Privacy e misure di sicurezza: a passo di gambero

di David D'Agostini (www.avvocatodagostini.it)

fonte: www.giuristitelematici.it


Avendo avuto notizia che negli ultimi giorni la Camera dei deputati ha approvato un disegno di legge contenente un’esenzione in materia di privacy nelle piccole imprese, mi connetto subito ai siti istituzionali di riferimento (www.camera.it e www.senato.it) confidando nel buon funzionamento dei loro motori di ricerca.

Confesso che, pur possedendo una discreta dimestichezza con gli strumenti di reperimento della documentazione giuridica on line, ho faticato non poco a trovare il testo in questione: nel ginepraio di embrioni normativi scopro che il progetto di legge presentato dal Governo C. 2272 (che originariamente conteneva la disposizione in questione) è stato stralciato e per gemmazione sono nati ben quattro progetti: C. 2272-bis, C. 2272-bis-bis, C. 2272-bis-ter, C. 2272-ter.
Mi armo di pazienza e riesco ad appurare che quello di mio interesse è il C. 2272-bis-bis trasmesso al Senato dove gli è stato assegnato il numero S. 1644 e che concerne “Misure per il cittadino consumatore e per agevolare le attività produttive e commerciali, nonché interventi in settori di rilevanza nazionale”.

Superato il disappunto per il tempo perso, affronto la lettura dell’art. 29 del DDL S. 1644 rubricato Esclusione delle piccole imprese da alcuni adempimenti in materia di trattamento di dati personali il quale stabilisce che:
“le disposizioni degli articoli 33, 34, 35 e dell’allegato B del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, non si applicano alle microimprese e alle piccole imprese sino a quindici addetti che effettuano esclusivamente trattamenti di dati personali per le finalità elencate all’articolo 24 del medesimo codice, purché tali trattamenti siano effettuati nell’ambito dell’ordinaria gestione amministrativa e contabile dell’azienda”.

Istintivamente penso: ci risiamo. Sì, perché gli articoli 33, 34, 35 e l’allegato B del cosiddetto Codice della privacy riguardano quelle misure minime di sicurezza che per anni si è cercato di evitare, ricordate?
Facciamo un rapido punto della situazione: il d.lgs. 196/03 entra in vigore il 1° gennaio 2004 abrogando e sostituendo la nota L. 675/96, ma il termine per adottare le misure minime di sicurezza che non erano previste dal precedente D.P.R. 318/99 viene fissato per il 30 giugno 2004; a meno che il titolare non descriva in un documento di data certa le obiettive ragioni tecniche che non gli consentono di adempiere in tempo, poiché in tal caso potrà farlo fino al 1° gennaio 2005.
Questi termini vengono successivamente prorogati per ben quattro volte da altrettanti decreti legge (D.L. 158/04, D.L. 266/04, D.L. 314/04 e D.L. 273/05, rispettivamente convertiti con L. 188/04, L. 306/04, L. 50/05 e L. 51/06) e si arriva al 30 giugno 2006, ossia tre anni dopo l’approvazione del Codice, ultimo giorno utile per adottare le “nuove” misure minime di sicurezza.
Chi non lo ha fatto è sanzionabile ai sensi dell’art. 169 d.lgs 196/03 il quale prevede un’ipotesi di reato, procedibile d’ufficio, punito con l’arresto sino a due anni o con l’ammenda da diecimila a cinquantamila euro (a parte il procedimento di estinzione del reato disciplinata al secondo comma).

A questo punto, tornando al disegno di legge da cui siamo partiti, mi sorgono spontanee alcune riflessioni, la prima delle quali è di metodo: per quale ragione questa norma afferente alla sicurezza (soprattutto informatica) del trattamento dei dati personali dovrebbe rientrare nell’alveo delle liberalizzazioni? In quale misura non aggiornare un antivirus o non eseguire un back up può agevolare le attività produttive e commerciali delle piccole imprese italiane?
Forse si ritiene che costoro, non dovendo più attendere a tali adempimenti possano dedicarsi con maggior energia al proprio core business? Ma se tale è la ratio, perché non estendere il provvedimento di esclusione anche alle libere professioni, per es. ai geometri, ai periti, ai commercialisti, agli avvocati… proprio per questi ultimi la precedente legislatura aveva confezionato due disegni di legge (C. 6069 e S. 3039) che addirittura escludevano in toto la categoria dall’applicazione dell’intero Codice della privacy!

