Avv. Andrea Lisi (www.scint.it - Direttore editoriale di RDEGNT – Rivista di Diritto Economia e Gestione delle Nuove Tecnologie, Nyberg Editore) (*)
(il presente articolo arricchito di paragrafi e note sarà pubblicato nel prossimo numero della Rivista di Diritto Economia e Gestione delle Nuove Tecnologie, Nyberg Editore)
1. Che fine ha fatto la normativa sulla privacy?
E’ da qualche tempo che il dibattito sulla privacy si è arenato. Si respira nell’aria, infatti, un certo inquietante rilassamento intorno a quelli che sono gli obblighi normativi imposti dal D.Lgs. 196/2003. Sembra proprio che le varie proroghe succedutesi nel tempo abbiano provocato il solo effetto di far scivolare in un pericoloso oblio la necessità di organizzarsi per l’adeguamento al Codice della Privacy:
- chi si ricorda più dell’obbligatoria predisposizione del DPS (Documento Programmatico sulla Sicurezza)?
- o ancora, che fine hanno fatto nelle imprese e nelle pubbliche amministrazioni le minime (e non minime!) misure di sicurezza indicate nel Disciplinare Tecnico del Codice?
Infatti, con l’entrata in vigore della Legge 1 marzo 2005, n. 26 si è avuto l’ulteriore slittamento dei termini per l’ormai interminabile adeguamento alle (nuove) misure minime di sicurezza. In particolare, è stato modificato l’art 180 del D. Lgs. 196/2003, con la conseguenza che il termine per l’adozione delle c.d. “nuove misure di sicurezza” e, quindi, anche per il DPS, è stato posticipato al 31 dicembre 2005; inoltre, per chi utilizza strumenti elettronici che non permettono l’adeguamento alle misure minime, (ad esempio, perché si possiedono pc ormai obsoleti), il termine per tale adeguamento scadrà il 31 marzo 2006 (purché il titolare del trattamento descriva in un documento avente data certa le obiettive ragioni tecniche che non consentono il dovuto adeguamento).
E ormai si sente dire da più parti con innocente tranquillità: “che m’importa della privacy, tanto tra non molto arriverà una nuova proroga”!
E la cosa peggiore è osservare come queste continue proroghe sono avvertite dai più come una sorta di generale rinvio dell’intera normativa sul corretto trattamento dei dati personali!
E’ bene ricordare, invece, che le intervenute proroghe valgono con riferimento alle sole nuove misure di sicurezza, che non erano state previste dalla normativa precedente; infatti, tutto quanto era già stato previsto e disciplinato dalla vecchia legge 675/1996 e dal D.P.R. n. 318/1999, e che sostanzialmente non è stato modificato dal nuovo Codice Privacy, rimane allo stato attuale assolutamente in vigore. Ma è più propriamente tutto l’insieme di regole del Codice ad essere in vigore: dalla regola del necessario consenso prima di effettuare il trattamento dei dati (fatte salve alcune eccezioni previste dal Codice nell’art. 24), all’idonea informativa sempre obbligatoria (della quale non c’è traccia in molti siti web che raccolgono dati personali…ma questa non è una novità!), sino alla nomina (da fare per iscritto) di incaricati e di eventuali responsabili. Purtroppo è triste dover osservare come, in via generalizzata, sia tutto il necessario adeguamento alle norme che regolano i diritti degli interessati ad essere messo in discussione da una diffusa sensazione di inutilità, “poca importanza”, impalpabilità verso questa normativa, la quale, o non viene tenuta in assoluta considerazione, oppure, se viene presa in considerazione, viene spesso seguita in modo formale e burocratizzato e senza alcuna convinzione!
Eppure sono previste pesantissime sanzioni dal Codice in caso di mancato adeguamento: si passa da pericolosissime “sanzioni civili” (l’art. 15 del Codice potrebbe essere paragonato ad un bazooka in mano ad un nostro nemico, se non siamo sicuri di poter dimostrare di aver adeguatamente protetto i suoi dati personali!), alle sanzioni amministrative (dove – ad esempio – una inidonea informativa può portare a sanzioni sino a trentamila euro!), alle sanzioni penali (il mancato adeguamento alle misure minime può comportare l’arresto sino a due anni ex art. 169!). Forse è solo la scarsa conoscenza che di questa normativa hanno gli stessi avvocati ad aver evitato sino ad oggi condanne esemplari e/o richieste di risarcimento danni milionarie!
2. …e i nuovi Garanti sonnecchiano?
