DDL semplificazioni: l'Era glaciale della privacy? - Studio Legale Lisi

di avv. Graziano Garrisi – Digital & Law Department

Il nuovo DDL sulle semplificazioni attualmente all’attenzione del Parlamento (“Nuove disposizioni di semplificazione amministrativa a favore dei cittadini e delle imprese”) all’art. 17 dovrebbe introdurre importanti novità sul fronte privacy.
Analizzando con più attenzione si rileva che in sostanza questo intervento legislativo si fonda sul principio cardine che la normativa sul trattamento dei dati personali non verrà applicata a chi effettua un trattamento di dati nell’esercizio dell’attività di impresa, anche di natura individuale.
Sembra proprio, quindi, che non si stia fermando neanche in questo caso il lungo processo di sgretolamento e scarnificazione che il Codice Privacy sta subendo negli ultimi anni e che, di fatto, lo ha svuotato di rilevanti contenuti.
Vediamo nello specifico di cosa si tratta:

Art. 17 Semplificazioni in materia di privacy
1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) all’articolo 5, dopo il comma 3, è aggiunto il seguente: “”3-bis. Il trattamento dei dati personali di chi agisce nell’esercizio dell’attività di impresa, anche individuale, non è soggetto all’applicazione del presente codice. Sono fatte salve le disposizioni di cui alla Parte II, Titolo X del presente codice relativamente al trattamento di dati riguardanti contraenti ed utenti di servizi di comunicazioni elettroniche.”;
b) l’articolo 36 è sostituito dal seguente: “Art. 36 (Adeguamento) – 1. Il disciplinare tecnico di cui all’allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per la pubblica amministrazione e la semplificazione, previo parere del Garante, ai sensi dell’articolo 154, comma 5, e sentite le associazioni rappresentative a livello nazionale delle categorie economiche coinvolte, in relazione all’evoluzione tecnica e all’esperienza maturata nel settore, anche individuando modalità semplificate di adozione delle misure minime in caso di trattamenti effettuati in particolare presso piccole e medie imprese, liberi professionisti e artigiani”.

Al fine di semplificare gli adempimenti per le imprese, infatti, la nuova modifica dovrebbe escludere dall’applicazione (ovvero dagli obblighi/adempimenti e, quindi, anche dalle tutele) del Codice Privacy non solo le società, ma anche le persone fisiche che agiscono nell’esercizio della propria attività imprenditoriale, commerciale, artigianale o professionale.
Viene fatta salva solo la tutela prevista per i trattamenti di dati effettuati nel settore delle telecomunicazioni e delle comunicazioni elettroniche (telefonate indesiderate, fax pubblicitari, spamming, etc.), come disciplinati nella Parte II, Titolo X del Codice Privacy. Contraenti e utenti (persone giuridiche e fisiche), pertanto, saranno ancora soggetti all’applicazione del Codice Privacy e, quindi, ai consueti obblighi e diritti.

A ben vedere, tuttavia, questa modifica non deve tradursi in un generale esonero per le imprese dall’ambito di applicazione delle misure di sicurezza in ambito privacy, in quanto anche nell’esercizio dell’attività di impresa possono essere trattati dati di persone fisiche: da ciò discende da un lato il diritto ineliminabile di queste ultime a essere tutelate ai sensi del Codice Privacy, dall’altro l’impossibilità per l’imprenditore di eliminare o attenuare le difese logiche e fisiche che la normativa impone a tutela degli interessati. Si tratta sostanzialmente di un esonero totale, ma limitato al rapporto c.d. B2B, laddove nessuna garanzia di riservatezza o obblighi formali a cui adempiere (informative e richieste di consenso) viene richiesta ai titolari del trattamento. Nei confronti dell’interessato/persona fisica, infatti, in applicazione delle definizioni degli artt. 4 e art. 5 comma 3 del Codice Privacy, restano in vigore tutti gli obblighi, compreso quelli in tema di responsabilità e sicurezza dei dati di cui agli articoli 15 e 31 dello stesso Codice.

L’Autorità Garante per la protezione dei dati personali ha già espresso forti preoccupazioni in merito, in quanto escludere dall’applicazione del Codice Privacy coloro che agiscono nell’esercizio dell’attività imprenditoriale, anche individuale, non significa semplificare la vita degli imprenditori, bensì privarli, in quanto persone fisiche, di ogni garanzia rispetto al trattamento dei loro dati (a dispetto di ogni valutazione circa la peculiarità e la delicatezza che contraddistinguono tali trattamenti); il Garante non nasconde neppure le proprie perplessità a causa di contrasto del DL Semplificazioni con la normativa europea annunciando che, se il testo venisse confermato, non si esimerebbe dal sollevare la questione di legittimità in sede comunitaria. Si ricorda, infatti, che una tale modifica si porrebbe in palese contrasto con i princìpi europei che vedono ancora al centro della tutela la persona fisica (con esclusione delle imprese e delle P.A.) in qualsiasi sua accezione.
Anche le continue modifiche al Codice Privacy, come giustamente affermato dall’Autorità Garante, operate in maniera non organica (e – si aggiunge – spesso contraddittoria rispetto alla stessa legislazione comunitaria e nazionale), espongono i titolari e, soprattutto, i responsabili del trattamento (braccio operativo che dovrebbe rendere effettive le misure organizzative e di sicurezza all’interno della propria organizzazione di appartenenza) a difficoltà applicative e dubbi interpretativi tali da vanificare le stesse finalità di semplificazione che si intendono perseguire.

A conferma di quanto sopra esposto e dei notevoli effetti negativi che tale riforma potrebbe causare, anche l’ex Presidente dell’Autorità Garante Privacy Stefano Rodotà ha giustamente affermato che “l’iniziativa economica privata non può svolgersi in contrasto con la sicurezza, la libertà e la dignità umana”, ribadendo ulteriormente anche come l’attuale panorama normativo italiano in materia di privacy rischi ora di essere in contrasto con il diritto dell’Unione europea, esponendo il nostro paese alla possibilità di subire una procedura di infrazione.
La speranza è ora riposta nel Parlamento, il quale si auspica possa correggere il tiro e salvare dallo sgretolamento una serie di norme che, in ogni caso, saranno a breve sostituite da un legislatore più attento e competente come quello comunitario: non a caso, lo stesso Rodotà paragona questa nuova modifica proposta da un Governo che dovrebbe essere “tecnico” a un “rifugio in un’epoca non solo pre-direttiva europea, ma pre-tecnologica”. Speriamo proprio di non doverci presto ritrovare in una nuova ERA GLACIALE della Privacy.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

DDL semplificazioni: l’Era glaciale della privacy?

DDL semplificazioni: l’Era glaciale della privacy?

Comprendere l’AI Act: verso un’intelligenza artificiale responsabile

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA