Sono questi i nuovi rebus che le aziende dovranno risolvere con l'entrata in vigore a gennaio del Codice per la Privacy!
di Andrea Lisi (www.scint.it)*
Premessa
Quando quest’estate, al caldo afoso di luglio, ho iniziato a sfogliare le numerose pagine del nuovo Codice per la Protezione dei Dati Personali (D.Lgs. 196/2003), dopo i primi sbadigli, un moto irrefrenabile di ira mi ha colto e sono stato sul punto di gettare dalla finestra le varie pagine stampate dal sito del Garante (www.garanteprivacy.it)! Più leggevo e più pensavo a come far digerire a me stesso e alle varie società o pubbliche amministrazioni mie clienti i numerosi adempimenti burocratici che comportava l’entrata in vigore del Codice…
Effettivamente, il capitolo “privacy e sicurezza” è oramai da tempo entrato a far parte della realtà quotidiana delle nostre imprese o pubbliche amministrazioni. Dagli istituti bancari alle strutture alberghiere, dalle case di cura ai produttori di automobili, dagli operatori dell’e-commerce ai gestori della telefonia nessuno può ritenersi più esentato dall’osservare la normativa, nazionale ed europea, dettata a tutela dei dati personali. Ma una cosa è la formale constatazione di quel che si deve fare (magari con uno sbadiglio o un gesto inconsueto di stizza!), altra cosa è recepire sostanzialmente la normativa, assorbendone culturalmente il cambiamento, sentendo come utili e manifestando nella propria quotidianità i numerosi adempimenti che la normativa ci richiede…
Prima di tutto occorre premettere che per una effettiva tutela della privacy non si può prescindere da una “politica aziendale” di sicurezza dei dati personali. Riservatezza fa rima con sicurezza, più volte si è sentito dire… ma una cosa è il dire altra cosa è il fare e non sempre il legislatore ci aiuta a fare chiarezza…
Per quanto l’ entrata in vigore (1° gennaio 2004) del Codice in materia di protezione dei dati personali (di seguito, Codice), dovrebbe segnare, almeno nelle intenzioni del legislatore, una svolta decisiva verso una maggiore uniformità e trasparenza in materia, in realtà, le imprese (ma anche le pubbliche amministrazioni) sono ancora una volta chiamate a fare i conti con una normativa che appare in certi punti oscura e foriera di dubbi e contrasti interpretativi.
Il riferimento, per quanto più da vicino ci interessa, è proprio alle disposizioni del Codice che regolano la particolare materia della sicurezza dei dati personali. L’autentico nodo interpretativo da sciogliere consiste, a parere di chi scrive, nell’individuare esattamente la cerchia dei soggetti tenuti alla redazione del c.d. Documento Programmatico sulla Sicurezza (di seguito, DPS).
Prima di addentrarci nell’analisi della questione dal punto di vista tecnico-giuridico è opportuno chiarire cosa si intenda per DPS e quale ruolo lo stesso svolga nell’economia del codice.
Il DPS, in realtà, altro non è che un resoconto delle misure di sicurezza adottate da chiunque (imprese, singoli ed istituzioni) sia titolare di un trattamento di dati personali altrui per evitare (o meglio per ridurre al minimo il verificarsi di) qualsiasi tipo di evento dannoso o pericoloso a carico degli stessi dati personali.
In definitiva, il DPS serve a fotografare la politica aziendale in tema di sicurezza dei dati personali e, una volta redatto, esso deve essere custodito in un luogo preciso (e ovviamente sicuro!) – solitamente all’interno dell’azienda stessa – per gli eventuali possibili controlli.
Nell’economia del Codice, per quanto collocato nell’Allegato B (e, quindi, a corredo del Codice), il DPS assume un ruolo fondamentale anche in virtù del richiamo ad esso operato dall’art. 34 e del quale più innanzi si dirà.