I nuovi componenti del Garante potrebbero oggi cogliere l’occasione per superare le molte critiche ricevute in merito ad alcune nomine e farsi conoscere per un necessario e ritrovato sforzo di informazione ed esemplificazione in merito ai numerosi “adempimenti privacy” (vecchi e nuovi) che si devono effettuare (pubbliche amministrazioni, imprese, professionisti, tutti tendenzialmente sono a digiuno di misure di sicurezza nelle loro strutture…basta fare un giro ed osservare!).
Nuove e tante questioni concrete meritano di essere risolte anche attraverso i doverosi chiarimenti da parte dell’Authority e spesso queste questioni piovono sulla testa di più o meno improvvisati consulenti, i quali non possiedono una sfera di cristallo e trovano spesso risposte inadeguate in una normativa insufficiente e in pareri/provvedimenti del Garante a volte contraddittori.
Per fare un esempio, tra i tanti quesiti di dubbia risoluzione ([1]), si pone all’attenzione del lettore una nuova questione che attanaglia molte società e che emerge dal difficile coordinamento tra l’articolo 26 del disciplinare tecnico al D.Lgs. 196/2003 (il c.d. Allegato B) e gli articoli 2423 e segg. del codice civile: è necessario far riferimento al DPS nella Relazione di Gestione o nella Nota Integrativa al Bilancio di esercizio?
Ci si chiede, quindi, se vi è l'obbligo di citare il DPS (circa la sua redazione o aggiornamento) nella “nota integrativa al bilancio di esercizio” (ex 2427 c.c.) o se l'obbligo di citazione del DPS è previsto solo nella “relazione sulla gestione” (ex art. 2428 c.c.), documento necessario per le sole società di capitali che devono redigere il bilancio in forma ordinaria ed escludendo così dalla previsione del punto 26 dell'allegato B i bilanci che vengono redatti in forma abbreviata (e non contenenti, quindi, la relazione sulla gestione).
Infatti, l'allegato B al Codice della Privacy, al punto 26, semplicemente afferma che “il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza”, senza però specificare cosa debba intendersi per “relazione accompagnatoria” (tenuto in considerazione che il codice civile italiano, pur con la intervenuta riforma di diritto societario, considera espressamente solo le figure della “nota integrativa” al bilancio d'esercizio - art. 2427 c.c. - o della “relazione sulla gestione” – 2428 c.c.).
E, inoltre, ci chiediamo ancora: l’obbligatoria annotazione del DPS nella “relazione accompagnatoria” costituisce una misura minima nuova oppure no?
2. Dubbi e possibili soluzioni
Il Garante per la Protezione dei dati personali, nel suo parere del 22 Marzo 2004 reso su sollecitazione di Confindustria (ed acquisibile sul sito del Garante alla pagina http://www.garanteprivacy.it/garante/navig/jsp/search_result.jsp), in proposito si è limitato a dire che l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l'avvenuta redazione o aggiornamento del DPS, inteso come misura minima, serve ad informare gli organi di vertice del titolare del trattamento, per responsabilizzarlo in materia di sicurezza. Inoltre, chi ha già predisposto in passato il DPS dovrà eventualmente aggiornarlo e riferire secondo quanto richiesto dall’art. 26 dell’Allegato B. I soggetti pubblici e privati tenuti, invece, per la prima volta a redigere il DPS (entro il 31 dicembre 2005 secondo l’ultima proroga) non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. In ogni caso, secondo il Garante anche questa menzione rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia" (regole 25 e 26 dell’allegato B) ([2]).
Questo parere del Garante pone dei seri dubbi interpretativi sia perché non chiarisce cosa si intenda per “relazione accompagnatoria”, termine sostanzialmente nuovo e sconosciuto al nostro Codice Civile e sia perché considera la menzione del DPS nella detta relazione accompagnatoria una sorta di misura nuova, ma non prorogabile per tutti coloro che già dovevano redigere il DPS secondo la precedente normativa!