In tutta franchezza mi sorge il sospetto che non avendo più potuto prorogare sine die il termine per l’adozione delle misure di sicurezza, si stia cercando di sanare ex post una situazione di conclamata violazione delle norme citate che si è fatta insostenibile e che rischia di essere esplosiva.

Entrando nel merito della questione, credo ci siano almeno due ragioni squisitamente giuridiche per le quali questa disposizione, anche se approvata, avrà conseguenze poco significative sul piano applicativo.
1) Innanzitutto si deve rilevare che la sua applicazione è subordinata a due condizioni:
a- una soggettiva, riguardando esclusivamente le microimprese e le piccole imprese sino a quindici addetti e nemmeno tutte, bensì solo quelle “che effettuano esclusivamente trattamenti di dati personali per le finalità elencate all’articolo 24”, vale a dire nei casi in cui il trattamento può essere effettuato senza consenso (per es. se il trattamento è necessario per adempiere a un obbligo previsto dalla legge o per eseguire obblighi derivanti dal contratto del quale è parte l’interessato);
b- l’altra oggettiva, posto che per poter fare a meno delle misure minime di sicurezza il legislatore pretende che “tali trattamenti siano effettuati nell’ambito dell’ordinaria gestione amministrativa e contabile dell’azienda”.
In definitiva se una piccola impresa tratta dati personali per finalità di marketing o per effettuare statistiche oppure per rilevare il grado di soddisfazione dei clienti (nell’ambito del cosiddetto Customer Relationship Management) o per altre finalità non ricomprese nel novero dell’art. 24 non potrà beneficiare dell’esclusione; lo stesso dicasi nel caso di trattamenti che esulino dalla mera gestione contabile e amministrativa.
Ma realisticamente quale avvocato, consulente o tecnico informatico potrà garantire al proprio cliente piccolo imprenditore di non essere tenuto ad adottare le misure minime poiché sicuramente esonerato da questa norma?

2) In secondo luogo il testo in esame riguarda solo le misure “minime” di sicurezza (disciplinate nei suddetti articoli 33, 34, 35 e nell’Allegato B), ma come noto l’art. 31 del medesimo d.lgs. 196/03 impone ai titolari del trattamento l’adozione di misure idonee e preventive che riducano al minimo “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Considerato, quindi, che l’art. 31 non viene menzionato nel disegno di legge, bisogna concludere che le piccole imprese dovranno pur sempre ottemperare a tale previsione in quanto in caso contrario risponderebbero dei danni provocati ai sensi dell’art. 15 del Codice della privacy.
In definitiva, anche in assenza di sanzioni penali, la spada di Damocle della responsabilità civile penderà comunque sulla testa del piccolo imprenditore e costui, per sottrarvisi, sarà tenuto a una serie di adempimenti che comprendono, quale sottoinsieme proprio, anche quelli elencati negli articoli 33, 34, 35 e nell’Allegato B (password, autenticazione informatica, firewall, etc. che rappresentano davvero una soglia minima di tutela).

Alla fine mi domando: a distanza di dieci anni dalla promulgazione della L. 675/96, la prima legge italiana in materia di tutela della riservatezza e di protezione dei dati personali, non è ancora possibile coltivare seriamente la cultura della sicurezza informatica?
Forse è più facile continuare a cullare illusioni e infondere false speranze.



Articolo tutelato da Creative Commons Attribuzione-Non commerciale-Condividi allo stesso modo 2.5 Italia License

Inserito il 27/06/2007 | E-Privacy