MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

«Privacy, più coraggio e meno burocrazia»
La proposta - Pizzetti chiede al Governo di andare oltre la prima semplificazione

ROMA – La manovra di semplificazione che si sta cercando di portare a termine con l’annunciato decreto legge, dove troveranno posto alcune disposizioni già contenute nel disegno di legge di snellimento della burocrazia, è solo una prima tappa. Almeno in materia di privacy e in particolare di sicurezza dei dati personali, infatti, si può andare oltre. Secondo Francesco Pizzetti, presidente del Garante della riservatezza, il taglio agli adempimenti proposto va bene e la stessa Authority è più volte intervenuta su questo versante – come quando nel 2007 ha allentato gli obblighi in materia di protezione delle informazioni gestite dalle piccole e medie imprese – ma si può ora puntare a un discorso più generale, che vada oltre le dimensioni delle aziende coinvolte nella semplificazione, per concentrarsi sul tipo di attività imprenditoriale e soprattutto sulla tipologia di dati trattati. Un valutazione più articolata, al cui interno può starci anche una riflessione sullo stesso documento programmatico sulla sicurezza (il Dps), che ha tolto e continua a togliere il sonno a molti imprenditori. Secondo il Garante, il Dps rischia, ad esempio, di essere inutile in quei contesti aziendali che ormai si muovono nell’ambito del cloud computing, dove la conservazione e la gestione di dati personali sono affidati in outosourcing. «E dobbiamo metterci nella prospettiva – afferma Pizzetti – che il ricorso alla tecnologia della “nuvola” sarà sempre più diffuso. Ecco perché non possiamo continuare ad affidare a un regolamento ministeriale l’adeguamento delle misure di sicurezza che poi le imprese sono costrette ad applicare. Il regolamento ha tempi lunghi, che mal si adattano alle continue novità tecnologiche». Per questo Pizzetti propone che l’aggiornamento dei sistemi di protezione dei dati e la modulazione degli adempimenti sia affidato al Garante, senza attendere i tempi del regolamento. Basti pensare che l’attuale allegato B al codice della privacy – quello che contiene le modalità per redigere il documento programmatico sulla sicurezza – non parla ancora il linguaggio dell’amministrazione digitale (Cad). Per questo l’Autorità della riservatezza ha all’ordine del giorno una delibera con cui chiedere al ministero della Giustizia, al quale è affidato il decreto di adeguamento delle misure di sicurezza, di intervenire per aggiornare il Dps alle novità del Cad. «Ci muoviamo – afferma Pizzetti – in un quadro normativo pesante e burocratico. E invece basterebbe modificare gli articoli 34 e 34-bis del codice così da affidare al Garante, che potrebbe muoversi d’intesa con il ministero della Giustizia e con quello della Semplificazione, il compito di aggiornare le misure di sicurezza, senza dover attendere il regolamento. Già con lo snellimento del 2007 ci è stato chiesto di adeguare i sistemi di protezione che le piccole e medie imprese devono adottare, ma con il vincolo di muoverci tenendo presente la dimensione dell’azienda. Per poter fare un efficace discorso di snellimento delle procedure è invece fondamentale avere di mira la tipologia dei dati utilizzati dall’azienda e il tipo di attività di quest’ultima. A prescindere se sia grande o piccola. Ovviamente, l’operazione di semplificazione non significa abbassare il livello di protezione delle informazioni personali custodite dalle imprese». In attesa che la proposta di Pizzetti possa trovare una sponda nel Governo, il Garante è comunque ben intenzionato nei confronti delle modifiche al codice contenute nel cosiddetto “emendamento Pastore” e che si vorrebbe ora trasferire dal Ddl di semplificazione al-l’annunciato Dl. Anche se alcuni interventi sono, secondo l’Autorità, da ricalibrare. Il Garante è, ad esempio, contrario all’esclusione dalla tutela del codice della privacy dei trattamenti di dati relativi a persone giuridiche, imprese, enti o associazioni effettuato nel-l’ambito dei rapporti intercorrenti esclusivamente tra quei soggetti per finalità amministrativo – contabili. Secondo l’Authority, in questo modo si verificherebbe un arretramento nella tutela delle persone giuridiche e delle informazioni che le riguardano. Via libera, invece, allo snellimento degli obblighi sui curricula. L’emendamento Pastore propone di eliminare l’informativa che l’azienda deve ora fornire a chi invia il curriculum per un posto di lavoro. Obbligo ridondante, visto che il candidato lo fa spontaneamente e si presuppone conosca le finalità di utilizzo dei dati personali che mette a disposizione dell’azienda. Ora si propone di ovviare a tale adempimento con un’informativa breve, anche orale, che l’impresa deve dare in occasione del primo contatto con chi ha spedito il curriculum.