Uno sguardo alla normativa: tra vecchie e nuove disposizioni il quadro si complica
Abbiamo riferito che il problema principale è domandarsi chi sia tenuto obbligatoriamente a redigere il DPS secondo le nuove disposizioni del D.Lgs. n. 196/2003 (in vigore -come detto - dal 1° gennaio 2004), il quale segna la contestuale abrogazione sia della legge n. 675/1996, sia del relativo regolamento tecnico D.P.R. n. 318/1999.
Sotto il vigore della vecchia normativa la dottrina più accreditata, in buona sostanza, effettuava dei distinguo tenendo in considerazione tre parametri principali: il tipo di dati trattati, gli strumenti con cui si effettuava il trattamento e le finalità proprie del trattamento stesso.
Sulla base dell’analisi della precedente normativa si giungeva così a ritenere doverosa la redazione del DPS quando oggetto di trattamento fossero stati dati sensibili (idonei a rivelare origine razziale ed etnica, convinzioni religiose e filosofiche, opinioni politiche, adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché stato di salute e vita sessuale di un individuo) e/o giudiziari (idonei a rivelare i provvedimenti di cui all’art. 686 c.p.p.), quando tale operazione avvenisse con l’ausilio di strumenti elettronici e, infine, quando il trattamento non fosse effettuato per fini esclusivamente personali.
Venendo ora all’analisi della nuova normativa si è già ricordato che occorre fare riferimento alle disposizioni contenute negli articoli 33 e ss. del Codice, nonché alle disposizioni di cui all’Allegato B al Codice stesso.
Espressamente il legislatore afferma che le misure individuate dal Codice (definite minime) sono volte ad assicurare un livello minimo di protezione dei dati personali (art. 33), cioè rappresentano la base minima da cui partire per dotarsi di misure di sicurezza sempre migliori e più efficaci e per evitare di incorrere nelle sanzioni penali previste dall’art. 169.
Il Codice, peraltro, assume tre parametri generali per garantire la sicurezza dei dati personali che variano in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento (art. 31). Inoltre, il legislatore impone comunque l’adozione di “idonee e preventive (n.d.a. cioè antecedenti rispetto alle operazioni di trattamento) misure di sicurezza” al fine di “ridurre al minimo (non vengono quindi richieste misure adottate al fine di “evitare” del tutto…anche perché risulterebbe impossibile!) i rischi di distruzione o perdita, anche accidentale, dei dati e di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Le operazioni di trattamento dei dati e il DPS
Il DPS può far parte delle misure minime di sicurezza previste dall’art. 33 del Codice e, quindi, occorre chiedersi quando debba essere redatto obbligatoriamente da parte del titolare del trattamento…. Il passaggio logico-giudico più controverso in tema di redazione del DPS è rinvenibile nella bipartizione delle operazioni di trattamento dei dati personali a seconda che le stesse avvengano con o senza l’ausilio di strumenti elettronici.
Sul punto occorre riportarsi al contenuto delle norme presenti nell’art. 34 - Trattamenti con strumenti elettronici – e nell’art. 35 – Trattamenti senza l'ausilio di strumenti elettronici – per evidenziare come entrambe le norme prevedano diverse e molteplici misure minime di sicurezza e richiamino il disciplinare tecnico contenuto nell’allegato B al Codice; ma solo l’art. 34 dispone, nell’ipotesi di trattamento di qualsiasi tipo di dati personali, la tenuta di un aggiornato documento programmatico sulla sicurezza.
Con la nuova normativa può dirsi pertanto che il DPS vada redatto obbligatoriamente solo nell’ipotesi di trattamento di qualsiasi tipo di dati effettuato con strumenti elettronici: la norma dell’art. 34 segnerebbe, quindi, il venir meno della precedente distinzione tra tipi di dati (comuni da un lato e sensibili/giudiziari dall’altro) e finalità di trattamento (personale/non personale). In questa disposizione il legislatore non si preoccupa di indicare un termine entro il quale redigere, ovvero aggiornare, il DPS limitandosi ad affermare che lo stesso debba essere tenuto aggiornato.
