Le novità sulla privacy passate e future

ecsnzu1q[1]Dall’introduzione del D.lgs 196/2003, noto come Codice sulla Privacy, sono state introdotte e modificate numerose norme nel settore della protezione dei dati personali e non. Anche il Codice Civile ed il Codice Penale hanno visto numerosi aggiornamenti, per così dire “tecnologici”, relativi a comportamenti illeciti e reati perpetrati attraverso gli strumenti informatici e soprattutto via internet.

La legge sulla privacy da un lato si è dovuta adeguare alle nuove situazioni legate alla pubblicazione di altre normative legate al trattamento dei dati personali, dall’altro ha visto, nel giro di pochi mesi, ridursi gli adempimenti delle organizzazioni relativamente alla gestione dei dati personali relativi a persone giuridiche, ai trattamenti per fini amministrativo-contabili ed al decaduto obbligo di redazione ed aggiornamento  del Documento Programmatico sulla Sicurezza (DPS).

Se escludiamo provvedimenti nati per settori specifici (data breach in ambito telco, tracciabilità degli accessi ai dati bancari ), in attesa del nuovo Regolamento UE sulla privacy che verrà emesso il prossimo anno  a livello di Comunità Europea, gli adempimenti obbligatori per le aziende non sono certo aumentati, anche  il rischio D.Lgs 231 che incombeva su molte organizzazioni, relativo all’introduzione dei reati sulla privacy (trattamento illecito di dati personali), è stato evitato. Infatti quanto previsto dal Decreto Legge n. 93/2013 è stato convertito in Legge  eliminando la norma sull’inclusione dei reati privacy nell’elenco dei reati della 231 (la norma prevista dal D.L. 93/2013 non è stata convertita dalla legge 15 ottobre 2013, n. 119 in vigore dal 16 ottobre: il comma 2 dell’articolo 9 del DL 93/2013 è stato soppresso dalla legge di conversione 119/2013; le disposizioni prevedevano l’ingresso tra i “reati presupposto” inclusi nel D.lgs 231/2001 anche dei delitti in materia di privacym non le contravvenzioni, tra cui il trattamento illecito dei dati e le false comunicazioni al Garante).

Da ormai 10 anni a questa parte l’applicazione del codice per la protezione dei dati personali è stata vista dalle varie organizzazioni per lo più come un’incombenza burocratica, che toglie tempo e risorse alle attività cosiddette “produttive”. L’unico motivo per cui applicare le misure minime di sicurezza, fornire l’informativa, nominare gli incaricati ed i responsabili del trattamento per molti imprenditori è stato quello di “essere in regola” ed evitare le possibili sanzioni legate al mancato rispetto per la privacy.

La crisi economica e la necessità, o volontà, per molte organizzazioni di ridurre i costi di struttura ha portato a distogliere risorse dalla compliance privacy: tagli ai costi per consulenze e servizi di assistenza informatica collegati (ad es. Amministratore di Sistema), meno tempo dedicato ad osservare gli adempimenti previsti, meno formazione del personale, ecc..

Del resto il rischio per l’organizzazione di subire impatti negativi (sanzioni, richieste di risarcimento danni, ecc.) dalla mancata applicazione rigorosa del Codice della Privacy si è via via ridotto a qualche ipotetica ispezione del famoso “Nucleo Privacy della Guardia di Finanza” oppure a denunzie di interessati i quali ritengono che i propri dati personali sono stati trattati in modo illecito.

Occorre anche sottolineare che le “misure minime di sicurezza” delineate dal Garante nella prima versione del D.Lgs 196/2003, nell’allegato B, non sono certo misure adeguate nel 2013 (si pensi all’aggiornamento dell’anti-malware con cadenza semestrale).

Fortunatamente chi ha applicato le misure di sicurezza le ha attuate in modo sostanzialmente corretto (ad es. ogni antivirus prevede un aggiornamento almeno settimanale dei database dei virus), anche se non è raro vedere suite di sicurezza software non configurate in modo adeguato, procedure di backup poco sicure, autenticazioni con password deboli e così via.

