31 marzo 2007: partono i primi controlli del Garante e riparte la corsa all’affannoso aggiornamento del D.P.S. e dei regolamenti interni!

Graziano Garrisi

A circa un anno dall’obbligatorio adeguamento alle misure minime di sicurezza previste dal D.Lgs. 196/2003 (c.d. Codice Privacy) si ritorna a parlare nuovamente di privacy, scadenze e termini perentori per quanti all’interno della propria struttura lavorativa trattano dati personali, anche alla luce della pubblicazione da parte dell’Autorità Garante delle tanto attese Linee Guida in materia di controllo dei lavoratori[1].

Si ricorda, in proposito, che entro il 31 marzo 2007 si dovrà procedere all’aggiornamento obbligatorio del Documento Programmatico sulla Sicurezza (DPS), già adottato per l’anno precedente (vd. art. 34 del Codice e punto 19 del Disciplinare Tecnico in materia di misure minime di sicurezza). La conseguenza in caso di mancato adeguamento, infatti, esporrebbe il titolare del trattamento a pesanti conseguenze civili e penali, secondo quanto prevedono gli artt. 31 e 169 del D. Lgs. 196/2003 .

Pertanto, imprese, liberi professionisti ed enti pubblici, che svolgono attività di trattamento elettronico dei dati, sono chiamati nuovamente ad adeguare la propria struttura aggiornando anche tutti quei documenti correlati al DPS, quali lettere di incarico, nomine di responsabili, regolamenti interni (così come consigliati recentemente dalle Linee Guida del Garante in materia di posta elettronica e internet), i quali in qualche modo dovrebbero consentire di elevare il grado di sicurezza nel trattamento dei dati personali e di migliorare così l’organizzazione interna di ciascuna realtà lavorativa. Ricordiamoci, infatti, che privacy non vuol dire solamente DPS: la sicurezza, infatti, è un processo in fieri e il corretto trattamento dei dati personali è soprattutto un’attività fatta di risorse e svolta da persone.

A proposito di privacy e misure di sicurezza si è tenuto a Milano il 2 marzo u.s., un importante   convegno dal titolo “La legge sulla privacy dieci anni dopo”, che ha fornito diversi e interessanti spunti di riflessione sullo stato di applicazione del D.Lgs. 196/2003 (ovvero il Codice Privacy), che ha sostituito e abrogato la vecchia disciplina prevista dalla Legge 675/96; attraverso l’analisi dei vari contesti in cui viene applicata tale normativa e attraverso un’analisi comparatistica con i sistemi legislativi degli altri Paesi europei che hanno recepito la Direttiva sul corretto trattamento dei dati personali, si sono posti in risalto luci e ombre che hanno caratterizzano in questi ultimi dieci anni prima la Legge 675/1996 e poi il D.Lgs. 196/2003. In particolare, si sono sottolineati i profili di criticità che vengono riscontrati da chi, ogni giorno e per motivi lavorativi, tratta dati personali, cercando un difficile e delicato compromesso tra esigenze organizzative, da una parte e procedure che impongono un determinato comportamento per il corretto trattamento dei dati personali, dall’altra.

Se riflettiamo sull’evoluzione che ha subito tale normativa nel tempo, ci rendiamo subito conto di alcuni cambiamenti concettuali del termine privacy: in passato, infatti, la tutela della riservatezza interessava solo i “personaggi famosi” e si contrapponeva al diritto di cronaca; oggi, invece, il diritto al corretto trattamento dei dati personali riguarda la generalità delle persone (siano essi clienti, cittadini, consumatori o utenti del mondo del web). Nell’epoca della Società dell’Informazione sono le esigenze di sicurezza nazionale o internazionale, di profilazione del consumatore e di sicurezza aziendale, nonché del controllo dei lavoratori a contrapporsi alla necessaria protezione del dato personale del cittadino, del cliente e del lavoratore: infatti, il diritto alla privacy si è talmente evoluto da non potersi più parlare di un “diritto all’oblio” (il c.d. the right to be alone), teorizzato un po’ di anni fa sul modello anglosassone e americano. Oggi la “privacy” è solo un “diritto a chiedere di se stesso” e, quindi, essa coincide con un nuovo diritto ad essere informati su come vengono trattati i propri dati e sulla loro comunicazione o diffusione. Si può dire, quindi, che il diritto all’anonimato informatico cede il passo ad un diritto alla trasparenza.

Si è parlato anche di un processo di “costituzionalizzazione” del diritto al corretto trattamento dei dati personali che è stato affiancato, a livello normativo europeo, a tutti gli altri diritti inviolabili della persona.

Alla luce di tali riflessioni, il Garante Privacy, nella persona del prof. Pizzetti, ha illustrato l’ottimo lavoro svolto nel 2006 con l’ausilio della Guardia di Finanza (con la quale è da tempo in atto una convenzione di carattere cooperativo), soprattutto per quanto riguarda la fase dei controlli effettuati presso i titolari di trattamenti di dati personali; il riconoscimento dell’importanza del ruolo del Garante si evince anche, a livello governativo, dall’aumento (pari quasi al 25% del personale) delle risorse operative dell’Autorità Garante per la protezione dei dati personali. Si è sottolineato anche che, in virtù di questo rafforzamento operativo, l’attività di controllo del Garante sarà ulteriormente potenziata ed nelle prossime settimane verranno avviate ispezioni presso i call center e presso chi detiene banche dati centralizzate in genere.

La tutela della privacy, infatti, - ha ribadito il prof. Pizzetti – deve partire dall’organizzazione interna di ciascuna struttura. E’ sbagliato, infatti, intendere la privacy solo come un obbligo imposto dalla legge, ma l’adeguamento va necessariamente inserito nella propria strategia d’impresa. “Proteggere i dati personali” dei propri clienti/utenti ormai è un dovere per imprese e pubbliche amministrazioni che vogliano puntare a trasmettere all’esterno un’immagine di efficienza e correttezza. Viene ribadito così un obbligo più morale che normativo che tutti noi dovremmo avere nei confronti della nostra utenza (clienti o cittadini) per elevare il grado di sicurezza nel trattamento dei dati ed eliminare il rischio di trattamento illegittimo.

Un tale livello di elevata protezione dei dati personali può essere raggiunto solo partendo da una reale organizzazione strategica della sicurezza sul luogo di lavoro, integrando e legando la propria struttura ad una serie di responsabilità specifiche e condividendo tra gli operatori/incaricati, che trattano dati personali altrui, una serie di principi e regole che devono guidare la corretta gestione della sicurezza nel trattamento e nella circolazione dei dati personali.

Detto questo, non ci resta che sperare che la scadenza del 31 marzo non venga vissuta (come al solito) come un’affannosa e annuale rincorsa all’adeguamento di quanto previsto dal Codice Privacy, ma che piuttosto sia solo il traguardo finale di una sempre più normale procedura avviata ogni anno a partire dal primo giorno in cui si entra nella propria struttura. Altrimenti si rischierà di trovarsi inevitabilmente impreparati nel caso visite inattese da parte di chi sarà delegato ad effettuare i controlli!

^^^^

In materia di trattamento dei dati personali e di aggiornamento del D.P.S. il Centro Studi & Ricerche SCiNT organizza una serie di seminari specifici per imprese e pubbliche amministrazioni. Lo Studio Associato D.&L. svolge seminari specifici in materia di protezione di dati personali presso le sedi di società e pubbliche amministrazioni.

^^^^ 

06/03/2007