DigitPA ha emanato la circolare 29 dicembre 2011, n. 59, pubblicata solo pochi giorni fa in Gazzetta Ufficiale (G.U. 8 febbraio 2012, n. 32), che disciplina le modalità per presentare la domanda di accreditamento da parte dei soggetti che svolgono attività di conservazione di documenti informatici.
Fino ad oggi, infatti, la disciplina riguardava principalmente l’attività dei conservatori e si attendeva da tempo la pubblicazione di disposizioni ad hoc. In sintesi, diversi sono gli adempimenti cui gli aspiranti conservatori, pubblici o privati, debbono ottemperare. Tra questi, la necessità di dimostrare il possesso di requisiti di affidabilità sotto il profilo organizzativo, tecnico e finanziario, nonché con riferimento al personale coinvolto nel procedimento di conservazione, che deve possedere conoscenze e competenze specifiche. È, inoltre, richiesta la stipula di una apposita polizza assicurativa, a copertura dei possibili rischi derivanti dall’attività di conservazione.
Per coloro i quali intendono presentare la domanda di accreditamento, tuttavia, l’iter non è ancora concluso: si attende l’emanazione di regole tecniche relative al sistema di conservazione previste dal CAD. Attualmente è, quindi, possibile presentare la domanda e la documentazione, ma l’istruttoria resterà sospesa fino alla pubblicazione delle regole tecniche.
Il decreto legge 9 febbraio 2012, n. 5 sulle cosiddette “semplificazioni” è stato pubblicato in Gazzetta Ufficiale (G.U. 9 febbraio 2012, n. 33).
Il testo del decreto, in vigore dal 10 febbraio, prevedendo l’abrogazione dell’art. 34, comma 1°, lett. g), del comma 1° bis del medesimo articolo, nonché di alcune disposizioni dell’Allegato B al Codice, sancisce l’abolizione del documento programmatico sulla sicurezza.
Benché, dunque, come già sottolineato su questo blog, sia previsto un alleggerimento degli adempimenti per i soggetti che trattano dati personali, ciò non significa che vengano meno gli obblighi relativi all’adozione delle misure minime di sicurezza.
La predisposizione del DPS può comunque rappresentare uno strumento che, sebbene non più strettamente obbligatorio, potrebbe costituire prova utile in sede civile di fronte ad eventuali contestazioni di danni per violazione della normativa a tutela dei dati personali.
Prevista, inoltre, all’art. 21, comma 1° bis del Codice, l’introduzione di una disposizione sui dati giudiziari, il cui trattamento viene consentito se effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici che specificano la tipologia dei dati trattati e delle operazioni eseguibili.
La Corte Suprema degli Stati Uniti d’America ha stabilito che il posizionamento di un sistema GPS sull’auto di un sospetto da parte della Polizia, che ne aveva monitorato i movimenti per 28 giorni, abbia violato la Costituzione.
In particolare, secondo la Corte è stato violato il Quarto Emendamento che, in sintesi, garantisce i cittadini rispetto a provvedimenti irragionevoli, ovvero basati su una motivazione irragionevole.
La decisione offre lo spunto per riflettere sul delicato rapporto tra l’utilizzo delle nuove tecnologie quali strumenti per la ricerca di prove, soprattutto in relazione alla commissione di reati, e la tutela dei diritti fondamentali dell’individuo, quale la protezione dei dati personali. Nella maggior parte dei sistemi giuridici occidentali, infatti, la limitazione dei diritti non è consentita senza un preventivo provvedimento giurisdizionale.
Il sistema italiano, ad esempio, con riguardo alla spinosa problematica delle intercettazioni, offre garanzie che giustificano la compressione dei diritti del singolo esclusivamente a fronte della commissione di reati di una certa gravità, da un lato, e da un procedimento che demanda ogni valutazione direttamente all’organo giurisdizionale, dall’altro.
Sotto questo profilo, il sistema statunitense appare sostanzialmente a noi vicino, esigendo un preventivo mandato, che nel caso che ha originato la pronuncia in commento non era stato richiesto. Partendo da questo spunto, i Giudici si sono, inoltre, interrogati sul sempre più diffuso uso “governativo” delle nuove tecnologie, dalla videosorveglianza nei luoghi pubblici alla localizzazione dei cellulari ed alla conservazione dei dati degli acquisti online, ponendo l’accento sui connessi rischi in termini di bilanciamento con le libertà e i diritti fondamentali della collettività.
