Privacy, Semplificazione? Chiarimento? Inasprimento? Analisi sulle modifiche intervenute al D.Lgs.196/2003 alla luce degli ultimi provvedimenti. In questi ultimi mesi si è sentito parlare, sopratutto a sproposito di semplificazione delle misure di sicurezza e della conseguente possibilità per le aziende di non dover più fare la privacy (frase colta durante la discussione con alcuni commercialisti e note associazione di categoria). L incipit alla girandola di valutazioni errate viene dalla pubblicazione del decreto n. 112 del 25 giugno 2008 convertito in legge n.133 del 6 agosto 2008 all Art. 29 in cui vengono chiariti alcuni punti inerenti all allegato B, allegato in cui si trovano anche le regole e le modalità per la redazione del DPS oltre ad altri 28 punti. Troviamo in questo decreto infatti alcuni chiarimenti per quanto riguarda il DPS tra cui la possibilità di redigere il DPS in due nuove forme a fronte dei dati trattati. Nella prima forma l autocertificazione (per Aziende molto piccole che trattano SOLAMENTE dati sensibili per i dipendenti inerenti alla gestione della malattia senza diagnosi o dei Rapporti sindacali) nella seconda c'è il DPS semplificato (semplificazione soprattutto per chi non aveva fatto ancora nulla o per chi aveva fatto documenti errati). Sono inoltre stati inseriti una serie di chiarimenti ed approfondimenti per quanto riguarda alcuni punti dell allegato B che ora risultano leggibili e più attuabili, ad esempio è stato disposto un alleggerimento degli adempimenti per garantire la sicurezza di computer e trattamenti cartacei si è completato (dopo l'articolo 29 del dl 112/2008) con il provvedimento del garante del 27 novembre 2008 pubblicato sulla Gazzetta Ufficiale del 9 dicembre 2008. Per contro con il decreto Milleproroghe della fine dell anno nell'art. 44 dal decreto legge 207/2008 (pubblicato sulla Gazzetta Ufficiale del 31 dicembre 2008) le sanzioni amministrative e penali per violazioni del codice della privacy sono state completamente riformulate Ecco perché parlare di esenzioni è scorretto e fuorviante; per quanto riguarda il DPS infatti i potenziali attori beneficiari della Autocertificazione sono potenzialmente solamente piccolissime Aziende o liberi professionisti in quanto è ad esempio sufficiente trattare il dato della malattia del figlio del dipendente in congedo parentale per impedire l'accesso alla cosiddetta semplificazione; o se si vuole fare un altro esempio è
sufficiente trattare i dati relativi alla convinzione politica in relazione alle aspettative da riconoscere al dipendente investito di una carica elettiva per bloccare l'autocertificazione oppure avere le registrazione dei dipendenti di log di navigazione internet (automatici su explorer o Firefox) o ricevere curricula dal sito internet o in posta elettronica. Altra considerazione da fare è legata all alto grado di responsabilità civile e penale connessa all atto di dichiarazione sostitutiva in quanto la dichiarazione sostitutiva non azzera la responsabilità penali anzi le aumenta in quanto passibile di falsa dichiarazione; diventa quindi il classico gioco che non vale la candela. Andiamo ora ad inquadrare meglio il provvedimento del garante: Per tutti i trattamenti effettuati da chiunque per finalità amministrative e contabili in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il decreto 112 ha demandato al Garante di introdurre nuove effettive modalità di semplificazione. È quello che il Garante ha fatto con il provvedimento del 27 novembre 2008, che introduce novità di immediata applicazione. LE SEMPLIFICAZIONI Possono avvalersi della semplificazione sia le pubbliche amministrazioni sia imprese e professionisti che; A) che trattano SOLAMENTE dati sensibili per i dipendenti inerenti alla gestione della malattia senza diagnosi o dei Rapporti sindacali; B)che li trattano questi dati personali sensibili SOLAMENTE per finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese. Di seguito li chiameremo BENEFICIARI. Il Garante con queste indicazioni sta venendo incontro a tutta una serie di piccole aziende che utilizzano in toto Studi paghe e Studi di Commercialisti per la gestione dei rapporti di lavoro con i dipendenti. Stiamo parlando, di meccanici, piccoli Negozi, Liberi professionisti etc. Vediamo ora nel dettaglio le altre indicazioni emerse nel decreto. I beneficiari possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l'ausilio di strumenti elettronici (articolo 34 del Codice e regole da 1 a 26 dell'allegato B) osservando le modalità semplificate individuate nel prospetto. Questo significa che l'allegato B) è sostituito, per i beneficiari indicati, dal prospetto allegato al provvedimento del Garante. Questo a tutti gli effetti, compresi quelli penali
