Modifiche al Codice Privacy nel Decreto “Salva Italia”: non cambia nulla per pubbliche amministrazioni e imprese, anzi…

Durante il periodo estivo avevamo lasciato il nostro legislatore impegnato a cercare una soluzione per semplificare gli adempimenti in materia di privacy, pubbliche amministrazioni e imprese e invece, con la nuova manovra Monti, pare ci sia stata una netta inversione di tendenza, da consegnare come pacco natalizio alla maggior parte dei titolari del trattamento che ogni giorno sono impegnati ad assolvere gli obblighi necessari per il corretto trattamento dei dati personali.
Nel Decreto “Salva Italia” gli adempimenti privacy, infatti, rimangono tutti in vigore per imprese e pubbliche amministrazioni, con qualche evidente peggioramento!

Niente più privacy nella PA e nelle imprese! Non si applica più il Codice privacy e tutto si semplifica! Attentato privacy per enti pubblici e società! Si è letto di tutto in questi ultimi giorni in merito alle innovazioni contenute nel decreto “Salva Italia” e molti commentatori, pur di divulgare per primi l’ultima novità, hanno inseguito i titoloni dei giornali, senza fermarsi a meditare sulla reale portata di questa riforma oggi in vigore.

Se tra le varie finalità di questa manovra ci doveva essere anche il consolidamento dei conti pubblici per le pubbliche amministrazioni è giusto chiarire sin da subito un concetto fondamentale: non cambia nulla, ma proprio nulla per le pubbliche amministrazioni in termini di adempimenti privacy, anzi, con quest’ultima riforma si blocca anche qualche pericolosa, precedente tendenza verso la selvaggia semplificazione. Molti hanno divagato spensieratamente sulla nuova definizione di dato personale, senza rendersi conto nella maggior parte dei casi che la nozione di titolare del trattamento dei dati personali non è cambiata e per i titolari del trattamento non è, quindi, cambiato nulla!

Ma andiamo con ordine e proviamo a fare un minimo di necessaria chiarezza.
Il c.d. Decreto “Salva Italia” previsto dalla manovra Monti (Decreto Legge 6/12/2011 n. 201, in G.U. 6/12/2011 n. 284, Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici) ha introdotto alcune modifiche sostanziali al Codice Privacy.
A un primo sguardo sembrerebbe trattarsi di un semplice allineamento della normativa italiana[1] a quella europea (Direttiva 95/46/CE), che già vede al centro della tutela della riservatezza l’interessato inteso solo nella sua accezione di “persona fisica”, attribuendo a quest’ultimo il diritto a un corretto trattamento dei dati personali che lo riguardano da parte di terzi (siano essi persone fisiche, giuridiche, enti o associazioni).
In realtà, le implicazioni sono di maggiore portata e degne di un commento un po’ più approfondito. Ma proviamo a capire di cosa si tratta esaminando il testo della riforma.
L’art. 40 del Decreto, infatti, prescrive:

“Per la riduzione degli oneri in materia di privacy sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente o associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.
b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.
c) Il comma 3-bis dell’articolo 5 è abrogato.
d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.
e) La lettera h) del comma i dell’articolo 43 è soppressa”.

Da quanto sopra si evince che è considerato dato personale “qualunque informazione relativa alla persona fisica” e, quindi, non più i dati relativi a società, enti o associazioni. Stessa cosa dicasi per la definizione di interessato, identificato oramai solo con la persona fisica a cui si riferiscono i dati personali. L’immediata conseguenza è che i dati che si riferiscono a una pubblica amministrazione potranno essere liberamente trattati da chiunque senza informativa o consenso e che la stessa perderà le tutele riservate dal Codice Privacy agli interessati al trattamento.

A ben vedere, però, come già in precedenza anticipato, da queste prime modifiche emerge un dato non trascurabile: tra le definizioni che sono state modificate resta immutato il concetto di titolare del trattamento. Infatti, il titolare è sempre la “persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo a cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. La conseguenza immediata pertanto è che, nonostante l’intervenuta modifica, le imprese e gli enti dovranno continuare ad adempiere a tutte le prescrizioni e misure di sicurezza previste dal d.lgs. 196/2003, compreso il DPS e tutto ciò che è stato direttamente imposto alle pubbliche amministrazioni nei vari provvedimenti dell’Autorità Garante, emanati per regolamentare specifici casi (ad esempio “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre 2008, la Deliberazione del Garante 2 marzo 2011, n. 88 su Albo on-line e privacy, etc.).

