Il decreto sviluppo approvato dal Consiglio dei Ministri nella riunone del 5 maggio 2011 interviene anche nel settore della (presunta) innovazione tecnologica, con norme che si occupano di carta di identità elettronica e privacy nei rapporti tra imprese (e, come vedremo, anche dei lavoratori).
In tema di privacy si segnalano due innovazioni in particolare che sembra siano in grado di suscitare rilevanti preoccupazioni: il provvedimento approvato il 5 maggio estende infatti alla posta cartacea le regole varate di recente per il telemarketing, mentre i dati ( anche sensibili) dei lavoratori sembrano essere stati esclusi dalla protezione del codice privacy.
Sotto il primo profilo, in soldoni la norma permetterebbe di contattare a scopi pubblicitari chiunque non abbia preventivamente negato il consenso.
Lo si può fare iscrivendo il proprio numero di telefono al cd registro delle opposizioni tenuto dalla Fondazione Bordoni.
L’anomalia ( in termini di tutela dei cittadini) è già stata già rilevata da Alessandro Longo su Repubblica on line del 10 maggio.
L’altra norma contenuta nel decreto sviluppo che si occupa di privacy e di sicurezza dei dati all’ interno delle imprese è stata analizzata per prima da Marco Scialdone e si riferisce all’esclusione dei trattamenti effettuati dalle imprese dal novero dei trattamenti disciplinati dal codice della privacy.
La norma in particolare prevede che:
“Per ridurre gli oneri derivanti dalla normativa vigente e gravanti in particolare sulle piccole e medie imprese sono apportate con il seguente provvedimento, operativo in una logica che troverà ulteriori sviluppo, le modificazioni che seguono:
a) in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese;
e
a) al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni: 1) all’articolo 5 è aggiunto in fine il seguente comma:
“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”;
Cosa significa questa norma?
Significa che, secondo il Governo, il sistema del trattamento dei dati personali ( e le relative cautele) non si applica alle imprese, che ne sono esentate in determinati contesti, ma solo ai cittadini.
La logica della norma però, che appare diretta a produrre consensi “facili” nel mondo delle imprese, sembra non avere alcuna visione prospettica e dimostra di non conoscere il funzionamento dei sistemi informatici e lo stesso codice della privacy, diventando un possibile veicolo di dispersione dei dati personali ( anche sensibili) dei lavoratori.
Bisogna ricordare infatti che il codice della privacy non si riferisce a quella che noi chiamiamo solitamente privacy ma anche al tema delle misure di sicurezza dei sistemi informatici utili a proteggere i dati di tutti, imprese e cittadini.
Il codice privacy è l’unica norma in Italia che impone in qualche modo a chiunque abbia sistemi informatici di adottare quantomeno delle misure di sicurezza minima ( ad es l’identificazione tramite codice identificativo e password, il cambio della password entro un determinato periodo per evitare compromissioni della stessa password) per evitare accessi indesiderati in un sistema informatico e il furto dei dati ivi contenuti.
Con la norma pensata nel decreto sviluppo invece la sicurezza dei dati all’interno dei rapporti tra imprese non si applica più, secondo una logica che vede la sicurezza dei dati personali come una “scocciatura” economica per le imprese da evitare a tutti i costi.
Facciamo qualche esempio pratico:
come è noto il reato di accesso abusivo a sistema informatico prevede l’aggiramento delle misure di sicurezza a protezione dei dati ebbene da oggi non essendo più applicabili le norme del codice privacy sulle misure di sicurezza per il trattamento dei dati qualsiasi hacker potrà dire di non aver incontrato alcuna misura di sicurezza ( che non è più obbligatoria per le imprese) e di non aver quindi compiuto alcun reato.
E cosi, non essendo più obbligatorie le misure di sicurezza le imprese italiane non dovranno più adottare anche le misure più elementari a protezione dei dati visto che “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
E in quale ambito non si applicherà più la norma?
Ce lo dice l’art 34, comma 1 ter 1-ter del codice, come modificato dal decreto sviluppo: “ Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”;
Quindi, nonostante l’art 3 bis dell’art 5, in via di introduzione, lasci sibillinamente intendere che tali dati si riferiscano solo ai rapporti tra imprese e relativi ai dati delle stesse imprese, la verità è ben diversa visto che non si comprende come si possa pensare a dati personali delle imprese ( e non invece dei lavoratori) quando la norma parla di rapporto di lavoro, di posizione assistenziale, previdenziale , sindacale e di igiene e sicurezza del lavoro.
Appare chiaro quindi che da oggi in poi anche il tema dei dati sensibili dei lavoratori che riguardano per esempio, le condizioni di salute degli stessi lavoratori, l’appartenenza alle organizzazioni sindacali e cosi via, non saranno più protetti dalle norme del codice privacy che impongono l’adozione delle misure di sicurezza per il trattamento dei dati personali.
Questo significa tra l’altro che i dati sensibili dei lavoratori, ( nelle comunicazioni tra imprese) in quanto esclusi dall’ambito di applicazione del codice della privacy potranno liberamente essere ceduti a terzi senza il consenso, trattati senza che il lavoratore ne sappia nulla, immagazzinati ed usati in tutti i campi possibili e immaginabili cosi come le banche dati contenenti tali dati non dovranno più essere protette da misure di sicurezza come quelle relative a tutti gli altri dati personali.
Insomma, una vera e propria “baggianata”.
E veniamo adesso a quella che viene presentata come la grande innovazione del decreto sviluppo: la carta di identità elettronica.
L’introduzione di un documento “unico” in grado di contenere in un solo “badge” tutti i nostri dati potrebbe essere una bella idea non fosse per alcuni elementi.
1) la sperimentazione della carta di identità elettronica va avanti da dieci anni con momenti che, se non si trattasse di soldi pubblici, non è difficile definire come di pura comicità ( con vicende che non è qui possibile raccontare ma che saranno oggetto di approfondimento nei prossimi giorni nelle testate generaliste).
2) la carta di identità elettronica presentata come la grande innovazione del decreto sviluppo non ha grande efficacia se non è accompagnata dagli strumenti contenuti nella stessa carta che consentono al cittadino di interagire con la pubblica amministrazione, se infatti come appare dal decreto sviluppo la carta di identità contiene solo un insieme di informazioni integrate e non consente al cittadino di accedere ai servizi delle pubbliche amministrazioni per fare cose semplici come la richiesta di certificati, la possibilità di depositare documenti etc etc non si comprende a cosa serva un tesserino in pvc se non quell0 di sostituire ad un documento cartaceo un tesserino plastificato, senza alcuna utilità pratica.
3) Per avere un efficacia nei confronti delle Pubbliche Amministrazioni la carta deve contenere già in sé gli strumenti quali la PEC o la firma digitale e consentire cosi al cittadino di adottarla sulla rete come strumento di interazione con la pubblica amministrazione, ma per fare questo già all’origine la carta deve avere efficacia interattiva ( per esempio adottando l’identificazione del cittadino ai fini della concessione della PEC o della firma digitale già all’atto del rilascio della carta di identità) e non statica come invece appare dalla norma.
Fulvio Sarzanawww.fulviosarzana.it
Studio Legale Roma Sarzana & Associati