Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Protezione dei dati personali

Misure minime: la data certa, la proroga e la resa del Garante

di Paolo Ricchiuto* - 12.01.06

 
Nelle ultime settimane del dicembre appena trascorso, a mano a mano che si avvicinava la scadenza fissata per l'adozione delle misure minime di sicurezza e nella preoccupante assenza dei soliti rumors di una prossima proroga, in moltissimi si sono sperticati per riempire in modo più o meno consapevole gli schemini resi noti dal Garante per la redazione del DPS.

Ancora una volta, dunque, si è assistito a quella sorta di corto circuito, secondo il quale si pensava (o si fingeva di pensare) che la compilazione del DPS - perché spesso di mera compilazione si è trattato -  potesse avere un effetto salvifico su tutti coloro che, negli ultimi dieci anni, avevano sentito in giro dell'esistenza di strani adempimenti legati alla data protection.
Come inevitabile corollario, è dunque ricominciata la ormai nota ridda di voci sulle modalità operative di perfezionamento dell'adempimento: spediamo il DPS al Garante; anzi no, depositiamolo presso un notaio. Meglio: diamogli data certa facendogli una foto con un quotidiano accanto...

Per evitare questo disarmonico ed a tratti spassoso concerto, sarebbe stato sufficiente approfondire l'analisi delle norme e dei provvedimenti dell'Autorità. Ne sarebbe agevolmente emerso come:

a) il DPS non va comunicato al Garante, ma va conservato dal titolare presso di sé;
b) non esiste alcuna disposizione che preveda la data certa per il DPS: di data certa parla solo e soltanto l'art. 180 comma II del codice dei dati personali, relativamente al documento che si renda necessario per attestare la impossibilità tecnica di dare seguito all'adozione immediata (!!) delle misure minime. Dando una interpretazione doverosamente letterale delle norme, quindi, non credo vi siano dubbi sul fatto che, se il legislatore ha esplicitato, nel comma II, il riferimento alla data certa senza fare altrettanto nel comma I, ciò stesso attesti plasticamente come, dal punto di vista formale, non esista alcun obbligo a consacrare il DPS in un atto di data certa.

La ratio di questa asimmetria non è molto chiara: perché mai un titolare sarebbe vincolato a dare una connotazione temporale certa ad un adempimento accessorio (il documento di cui al comma II), usufruendo invece di una piena libertà di forme per l'adempimento principe (il DPS) ? E che spreco sarebbe per i titolari più diligenti che abbiano speso tempo ed energia per redigere un gran bel DPS, dover combattere con gli organi ispettivi sull'accertamento della effettiva data di redazione del documento, e sul consequenziale rispetto o meno delle scadenze fissate dalla legge!

Ecco allora che, come spesso accade, è la opportunità pratica che deve superare le discrasie normative: ben hanno fatto quindi i titolari più scrupolosi ad andare al di là del disposto legislativo, utilizzando gli strumenti utili e sufficienti per dare data certa anche al DPS.
Torniamo dunque al punto di partenza: come si fa a dare data certa ad un documento?

Senza impazzire in vacue disquisizioni, sarebbe stato (e sarà) sufficiente seguire le indicazioni date al riguardo dal Garante, in un parere che risale al 05.12.2000, e che semplicemente richiama alcuni principi-cardine della normativa vigente in tema di prova documentale:

...senza pretesa di indicare in modo esauriente tutti i possibili strumenti idonei ad assegnare al documento una data certa, il Garante richiama l'attenzione dei titolari del trattamento sulle seguenti possibilità che appaiono utilmente utilizzabili:
a) ricorso alla c.d. "autoprestazione" presso uffici postali prevista dall'art. 8 del d.lg. 22 luglio 1999, n. 261, con apposizione del timbro direttamente sul documento avente corpo unico, anziché sull'involucro che lo contiene;
b) in particolare per le amministrazioni pubbliche, adozione di un atto deliberativo di cui sia certa la data in base alla disciplina della formazione, numerazione e pubblicazione dell'atto;
c) apposizione della c.d. marca temporale sui documenti informatici (art. 15, comma 2, legge 15 marzo 1997, n. 59; d.P.R. 10 novembre 1997, n. 513; artt. 52 ss. d.P.C.M. 8 febbraio 1999);
d)d) apposizione di autentica, deposito del documento o vidimazione di un verbale, in conformità alla legge notarile; formazione di un atto pubblico;
e)e) registrazione o produzione del documento a norma di legge presso un ufficio pubblico
.

Tradotto: considerata la .... difficoltà di compendiare un DPS magari di qualche decina di pagine in un documento avente corpo unico da consegnare allo sportello delle Poste, ed esclusa la necessità di pagare la parcella di un notaio, basta usare la firma digitale con la marca temporale! Punto.

***

Come ormai tutti sanno, nel bel mezzo degli ultimi ritocchi al documento e delle ultime riflessioni su come gestirlo, il nostro legislatore ha ritenuto di dare seguito all'ulteriore proroga dei termini (DL 30.12.05 n. 275), stavolta contenendo la propria disaramante sindrome da rinvio, e spostando dunque la scadenza soltanto di tre mesi, in luogo dei sei cui ci aveva abituato.
Nuova scadenza per la redazione del DPS, dunque, è il 31.03.06 (ed al 30.06.06 è spostato il termine di cui all'art. 180 comma II).

Ora è inutile dilungarsi sulla reale portata della proroga: valgono anche oggi, infatti, le considerazioni già operate negli articoli pubblicati su queste pagine (vedi, fra gli altri, Misure di sicurezza: la proroga della proroga della proroga...).
Quello che ha colpito (qualora risondesse al vero quanto reso noto negli ultimi giorni è invece la reazione del Garante alla notizia della nuova proroga (come si legge nel sito di Ancitel).

Se netta e piccata era stata la presa di posizione contenuta nella relazione per l'anno 2004, quando la scelta delle precedente proroga venne definita un atto "in controtendenza rispetto al progetto di stabilizzare le regole per la protezione dei dati personali", ben più morbido è sembrato il seguente, odierno commento: "si è considerato opportuno razionalizzare le scadenze in considerazione del fatto che si sarebbe dovuto approvare entro la fine dell'anno un documento per poi rifarlo a breve, in considerazione del fatto che il 31 marzo di ogni anno lo stesso andrà aggiornato e approvato nuovamente".

Nel merito la tesi è certamente singolare: fatto il DPS entro il 31.12.05, se nulla, come è molto probabile, fosse cambiato nelle settimane successive, non credo vi fosse alcun motivo per "rifarlo" entro il 31.03.05, ben potendosi il titolare limitare, in sede di rinnovo, a dare atto che nulla era cambiato rispetto a tre mesi prima.
Ma al di là di ciò, quello che colpisce è l'apparente lassità che sembra caratterizzare l'atteggiamento dell'Autorità, decisamente... in controtendenza rispetto al rigore che aveva caratterizzato gli interventi degli anni precedenti.

La domanda è inevitabile: il Garante si è arreso?
Non sta a me dare la risposta.
Quello che è certo è che negli ultimi mesi l'attività dell'Autorità non sembra essersi distinta per la coerenza rispetto agli anni precedenti. Un esempio per tutti: come mai per il caso di Lapo Elkann (o per quello di Franco Scoglio) il Garante si è mosso di suo impulso in 24 ore diffidando gli organi di informazione dal dare seguito ad abusi (il che è sacrosanto), mentre per altre miriade di quotidiane smaccate violazioni di fondamentali diritti di comuni cittadini (e non) si è scelto di rimanere alla finestra, senza muovere un dito a tutela degli interessati?
 

* Avvocato in Roma

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2006  Informazioni sul copyright