La decisione, inoltre, offre un ulteriore spunto di riflessione, inerente alle aspettative di privacy rispetto alle informazioni che l’interessato diffonde volontariamente. Secondo quanto affermato dal Supremo Collegio, infatti, sembrerebbe doversi effettuare una riflessione più ampia sulla necessità di dover riconsiderare le aspettative di privacy dei singoli, ovvero riflettere sul fatto di dovervi rinunciare quando è il soggetto stesso a divulgare volontariamente determinate notizie, come accade nel caso della cosciente e volontaria pubblicazione di dati personali sui social network. In questi casi, dunque, sarebbe legittimo modulare diversamente la protezione degli interessati? Interrogativi, questi ultimi che attendono ancora una risposta.
Come precedentemente annunciato, è stata pubblicata sul Supplemento Ordinario n. 276 della Gazzetta Ufficiale n. 300 del 27 dicembre 2011, la legge 22 dicembre 2011, n. 214 recante “Conversione, con modificazioni, del decreto-legge 6 dicembre 2011, n. 201” (Decreto Monti).
La legge, entrata in vigore il 28 dicembre 2011, reca con sé la preannunciata rivoluzione del Codice in materia di protezione dei dati personali.
Si precisa che la legge di conversione non ha comportato modifiche alle innovazioni, già contenute nel decreto legge del 6 dicembre 2011, al Codice in materia di protezione dei dati personali.
Le modifiche, nell’intento di semplificare gli adempimenti in tema di privacy, hanno di fatto eliminato il diritto alla protezione dei dati personali per le persone giuridiche.
Ecco, nel dettaglio, le modifiche alla disciplina sulla protezione dei dati personali.
La nozione di “dato personale” di cui all’art. 4, comma 1, lett. b) del Codice viene drasticamente ristretta: dalla definizione scompare ogni riferimento alle persone giuridiche, enti od associazioni, esclusi anche dalla categoria degli “interessati”, di cui alla lettera i).
In altri termini, solo le informazioni relative alle persone fisiche costituiscono oggetto di tutela e solo le persone fisiche potranno esercitare i diritti previsti dall’art. 7, come ad esempio ottenere l’indicazione dell’origine dei propri dati, chiederne l’aggiornamento, la rettifica, la cancellazione ed opporsi al trattamento ai fini di vendita od invio di materiale pubblicitario.
In linea con la ratio delle modifiche, la manovra Monti abroga anche l’ultimo periodo dell’art. 9, comma 4, del Codice, che dettagliava le modalità per identificare il soggetto titolato a esercitare i diritti di cui sopra per conto di persone giuridiche, enti o associazioni.
Scompare, inoltre, il comma 3 bis dell’art. 5, peraltro introdotto solo pochi mesi fa dal c.d. “decreto sviluppo”, che aveva escluso l’applicazione delle norme del Codice per i trattamenti effettuati da imprese, enti o associazioni per finalità amministrativo-contabili.
Viene anche abrogata la lettera h) dell’art. 43 concernente il trasferimento dei dati delle persone giuridiche all’estero.
In ogni caso, le consistenti novità previste dalla l. 214 del 2011 non incidono sugli obblighi cui le imprese che trattano dati personali relativi a persone fisiche devono sottostare. È presumibile che questa “liberalizzazione” dell’uso dei dati delle persone giuridiche agevoli le attività pubblicitarie nei confronti delle imprese e non è da escludere un intervento chiarificatore, anche da parte del Garante, a riguardo.
È stata pubblicata (Foro It., 2011, XI, I, c. 3198) la decisione del Tribunale di Prato del 15 aprile 2011, della quale il blog aveva già dato un’anticipazione.
La sentenza, valutando la rilevanza probatoria di una email prodotta in un giudizio di opposizione a decreto ingiuntivo a dimostrazione della tempestiva contestazione dei vizi di un macchinario, si è soffermata sulla qualificazione giuridica di tale tipo di documento.
Secondo il Tribunale di Prato, l’email inviata in assenza di un meccanismo di posta elettronica certificata non consente di identificare in maniera univoca il mittente, né di provare la ricezione del messaggio da parte del destinatario.
Tuttavia, è indubbio che l’email possa essere qualificata come documento dotato di firma elettronica “dato che lo username e la password usati per l’accesso alla casella di posta elettronica integrano comunque un insieme di dati utilizzati come metodi di identificazione informatica ai sensi dell’art. 1, lett. q)” del CAD.