Rileggendo l’articolo 26 dell’Allegato B, ciò che, quindi, risulta difficile comprendere è in quale parte del bilancio deve essere obbligatoriamente riportata l’indicazione del DPS (nella “relazione sulla gestione” o nella “nota integrativa”?). Inoltre, tale indicazione, se viene qualificata dal Garante come “misura minima nuova”, allora, come tale, essa non avrebbe dovuto essere soggetta al “regime transitorio di proroga” (la c.d. “proroga della proroga”!) così come previsto per le altre misure minime di sicurezza introdotte ex novo dal D.lgs. 196/2003 e dal suo Allegato B? Ma il Garante nel suo parere crea confusione nella confusione dicendo, invece, che la menzione deve essere sempre fatta da tutti quei soggetti (pubblici e privati) già tenuti in passato a predisporre o aggiornare il DPS, i quali “dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l'adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS” entro, (secondo l’ultima proroga), il 31 dicembre 2005! Non si comprende perché il Garante abbia voluto operare questa differenziazione rispetto al regime transitorio; invece, sarebbe stato certamente più corretto e lineare uniformare la proroga a tutti gli adempimenti da considerarsi “misure minime nuove” ([3]) . E, inoltre, in base al ragionamento del Garante ci chiediamo: tutte quelle società che non hanno menzionato il DPS o il suo aggiornamento nelle precedenti “relazioni accompagnatorie” ai loro bilanci di esercizio avrebbero pertanto violato l’art. 169 del Codice e rischierebbero, forse, pesanti sanzioni penali??
Dopo tutte queste domande e premesse, cerchiamo adesso quanto meno di chiarire cosa si debba intendere, a mio modesto avviso, per “Relazione accompagnatoria”:
- considerata la differente natura della nota integrativa (sempre presente in qualsiasi bilancio sia in forma ordinaria sia in forma abbreviata) e della relazione di gestione (che è prevista obbligatoriamente solo per il bilancio in forma ordinaria, secondo il comma 5 dell'art 2435 bis c.c.);
- considerato che il legislatore, quando afferma nell'allegato B (al punto 26) che “il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, SE DOVUTA”, sembrerebbe riferirsi ad un documento accompagnatorio del bilancio dovuto solo in alcune circostanze;
l'obbligo di cui al punto 26 sembrerebbe ascrivibile solo in capo a quelle società che saranno tenute ex lege alla redazione del bilancio d'esercizio in forma ordinaria; e quindi l'indicazione relativa all'adozione del DPS (o al suo intervenuto aggiornamento) andrebbe inserita obbligatoriamente nella sola relazione di gestione prevista dall’art. 2428 c.c. (chiamata "atecnicamente" dal legislatore “relazione accompagnatoria”).
Ovviamente si tratta solo di una possibile interpretazione che al momento non è suffragata da riferimenti giurisprudenziali o da pareri e provvedimenti del Garante idonei a fare luce in questo caos normativo )([4]).
Comunque, al di là dei dubbi interpretativi si spera che il “Nuovo Garante Privacy” possa nuovamente e in maniera autorevole richiamare tutti (professionisti, imprese, pubbliche amministrazioni) ad una maggiore attenzione verso le norme del Codice sulla protezione dei dati personali già operative e verso quelle norme che entreranno in vigore a breve e soprattutto che si impegni a non permettere ulteriori proroghe che servirebbero solo a ridicolizzare ancora una volta questa normativa e a farla dissolvere in un sentimento diffuso di inoperatività/inutilità.
Infatti, sebbene tali proroghe siano state emanate al fine di consentire a tutti l’adeguamento alla nuova normativa, tenendo conto anche delle notevoli difficoltà organizzative che certamente si possono incontrare nell’implementazione strategica delle recenti regole, non bisogna dimenticare che un livello di sicurezza minimo/adeguato per i dati personali che quotidianamente vengono trattati deve essere comunque e sempre garantito.
Sarebbe, quindi, auspicabile che in un prossimo futuro, grazie ad una corretta campagna di informazione, chiunque tratti dati personali si impegni a seguire le norme e le specifiche procedure dettate dal Codice per un profondo rispetto verso il proprio cliente/utente e a prescindere da eventuali ulteriori proroghe stabilite da uno schizofrenico legislatore...ma questa, si sa, è una chimera inseguita da qualche paranoico Don Chisciotte il quale ancora spera che un briciolo di privacy possa comunque esistere nell’evoluzione della Società dell’Informazione!
--------------------------------------------------------------------------------
(*) Si ringrazia il Dr. Graziano Garrisi, collaboratore dello Studio Associato D.&L. (www.studiodl.it), per la preziosa collaborazione nella stesura del presente articolo.
([1]) Per leggere altri interessanti quesiti con relative risposte si può visitare il sito di Promopadova (Azienda Speciale della CCIAA di PD - http://www.pd.camcom.it/dev_cciaa/web.nsf/web/promoPD) nella sezione Sportello Privacy, dove viene svolto un utile servizio di Faq alla pagina http://www.pd.camcom.it/dev_cciaa/Web.nsf/web/sportello_privacy.
