LA NUOVA PRIVACY:

SEMPLIFICAZIONI SENZA RINUNCIARE A REGOLE E GARANZIE (D.lgs. 467/2001)

di
Silvia Melchionna

A quasi cinque anni dall’entrata in vigore della legge n. 675/1996, il Governo, in attuazione della legge delega n.127 del 2001, ha approvato una serie di modifiche alla legge sulla tutela dei dati personali.

Il decreto legislativo n.467/2001, che, nella quasi totalità, entrerà in vigore il 1 febbraio 2002, ha semplificato alcuni adempimenti per aziende e soggetti pubblici che trattano dati personali, ampliando parallelamente il ruolo dell’Autorità Garante, sempre più deputata a tutelare il diritto alla privacy dei cittadini.

Le disposizioni approvate il 28 dicembre scorso investono l’intera disciplina dettata dalla legge n.675/1996, provvedendo, così, a chiarire alcuni aspetti applicativi ed a riscrivere in gran parte l’apparato sanzionatorio della normativa.

Una prima importante novità introdotta dal decreto è l’aver ampliato l’ambito di applicazione della legge alla gestione dei dati effettuata da chi, pur se stabilito in un Paese non appartenente all’Unione Europea, utilizza strumenti elettronici e cartacei situati in Italia (art. 1, D.lgs n.467/2001, introduce il comma 1-bis e ter all’art. 2, l. n.675/1996). Al fine di garantire una corretta applicazione della legge italiana, tali soggetti dovranno designare un loro rappresentante nel nostro Paese.

La figura del rappresentante del titolare è anche presente nelle norme di riforma dell’obbligo di notificazione al Garante. Il decreto, infatti, rende possibile indicare nella notifica, non più tutti i responsabili del trattamento, ma semplicemente il rappresentante del titolare nel territorio italiano, ovvero il solo responsabile deputato a garantire l’esercizio dei diritti sanciti dalla legge a favore dell’interessato. Tale modifica porterà significative semplificazioni, dal momento che non si dovrà più procedere a rinviare la notifica al Garante, nel caso in cui sia nominato un nuovo responsabile del trattamento.

In materia di notificazioni, il Presidente della Repubblica con decreto, su delibera del Consiglio dei Ministri, avrà il compito di emanare un regolamento che individui, in ragione della natura delle informazioni utilizzate, delle specifiche modalità del trattamento e della possibilità di recare pregiudizio ai diritti e alle libertà dell’interessato, i casi in cui si dovrà notificare il trattamento dei dati. Dall’entrata in vigore di tale regolamento si considereranno abrogate le disposizioni oggi vigenti sull’obbligo di notificazione al Garante (art.3, D.lgs n.467/2001, modifica l’art. 7, l. n.675/1996).

Analogamente al contenuto della notifica, anche nella redazione dell’informativa da rendere agli interessati, non sarà più necessario indicare tutti i responsabili del trattamento, ma soltanto uno di essi, ovvero rendere nota l’identità del rappresentante legale o l’indirizzo del sito Internet in cui è possibile conoscere l’elenco aggiornato dei responsabili. Ciò consentirà di poter utilizzare delle informative più snelle, specie per quei titolari che hanno nominato molti responsabili esterni per le attività svolte in outsourcing (art.4, D.lgs n.467/2001, modifica l’art. 10, l. n.675/1996).

L’Autorità Garante potrà individuare, inoltre, sulla base dei principi stabiliti dalla legge, alcuni casi in cui si potrà prescindere dall’obbligo d’acquisizione del consenso dell’interessato per perseguire un legittimo interesse del titolare o di un terzo destinatario del dato, ferma restando la prevalenza dei diritti, delle libertà fondamentali e della dignità dell’individuo (artt.5 e 7, D.lgs n.467/2001, modificano gli artt.12 e 20, l. n.675/1996). Viene introdotta, così, la possibilità di bilanciare i singoli interessi coinvolti nell’attività di trattamento dei dati.