Conseguentemente, l’efficacia probatoria dell’email è liberamente valutabile in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità e – aggiunge la sentenza – anche delle ulteriori risultanze processuali, in primo luogo il mancato disconoscimento e la tempestiva contestazione dei fatti ivi rappresentati.
Nel caso di specie, il destinatario aveva sin da subito disconosciuto le vicende fatte valere a mezzo dell’email in questione e tale rilievo, mancando ulteriori elementi idonei a confermarne il contenuto, ha comportato una valutazione negativa sul piano probatorio. Le pretese dell’opponente sono state, dunque, rigettate.
La decisione è comunque di grande rilevanza perché riafferma che l’email è un documento dotato di firma elettronica.
È stato recentemente pubblicato in Gazzetta Ufficiale (n. 267 del 16 novembre 2011) il d.p.c.m. 22 luglio 2011 relativo alle “comunicazioni con strumenti informatici tra imprese e amministrazioni pubbliche, ai sensi dell’articolo 5-bis del Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni”.
Il decreto prevede che, a decorrere dal 1° luglio 2013, la presentazione di istanze e dichiarazioni, lo scambio di dati, informazioni e documenti tra le imprese e le pubbliche amministrazioni avvenga esclusivamente in via telematica. L’obbligo vale anche per la documentazione eventualmente allegata. Dal 1° luglio 2013, pertanto, le istanze e le comunicazioni, se inviate in forma cartacea, non potranno essere accettate.
Per la realizzazione dell’obiettivo posto dal decreto, entro il 30 giugno 2013, le amministrazioni centrali dovranno provvedere alla completa informatizzazione delle comunicazioni.
È previsto, inoltre, in capo a DigitPA un ruolo di vigilanza sul rispetto degli adempimenti previsti. In caso di inosservanza, infatti, i vertici delle pubbliche amministrazioni inadempienti si espongono a responsabilità dirigenziale e l’attuazione delle misure viene tenuta in considerazione anche ai fini della valutazione della performance organizzativa e di quella individuale dei dirigenti.
Sebbene la notizia non abbia destato una particolare eco mediatica, la bozza del decreto sviluppo che circola negli ultimi giorni andrebbe ad incidere anche sulla protezione dei dati personali.
L’art. 94 del decreto, tra le altre, prevede la modifica nientemeno che della nozione di dato personale, inserendo una consistente limitazione riguardante le persone giuridiche. Il dato personale, infatti, verrebbe ad indicare “qualunque informazione relativa a persona fisica nonché, limitatamente al settore delle comunicazioni elettroniche, qualunque informazione relativa a persona giuridica, ente od associazione abbonati ad un servizio di comunicazione elettronica accessibile al pubblico, sempre che si tratti di soggetti identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Ad essere modificata, di conseguenza, anche la nozione di interessato, che identificherebbe la persona fisica, nonché la persona giuridica, l’ente o l’associazione abbonati ad un servizio di comunicazione elettronica accessibile al pubblico, limitatamente al trattamento dei dati personali nel settore delle comunicazioni elettroniche.
Al di là della opinabile formulazione della norma, che solleva dubbi sulla sua interpretazione, viene radicalmente mutato l’impianto teorico e, conseguentemente, pratico del concetto di dato personale.
Le novità, seppure di minore impatto, non finiscono qui.
Vengono, infatti, dettate anche disposizioni in materia di ricette mediche digitali e fascicolo sanitario elettronico (artt. 129 e 130), e viene stabilito che dal 1° gennaio 2013 le pagelle ed i certificati scolastici siano rilasciati in formato elettronico e resi disponibili su web, tramite posta elettronica o altra modalità digitale (art. 132). Online anche i certificati di congedo dei lavoratori per la malattia dei figli (art. 131). Per quanto riguarda i trasporti, biglietti dei bus, tram o altri mezzi locali potranno essere emessi in formato elettronico (art. 137).
La bozza del decreto contiene, infine, il potenziamento dell’uso della PEC (art. 134), della quale sono tenute a dotarsi tutte le imprese, non solo quelle costituite in forma societaria. In relazione ai professionisti, già interessati da tale obbligo, è previsto che gli albi professionali rechino “in ogni caso” l’indirizzo di posta elettronica certificata dei propri iscritti.