Ma non è tutto. Occorre anche analizzare il contenuto del richiamato allegato B al Codice che, all’art. 19, rubricato “Documento programmatico sulla sicurezza”, tra l’altro recita “Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: (…)”.
A questo punto si potrebbe pensare ad una sorta di discrasia in cui è incorso il nostro legislatore.
Da una lettura delle prescrizioni contenute nell’allegato B, infatti, il DPS sembrerebbe doversi redigere per i soli dati sensibili e giudiziari oggetto di qualsiasi tipo di trattamento, con o senza ausilio di strumenti elettronici. Al contrario, come già ricordato, secondo l’art. 34 del Codice, tale documento dovrebbe essere redatto per tutti i tipi di dati purché trattati con strumenti elettronici!
Ed il quadro interpretativo non è ancora completo! Vale la pena sottolineare come lo stesso allegato B, all’art. 20 disponga “Ulteriori misure in caso di trattamento di dati sensibili o giudiziari”: ma non è forse vero che già l’art. 19 si riferiva ai soli dati sensibili e giudiziari? Come interpretare questa ulteriore disposizione??!
Concludiamo la nostra visione d’insieme riferendo come l’allegato B contenga anche delle disposizioni tecniche da rispettare nelle ipotesi “Trattamenti senza l'ausilio di strumenti elettronici” distinguendo tra operazioni di trattamento di dati comuni e operazioni di trattamento di dati sensibili e/o giudiziari.
Una possibile lettura delle norme
Dopo questa lunga e faticosa esposizione di contrasti normativi (e dubbi amletici!) è ora di riordinare le idee ed offrire al lettore (che è giunto sin qui…) un’interpretazione che cerchi di elidere tali contrasti e che porti ad una corretta applicazione della legge.
Partiamo da un punto certo: il DPS – non definito da alcuna disposizione del Codice – consiste in una fotografia delle misure di sicurezza adottate in tema di trattamento dei dati personali dalle imprese (e dagli altri soggetti) titolari del trattamento stesso. Ma quando la legge obbliga il titolare del trattamento a fare il “fotografo”?
Procediamo con ordine: dapprima con riferimento esclusivo all’articolato del Codice, successivamente con riferimento anche all’allegato B.
Avuto riguardo alle sole norme del Codice, la distinzione fondamentale è quella già segnalata tra trattamenti effettuati con l’ausilio di strumenti elettronici (art. 34) e trattamenti effettuati senza l’ausilio di strumenti elettronici (art. 35).
Nella prima ipotesi la redazione del DPS è sempre dovuta, qualsiasi tipo di dato (comune, sensibile, giudiziario…) sia fatto oggetto di trattamento e deve essere aggiornata periodicamente, cioè, ogni volta in cui variano le misure di sicurezza adottate, ovvero i nominativi, le competenze e/o le mansioni degli addetti e in genere le altre informazioni in esso contenute.
Peraltro, nell’ipotesi di trattamento con l’ausilio di strumenti elettronici dei soli dati sensibili e giudiziari il DPS deve essere redatto entro il 31 marzo di ogni anno (termine che sembra essere perentorio e che va rispettato anche nelle ipotesi in cui il titolare non abbia modificato alcuna misura di sicurezza) e devono essere rispettate le ulteriori misure previste ai punti 20 e ss. dell’Allegato B (protezione dagli accessi abusivi; istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili; garanzie del ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni…).
Nella seconda ipotesi (cioè di trattamento senza l’ausilio di strumenti elettronici) non occorre la redazione del DPS a meno che essa non abbia ad oggetto dati sensibili e/o giudiziari per il cui trattamento andrebbero rispettate anche le regole previste ai punti 27 e ss. dell’Allegato B, almeno secondo una prima lettura molto rigorosa dell’allegato B).
Per concludere, a parere di chi scrive, il DPS è dovuto sempre nelle ipotesi di trattamento con mezzi elettronici di qualunque tipo di dati (art. 34) e nelle ipotesi di trattamento, sia con sia senza l’ausilio di strumenti elettronici, di dati sensibili e giudiziari.