Non si dovrà più, inoltre, raccogliere il consenso per comunicare a terzi i dati necessari all’esecuzione di obblighi derivanti da un contratto di cui è parte l’interessato, semplificando, così, sostanzialmente le attività svolte in outsourcing (art.7, D.lgs n.467/2001, modifica l’art. 20, l. n.675/1996). Fino ad oggi esisteva, infatti, un mancato parallelismo tra la previsione di deroga del consenso presente nell’ipotesi di obbligo legale, sia per l’attività di "trattamento" che per quella di "comunicazione", rispetto alla possibilità di prescindere da esso, nel caso di adempimento ad un obbligo contrattuale, solamente per le attività di "trattamento" e non anche per quelle di "comunicazione". Tale asimmetria aveva sconcertato il mondo aziendale, che aveva subito ravvisato in tale previsione un ostacolo per tutte le attività realizzate in outsourcing. Le aziende erano, così, obbligate ad acquisire il consenso per comunicare a società terze i dati dell’interessato necessari per l’espletamento di attività richieste dallo stesso. Data la bassa percentuale di ritorno del consenso e gli alti costi di una esecuzione autarchica dei servizi appaltati all’esterno, molto spesso si ricorreva a nominare le società esterne quali responsabili del trattamento, al fine di poter considerare il flusso dei dati dal titolare a tali soggetti non più come una "comunicazione", bensì come un "trattamento" e, quindi, riconducibile all’esenzione del consenso prevista dall’art.12 della legge.

La riforma della legge, pur eliminando il problema dell’acquisizione del consenso in tali ipotesi, non esime i soggetti a cui sono comunicati i dati ad osservare gli obblighi imposti dalla legge, in qualità di autonomi titolari del trattamento (informativa, consenso,…).

Il decreto legislativo in esame ha provveduto a porre dei nuovi limiti all’esercizio dei diritti dell’interessato, sanciti dall’articolo 13 della legge n.675/1996. Non si potrà più esercitare il diritto di accesso, cancellazione, aggiornamento e opposizione al trattamento dei dati contenuti nei tabulati delle telefonate "in entrata" detenuti dai fornitori di servizi di telecomunicazioni accessibili al pubblico, salvo che da ciò possa derivare pregiudizio per lo svolgimento di investigazioni difensive di cui alla legge n.397/2000. La norma, volta a limitare la mole degli accessi verso i gestori telefonici, non nega invece il diritto dell’utente a conoscere integralmente i numeri delle telefonate "in uscita" (art.6, D.lgs n.467/2001, introduce la lettera e-bis al comma primo dell’art. 14, l. n.675/1996).

In materia di traffico telefonico, è stato modificato anche il D.lgs n.171/1998 (sulla tutela della vita privata nel settore delle telecomunicazioni), prevedendo l’annullamento della soppressione dell’identificazione della linea chiamante per le telefonate effettuate verso i servizi di emergenza (art.23, D.lgs n.467/2001, modifica l’art. 7, D.lgs. n.171/1998).

Importanti modifiche hanno investito anche il trattamento dei dati sensibili.

Le associazioni, enti od organismi a carattere politico, filosofico, religioso o sindacale, i partiti, i movimenti politici, le confessioni e le comunità religiose potranno trattare i dati personali degli aderenti senza il consenso degli stessi, e nel rispetto dell’autorizzazione generale dell’Autorità Garante (art.8, D.lgs n.467/2001, modifica l’art.22, l. n.675/1996). Le nuove autorizzazioni generali saranno emanate entro la fine del mese, essendo state prorogate al 31 gennaio quelle presentate nel 2000. Tale modifica equipara, dopo aspre polemiche, la posizione delle comunità religiose, essendo, fino ad oggi, disciplinata solo quella delle confessioni che abbiano concluso accordi o intese con lo stato italiano (art.22, comma 1-bis, l. n.675/1996).

