News

Mercoledì 06/06/2012

Nota riassuntiva in materia di privacy

Nonostante i tentativi di semplificazione la normativa è ancora estremamente complessa, anzi continua ad essere fonte di numerosi fraintendimenti come è accaduto per la cd. “autocertificazione” (introdotta dall’art. 29 del D.L. n. 112/2008 conv. nella L. n.133/2008) che, a modifica del testo originario dell’art. 34, consentiva al legale rappresentante della Azienda di evitare la tenuta del DPS dichiarando sotto la propria responsabilità che la stessa aveva adottato le prescritte “misure di sicurezza” il che comportava, nonostante il lodevole proposito di semplificazione, una ulteriore responsabilità in capo al legale rappresentante nell’eventualità di dichiarazione suo malgrado mendace.
Comunque anche tale possibilità è stata eliminata dal citato decreto legge, sempre salvo conferma in sede di conversione.
Ciò non toglie che la particolare natura personale e in taluni casi sensibile dei dati (si pensi ai dati dei dipendenti, clienti, fornitori etc.) imponga alla Azienda una osservanza rigorosa e costante delle prescrizioni e cautele imposte per la sicurezza del trattamento, che non sono venute meno e la cui violazione comporta già di per sé, senza entrare nel merito di altre discipline che presuppongono anch’esse una stringente osservanza della normativa sulla privacy ( v. d. lgs. n. 231/2001), gravose sanzioni quali a titolo esemplificativo quelle di seguito riportate:
l’omessa o inidonea informativa costituisce violazione amministrativa punita con la sanzione da euro 6mila ad 36mila;
la mancata adozione delle misure minime di sicurezza (tra cui tutte quelle prescritte nell’ All. B del Codice) è punita con la sanzione da euro 10mila ad euro 120mila e penalmente con l’arresto sino a 2 anni o, in caso di regolarizzazione entro il termine concesso dal Garante, con la ulteriore sanzione di euro 30mila (1/4 del massimo);
la mancata osservanza dei provvedimenti emessi dal Garante (ad es. in tema di videosorveglianza) è punita con la sanzione da euro 30mila ad euro 180mila;
In caso di più violazioni di banche dati di particolare rilevanza o dimensione la sanzione aumenta da un minimo di euro 50mila ad un massimo di euro 300mila, con possibilità, in talune ipotesi più gravi, di vederle raddoppiate o addirittura quadruplicate.
E questo senza tralasciare il danno di immagine, essendo prevista anche che la possibilità della pubblicazione del provvedimento di condanna, e il fatto che l’eventuale trattamento illecito dei dati, ovvero senza l’adozione degli accorgimenti previsti, legittimerebbe anche la richiesta di risarcimento dei danni in sede civile da parte dell’interessato.
Il DPS ora abrogato rappresentava quindi (ma credo rappresenti ancora) un utile e forse indispensabile strumento di riepilogo e verifica dei trattamenti, tanto ad uso interno quanto ad uso esterno in caso di ispezioni da parte della Autorità, restando altrimenti a dir poco difficoltosa la dimostrazione dell’adozione, aggiornamento e rispetto delle prescritte misure e la mancanza di responsabilità amministrativa, civile e penale dell’Azienda.
24 febbraio 2012
Agostino De Zordo