notizie “scandalistiche” apparse sulle prime pagine dei giornali, che hanno creato inutili allarmismi in materia di privacy.

Nulla dice, invece, il Garante in merito alla questione, di scottante attualità, relativa all’obbligo di notificazione per i titolari che abbiano già effettuato tale adempimento sotto il vigore della vecchia normativa e che sarebbero tenuti nuovamente alla notificazione entro il 30 aprile p.v. (si legga in proposito il nostro articolo “Rinotificazione entro il 30 aprile? No grazie!” alla pagina http://www.scint.it/appr_new.php?id=111) .

 

 

Conclusioni

 

In questi giorni i due interventi del Garante hanno suscitato una vasta eco tra le imprese e nel mondo del diritto e hanno generato falsi convincimenti anche in persone che per loro cultura o professione dovrebbero essere più attente a leggere il “fenomeno privacy”.

In particolare, molti ancora sostengono, sia pur erroneamente, che il Garante abbia disposto una sorta di proroga per la redazione del DPS. Proroga che -come detto - non sussiste non solo perché il termine del 30 giugno 2004 è espressamente previsto dalla legge, ma anche e soprattutto perché al Garante, per quanto autorevole sia la sua interpretazione, non compete di certo il potere di “derogare” a una legge o di introdurvi delle eccezioni. Occorre ancora una volta avvertire sulla pericolosità di certi pareri e sul modo con il quale essi vengono presentati in pasto ai mass media, accreditando tra gli operatori interpretazioni e letture, ed in ultima analisi prassi e consuetudini, che contrastano con il dettato delle singole norme.

 

Categoria: Approfondimenti giuridici