Privacy e decreto sviluppo: brevi note critiche

Il Governo ha approvato al Consiglio dei Ministri dello scorso 5 maggio uno schema di decreto legge che, fra l’altro, all’art. 6 affronta alcune questioni in materia di privacy. In particolare, l’art. 6 dello schema di decreto legge è stato strutturato per delineare diverse azioni, ma la prima è quella relativa alla riservatezza e la logica posta alla base dell’intervento normativo viene indicata alla lettera a) e descritta nei termini seguenti:

in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese

Il citato assioma sembra voler giustificare l’intervento in commento su una presunta “corretta applicazione della normativa europea”. Sul sito del Ministero per la pubblica amministrazione ed innovazione, peraltro, si legge: “La proposta prevede che il Codice della Privacy non si applichi ai trattamenti di dati personali nei rapporti tra persone giuridiche per sole finalità di natura amministrativo-contabile, in modo da allineare la normativa italiana a quella degli altri Paesi dell’Unione Europea (solo l’Italia infatti, insieme all’Austria, aveva una normativa sulla privacy che si applicava sia alle persone fisiche, sia a quelle giuridiche). Sono previste inoltre semplificazioni per le imprese che trattano solo i dati sensibili del personale, dei collaboratori e dei loro familiari (circa l’80% del totale): una semplice autocertificazione sostituisce il Documento Programmatico per la Sicurezza”.

Riguardo all’allineamento all’Europa l’impostazione metodologica è errata e non condivisibile.

Il Governo sembra ignorare le azioni della Commissione Europea sul fronte privacy ed in particolare la Comunicazione in data 4.11.2010 dalla Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale e il Comitato delle Regioni dal titolo “A comprehensive approach on personal data protection in the European Union” con cui è stata delineata la linea d’azione riguardo alla privacy. È appena il caso di rilevare che tra gli aspetti problematici su cui intervenire si menzionano i seguenti:

Addressing the impact of new technologies
Enhancing the internal market dimension of data protection
Addressing globalisation and improving international data transfers
Providing a stronger institutional arrangement for the effective enforcement of data protection rules
Improving the coherence of the data protection legal framework
Emerge chiaramente la volontà della Commissione di intervenire, ad esempio, sulle questioni del mercato interno riguardo alla protezione dei dati, ma non sembra che i predetti interventi siano diretti alle imprese e soprattutto a rendere non applicabile alle aziende il diritto dell’individuo alla riservatezza e alla tutela dei dati personali. La Commissione con il citato documento, molto chiaramente, proponeva di sviluppare un approccio comprensivo e coerente per garantire il diritto fondamentale alla protezione dei dati personali per gli individui.

Il testo è il seguente: “The above challenges require the EU to develop a comprehensive and coherent approach guaranteeing that the fundamental right to data protection for individuals is fully respected within the EU and beyond. The Lisbon Treaty provided the EU with additional means to achieve this: the EU Charter of Fundamental Rights – with Article 8 recognising an autonomous right to the protection of personal data – has become legally binding, and a new legal basis has been introduced allowing for the establishment of comprehensive and coherent Union legislation on the protection of individuals with regard to the processing of their personal data and on the free movement of such data. In particular, the new legal basis allows the EU to have a single legal instrument for regulating data protection, including the areas of police cooperation and judicial cooperation in criminal matters. The area of Common Foreign and Security Policy is only partly covered by Article 16 TFEU, as specific rules for data processing by Member States must be laid down by a Council Decision based on a different legal basis. Building on these new legal possibilities, the Commission will give the highest priority to ensuring respect for the fundamental right to data protection throughout the Union and all its policies, while at the same time enhancing the internal market dimension and facilitating the free flow of personal data. In this context, other relevant fundamental rights enshrined in the Charter, and other objectives in the Treaties, have to be fully taken into account while ensuring the fundamental right to the protection of personal data. This Communication intends to lay down the Commission’s approach for modernising the EU legal system for the protection of personal data in all areas of the Union’s activities, taking account, in particular, of the challenges resulting from globalisation and new technologies, so as to continue to guarantee a high level of protection of individuals with regard to the processing of personal data in all areas of the Union’s activities. This will allow the EU to remain a driving force in promoting high data protection standards worldwide“.