([2]) Dal parere del Garante: “3. RELAZIONE ACCOMPAGNATORIA AL BILANCIO D'ESERCIZIO - 3.1 Le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice). In questo quadro, il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l'avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato (regola 26 Allegato B)). Anche questa menzione rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia" (regole 25 e 26). 3.2 I soggetti pubblici e privati tenuti in passato a predisporre o aggiornare il DPS, e che per il 2004 possono come detto aggiornarlo entro il 30 giugno del presente anno, dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l'adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS entro il 30 giugno 2004. I soggetti pubblici e privati tenuti invece per la prima volta a redigere il DPS nel 2004 (come si è detto entro il 30 giugno), non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l'aggiornamento 2004 in itinere." (N.d.R. si tenga in considerazione che –come già riferito nell’articolo - sono intervenute ulteriori proroghe per l'adozione delle misure "nuove" di sicurezza e oggi la data ultima per adottare tutte le misure minime "nuove" di sicurezza è il 31 dicembre 2005 secondo il primo comma dell'art. 180 come d ultimo modificato dall'art. 6-bis della legge 1° marzo 2005, n. 26, di conversione, con modificazioni, del decreto-legge 30 dicembre 2004, n. 314 [già modificato dall'art. 3 del decreto-legge 24 giugno 2004, n. 158, convertito dalla legge 27 luglio 2004, n. 188 e dall'art. 6 del decreto-legge 9 novembre 2004, n. 266, nel testo modificato dalla legge 27 dicembre 2004, n. 306, di conversione del predetto decreto])”.
([3]) Dello stesso avviso in dottrina Luigi Neirotti, il quale commentando il parere del Garante precedentemente riportato ha così sottolineato: “Il Garante ha interpretato come dovuta tale indicazione sin dal bilancio sull'esercizio 2003. Diverse sono le difficoltà che vengono in rilievo in questo caso. Innanzitutto la regola 26 dell'allegato B al codice reca una prima difficoltà nello stabilire concretamente in quale parte del bilancio sia dovuta tale indicazione: se nella "relazione sulla gestione" ovvero nella "nota integrativa". Inoltre, appare difficile comprendere il riferimento del Garante al "bilancio 2003": evidentemente si è considerato solo il caso dell'esercizio sociale coincidente con l'anno solare, senza tenere conto che sono possibili anche altre situazioni (diversi sono i soggetti che, in ragione della natura della loro attività d'impresa, hanno esercizio sociale non coincidente con l'anno solare). Più ancora, l'interpretazione del Garante non appare pienamente convincente. Se è vero che tale indicazione è una misura minima di sicurezza (regola n. 26 dell'allegato B al codice), ed in particolare se è vero che essa deve qualificarsi come "nuova", dato che non era contemplata dal precedente DPR 318/99, come affermato dallo stesso Garante nel parere alla Confindustria ("In questo quadro, il codice ha introdotto una nuova regola ."), allora si dovrebbe concludere che ad essa si debba applicare il regime transitorio previsto dall'art. 180 del codice, il quale permette l'adozione entro il 30 giugno. In altre parole, l'indicazione in questione sarebbe dovuta solo per quelle relazioni accompagnatorie approvate dopo il 30 giugno 2004. Si potrebbe obiettare che ai fini pratici la cosa ha poco rilievo, dato che chi non era tenuto alla formazione del DPS nel 2003 non farà menzione di tale circostanza nella relazione accompagnatoria al bilancio 2004; chi invece già era tenuto alla formazione o aggiornamento del DPS nel 2003 non verrà gravato di un particolare onere (dovendo semplicemente confermare un adempimento già svolto). Una simile considerazione sarebbe accettabile e condivisibile solamente se vi fosse assoluta chiarezza in merito ai soggetti che, prima dell'entrata in vigore del nuovo codice, erano onerati o meno della formazione del DPS” (da “Perplessità sulle scadenze delle misure minime di sicurezza” pubblicato su Interlex alla pagina http://www.interlex.it/675/neirotti1.htm).
([4]) A conferma che la lettura fornita non é incontrovertibile e che si naviga nell’incertezza, è utile ricordare che - se è vero che la redazione della relazione sulla gestione si compila soltanto in alcuni casi, mentre la nota integrativa si compila sempre per le società di capitali - è pur vero che le società di persone sono esentate da quest’obbligo! Quindi, la locuzione “se dovuta” contenuta nel punto 26 dell’allegato B) potrebbe essere riferibile anche al caso della nota integrativa che non si redige nelle società di persone e, di conseguenza, l’obbligo di menzione sarebbe ascrivibile anche alla nota integrativa!