Gli enti pubblici, infatti, continueranno inevitabilmente a trattare dati personali di persone fisiche o di soggetti terzi come dipendenti, clienti, fornitori, cittadini, pazienti ai quali la normativa in materia di privacy riserva ancora una tutela ampia e completa.
Ma c’è di più: è stato abrogato, infatti, il comma 3-bis dell’art. 5 del Codice Privacy (introdotto dal recente “Decreto Sviluppo”, D.L. n. 70/2011) che prevedeva addirittura l’esclusione dall’applicazione del Codice Privacy qualora il trattamento dei dati personali fosse effettuato da persone giuridiche, imprese, enti o associazioni nell’ambito di rapporti intercorrenti tra i medesimi soggetti esclusivamente per finalità amministrativo-contabili.

Altro che semplificazione! L’unico articolo che poteva davvero semplificare, infatti, è stato abrogato dal legislatore, quasi a voler ribadire con forza che la privacy e tutti i suoi adempimenti si continueranno ad applicare per tutti i titolari del trattamento (siano essi persone fisiche, giuridiche, enti o associazioni).
La privacy – ci sembra giusto ricordarlo – non deve, infatti, essere intesa solamente come riservatezza o diritto a non veder trattati i propri dati, ma come adozione di una serie di cautele tecniche, organizzative e di sicurezza che tutti (imprese ed enti compresi) devono rispettare per procedere in maniera corretta al trattamento dei dati personali e delle informazioni in genere (e, quindi, anche di titolarità di terze persone fisiche, giuridiche o enti).

D’altronde proprio in questo periodo, con una Circolare del 3 agosto 2011, l’Agenzia delle Entrate ha avviato una serie di controlli e verifiche nei confronti degli intermediari Entratel (commercialisti e soggetti intermediari), dettando altresì una serie di regole e di misure (fisiche e organizzative) per tutelare la riservatezza degli interessati (clienti, dipendenti, fornitori di beni e servizi). 
Per altro verso, anche l’appena riformato Codice dell’Amministrazione Digitale ha introdotto nuove misure di sicurezza tecnologiche e organizzative (si pensi ai numerosi rinvii alle varie norme del Codice Privacy[2] quale indice dell’importanza che viene data alla privacy e alla riservatezza dei documenti anche nei processi di dematerializzazione documentale che dovranno essere sviluppati nel prossimo futuro) che non avrebbero più senso se intendessimo l’attuale riforma del Codice Privacy come un semplice alleggerimento degli adempimenti per le pubbliche amministrazioni.

Pertanto, se anche la finalità dichiarata poteva forse essere quella del consolidamento dei conti pubblici e – così come era stata pensata la riforma un po’ di tempo fa – della riduzione degli adempimenti burocratici (e noi abbiamo comunque dubbi in proposito), il risultato ottenuto va nella direzione opposta: infatti, se il riferimento a persone giuridiche ed enti rimane nella definizione di “titolare” e “abbonato” (continuando, ad esempio, questi ultimi a essere tutelati e protetti in tema di telemarketing), di semplificazione non c’è traccia.

L’unico risultato oggettivo, piuttosto, è che le pubbliche amministrazioni (e le imprese) non avranno più la possibilità di esercitare i diritti di cui all’art. 7 del d.lgs. 196/2003 e di far valere tali diritti in un eventuale contenzioso giudiziario (es. richieste di risarcimento danni) o dinanzi all’Autorità Garante, in quanto da oggi non possono più essere considerati “interessati al trattamento”. Le stesse, inoltre, potranno solo essere chiamate in causa quali semplici convenute, in qualità di titolari o responsabili del trattamento, senza avere la possibilità di essere soggetti attivi e poter tutelare quindi le proprie ragioni.
L’unica forma di tutela rimasta, che prescinde dalle azioni che possono essere intraprese ex art. 7 sopra citato, è quella prevista dall’art. 15 del Codice Privacy che testualmente recita “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali …” e, quindi, anche nei confronti di una pubblica amministrazione.

In conclusione, sicuramente imprese e PA saranno meno tutelate (in quanto persone giuridiche) dalla normativa privacy in tema dei diritti dell’interessato, ma dal punto di vista organizzativo e delle misure di sicurezza non cambia assolutamente nulla e le PA dovranno comunque preoccuparsi di adottare e rispettare i consueti adempimenti in tema di misure minime, necessarie e idonee.

Quale pubblica amministrazione, infatti, può affermare di non trattare dati di “persone fisiche”? Oppure potrà, forse, un ente che si avvale di servizi di conservazione digitale o di cloud computing prescindere dal regolamentare col suo fornitore di servizi il rispetto delle condizioni di sicurezza e privacy solo perché si tratta di un rapporto tra persone giuridiche? Evidentemente no e c’è da scommettere invece che il Garante Privacy vigilerà in maniera ancora più rigorosa sul rispetto dei provvedimenti e delle regole a tutela dei dati, delle informazioni e della riservatezza degli interessati.

* Andrea Lisi e Graziano Garrisi (Digital&Law Department – Studio Legale Lisi – www.studiolegalelisi.it)