Per quanto riguarda il futuro prossimo, il nuovo Regolamento UE sarà legge immediatamente in ogni Stato della Comunità Europea ed avrà un significativo impatto sul Codice della Privacy attualmente in vigore in Italia, in quanto le regole sulla protezione dei dati personali dovranno essere necessariamente le stesse in tutti gli Stati membri.

Alcune norme del suddetto Regolamento potranno essere abbastanza pesanti per imprese ed enti, anche se la versione attualmente in discussione non è ancora definitiva.

Vediamo alcune situazioni esemplificative:

  • Viene richiesto maggior dettaglio nell’informativa al trattamento di dati personali (ad esempio l’indicazione del periodo di conservazione dei dati per ogni tipo di trattamento, possibilità di trasferire i dati ad un Paese terzo) ed alla richiesta di consenso (ogni consenso al trattamento deve essere distinguibile da altri tipi di consenso).
  • L’esecuzione dei trattamenti su commissione (ovvero l’outsourcing, ad es. per il servizio paghe) deve essere disciplinata da un contratto o altro atto giuridico scritto che vincoli il titolare del trattamento al responsabile esterno del trattamento (si precisa che nella dizione originale del regolamento si parla di “incaricato del trattamento” al posto di r”responsabile” e “responsabile del trattamento” al posto di “titolare del trattamento”, secondo la dizione italiana vigente).
  • Il responsabile esterno al trattamento dei dati personali che tratta i dati conferitigli diversamente dalle istruzioni impartitegli dal titolare diviene titolare egli stesso del trattamento con le conseguenti responsabilità giuridiche.
  • Dovranno essere attuati adempimenti molto dettagliati sulla documentazione da conservare relativa ai trattamenti di dati personali, sia per il titolare che per il responsabile del trattamento (non è una documentazione come quella contenuta nel DPS ma si avvicina molto ad esso).
  • Le misure di sicurezza adottate dovranno essere appropriate ai rischi che incombono sui dati ed alla natura dei dati trattati; è peraltro richiesta una valutazione dei rischi.
  • L’obbligo di comunicazione, sempre,  all’Autorità di Controllo (Garante Privacy in Italia) ed agli interessati, quando richiesto, di violazioni di dati personali (data breach) incombe su tutti i titolari e responsabili di trattamento e per tutti i tipi di trattamento.
  • È richiesta una valutazione dell’impatto del trattamento sulla protezione dei dati personali in caso di trattamenti particolari su cui incombono rischi specifici.
  • C’è l’obbligo di nomina di un responsabile della protezione dei dati (con un profilo professionale abbastanza definito) per imprese che trattino dati di almeno 500 interessati (in certi settori B2C praticamente tutte le organizzazioni) ed in caso di profilazione dei dati; tale responsabile avrà il compito di garantire il rispetto di requisiti normativi specifici.

Infine il Regolamento fissa le sanzioni amministrative previste, ma non quelle penali la cui definizione è riservata agli Stati membri.

Altri provvedimenti recenti del Garante della Privacy hanno riguardato lo spam, o meglio le comunicazioni commerciali con finalità di marketing che possono essere indesiderate da chi le riceve e la privacy nel Condominio (che aggiunge nuovi adempimenti per gli Amministratori di Condominio che sono stati recentemente interessati alla Riforma del Condominio).

Infine occorre portare particolare attenzione all’ambito videosorveglianza e controllo dei lavoratori, che, sebbene la normativa non sia sostanzialmente cambiata (vedasi art. 4 dello Statuto dei Lavoratori), grazie alla diffusione di nuovi strumenti elettronici (sistemi di sorveglianza sempre più evoluti gestiti da software accessibili anche dal web, internet content filtering, sistemi di controllo accessi anche con caratteristiche biometriche quali impronte digitali, log di accessi ai sistemi informatici, ecc.), vede la casistica di possibili violazioni molto più estesa che in passato ed è opportuno consultare le sentenze passate in giudicato per dirimere questioni sempre più complesse. In particolare il giusto equilibrio fra difesa dei diritti dei lavoratori a non essere controllati ed i cosiddetti “controlli difensivi” va comunque valutato di caso in caso, anche in funzione dei possibili illeciti o reati che si vuole prevenire o scoprire.

Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348]

Vademecum – Il condominio e la privacy – versione pagina singola

CloudWatch