Dal testo della Commissione emerge una priorità per il diritto alla protezione dei dati personali che non si estrinseca, neppure in funzione di programma, in una disapplicazione delle norme privacy per le imprese. Peraltro, il citato documento non è l’unico intervento in materia operato dalla Commissione. Difatti, successivamente la Commissione ha avviato una consultazione pubblica, che è scaduta il 15 gennaio scorso, finalizzata alla revisione della normativa europea in un’ottica di armonizzazione della disciplina esistente. La Commissione Europea in più occasioni ha dichiarato che non si tratterà di una riforma ma proprio di una “revisione” della normativa perché non esiste una volontà tesa allo stravolgimento dei principi privacy attualmente vigenti. Un dato è certo: la direttiva 1995/46/EC si rivolge alle persone fisiche e non alle persone giuridiche, ma non esclude la tutela della riservatezza nei rapporti tra imprese e persone fisiche (come ad esempio i dipendenti). Del resto, anche il Garante Europeo, intervenendo sull’argomento, ha sottolineato la necessità di rafforzare il diritto degli individui alla privacy; tale concetto è stato successivamente ribadito con altro intervento, rimarcando quanto affermato dalla Commissione e specificamente che si dovrà considerare nella revisione del corpus normativo europeo il risultato dell’evoluzione tecnologica, oltre che gli effetti della globalizzazione e del trasferimento dei dati da un Paese all’altro. La tutela del diritto alla privacy degli individui coinvolge necessariamente le attività delle imprese; pertanto, non si comprende come si possa parlare di allineamento all’Europa eliminando, di fatto, le norme privacy per le imprese. In effetti, secondo questo testo, le imprese godranno di una esenzione globale per la privacy e non soltanto, come invece si vuole rappresentare, nei soli rapporti tra imprese, ma anche con riferimento ai dati trattati all’interno delle stesse aziende per i rapporti di lavoro e per quelli di natura finanziario-contabile. Al di là di questo scenario, volutamente non ci si sofferma sul regime dei sistemi privacy vigenti nei Paesi d’oltreoceano (fondamentalmente USA e Canada), poiché – anche se effettivamente si tratta di situazioni differenti – le discrasie riguardo alla tutela dei dati personali anche da parte delle imprese sono davvero profonde.

Soffermandosi sulla logica indicata dal Governo, non ci si può, inoltre, esimere dal rilevare un ulteriore errore di fondo, posto che la privacy viene relegata al solo campo delle comunicazioni. È superfluo sottolineare quanto sia fuorviante ed estremamente riduttivo tale approccio. Peraltro, il postulato realizzato per giustificare la logica contenuta nel comma 1 lett. a) dell’art. 6 esclude categoricamente l’applicabilità delle norme privacy alle imprese perché “la riservatezza dei dati personali” sarebbe limitata “alla tutela dei cittadini”. Un simile assioma denota che al legislatore sfuggono i principi fondamentali in materia di privacy.

In buona sostanza il citato articolo 6 riserva il comma 2 alle modifiche al codice privacy; la prima modifica di rilievo riguarda l’introduzione del comma 3-bis all’art. 5 nei termini seguenti:

3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.

Si tratta della norma che esclude l’applicazione della normativa privacy alle imprese per le finalità amministrativo-contabili.

L’ulteriore modifica comporta l’introduzione del comma 5-bis all’art. 13 del codice privacy, come segue:

5-bis. L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).

Nessuna informativa verrà fornita in caso di ricezione di curricula inviati dai soggetti interessati ad instaurare un rapporto di lavoro. Tale approccio è in evidente contraddizione con la logica sottesa alla modifica della normativa che è enunciata nel comma 1 dell’art. 6. Difatti, sembra che il principio dello schema di decreto legge voglia semplificare il rapporto tra imprese, ma al contempo è indubbiamente rivolto a limitare fortemente il diritto alla riservatezza delle persone fisiche.

Ulteriore modifica di rilievo riguarda la sostituzione del comma 1-bis dell’art. 34 e nell’introduzione di un comma 1-ter nella formulazione che segue:

1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.

1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro

Detta modifica ripercorre la soluzione già adottata della semplificazione degli adempimenti sostituendo il DPS all’autocertificazione ma viene fondamentalmente esteso l’ambito operativo.

Il comma 1-ter definisce la natura dei trattamenti per finalità amministrativo-contabili.

Il Ministro per la pubblica amministrazione e l’innovazione ha sottolineato come la modifica della disciplina sulla privacy per le sole aziende porterà un risparmio di circa 600 milioni di euro. Tale approccio conduce a far considerare la privacy come un vero e proprio disvalore piuttosto che un quid pluris, svilendo al contempo in modo infimo il diritto alla riservatezza e alla tutela dei dati personali. Tutto ciò proprio quando lo scenario internazionale manifesta come preminente l’interesse per la privacy, tanto che l’ultima conferenza mondiale dei Garanti ha adottato la risoluzione sulla Privacy by Design che rappresenta l’evoluzione della privacy per il nostro immediato futuro.

L’auspicio è quello di una profonda revisione delle posizioni e del testo adottato dal Consiglio dei Ministri.

Leave a Reply

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.