Il Garante per la protezione dei dati personali dovrà individuare le misure e gli accorgimenti opportuni per utilizzare quei dati, che pur non qualificandosi come sensibili, presentino rischi specifici per i diritti, le libertà fondamentali e la dignità della persona (art.9, D.lgs n.467/2001, introduce l’art. 24-bis, l. n.675/1996). Si introduce, così, una terza categoria di informazioni intermedia tra i dati sensibili e quelli comuni, che, come ha dimostrato l’esperienza di questi ultimi anni, si rivela essenziale, in quanto afferente sfere molto delicate della vita sociale di un individuo, basti pensare ai nominativi contenuti nelle centrali rischi private.

Ulteriore potere conferito all’Autorità Garante è ravvisabile nella possibilità di vietare o disporre il blocco del trattamento dei dati, non solo quando vi sia un concreto rischio del verificarsi di un pregiudizio rilevante per gli interessati, ma anche se il trattamento risulta illecito, non corretto, ovvero non uniformato alle modificazioni "opportune e necessarie" segnalate dall’Authority (art.11, D.lgs n.467/2001, modifica l’art. 31, l. n.675/1996).

Significativa risulta anche la previsione di estendere al Garante il compito di ricevere il rapporto o di irrogare le sanzioni previste dall’intero capo ottavo della legge n.675/1996, comprese, quindi, anche quelle penali e non più solo amministrative (art.17, comma 3, D.lgs n.467/2001, modifica l’art. 39, l. n.675/1996).

In materia penale, una rilevante novità contenuta nel decreto è costituita dalla riformulazione e (in un caso) depenalizzazione dei reati previsti dalla legge sulla privacy.

Una nuova incriminazione è stata introdotta in riferimento al reato di inosservanza dei provvedimenti del Garante, disciplinato dall’art.37 della legge. Tale fattispecie delittuosa ora potrà essere imputata, infatti, anche a coloro che disattendano i provvedimenti di divieto o blocco del trattamento (art.15, D.lgs n.467/2001, modifica l’art. 37, l. n.675/1996). Naturalmente, in base al principio di irretroattività della legge penale, nessuno potrà essere punito per l’inosservanza di tali specifici provvedimenti, se nel momento in cui ha commesso il fatto, lo stesso non costituiva reato.

A seguito di un processo di depenalizzazione, l’omessa notifica al Garante non sarà più punita con la reclusione da tre mesi a due anni, bensì con una sanzione amministrativa del pagamento di una somma da euro 5.164,57 (lire 10 milioni) a euro 30.987,41 (lire 60 milioni), con la possibilità di veder pubblicata l’ordinanza di ingiunzione di pagamento.

Muta la previsione anche nei confronti di chi omette di adottare le misure minime di sicurezza. L’autore del reato sarà punito con l’arresto sino a due anni o con l’ammenda l’ammenda da euro 5.164,57 (lire 10 milioni) a euro 41.316,55 (lire 80 milioni), ma potrà usufruire di un termine per la regolarizzazione, non superiore a sei mesi (art.14, D.lgs n.467/2001, sostituisce l’art. 36, l. n.675/1996).

Alcuni studiosi hanno già individuato in tale possibilità una sorta di "ravvedimento operoso", in quanto il titolare potrà attivarsi per adempiere correttamente le disposizioni di legge, pagando solo un quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento ed il pagamento estingueranno il reato di omessa adozione delle misure minime di sicurezza.

I soggetti ad oggi sottoposti ad un procedimento penale per l’imputazione del suddetto reato potranno usufruire di tale procedura, purché ne facciano richiesta all’Autorità Giudiziaria entro il 12 marzo 2002.

La fattispecie descritta non si configura più, quindi, come un delitto, ma come una contravvenzione e, quindi, punibile anche se commessa solo con colpa e non con dolo. L’ammenda, ben superiore al limite di euro 1032,91 (lire due milioni), in quanto prevista da una legge speciale, sarà irrogata solo qualora il reato sia stato consumato, non essendo punibile il mero tentativo.