di cui all'articolo 169 del codice della privacy. Questo significa anche che non si applicano le altre misure di sicurezza previste dall'allegato B), ma non inserite nel prospetto (e in particolare le regole 20, 22, 23, 24, 25, 26, 29). Le novità per i trattamenti effettuati con strumenti elettronici sono varie, ad esempio riguardano le istruzioni per gli incaricati al trattamento che possono essere impartite anche oralmente (non c'è bisogno di istruzioni scritte), con indicazioni di semplice e chiara formulazione; rimane il fatto che se l incaricato sbaglia è l azienda che deve dimostrare di aver impartito istruzioni corrette, e come si può fare per dimostrarlo in maniera semplice?, Dandone una copia cartacea e facendola firmare, tenendo magari un registro degli incaricati. Ecco quindi che la semplificazione di fatto diventa inutilizzabile se mi devo tutelare come Azienda. Per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (di seguito, «username»), associato a una parola chiave (di seguito: «password»). Lo username deve individuare una sola persona, evitando che soggetti diversi utilizzino codici identici e la password deve essere conosciuta solo dalla persona che accede ai dati. L'username deve essere disattivato quando l'incaricato non ha più titolo per accedere ai dati (trasferimento, cessazione dal servizio). Non si prevede espressamente la automatica scadenza per non uso semestrale. È valida anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete. Non si prevede espressamente l'obbligo di almeno otto caratteri per la password e non se ne prevede l'obbligo di modifica con cadenza trimestrale (per i dati sensibili) o semestrale (per i dati comuni). Se manca il titolare della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite: insomma si deve dare una informativa preventiva su come il titolare accede ai dati in assenza del dipendente (ad esempio con l'opzione di inoltro per i messaggi di posta elettronica). Non si prevede espressamente il meccanismo della nomina del custode delle credenziali (è ammesso qualsiasi procedura purchè predefinita e conosciuta dagli incaricati del trattamento) Ecco una vera semplificazione, a parte la parola chiave di otto caratteri, il tutto segue una logica operativa vera e reale di come le aziende lavorano dal punto di vista informatico, e questo ben venga. Le autorizzazioni, necessarie per diversificare l'ambito del trattamento consentito, possono essere assegnate agli incaricati anche tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi.
Non si prevede espressamente un obbligo di verifica annuale delle condizioni legittimanti la sussistenza della autorizzazione. Anche in questo caso indichiamo in sostituzione del custode copie credenziali dei sistemi di gestione automatica della Userid e della password come sistemi LDAP etc. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi anti intrusione (articolo 615-quinquies del codice penale), e a correggerne difetti, sono effettuati almeno annualmente (e non più semestralmente). Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale. In questo caso le semplificazioni ci sembrano abbastanza ridicole vedi soprattutto il discorso Antivirus. I dati possono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile (e non più settimanale). Il salvataggio periodico può non riguardare i dati non modificati dal momento dell'ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino. Per il DPS, Documento programmatico sulla sicurezza (da aggiornare entro il 31 marzo di ogni anno), il provvedimento ne riduce il contenuto. Peraltro viene ridimensionato anche l'obbligo di aggiornamento: da effettuarsi solo se cambia qualcosa, altrimenti può rimanere quello dell'anno precedente. Esso deve contenere l'identificazione del titolare del trattamento, e, se designati, degli eventuali responsabili, e, infine, le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; una descrizione generale dei trattamenti realizzati (finalità del trattamento, categorie di persone interessate e i dati o le categorie di dati relativi alle medesime, e i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità; una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Mancano rispetto allo standard dell'allegato B) alcuni contenuti e alcuni adempimenti accessori al DPS: non è previsto espressamente l'obbligo di indicare le misure da adottare, le misure per i trattamenti in outsourcing, gli interventi di formazione del personale, le misure del ripristino dei dati.
TRATTAMENTI CARTACEI Anche in questo caso sono previste istruzioni, anche orali, agli incaricati finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Inoltre è specificato un obbligo di custodia in capo all'incaricato del trattamento che deve controllare atti e documenti contenenti dati sensibili fino alla restituzione, in modo che a essi non accedano persone prive di autorizzazione. Non è espressamente previsto l'obbligo di identificazione del personale che accede agli uffici dopo la chiusura (ad esempio addetti di guardia e alle pulizie). SANZIONI Vengono sensibilmente ritoccati verso l'alto minimi e massimi degli illeciti amministrativi descritti agli articoli 161 (omessa o inidonea informativa), 162 (illegittimi cessione dati e comunicazione dati sanitari), 162 bis (illegittima conservazione dati del traffico telefonico), 163 (omessa o incompleta notificazione) e 164 (omessa collaborazione con il Garante) del Codice della privacy. Inoltre vengono introdotte fattispecie nuove: illecito amministrativo consistente in violazione delle misure minime di sicurezza e trattamento illecito dei dati (nuovo articolo 162, comma 2-bis) e illecito amministrativo per inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto (nuovo articolo 162, comma 2-bis). Il quadro degli interventi si completa con la definizione di fattispecie punite con una sanzione più elevata (casi di maggiore gravità e casi in cui il livello ordinario della sanzione è sproporzionatamente basso rispetto alle condizioni economiche del contravventore), con una sanzione più lieve peri casi di minore gravità e con una disciplina del concorso di contravvenzioni (nuovo articolo 164bis). Viene, infine, riscritta la disposizione sulla sanzione accessoria della pubblicazione del provvedimento del garante irrogativo della sanzione (diventa facoltativo