Il decreto legge 9 febbraio 2012, n. 5 sulle cosiddette “semplificazioni” è stato pubblicato in Gazzetta Ufficiale (G.U. 9 febbraio 2012, n. 33).
Il testo del decreto, in vigore dal 10 febbraio, prevedendo l’abrogazione dell’art. 34, comma 1°, lett. g), del comma 1° bis del medesimo articolo, nonché di alcune disposizioni dell’Allegato B al Codice, sancisce l’abolizione del documento programmatico sulla sicurezza.
Benché, dunque, come già sottolineato su questo blog, sia previsto un alleggerimento degli adempimenti per i soggetti che trattano dati personali, ciò non significa che vengano meno gli obblighi relativi all’adozione delle misure minime di sicurezza.
La predisposizione del DPS può comunque rappresentare uno strumento che, sebbene non più strettamente obbligatorio, potrebbe costituire prova utile in sede civile di fronte ad eventuali contestazioni di danni per violazione della normativa a tutela dei dati personali.
Prevista, inoltre, all’art. 21, comma 1° bis del Codice, l’introduzione di una disposizione sui dati giudiziari, il cui trattamento viene consentito se effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici che specificano la tipologia dei dati trattati e delle operazioni eseguibili.
Il cosiddetto decreto “Semplifica Italia” approvato venerdì scorso dal Consiglio dei ministri promuove fortemente digitalizzazione e informatica.
Un ruolo fondamentale è attribuito all’agenda digitale che è costituita, secondo il Comunicato stampa ufficiale di quattro punti:
-costituzione di una cabina di regia per lo sviluppo della banda larga e ultra-larga
-open data nella pubblica amministrazione
-cloud computing nella pubblica amministrazione
-smart communities
I temi di maggiore interesse sotto il profilo giuridico sono due: open data e cloud computing.
L’open data, cioè la fruibilità dei dati fra pubbliche amministrazioni, e quindi la valorizzazione e la condivisione del patrimonio informativo delle pubbliche amministrazioni, è già previsto nel Codice dell’amministrazione digitale, in più punti. Attualmente le principali limitazioni giuridiche all’open data sono costituite dalla sussistenza di diritti protetti dalla legge sul diritto d’autore, del diritto alla protezione delle banche di dati (c.d. diritto sui generis), dalla tutela del diritto alla privacy e alla protezione dei dati personali.
Dall’agenda digitale potrà venire un impulso all’attuazione di strategie operative per la diffusione dell’open data.
Il cloud computing può comportare un notevole risparmio di risorse: il rischio è che dei dati su cloud si perda il controllo. Per questa ragione, in Norvegia è stato al momento escluso che i dati della pubblica amministrazione possano utilizzare il cloud.
Le criticità giuridiche sono, ancora una volta, costituite dalla protezione dei dati personali.
Anche a questo riguardo è auspicabile che l’agenda digitale fornisca chiare linee operative.
Il decreto legge sulle cosiddette “semplificazioni” è stato approvato dal Consiglio dei Ministri nella giornata di venerdì ed è ancora in attesa della firma del Presidente della Repubblica, cui seguirà la pubblicazione sulla Gazzetta Ufficiale.
Solo all’atto della pubblicazione del testo “ufficiale” in Gazzetta sarà possibile esprimersi con ragionevole certezza sull’effettivo impatto del provvedimento.
Per ragioni di completezza, è necessario comunque sottolineare che il decreto legge è uno strumento dotato di una efficacia temporale limitata a soli sessanta giorni, nel corso dei quali le disposizioni ivi contenute debbono essere convertite in legge. Prima della effettiva conversione, è dunque possibile che il contenuto possa subire ulteriori modifiche.
Il decreto “Salva-Italia” (legge 22 dicembre 2011, n. 214) come pure il decreto semplificazioni approvato venerdì scorso dal Consiglio dei ministri, operano rilevanti tagli alla cosiddetta legge sulla privacy.
Il primo, modificando la definizione di dato personale, ha escluso l’applicabilità del Codice per la protezione dei dati personali alle informazioni concernenti persone giuridiche, enti e associazioni e quindi ai dati di società, imprese, enti pubblici. Ciò significa che per trattare questi dati non è più necessaria l’informativa, non occorre richiedere il consenso o verificare che il trattamento sia conforme ai fini istituzionali dell’ente pubblico, non occorre più designare incaricati e responsabili di trattamento, né applicare le misure di sicurezza. Ciò significa anche che le persone giuridiche non vantano alcun diritto di controllo sui dati previsto dalla medesima legge.
In estrema sintesi, la legge sulla privacy non si applica ai dati di imprese, società, persone giuridiche in generale, enti e associazioni.
Il decreto semplificazioni, approvato venerdì dal Consiglio dei ministri, secondo quanto riportato dal comunicato stampa dello stesso Consiglio dei ministri pare prevedere l’abolizione del documento programmatico sulla sicurezza.
In entrambi i casi si tratta di modifiche a disposizioni della legge italiana non presenti nella direttiva europea.