Si tratta sì di previsioni non definitive, delle quali seguiremo l’iter e le relative implicazioni pratiche, che tuttavia suscitano un immediato interesse e non tarderanno ad essere oggetto di un vivace dibattito.
Da pochi giorni è entrato in vigore il d. lgs. 1 settembre 2011 n. 150, il cui obiettivo è razionalizzare e semplificare i processi civili di cognizione. Il decreto incide anche sul Codice per la protezione dei dati personali, modificando l’art. 152 sulle controversie instaurate davanti all’autorità giudiziaria ordinaria.
Queste controversie, prima disciplinate secondo un procedimento sui generis descritto dall’art. 152, sono ora ricondotte al rito del lavoro, col quale d’altronde già vi erano diverse affinità.
La competenza giurisdizionale rimane in capo al Tribunale del luogo in cui ha la residenza il titolare del trattamento e restano immutati anche i termini per proporre il ricorso, pari a trenta giorni. La proposizione del ricorso non sospende l’esecutività del provvedimento impugnato, salvo ricorrano gravi e circostanziate ragioni, oppure nel caso di pericolo imminente di un danno grave ed irreparabile.
La sentenza che definisce il giudizio non è appellabile, e sarà necessario, pertanto, procedere innanzi alla Corte di Cassazione. Al giudice resta la facoltà di stabilire eventuali e specifiche misure di tutela e di statuire sul risarcimento del danno.
Il d.p.c.m. 25 maggio 2011, pubblicato in G.U. il 3 ottobre, limita l’applicabilità del CAD all’Amministrazione economico finanziaria, da intendersi nelle sue varie articolazioni: Ministero dell’economia e delle finanze, Agenzia delle dogane, Agenzia del territorio, Agenzia del demanio, Amministrazione autonoma dei monopoli di Stato, Guardia di finanza e Scuola superiore dell’economia e delle finanze. Analoghi atti normativi avevano avuto il medesimo effetto nei confronti dell’Agenzia delle entrate e della Presidenza del Consiglio dei Ministri.
In sintesi, le disposizioni di maggior interesse.
Per quanto concerne gli utenti e, in particolare, le imprese, le norme in esame ribadiscono come, in materia di conservazione ed esibizione dei documenti rilevanti ai fini fiscali, continuino ad applicarsi le disposizioni dettate dal decreto del Ministero dell’economia e delle finanze del 23 gennaio 2004. Inoltre, per la trasmissione di documenti all’Amministrazione economico finanziaria non è previsto l’utilizzo della posta elettronica certificata.
Tra le norme che riguardano più direttamente l’amministrazione, si segnala quella che prevede, con la finalità di favorire il riuso dei programmi informatici, che le pubbliche amministrazioni comunichino a DigitPA l’adozione delle applicazioni informatiche e delle pratiche tecnologiche e organizzative adottate.
Non si applicano, infine, alcune disposizioni del CAD concernenti le direttive generali per l’attività amministrativa e per la gestione impartite dagli organi di Governo, la quantificazione dei risparmi realizzati, le strutture per l’organizzazione, l’innovazione e le tecnologie, la sicurezza informatica, dei dati e dei sistemi.
Sono state pubblicate le “Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario”.
Sempre più spesso, infatti, gli organismi sanitari pubblici e privati effettuano indagini sulla qualità dei servizi offerti e sul grado di soddisfazione degli utenti: tale attività implica il trattamento dei dati personali degli assistiti, che deve ispirarsi alle regole dettate dal Garante.
In sintesi, gli aspetti principali.
È previsto che l’utilizzo dei dati personali e, soprattutto, identificativi degli utenti sia ridotto al minimo e solo se necessario a realizzare l’obiettivo dell’indagine.
In ogni caso, è vietato l’utilizzo di informazioni idonee a rivelare la vita sessuale degli intervistati, ed è negata la possibilità di un impiego dei dati raccolti per fini diversi, ad esempio per la profilazione degli utenti.
Mentre le strutture pubbliche possono effettuare le indagini prescindendo dal consenso degli interessati, per le strutture private permane l’obbligo di acquisirlo. Gli organismi sanitari, tanto pubblici quanto privati, sono comunque tenuti a fornire un’idonea informativa agli interessati (il Garante ha reso pubblico un modello di informativa allegato alle linee guida), anche in forma verbale, impartendo opportune istruzioni al personale incaricato, soprattutto nel caso di indagini effettuate per via telefonica.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
