L'inizio del 2009 coincide con l'entrata in vigore del codice deontologico privacy per i legali (decreto 2 dicembre 2008 del ministro della giustizia, pubblicato sulla Gazzetta Ufficiale del 24 dicembre 2008 n. 300) e con il provvedimento del Garante di semplificazione delle misure minime di sicurezza (provvedimento del garante del 27 novembre 2008 pubblicato sulla Gazzetta Ufficiale del 9 dicembre 2008) da un lato e dall'altro con il generale incremento delle sanzioni amministrative per violazioni della privacy dovuto al decreto legge 207/2008.
In sostanza gli adempimenti vengono chiariti e semplificati (codice deontologico privacy) e alleggeriti (provvedimento 27 novembre 2008), ma il legislatore non fa sconti e anzi appesantisce le sanzioni in caso di violazione degli adempimenti, seppure ridimensionati.
Vediamo di individuare il quadro delle sanzioni per le fattispecie che più possono interessare gli studi legali.
Informativa.
L'adempimento è previsto dall'articolo 13 del codice della privacy. L'informativa è stata alleggerita come adempimento dal codice deontologico forense: può essere fornita una tantum, anche mediante affissione nei locali dello studio o pubblicazione sul proprio sito internet e anche mediante comunicazioni sintetiche e in stile colloquiale, adatto a essere comprensibile anche a non giuristi.
L'informativa, inoltre, può non comprendere gli elementi già noti alla persona e può essere fornita, anche solo oralmente e può essere omessa per i dati raccolti presso terzi, qualora gli stessi siano trattati solo per il periodo strettamente necessario per far valere o difendere un diritto in sede giudiziaria o per svolgere investigazioni difensive (non sono raccolti presso l'interessato i dati provenienti da un rilevamento lecito a distanza, tale da non interagire direttamente con l'interessato).
Fin qui il codice deontologico privacy. Ma se si viola l'obbligo (come disegnato sia dal dlgs 196/2003 sia da codice deontologico) il decreto 207/2008 ha stabilito sanzioni pesantissime con un raddoppio della sanzione prevista dal testo originario che viene portata nel minimo a 6 mila euro e nel massimo a 36 mila euro, ulteriormente raddoppiabili in caso di violazione di maggiore gravità o addirittura quadruplicabili se la sanzione non è congrua rispetto alle condizioni economiche del contravventore.
Certo sembra studiata ad hoc per i piccoli studi professionali la riduzione della sanzione al valore di 2/5; anzi la relazione illustrativa del decreto 207 spiega che la fattispecie con sanzione più lieve serve a graduare meglio l'afflittività della sanzione a seconda che la violazione sia commessa da soggetti pubblici o privati di grandi dimensioni e disponibilità economiche, piuttosto che da altri soggetti per i quali il pericolo di illeciti e le condizioni economiche possono risultare minori. In sostanza la mano dovrebbe essere più leggera rispetto agli ordinari trattamenti per finalità amministrative e contabili presso piccole e medie imprese o liberi professionisti.
Ma, a parte il fatto che si dovrà verificare in concreto la ricorrenza di questa ipotesi, bisogna considerare che il livello diminuito è quasi pari al livello della sanzione ante modifica: così mentre prima del decreto 207 il minimo edittale si colloca a 3000 euro, il minimo edittale della ipotesi lieve post modifica si colloca a 2.400 euro, mentre i massimi edittali sono rispettivamente di 18 mila e di 14.400 euro.
Insomma l'estremo rigore della sanzione edittale ante modifica è stato ridotto in misura percentuale molto bassa.
Misure minime di sicurezza.
Il quadro delle misure minime di sicurezza è stato sicuramente ridimensionato sia dall'articolo 29 del dl 112/2008 sia dal provvedimento del garante del 27 novembre 2008.
Il decreto 112/2008 ha disposto la possibilità di sostituire il Documento programmatico sulla sicurezza (DPS) con una autocertificazione: la misura, tuttavia, è fruibile solo per i trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, oppure all'adesione a organizzazioni sindacali o a carattere sindacale.
In sostanza i trattamenti effettuati dagli avvocati non possono rientrare nella semplificazione.
I legali possono, invece, avvalersi delle semplificazioni operate con il provvedimento del 27 novembre 2008.
In base a quest'ultima normativa si specifica che le istruzioni agli incaricati del trattamento (dipendenti, personale di segreteria, collaboratori e tirocinanti) possono essere anche fornite oralmente e non necessariamente per iscritto, viene ammesso l'uso di un livello base di credenziale di autenticazione (quella del sistema operativo dell'elaboratore), con minori obblighi di variazione, non si prevede più la procedura della custodia delle copie delle credenziali, ma è sufficiente definire in anticipo le modalità per accedere all'elaboratore in assenza dell'incaricato, si ammette un livello base di profili di autorizzazione e non si fa menzione dell'obbligo di verifica annuale.
La cadenza semestrale dell'obbligo di aggiornamento antivirus diventa sempre annuale, la cadenza semestrale dell'obbligo di aggiornamento antivirus diventa biennale per gli elaboratori non connessi l'obbligo di back up diventa almeno mensile.
Per il DPS l'aggiornamento è subordinato al verificarsi di variazioni e si limita alla descrizione statica e non si richiede una dichiarazione previsionale delle misure di sicurezza da attuare; inoltre non sono più espressamente previsti obblighi formativi annuali per il personale.
Il DPS si alleggerisce, ma le sanzioni si appesantiscono.
Con il dl 207/2008, quanto alle sanzioni penali per violazioni delle misure minime di sicurezza, assistiamo a un maggiore rigore derivante dall'eliminazione della sanzione pecuniaria alternativa alla sanzione detentiva e all'incremento della somma da pagare per ottenere la derubricazione in illecito amministrativo (da 12.500 a 30.000 euro).
Inoltre alla sanzione penale si aggiunge sempre una pesante sanzione amministrativa (fino a 120 mila euro, aumentabile fino a 480 mila euro in casi di maggiore gravità), non estinguibile con pagamento in misura ridotta.
La sanzione amministrativa prevede incrementi per casi di maggiore gravità, per l'ipotesi di livelli non congrui con le condizioni economiche del contravventore e per il caso di concorso di violazioni. Anche per questa fattispecie è stata introdotta la diminuzione di sanzione per l'ipotesi di minore gravità, di cui potranno fruire in particolare i professionisti.
Illecito trattamento dei dati personali.
La violazione di una nutrita serie di disposizioni del codice della privacy costituisce reato ai sensi dell'articolo 167 del codice medesimo.
Alcune di queste disposizioni attengono a prescrizioni specificate nel codice deontologico forense, soprattutto con riferimento al trattamento dei dati sensibili e in genere alle ipotesi di comunicazione dei dati e alla disciplina della conservazione dei fascicoli.
Il decreto legge 207/2008 ha introdotto una sanzione amministrativa di livello pari a quello previsto per le violazioni delle misure minime di sicurezza.
L'intento del legislatore è chiaramente quello di rendere effettive le norme del codice: l'articolo 167 subordina la punibilità al riscontro di un nocumento a carico dell'interessato e quindi le disposizioni richiamate del 167 non sono assistite in concreto dall'applicazione delle relative sanzioni penali.
La sanzione amministrativa di nuova introduzione è slegata dal riscontro dell'evento del nocumento e del dolo specifico e quindi avrà maggiori possibilità di irrogazione.
Nessun commento:
Posta un commento