Modifiche al Codice Privacy: che fine fa il DPS?

Con la Legge n° 133/2008 (di conversione del D.L. n° 122/2008, ovvero la c.d. “manovra d’estate”), pubblicata nella Gazzetta Ufficiale del 21 agosto 2008, sono state apportate alcune rilevanti modifiche al Codice Privacy, finalizzate al completamento di quel processo di semplificazione iniziato dal Garante con un suo provvedimento del 19 giugno 2008 (Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili). Le novità introdotte assumono rilevanza soprattutto all’interno di quelle PMI che trattano dati personali sensibili caratterizzati unicamente dallo stato di salute dei propri dipendenti (come, ad esempio, certificati medici debitamente anonimizzati mediante la non menzione della diagnosi) o dati relativi all’adesione ad organizzazioni sindacali ovvero a carattere sindacale, effettuando il trattamento di tali dati per le sole finalità di gestione del rapporto di lavoro, anche in relazione a norme e regolamenti.

Ebbene, il legislatore ha esonerato i Titolari che trattano tali dati personali dalla redazione e, conseguentemente, dall’aggiornamento del DPS (Documento Programmatico sulla Sicurezza), introducendo, in sostituzione, l’obbligo di un’autocertificazione (ai sensi del DPR 445/2000): si tratta, sostanzialmente, di attestare in un documento ad hoc di aver adottato tutte le misure minime di sicurezza previste dall’art. 34 del D.Lgs. 196/2003 (ad eccezione del DPS naturalmente) e le altre misure previste dall’Allegato B, ad eccezione del DPS.

Ad un primo esame di tale modifica al Codice Privacy balza subito agli occhi un’importante conseguenza ovvero la non applicazione della sanzione penale prevista dall’art. 169 del D.Lgs. 196/2003 in tema di “Misure di sicurezza” a tutti coloro che sino ad oggi non si erano ancora dotati di un aggiornato DPS (o non avevano provveduto ad aggiornarlo); in questo modo si evita una pesante sanzione penale che può arrivare all’arresto sino a 2 anni o all’applicazione di un’ammenda da 10.000,00 a 50000,00 euro.

Venuto meno per alcuni Titolari l’obbligo di redigere il DPS e venuta meno la sanzione prevista dall’art. 169 in caso di mancata redazione/aggiornamento del DPS (norma che comunque rimane in vigore in caso di accertata violazione delle altre misure minime di sicurezza!), a questo punto c’è da chiedersi allora quali possano essere le conseguenze per il Titolare del trattamento qualora non ottemperi correttamente, invece, a tale nuovo obbligo dell’autocertificazione. A nostro avviso, poiché si tratta di attestare in un documento che l’azienda tratta solo dati sensibili relativi allo stato di salute o malattia dei propri dipendenti/collaboratori a progetto (ovvero dati che attengono alla loro adesione ad organizzazioni sindacali o a carattere sindacale) e, conseguentemente, si dichiara di aver adottato tutte le altre misure di sicurezza previste dal Codice Privacy, il rischio a cui si espone ora il Titolare del trattamento è non più quello relativo alla violazione dell’art. 169, bensì quello dell’art. 168 del D.lgs. 196/2003. Tale ipotesi di reato attiene alle “falsità nelle dichiarazioni e notificazione rese al Garante”: chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da 6 mesi a 3 anni. E’ evidente, quindi, il diverso tenore della sanzione che il Titolare rischia di vedersi comunque infliggere se autocertifica e attesta falsamente in tale documento di aver adottato tutte le altre misure di sicurezza previste dal Codice Privacy, poiché si prevede la pena ben superiore della reclusione da sei mesi a tre anni (al posto dell’arresto sino a due anni previsto dall’art. 169 anche per il mancato adeguamento del DPS nella situazione ante modifica).

Sembrerebbe, quindi, che tale modifica non abbia apportato i benefici sperati per il Titolare del trattamento, quanto meno in tema di responsabilità, con buona pace dei fautori delle semplificazioni privacy e dei vantaggi introdotti dal legislatore in favore delle imprese.

Se da un lato, quindi, il legislatore ha eliminato un fastidioso incombente a carico dei vari Titolari del trattamento interessati da questa normativa sulle semplificazioni, dall’altro lato ha introdotto un nuovo pesante fardello in capo a coloro che dovranno autocertificare il proprio livello di sicurezza interno (spesso molto basso), che non esonera affatto da alcuna responsabilità, se comunque non si adottano le restanti misure di sicurezza previste dal Codice (vd. art. 34) e dall’Allegato B.

Ricordiamoci, infatti, che la sicurezza dei dati, oltre ad essere un obbligo di legge per evitare sanzioni penali e civili (ai sensi dell’art. 15 del Codice Privacy e degli artt. 2043 e 2050 c.c.), deve essere considerata anche un valore aggiunto per l’impresa sia per la corretta protezione delle informazioni interne, spesso sensibili, le quali devono essere adeguatamente archiviate, sia per il rispetto della riservatezza dei propri clienti/interessati al trattamento.

