23 Feb Privacy e Milleproroghe: un passo avanti e un altro indietro
Il decreto cd. “Milleproroghe” è quasi convertito in legge. Numerose e sostanziali le innovazioni introdotte sul lato privacy e data protection, alcune lodevoli, altre decisamente meno. Alcune luci ed una grossa ombra, nel cui cono si colloca l’emendamento che darà il via libera allo spam telefonico per ragioni di marketing, in deroga ai principi basilari della normativa privacy nazionale relativi al consenso preventivo, espresso e informato da parte dell’interessato.
La disposizione introdotta in emendamento al Senato, pesa negativamente sul giudizio complessivo delle innovazioni contenute nel decreto. Essa consentirà alle aziende di fare marketing telefonico senza necessità di acquisire il consenso dell’interessato né di informarlo dell’avvenuto trattamento dei dati che lo riguardano. La deroga si riferisce alle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1o agosto 2005, e vigerà fino al 31 dicembre di quest’anno. Questa operazione frustra i principi del consenso preventivo, espresso e informato statuiti dal codice privacy, e vanifica i provvedimenti inibitori emanati dal Garante nei confronti di alcune importanti aziende ICT a partire dal settembre dello scorso anno. Si tratta, senza dubbio, di un regresso rispetto all’acquis normativo in tema di privacy e protezione dei dati personali, ispirato dalla crisi economica mondiale e giustificato da un’esigenza di salvaguardia dei posti di lavoro all’interno dei call center addetti a questo tipo di operazioni. Tuttavia la questione tenderà a ripresentarsi alla scadenza della proroga/deroga prevista dal decreto, se non si procederà ad un riordino bilanciato della materia che tenga nella giusta ed equa considerazione le esigenze degli operatori economici e il fondamentale diritto alla riservatezza dei cittadini/utenti. Al riguardo l’Istituto Italiano Privacy ha già trovato modo di esprimersi, proponendo l’introduzione del meccanismo dell’opt-out, alla stregua del quale chi vuole impedire l’utilizzazione dei dati che lo riguardano ha l’onere di manifestarlo espressamente, iscrivendosi nella cd. “Robinson List”, che gli operatori economici avrebbero l’obbligo di consultare periodicamente al fine di depennare dalle proprie banche dati i consumatori che avessero manifestato dissenso al trattamento dei propri dati personali.Ascritta la liberalizzazione dello spam telefonico alla voce “poste negative” del Milleproroghe, da un altro punto di vista va registrata e accolta con favore la riscrittura dell’apparato sanzionatorio del codice privacy. Una operazione di riforma ispirata a due linee guida: inasprimento delle sanzioni amministrative ed estensione dell’area degli illeciti penali.A riprova del suddetto inasprimento si consideri che vengono raddoppiati i valori edittali minimi e massimi delle sanzioni amministrative previste a fronte delle principali violazioni contemplate dal Codice Privacy, quali l’omessa e inidonea informativa all’interessato, la cessione di dati personali per scopi diversi da quelli per i quali furono raccolti, la comunicazione di dati idonei a rivelare lo stato di salute dell’interessato a soggetti non indicati dalla legge o senza il tramite di un medico designato dall’interessato.Sul lato dell’estensione delle sanzioni amministrative va annotata la generalizzazione della sanzione accessoria della pubblicazione in uno o più quotidiani dell’ordinanza-ingiunzione di pagamento, nonché l’aggiunta all’articolo 162 del codice dei novellati commi 2-bis e 2-ter. Queste due disposizioni comminano l’applicazione in ogni caso di elevate sanzioni amministrative a fronte di trattamento illecito di dati, violazione delle disposizioni prescritte dal Garante in tema di trattamento e trattamento di dati in violazione delle misure minime di sicurezza. Per quest’ultima fattispecie è inoltre soppressa l’alternatività tra ammenda e arresto sul piano penale, dimodoché tale illecito resta punito con il solo arresto fino a due anni oltre che con la sanzione amministrativa menzionata.
Infine, è stato introdotto l’articolo 164-bis e con esso un sistema di attenuanti e aggravanti generiche che consentono la riduzione o l’inasprimento delle sanzioni edittali a seconda di una valutazione di gravità caso per caso delle fattispecie rilevanti.
Ancora sotto una luce di positività va letta la previsione di reimpiego dei residui dell’esercizio 2008 relativi al “Fondo di finanziamento per i progetti strategici nel settore informatico”, cioè quei programmi, progetti e piani di azione formulati dalle amministrazioni per lo sviluppo dei sistemi informativi, di grande contenuto innovativo, di rilevanza strategica, di preminente interesse nazionale. Una norma che favorisce la transizione dei servizi pubblici in ambiente digitale. Alla digitalizzazione della PA rimanda pure la proroga dei termini per l’implementazione di un sistema di autenticazione degli utenti di servizi pubblici on line attraverso l’impiego esclusivo di carta d’identità elettronica e carta nazionale dei servizi. La dead line per l’adeguamento delle Amministrazioni è spostata al 31 dicembre 2009. Fino ad allora esse potranno consentire l’accesso on line anche attraverso sistemi alternativi.
Restando in tema di dati personali, è rinviato al 16 maggio 2009 il terminus a quo per la decorrenza dell’obbligo dei datori di lavoro di trasmettere all’INAIL, o all’IPSEMA, in relazione alle rispettive competenze, a fini statistici e informativi, i dati relativi agli infortuni sul lavoro che comportino un’assenza dal lavoro di almeno un giorno, escluso quello dell’evento e, a fini assicurativi, le informazioni relative agli infortuni sul lavoro che comportino un’assenza dal lavoro superiore a tre giorni.
Da ultimo, un emendamento al decreto approvato al Senato, differisce al 31 dicembre 2009 la scadenza del termine per la costituzione di una rete nazionale di banche per la conservazione dei cordoni ombelicali. Nel frattempo ne viene autorizzata la conservazione presso le strutture sanitarie nazionali,compresi gli istituti e le cliniche universitarie, gli istituti ed enti ecclesiastici, le cliniche militari.