Se l’abolizione del documento programmatico sulla sicurezza sarà confermata, va comunque chiarito che gli obblighi in materia di sicurezza rimangono fermi e così le responsabilità penale, amministrativa e civile conseguenti alla mancata adozione di misure di sicurezza. L’abolizione del documento programmatico sulla sicurezza non comporta e non deve comportare in alcun modo un’attenuazione della sicurezza nel trattamento dei dati personali perché, come è noto, senza sicurezza non c’è privacy.
Il 27 gennaio il Consiglio dei Ministri ha esaminato e approvato un decreto-legge in materia di semplificazione e sviluppo volto a modernizzare i rapporti tra pubblica amministrazione, cittadini e imprese.
La principale novità è l’introduzione da parte delle pubbliche amministrazioni dell’erogazione via web di certificati e servizi quali il cambio di residenza, i certificati anagrafici, il rinnovo dei documenti, l’iscrizione alle liste elettorali e la partecipazione ai concorsi pubblici.
Il decreto introduce inoltre i quattro punti fondamentali della cosiddetta “agenda digitale”: la costituzione di una cabina di regia per lo sviluppo della banda larga e ultra-larga, la diffusione in rete dei dati in possesso delle amministrazioni, l’utilizzo del cloud per gli scambi di dati tra le pubbliche amministrazioni e gli incentivi alle smart communities, gli spazi virtuali in cui i cittadini possono scambiare opinioni e proporre soluzioni condivise.
Le disposizioni di semplificazione, tra le altre cose, eliminano dall’ordinamento un numero consistente di adempimenti burocratici. Tra questi spicca, sul versante privacy, l’eliminazione dell’obbligo per le piccole e medie imprese di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS). Secondo quanto si legge nel comunicato del Consiglio dei Ministri tale obbligo “oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento meramente superfluo”.
Particolarmente importanti anche le misure riguardanti l’università. Con l’approvazione del decreto-legge viene infatti introdotto il Portale unico delle università: la verbalizzazione e la registrazione degli esiti degli esami di profitto e di laurea sostenuti dagli studenti universitari si effettuerà esclusivamente per via telematica.
Per una sintesi completa dei principali punti del provvedimento, suddivisi per tipologia, si rimanda al comunicato del Consiglio dei Ministri.
La Corte Suprema degli Stati Uniti d’America ha stabilito che il posizionamento di un sistema GPS sull’auto di un sospetto da parte della Polizia, che ne aveva monitorato i movimenti per 28 giorni, abbia violato la Costituzione.
In particolare, secondo la Corte è stato violato il Quarto Emendamento che, in sintesi, garantisce i cittadini rispetto a provvedimenti irragionevoli, ovvero basati su una motivazione irragionevole.
La decisione offre lo spunto per riflettere sul delicato rapporto tra l’utilizzo delle nuove tecnologie quali strumenti per la ricerca di prove, soprattutto in relazione alla commissione di reati, e la tutela dei diritti fondamentali dell’individuo, quale la protezione dei dati personali. Nella maggior parte dei sistemi giuridici occidentali, infatti, la limitazione dei diritti non è consentita senza un preventivo provvedimento giurisdizionale.
Il sistema italiano, ad esempio, con riguardo alla spinosa problematica delle intercettazioni, offre garanzie che giustificano la compressione dei diritti del singolo esclusivamente a fronte della commissione di reati di una certa gravità, da un lato, e da un procedimento che demanda ogni valutazione direttamente all’organo giurisdizionale, dall’altro.
Sotto questo profilo, il sistema statunitense appare sostanzialmente a noi vicino, esigendo un preventivo mandato, che nel caso che ha originato la pronuncia in commento non era stato richiesto. Partendo da questo spunto, i Giudici si sono, inoltre, interrogati sul sempre più diffuso uso “governativo” delle nuove tecnologie, dalla videosorveglianza nei luoghi pubblici alla localizzazione dei cellulari ed alla conservazione dei dati degli acquisti online, ponendo l’accento sui connessi rischi in termini di bilanciamento con le libertà e i diritti fondamentali della collettività.
La decisione, inoltre, offre un ulteriore spunto di riflessione, inerente alle aspettative di privacy rispetto alle informazioni che l’interessato diffonde volontariamente. Secondo quanto affermato dal Supremo Collegio, infatti, sembrerebbe doversi effettuare una riflessione più ampia sulla necessità di dover riconsiderare le aspettative di privacy dei singoli, ovvero riflettere sul fatto di dovervi rinunciare quando è il soggetto stesso a divulgare volontariamente determinate notizie, come accade nel caso della cosciente e volontaria pubblicazione di dati personali sui social network. In questi casi, dunque, sarebbe legittimo modulare diversamente la protezione degli interessati? Interrogativi, questi ultimi che attendono ancora una risposta.
La proposta di inserire il “diritto ad essere dimenticati” tra le modifiche della direttiva europea sulla protezione dei dati personali ha portato nuovamente il diritto all’oblio al centro del dibattito giuridico in materia di privacy.
Il tema era stato anticipato e ampliamente dettagliato nella relazione della Prof. Avv. Giusella Finocchiaro presentata durante il convegno “Il futuro della responsabilità in rete. Quali regole dopo la sentena Google/Vividown?” e in seguito pubblicata sulla rivista giuridica “Il Diritto dell’Informazione e dell’informatica”, n. 3, maggio-giugno 2010.
