Area: Compliance Aziendale

Il cosiddetto decreto “Salva Italia” del 6 dicembre 2011 n.201 approvato con legge di conversione 22 dicembre 2011 n.214 e pubblicata sulla GU il 27 dicembre scorso, ha apportato delle modifiche al testo del decreto relativo alla Protezione dei Dati Personali, in particolare all’art. 4 comma 1- lett. b).

Il legislatore si è voluto soffermare proprio sul significato di dato personale e di interessato al trattamento, ovvero della persona a cui i dati fanno riferimento, escludendo la persona giuridica dalla sua definizione e, quindi, dal campo di applicazione del decreto stesso.

Permane la definizione all’interno della figura dell’abbonato e i provvedimenti previsti come “parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi”.
Al dato personale riferito alla persona giuridica, ente o associazione, perciò non si applicano più le misure previste dal decreto legislativo 196 del 2003 quale interessato al trattamento, di conseguenza non si possono più esercitare i relativi diritti previsti. Inoltre, sono state abrogate le tutele previste in caso di trasferimento di dati all’estero.
Le motivazioni addotte per questo cambiamento concernono esigenze di semplificazione, snellimento burocratico, seguendo l’onda delle semplificazioni introdotte già da tempo in relazione al trattamento dei dati per fini amministrativo-contabili. (art. 6, comma 2, lettera a), numero 1), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106).

Se da un lato tale provvedimento allinea fedelmente la normativa italiana all’originaria direttiva europea e alle leggi degli altri paesi europei, dall’altro sembra fare un passo indietro in tema di Diritto.
L’architettura del decreto, estensiva della tutela e dei diritti anche nei confronti delle persone giuridiche, si era posta come modello di riferimento tra i paesi europei, andando oltre il mero recepimento della relativa direttiva. C’è da dire che, negli ultimi anni, si è cercato di agire sul decreto 196, non tanto per miglioramenti incrementali e affinamenti successivi, quanto per esigenze e spinte di settori specifici, smontando quello che era nel tempo divenuto un caposaldo nell’esercizio (legittimo) del diritto alla protezione dei dati per aziende, associazioni, enti, etc... Tale diritto per questa categoria cessa di esistere. L’operazione dal punto di vista giuridico non è certo delle migliori. Un’azienda non potrà più far ricorso al Garante in caso di trattamento illecito o non conforme alla legge sui dati a lei riferiti come persona giuridica.
Dal punto di vista normativo tali cambiamenti comportano sicuramente disorientamento, facendo percepire come inutili bizantinismi burocratici gli sforzi di compliance prodotti negli anni da parte delle organizzazioni.
Dal punto di vista operativo, tuttavia, i provvedimenti sui dati personali riferiti a persone giuridiche non saranno più applicabili, perciò non saranno più necessari:
Informative al trattamento dei dati personali verso persone giuridiche (clienti, fornitori, partner, etc..)
richieste di consenso, anche per finalità commerciali o di marketing
Ad ogni modo le misure minime di sicurezza previste, e, ove applicabile la predisposizione del cosiddetto DPS (documento programmatico sulla sicurezza), permangono, così come le nomine a responsabili ed incaricati.
È notizia delle ultime settimane che, tra i provvedimenti di semplificazioni proposti per decreto dal Consiglio dei Ministri, vi sia anche l’eliminazione dell’obbligo di redazione del DPS. Tale decreto andrebbe a modificare il decreto (n.138 del 2011) che aveva introdotto la possibilità di autocertificazione in sostituzione del DPS “per i soggetti che trattano soltanto  dati  personali  non sensibili e che trattano  come  unici  dati  sensibili  e  giudiziari quelli relativi  ai  propri  dipendenti  e  collaboratori,  anche  se extracomunitari, compresi quelli relativi al coniuge e ai parenti”.

Se mettiamo in una bilancia gli svantaggi introdotti da questa modifica, con i relativi vantaggi, abbiamo dubbi che la stessa possa pendere per questi ultimi. Lo stesso Garante, Francesco Pizzetti, ha espresso l’opinione che “sono certo maggiori i potenziali costi, relativa ai rischi che comporta, che gli attesi vantaggi in ordine alla riduzione degli oneri” (cit- Il Sole 24ore del 10 dicembre 2011, estratto pag. 14).
Dal punto di vista pratico, le aziende si erano ormai abituate, ed erano andate a regime, sia con la redazione del DPS e i diversi provvedimenti introdotti, che con l’analisi dei rischi, includendo i dati relativi alle persone giuridiche nella loro piena operatività. Tornare indietro in questo senso lascia perplessi, in quanto i dati delle persone fisiche riferiti alle persone giuridiche (contatti, rubriche telefoniche, prospect, opinion leader, nominativi vari, soci, sindaci, etc..) devono essere comunque tutelati e rientrare nei provvedimenti previsti dal decreto.
Tutto questo fa perdere organicità, sistematicità al processo di compliance del decreto 196, fornendo inoltre differenziazioni sostanziali per le aziende che per natura del business si rivolgono tipicamente ad altre aziende, rispetto a quelle che si rivolgono a “privati”.

Consigliamo alle organizzazioni di conservare lo spirito di trasparenza nei rapporti con le altre persone giuridiche modificando il meno possibile l’architettura di recepimento e conformità al decreto, e della analisi dei rischi, di prestare sempre attenzione alle clausole contrattuali, esigendo ove necessario misure di tutela dei propri dati personali e di business, magari attingendo anche alla normativa sui diritti di proprietà intellettuale, e, se necessario, attuare attività di auditing di seconda parte per valutare lo stato di conformità alla protezione dei propri dati personali e delle informazioni.

In caso di approfondimenti, come VM, siamo a disposizione per qualsiasi chiarimento o supporto. Contattaci!