Le nuove leggi

Valentina Frediani

Il Codice della Privacy: dalle semplificazioni del legislatore italiano alle valorizzazioni del Regolamento Europeo. Cos’è cambiato e cosa sta cambiando per le aziende italiane.

Privacy. Una parola ormai utilizzata nella quotidianità, spesso violata, altre volte sottovalutata, certamente non approfondita in ambito aziendale, dove assume sovente un ruolo di “ulteriore gabella” da accettare. Ma è davvero e solo questo ciò che ruota attorno ad una normativa posta a tutela della riservatezza ed in vigore, in Italia, ormai dal 1996?

In realtà, dal 1996 la normativa sulla privacy ha subito modifiche non solo normative. Si è assistito ad un succedersi diverso sotto il profilo psicologico, variabile negli anni. Quando, nel 2004, è uscito il nuovo Codice della Privacy (Decreto Legislativo 196/2003) le aziende hanno mal sopportato l’obbligo di adottare le misure minime di sicurezza a tutela dei dati personali gestiti dai propri sistemi informatici. Oggi, invece, l’adeguamento normativo è spesso utilizzato dalla Direzione e dal Responsabile dei sistemi ICT come “perno” per razionalizzare l’accesso ai dati e l’utilizzo della strumentazione informatica.

Negli ultimi mesi sono state molte le modifiche normative subite dal testo originario del 2003. Ad aprile è stato abolito l’obbligo di redazione del documento programmatico di sicurezza e, non di meno, il concetto di interessato (ovvero soggetto i cui dati sono tutelati dal Codice) è stato riformulato, non andando più a comprendere anche persone giuridiche, associazioni ed enti, ma solo ed esclusivamente le persone fisiche. Due modifiche “forti” rispetto a quanto voluto dal legislatore originariamente e protetto dall’Autorità Garante negli anni.

L’abolizione del DPS è stata oggetto di critiche, condivisibili considerando che era l’unico documento riassuntivo dello status di applicazione della normativa alla struttura di riferimento. Tanto che, ad oggi, benché il DPS sia venuto meno formalmente, moltissime aziende non intendono assolutamente abbandonarlo. In caso di controllo dell’Autorità Garante, della Guardia di Finanza o della Polizia Postale, poter esibire un documento condiviso dai vari responsabili e dai vertici aziendali dal quale emerga in modo sintetico e diretto com’è stato recepito il dictat normativo in azienda o nell’ente ne fa indubbiamente uno strumento non solo di tutela verso l’esterno, ma anche di tutela dei singoli responsabili internamente alla struttura: una volta condiviso, non è possibile “scaricare” responsabilità in merito alle scelte operate. Diviene, quindi, documento di trasparenza per tutti i ruoli coinvolti nell’applicazione della legge.

Ben diverse le valutazioni sull’opportunità di modificare il concetto di dato personale. Originariamente, con dato personale si indicava qualsiasi dato che facesse riferimento, in modo diretto o indiretto, ad una persona fisica o giuridica, ad un’associazione o ad un ente. Ciò tutelava i dati anche delle persone giuridiche, in particolare in merito agli aspetti di natura promozionale. D’altra parte, però, diveniva proibitivo in ambito commerciale, dovendo raccogliere il consenso preventivo anche per contattare una persona giuridica alla quale proporre beni o servizi. Così, aderendo formalmente al concetto di interessato come concepito a livello europeo, il nostro legislatore ha prodotto un ridimensionamento del dato personale, restringendolo alla sola persona fisica. Ciò rappresenta una scelta razionale e certamente condivisibile, se non fosse che ha portato con sé un decadimento degli obblighi di protezione dei dati in formato elettronico. Difatti, l’obbligo di adozione delle misure minime ed idonee di sicurezza, rappresentato nel Codice privacy e nell’Allegato B del medesimo, è attuabile solo nei confronti dei dati soggetti a tutela della normativa stessa. Fino alla riformulazione del concetto di dato personale e di interessato, adottare credenziali di autenticazione, proteggere le reti, disporre di antivirus e procedure di back-up erano tutte misure obbligatorie su dati facenti riferimento a persone sia fisiche, sia giuridiche. Queste ultime, a seguito della riformulazione, non saranno più soggette ad obblighi di tutela in materia di riservatezza.