Tale reato non sarà, invece, più imputabile a chi utilizzi i dati per fini esclusivamente personali (es. rubrica telefonica), essendo rimasto per questi trattamenti solo l’obbligo di rispettare le regole di sicurezza e di risarcire i danni eventualmente causati (art.2, D.lgs n.467/2001, modifica l’art. 3, l. n.675/1996).

In controtendenza al processo di depenalizzazione è la previsione di un nuovo reato per la falsità nelle dichiarazioni e nelle notifiche al Garante (reclusione da 6 mesi a 3 anni). Assurge a livello penale la condotta di chi dichiari o attesti falsamente notizie e circostanze, ovvero produca atti o documenti falsi in atti e documenti resi o esibiti in un procedimento dinanzi al Garante (art.16, D.lgs n.467/2001, introduce l’art. 37-bis, l. n.675/1996).

Il decreto provvede, inoltre, ad adeguare l’importo delle sanzioni amministrative nel caso di omessa informativa, prevedendo il pagamento di una somma fino a euro 15.493,71 (lire 30 milioni), che può essere aumentata sino al triplo, qualora risulti inefficace in relazione alle condizioni economiche del contravventore (art.17, comma 2, D.lgs n.467/2001, modifica l’art. 39, l. n.675/1996).

Analogamente, aumenta anche l’importo delle sanzioni amministrative nel caso in cui si ometta di fornire informazioni o di esibire documenti richiesti dal Garante (da euro 2.582,28 (lire cinque milioni) a euro 15.493,71 (lire trenta milioni)) (art.17, commi 1 e 2, D.lgs n.467/2001, modificano l’art. 39, l. n.675/1996).

In forza delle nuove disposizioni normative (art.20, D.lgs n.467/2001), al Garante è stato rinnovato il compito di promuovere, entro il 30 giugno prossimo, la sottoscrizione di codici di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali in vari settori, tra cui:

  • servizi di comunicazione e informazione offerti per via telematica;

  • trattamenti previdenziali e gestione del rapporto di lavoro;

  • invio di materiale pubblicitario e vendita diretta, ricerche di mercato o di comunicazione commerciale interattiva;

  • trattamenti per fini di informazioni commerciali;

  • trattamenti nell’ambito dei sistemi informativi, di cui sono titolari soggetti privati, utilizzati per fini di concessione di crediti al consumo o comunque riguardanti l’affidabilità e la puntualità nei pagamenti da parte degli interessati;

  • archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici;

  • strumenti automatizzati di rilevazione di immagini.

I codici saranno pubblicati, come già avvenuto per quello dei giornalisti, sulla Gazzetta Ufficiale e riportati nel Testo Unico di prossima emanazione.

L’intervento legislativo, atteso da tempo, ha provveduto così a semplificare molti adempimenti, che nella pratica del mondo aziendale coincidevano con significativi ostacoli burocratici. Tuttavia, rimangono ancora necessari alcuni interventi legislativi, soprattutto in ambito pubblico e sanitario, settori solo parzialmente coinvolti dal decreto approvato il 28 dicembre scorso.

I maggiori poteri e compiti attribuiti al Garante della privacy, in un momento di sostanziale critica delle Autorità indipendenti, conferma la preminenza del diritto alla riservatezza nell’odierna società dei dati.

Il decreto non costituisce, infatti, un’occasione per introdurre esenzioni generalizzate o per far cessare l’attenzione sul trattamento dei dati personali. Le semplificazioni burocratiche, andrebbero, invece, interpretate come l’occasione per affrontare, in maniera più completa e sostanziale, la realtà della gestione dei dati personali e dei diritti fondamentali a questi connessi, anche alla luce della loro recente introduzione nella Carta Europea dei diritti fondamentali dell’uomo.

Roma 23 gennaio 2002