L‘odierna conferma della Commissione Europea sulla proposta di modifica della direttiva rende la relazione nuovamente di estrema attualità. La ripronioniamo dunque nella sua versione intergrale, scaricabile in formato PDF cliccando QUI.
La Commissione Europea discuterà mercoledì una modifica alla direttiva sulla protezione dei dati personali nella quale verrà per la prima volta riconosciuto il “diritto ad essere dimenticati”, ovvero il diritto per il cittadino di pretendere la cancellazione di qualunque dato personale archiviato su siti web.
Le modifica, collocata nell’ambito dell’ampio lavoro di revisione della direttiva, che risale al 1995, è stata anticipata dal Vicepresidente dell’Unione Europea, Viviane Reding, durante la Digital Life Conference recentemente tenutasi a Monaco.
La proposta ha come primo obiettivo quello di aiutare gli adolescenti a i giovani a controllare e gestire la propria reputazione online, in particolare sui social network. Alla base dell’intervento normativo c’è infatti la preoccupazione riguardo alla difficoltà di ottenere la cancellazione di dati “imbarazzanti”, pubblicati con leggerezza nel passato, ma dalle possibili conseguenze negative per il presente, specialmente in considerazione del fatto che sempre più spesso chi offre un lavoro effettua delle ricerche su Internet per orientarsi sui candidati.
Non tutti i dati, tuttavia, sarebbero ugualmente cancellabili. Viviane Reding ha infatti specificato che questa modifica non influirebbe sui dati archiviati nei database degli organi di informazione, così come sui dati medici o sui dati in possesso degli organi di giustizia.
Le maggiori compagnie della rete non hanno ancora rilasciato dichiarazioni ufficiali a commento della proposta nell’attesa di maggiori dettagliate informazioni.
Nuovi sviluppi sui rapporti tra la Commissione Europea e l’Ungheria, al centro dell’attenzione internazionale in seguito alla revisione costituzionale di stampo nazionalista operata dal governo di Viktor Orban.
Tra i nuovi elementi normativi che hanno destato la preoccupazione della Commissione Europea e del Fondo Monetario Internazionale spicca il provvedimento che limita l’indipendenza della Banca centrale nazionale. La Commissione ha anche espresso forti perplessità sulla norma che ha sostituito l’autorità ungherese per la protezione dei dati personali con una nuova autorità amministrativa il cui vertice viene nominato direttamente dal Primo Ministro, minandone così l’indipendenza. Un terzo elelmento critico è invece rappresentato dalla norma sulla pensione obbligatoria anticipata per giudici e magistrati.
In risposta alle pressioni provenienti dalla UE e dal FMI, il Primo Ministro ungherese ha recentemente dichiarato che il suo governo sarebbe pronto a trattare una modifica della controversa legge sulla Banca centrale magiara, giudicata dagli organi internazionali come non conforme ai Trattati europei. Orban ha però respinto gli altri appunti mossi dalla Commissione europea sull’ indipendenza della giustizia e sull’ autorità per la protezione dei dati personali.
Nei giorni scorsi la Commissione ha reso noto di essere pronta a lanciare procedure d’infrazione contro l’Ungheria se l’analisi delle spiegazioni chieste a Budapest e fornite dal governo magiaro non saranno sufficienti a fugare il sospetto che le norme varate siano in contrasto con il diritto comunitario. La decisione della Commissione è attesa per il 17 gennaio, in occasione della riunione settimanale a Strasburgo.
Con una serie di recenti provvedimenti il Garante privacy ha dichiarato illecito l’uso del sistema di videosorveglianza installato in alcuni luoghi di lavoro, quali un’amministrazione pubblica, un’azienda privata e due strutture sociosanitarie.
In tutti e quattro i casi, le videocamere di sorveglianza erano state installate in violazione dello Statuto dei lavoratori, che vieta il controllo a distanza dei dipendenti, e della normativa in materia di protezione dei dati personali.
L’intervento del Garante, sollecitato da alcuni cittadini, ha sancito l’illiceità del trattamento di dati effettuato e ha pertanto reso inutilizzabili le immagini riprese in violazione di legge.
In particolare, nel provvedimento nei confronti di una casa di risposo l’uso delle telecamere installate nell’area dove i dipendenti timbrano il cartellino è stato vietato definitivamente.
Negli altri tre casi, il Garante ha inibito l’uso delle telecamere collocate presso gli accessi ai luoghi di lavoro, in attesa dell’eventuale attuazione delle procedure previste dallo Statuto dei lavoratori (accordo con le rappresentanze sindacali aziendali, o autorizzazione della Direzione provinciale del Lavoro).
Nel motivare i divieti il Garante ha ribadito che il controllo a distanza dell’attività lavorativa si configura anche qualora la sorveglianza non sia a carattere continuativo o le telecamere siano segnalate da cartelli: per essere in regola nell’installazione di telecamere occorre comunque e sempre rispettare le procedure stabilite dallo Statuto a tutela dei lavoratori.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