Questo aspetto fa regredire con un battito di ciglia gli sforzi prodotti negli ultimi dieci anni per far progredire le aziende ed insegnare loro a tutelare il proprio patrimonio aziendale passando da un obbligo normativo.

La privacy aveva finalmente assunto un ruolo nelle aziende fungendo da parametro principale per verificare lo stato di sicurezza dei dati ed era richiamata nelle verifiche ISO 9001, dalla 231 in materia di prevenzione dei reati connessi ai dati personali e nei rapporti contrattuali con trasmissione dei dati funzionalmente agli accordi intrapresi.

Cambierà davvero questo scenario? La prospettiva non è così definitiva. A fronte, infatti, di un taglio ingente effettuato dal legislatore italiano, abbiamo alle porte un 2013 non poco impegnativo, mittente Europa: è attualmente al vaglio il Regolamento europeo in materia di privacy e, all’orizzonte, le incombenze per le aziende non sono così snelle! Al contrario.

Occorre premettere che il Regolamento si applicherà – a differenza delle Direttive – immediatamente, in ogni Paese, all’atto dell’emanazione. Secondariamente, andrà a disciplinare specificatamente grandi realtà aziendali (a prescindere dalla titolarità di dati di persone fisiche o giuridiche) ed attività che abbiano ad oggetto comunque masse di dati facenti riferimento alle persone fisiche. Gli obblighi saranno più sostanziali che formali e, a fronte di scarse incombenze documentali, il Regolamento si concentrerà sull’effettiva protezione dei dati aziendali sotto il profilo informatico, logico e procedurale. La questione, insomma, prenderà ben altra piega. Molto più organizzativa, passando da un concetto di mera applicazione di una norma ad una modalità di concepimento di tutela del dato aziendale in quanto bene aziendale. Tanto che dovrà essere adottata la figura del cosiddetto Privacy Officier, una figura dedicata, con capacità e conoscenze più ampie del semplice Responsabile. Una figura che dovrà coniugare conoscenze giuridiche e tecnologiche. Già si parla di un’esternalizzazione di questa figura in molte realtà aziendali, proprio perché le specificità di applicazione spesso non saranno gestibili internamente. Maggiore professionalità, insomma, per maggiore sicurezza ed organizzazione dei dati. Le violazioni del Regolamento potranno comportare sanzioni pari al 2% del volume di affari, sino ad arrivare anche a revoche di licenze per talune attività che impattino particolarmente sulla gestione dei dati.

In sostanza, possiamo affermare che la tutela della privacy non stia affatto scemando, ma, al contrario, si stia rafforzando con maggiore attenzione verso quelle realtà che, per massa o tipologia dei dati, debbano rispondere a parametri di protezione ben più garantisti.

Il 2013 sarà un anno molto intenso ed il valore aggiunto sotto il profilo privacy per le aziende che dovranno adempiere correttamente ai nuovi obblighi sarà quello di capire che il dato non va protetto per obbligo di legge, ma perché costituisce la base degli affari. E dati non protetti, o non corretti, non consentono di ottimizzare le prospettive di business.

Valentina Frediani
Avvocato, fondatore del sito www.consulentelegaleinformatico.it

Massimiliano Fanni Canelles

Viceprimario al reparto di Accettazione ed Emergenza dell'Ospedale ¨Franz Tappeiner¨di Merano nella Südtiroler Sanitätsbetrieb – Azienda sanitaria dell'Alto Adige – da giugno 2019. Attualmente in prima linea nella gestione clinica e nell'organizzazione per l'emergenza Coronavirus. In particolare responsabile del reparto di infettivi e semi – intensiva del Pronto Soccorso dell'ospedale di Merano. 

Tags:

Rispondi