Prorogato il Codice Privacy a fine anno (25/02/2005)

Trasmesso dalla Camera dei Deputati il disegno di legge n. 5521 di conversione del decreto legge 30 dicembre 2004 n. 314 con delle modifiche relative alla proroga dei termini.

Fra le novità di rilievo lo slittamento dei termini per l’adeguamento delle strutture ai dettami del Codice Unico Privacy n.196/03.

Le date di proroga, come al solito sono due, infatti la scadenza per l’adeguamento delle misure minime di sicurezza è il 31 dicembre 2005, mentre per l’adeguamento di quei trattamenti eseguiti con strumenti elettronici che in modo oggettivo non possono essere adeguati alle prescrizioni di legge in tempo è il 31 marzo 2006.

segue articolo a cuda di Avv. Andrea Lisi (Titolare dello Studio associato D.&L. - curatore del sito www.scint.it )

Sembra incredibile, sembra di partecipare a un gioco a scommesse ( arriverà o non arriverà un’altra proroga??), ma è la pura realtà... In particolare l’art. 180, con le imminenti modifiche, così reciterà:

"Art.180 (Misure di sicurezza)

1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 31 dicembre 2005 .

2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.

3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all’articolo 31, adeguando i medesimi strumenti al più tardi entro il 31 marzo 2006 "

Il testo del ddl si trova attualmente presso la Commissione Affari Costituzionali del Senato per la approvazione definitiva. La conversione in legge dovrà avvenire entro il 1° marzo 2005! Giova ricordare che la proroga riguarderà solo le "nuove" misure di sicurezza (cioè, le misure di sicurezza previste per la prima volta con il cd. Codice privacy e , quindi, non contenute nella legge 675/1996 - D.P.R. 1999, n. 318). In particolare, chi era tenuto ad adottare il D.P.S. (Documento Programmatico sulla Sicurezza) con la precedente normativa rimane ancora obbligato alla redazione di questo importante (ma ormai fantomatico ) documento. Ma tutte le misure minime di sicurezza (previste dagli artt. 33-35 del Codice e dall’Allegato B allo stesso) vecchie e nuove andrebbero sempre considerate indispensabili nella strategia di qualsiasi amministrazione, impresa, studio professionale, almeno in considerazione dell’art. 15 del Codice che prevede (si rammenda) che " chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11 ". Tutte le misure minime di sicurezza andrebbero, quindi, sempre implementate in una corretta "privacy policy" quali misure idonee per la sicurezza dei trattamenti effettuati . Ma questo curioso, continuo "balzello privacy", non si può certo negarlo, danneggia sino alle fondamenta la credibilità di tutti questi adempimenti e tutti ne sono responsabili! La normativa sulla privacy, nonostante i tanti sforzi dell’Autorità garante, viene avvertita dalla coscienza sociale come un burocratico e costoso adempimento, un nuovo modo per fare business a danno di imprese e amministrazioni. Chi se l’è potuto permettere, ha adempiuto ai "doveri privacy" pagando profumatamente i " professionisti della privacy e della sicurezza " (che hanno fatto di tutto - diciamocelo - per rendere difficoltosissima la lettura di queste norme e un misterioso rebus il Documento Programmatico per la Sicurezza!). Per il resto, nessuno ha voluto prendere in seria considerazione la nuova normativa e basta guardare le informative privacy per rendersene conto: la maggior parte delle informative (di amministrazioni e imprese) recano ancora l’indicazione della abrogata legge 675/1996...e meno male che sono previste pesanti sanzioni in caso di omessa o inidonea informativa!!! Anche queste proroghe fanno parte di un pericoloso "gioco di tiro a piattello" nei confronti della normativa sul trattamento dei dati personali, la quale ha certamente delle carenze, ma probabilmente doveva essere preceduta da una più corretta " alfabetizzazione privacy ", che non c’è stata, o almeno non in maniera adeguata... Infine, un’ultima considerazione: se la proroga del 3° comma dell’art. 180 può anche spiegarsi con la difficoltà tecnica (ed economica) di adeguare tutti i sistemi operativi obsoleti (e, forse, si poteva pensare sin dall’inizio ad un periodo di adeguamento lungo e/o ad una maggiore elasticità normatva); appare invece veramente incomprensibile questa ulteriore proroga per la redazione del D.P.S.! Non si comprende quale possa essere la ragione di questo ulteriore slittamento del termine! Quale difficoltà operativa ha la redazione di un documento di carattere programmatico e "fotografico" della politica aziendale in tema di sicurezza dei dati personali ? Le risposte, spiace dirlo, sono da ricercarsi in questioni che hanno poco di giuridico e molto di "business"...