Ovviamente tale tipo di lettura molto rigorosa delle disposizioni del Codice e dell’Allegato B viene effettuata con la consapevolezza che essa è frutto di un’interpretazione forzata di norme imprecise e probabilmente contenenti degli errori effettuati in sede di stesura del testo dallo stesso legislatore… ma leggere rigidamente una disposizione legislativa permette di tutelare maggiormente l’impresa da possibili future sanzioni dettate proprio al fine di far osservare queste norme, anche se confuse (lo so che è un paradosso, ma purtroppo è così!)…
Ad avviso di scrive, probabilmente non era nelle intenzioni del legislatore far adottare il DPS anche in caso di trattamento cartaceo di dati sensibili e/o giudiziari e, infatti, la prima parte dell’allegato B) sembrerebbe far riferimento al solo trattamento elettronico di dati personali…ma, ahimè, poiché l’allegato è pieno di imprecisioni e le norme si leggono e si devono poi interpretare e qualcuno deve pure farle applicare, allora è meglio stare tranquilli e fare anche di più rispetto a quanto è apparentemente dovuto!
Infine, occorre riferire che, se nelle ipotesi di trattamento di dati comuni senza l’ausilio di strumenti elettronici il DPS è certamente facoltativo, resta preferibile utilizzare comunque questo strumento perché offre al titolare la possibilità di provare con un documento cartaceo di aver adottato tutte quelle misure volte ad evitare danni derivanti dal trattamento di dati personali altrui, anche in considerazione del fatto che l’attività di trattamento è equiparata dal nostro legislatore (art. 15 del Codice) ad una attività pericolosa di cui all’art. 2050 C.C., con ogni conseguenza che ne deriva in tema di risarcimento danni ed onere della prova.
Insomma, per tradurre - come al solito - dal freddo “giuridichese”, l’adozione di un aggiornato DPS serve un po’ a tutti i titolari di un trattamento dati personali a prescindere da quello che il legislatore confusamente ci ha voluto dire circa l’obbligatorietà o meno di utilizzare questo strumento!
Il contenuto del DPS
Il contenuto del DPS, infine, proprio perché esso va a fotografare le politiche di sicurezza aziendale, non può che variare da impresa ad impresa al punto che è impossibile predeterminarlo validamente per ogni realtà aziendale.
In estrema sintesi, il DPS è un documento che deve contenere: l’elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; l’analisi dei rischi che incombono sui dati; le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a possibili eventi di distruzione o danneggiamento; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare; la descrizione dei criteri da seguire per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, inoltre il Codice prevede l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Per concludere: è vero, a leggerle formalmente e senza possedere una cultura della sicurezza, queste disposizioni sembrano essere un’accozzaglia di formalità burocratiche assolutamente incomprensibili…per certi aspetti è anche così (e ancora leggendo il Codice quel gesto di stizza mi viene spontaneo), ma certamente utilizzare questo documento ci permeterà di capire come funziona la nostra “azienda”, quali trattamenti effettua, quanto investiamo per difendere noi stessi e i nostri clienti e soprattutto ci permetterà di tutelare noi stessi da sanzioni penali e da pretestuose richieste di risarcimento danni provenienti da chi ritiene che abbiamo in qualche modo violato la sua privacy… e non è poco…
-------------------------
*Avvocato in Lecce, studio legale Lisi (www.studiolegalelisi.it). Titolare, con il dr. Davide Diurisi, dello studio associato D.&L. (www.studiodl.it), consulenza aziendale e legale. Vice presidente del centro studi & ricerche scint. Curatore del portale per l'internazionalizzazione www.scint.it. Autore di numerose pubblicazioni in materia di diritto del commercio internazionale e diritto delle nuove tecnologie. Docente in Master dedicati al diritto dell'informatica, presso l'Università di Lecce, Padova e Messina.