Con la Legge n° 133/2008 (di conversione del D.L. n° 122/2008, ovvero la c.d. “manovra d’estate”), pubblicata nella Gazzetta Ufficiale del 21 agosto 2008, sono state apportate alcune rilevanti modifiche al Codice Privacy, finalizzate al completamento di quel processo di semplificazione iniziato dal Garante con un suo provvedimento del 19 giugno 2008 (Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili). Le novità introdotte assumono rilevanza soprattutto all’interno di quelle PMI che trattano dati personali sensibili caratterizzati unicamente dallo stato di salute dei propri dipendenti (come, ad esempio, certificati medici debitamente anonimizzati mediante la non menzione della diagnosi) o dati relativi all’adesione ad organizzazioni sindacali ovvero a carattere sindacale, effettuando il trattamento di tali dati per le sole finalità di gestione del rapporto di lavoro, anche in relazione a norme e regolamenti.

Ebbene, il legislatore ha esonerato i Titolari che trattano tali dati personali dalla redazione e, conseguentemente, dall’aggiornamento del DPS (Documento Programmatico sulla Sicurezza), introducendo, in sostituzione, l’obbligo di un’autocertificazione (ai sensi del DPR 445/2000): si tratta, sostanzialmente, di attestare in un documento ad hoc di aver adottato tutte le misure minime di sicurezza previste dall’art. 34 del D.Lgs. 196/2003 (ad eccezione del DPS naturalmente) e le altre misure previste dall’Allegato B, ad eccezione del DPS.

Ad un primo esame di tale modifica al Codice Privacy balza subito agli occhi un’importante conseguenza ovvero la non applicazione della sanzione penale prevista dall’art. 169 del D.Lgs. 196/2003 in tema di “Misure di sicurezza” a tutti coloro che sino ad oggi non si erano ancora dotati di un aggiornato DPS (o non avevano provveduto ad aggiornarlo); in questo modo si evita una pesante sanzione penale che può arrivare all’arresto sino a 2 anni o all’applicazione di un’ammenda da 10.000,00 a 50000,00 euro.

Venuto meno per alcuni Titolari l’obbligo di redigere il DPS e venuta meno la sanzione prevista dall’art. 169 in caso di mancata redazione/aggiornamento del DPS (norma che comunque rimane in vigore in caso di accertata violazione delle altre misure minime di sicurezza!), a questo punto c’è da chiedersi allora quali possano essere le conseguenze per il Titolare del trattamento qualora non ottemperi correttamente, invece, a tale nuovo obbligo dell’autocertificazione. A nostro avviso, poiché si tratta di attestare in un documento che l’azienda tratta solo dati sensibili relativi allo stato di salute o malattia dei propri dipendenti/collaboratori a progetto (ovvero dati che attengono alla loro adesione ad organizzazioni sindacali o a carattere sindacale) e, conseguentemente, si dichiara di aver adottato tutte le altre misure di sicurezza previste dal Codice Privacy, il rischio a cui si espone ora il Titolare del trattamento è non più quello relativo alla violazione dell’art. 169, bensì quello dell’art. 168 del D.lgs. 196/2003. Tale ipotesi di reato attiene alle “falsità nelle dichiarazioni e notificazione rese al Garante”: chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da 6 mesi a 3 anni. E’ evidente, quindi, il diverso tenore della sanzione che il Titolare rischia di vedersi comunque infliggere se autocertifica e attesta falsamente in tale documento di aver adottato tutte le altre misure di sicurezza previste dal Codice Privacy, poiché si prevede la pena ben superiore della reclusione da sei mesi a tre anni (al posto dell’arresto sino a due anni previsto dall’art. 169 anche per il mancato adeguamento del DPS nella situazione ante modifica).

Sembrerebbe, quindi, che tale modifica non abbia apportato i benefici sperati per il Titolare del trattamento, quanto meno in tema di responsabilità, con buona pace dei fautori delle semplificazioni privacy e dei vantaggi introdotti dal legislatore in favore delle imprese.

Se da un lato, quindi, il legislatore ha eliminato un fastidioso incombente a carico dei vari Titolari del trattamento interessati da questa normativa sulle semplificazioni, dall’altro lato ha introdotto un nuovo pesante fardello in capo a coloro che dovranno autocertificare il proprio livello di sicurezza interno (spesso molto basso), che non esonera affatto da alcuna responsabilità, se comunque non si adottano le restanti misure di sicurezza previste dal Codice (vd. art. 34) e dall’Allegato B.

Ricordiamoci, infatti, che la sicurezza dei dati, oltre ad essere un obbligo di legge per evitare sanzioni penali e civili (ai sensi dell’art. 15 del Codice Privacy e degli artt. 2043 e 2050 c.c.), deve essere considerata anche un valore aggiunto per l’impresa sia per la corretta protezione delle informazioni interne, spesso sensibili, le quali devono essere adeguatamente archiviate, sia per il rispetto della riservatezza dei propri clienti/interessati al trattamento.