in tutte le ipotesi e si precisa che le spese sono a carico del contravventore). Per quanto riguarda le sanzioni penali si assiste a una riscrittura delle sanzioni per il reato di omessa adozione delle misure minime di sicurezza (articolo 169 del codice): eliminazione della sanzione pecuniaria e incremento della somma da pagarsi a titolo di oblazione per ottenere la derubricazione del reato in illecito amministrativo ed estinguere così la fattispecie penale. L'innalzamento del carico sanzionatorio per questo reato (e anche per il reato di trattamento illecito dei dati personali, di cui all'articolo 167 del codice) si coglie anche abbinando le modifiche della fattispecie penale alla introduzione della collegata pesante fattispecie di illecito amministrativo (articolo 162, comma 2-bis). Passando al merito degli interventi sanzionatori, la relazione illustrativa del decreto
spende più di un argomento per sottolineare che gli incrementi sanzionatori sono contenuti e che la ratio della modifica è dare al garante della privacy uno strumento per adeguare le sanzioni ai singoli casi: un trattamento più severo per le ipotesi di illeciti in concreto di maggiore lesività del fatto anche per la numerosità dei soggetti interessati lesi oltre che a carico di soggetti economicamente forti e per i quali dalla applicazione della sanzione potrà sortire un'efficacia di prevenzione speciale solo se la stessa è molto elevata nel quantum; un trattamento più leggero per le violazione commesse nel corso degli ordinari trattamenti per finalità amministrative e contabili presso piccole e medie imprese o liberi professionisti. Per constatare l'esatta portata dell'intervento legislativo d'urgenza esaminiamo ora alcune ipotesi. Per la violazione di omessa o inidonea informativa (articolo 13 del codice) si prevede un unico ambito edittale da seimila euro a trentaseimila euro. La sanzione amministrativa per illegittima cessione dei dati personali al momento della cessazione del trattamento (articolo 16, comma 1, lettera b) del codice) passa da cinquemila euro a trentamila euro alla sanzione da diecimila euro a sessantamila euro. Per la violazione dell'articolo 84 del codice (comunicazione di dati sanitari a soggetti non legittimati) si passa da cinquecento euro a tremila euro alla nuova misura da mille euro a seimila euro. Viene, poi, aggiunto un comma 2-bis all'articolo 162 che prevede, innanzi tutto, sanzioni amministrative, da ventimila euro a centoventimila euro, aggiuntive alle sanzioni penali - in caso di violazione delle misure minime di sicurezza (violazione articolo 33 del codice) e in caso di trattamento illecito dei dati (articolo 167 del codice). Altra sanzione amministrativa di nuova introduzione riguarda l'inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di trattamento (articolo 154, comma 1, lettere c) e d): si applica in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro. Per la violazione dei divieti di conservazione dei dati del traffico telefonico e delle chiamate senza risposta (articolo 162 bis del Codice della privacy) è invariata la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro, ma viene soppressa la possibilità di aumentare sino al triplo in ragione delle condizioni economiche dei responsabili della violazione (aumento assorbito dalla disciplina generale sulle fattispecie, per così dire, aggravate). La sanzione amministrativa per omessa o incompleta notificazione al Garante (articoli 37 e seguenti) passa da diecimila euro a sessantamila euro alla sanzione da ventimila euro a centoventimila euro. La sanzione amministrativa per omessa informazione o esibizione al garante (articolo 164 del codice) passa dalla sanzione da quattromila euro a ventiquattromila euro alla sanzione da diecimila euro a sessantamila euro.
Passando alla disciplina generale delle fattispecie attenuate o aggravate (nuovo articolo 164 bis) si potrà una sanzione pari ai due quinti dei minimi e massimi per le violazioni di minore gravità, avuto riguardo alla natura anche economica o sociale dell'attività svolta dal trasgressore (la fattispecie non si applica all'illecito relativo alla conservazione del traffico telefonico). Aumento alla misura doppia di quella iniziale in altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, o quando la violazione coinvolge numerosi interessati. Le sanzioni possono essere addirittura quadruplicate in relazione alle condizioni economiche del contravventore. Viene, infine, introdotta una disciplina generale del concorso delle contravvenzioni: si applica invece una sanzione da cinquantamila euro a trecentomila euro (senza possibilità di pagamento in misura ridotta), ad eccezione di violazione obblighi di comunicazione dati sanitari, di obblighi di conservazione del traffico e degli obblighi di esibizione documenti al garante e comunque collaborazione con il garante in sede di accertamento e controllo). Il decreto legge in esame interviene anche sulle sanzioni penali per la violazione delle misure minime di sicurezza. All'articolo 169 del codice viene eliminata la sanzione pecuniaria alternativa a quella detentiva (la pena della contravvenzione è limitata a quella detentiva dell'arresto fino a due anni). Inoltre per il cosiddetto ravvedimento operoso (con derubricazione del fatto a illecito amministrativo, previa esecuzione delle prescrizioni impartite dal Garante) il trasgressore dovrà pagare non più 12.500 euro, ma 30 mila euro (a ciò si aggiunge la sanzione pecuniaria prevista dall'articolo 162, comma 2 bis del codice).