L’art. 18 del disegno di legge Semplificazioni introduce anche un nuovo comma 1- bis all’art. 121 che specifica che le norme del Capo I del Titolo X del Codice della privacy artt. da 121 a 134 si applicano anche al trattamento dei dati delle persone giuridiche, quali contraenti o utenti di fornitura di servizi di comunicazione elettronica .
La norma introdotta su specifica richiesta del Ministro per le Politiche Europee, forse per lenire il contrasto con l'ordinamento comunitario, la Carta di Nizza e il Trattato di Lisbona, ma con la contrarietà del Ministro per lo Sviluppo Economico perseguirebbe l’obiettivo di risolvere i residui dubbi interpretativi nati dalla stratificazione e dalla pessima tecnica redazionale delle precedenti modifiche. Si ricorderà infatti che la limitazione della definizione di dato personale ai soli dati delle persone fisiche identificate o identificabili introdotta dal d.l. Salva Italia del 6 dicembre 2011 aveva comunque determinato dubbi interpretativi e applicativi circa la asserita e residua applicabilità del Codice della privacy ai dati delle persone giuridiche nei soli casi di trattamenti di loro dati connessi alla fornitura di servizi di comunicazione elettronica. Dal momento infatti che la norma di apertura del Capo I del Titolo X Comunicazione Elettroniche dispone che le disposizioni del presente Titolo si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni cfr. art. 121, comma 1, del Codice della privacy , si era conseguentemente asserito che in via interpretativa l’intero Capo I del Titolo X si applicasse ai soli dati personali intesi – con la nuova definizione – come le sole informazioni riferite a persone fisiche, escludendo i dati delle persone giuridiche. L’intervento del Garante Privacy. Lo stesso Garante per la privacy – in un parere reso al Governo – aveva puntualizzato che se è vero che anche persone giuridiche, enti e associazioni dovrebbero poter continuare a fruire ancora delle garanzie previste dal Capo I del Titolo X del Codice essendo – tra l’altro – tale soluzione la sola conforme all’obbligo di interpretazione del diritto interno rispetto al diritto dell’Unione Europea , tuttavia se l’art. 121 del Codice prevede e ciò anche dopo le modifiche del 2011 e 2012 che tutti gli articoli del Capo I del Titolo X del Codice da 121 a 132- bis si applicano esclusivamente ai dati personali cioè alle informazioni relative alle sole persone fisiche connessi alla fornitura di servizi di comunicazione elettronica, non appare irragionevole – come difatti segnala il Garante, sia pure nell’ottica del rischio di incertezza applicativa – l’interpretazione che l’intero Capo I del Titolo X riguarda comunque il trattamento di dati personali” con esclusione, dunque, dei dati relativi alle persone giuridiche, giusta la novella apportata dal d.l. 201/2011. Non solo, ma anche le tutele amministrative innanzi al Garante artt. 141 e ss. continuano ad essere riconosciute solo agli interessati”, con esclusione, dunque, ancora una volta, a seguito della nuova definizione, delle persone giuridiche e degli altri soggetti assimilati . Una tale chiave interpretativa non era venuta meno neanche dopo la sostituzione del termine abbonato con il termine contraente operata dal d.lgs. 69/2012 che ha recepito la direttiva 2009/136/Ce di modifica della precedente Direttiva 2022/58/Ce sulla tutela della privacy nelle comunicazioni elettroniche , dal momento che sul punto dell’applicabilità del Capo I del Titolo X del Codice ai soli dati personali relativi alla persona fisica l’art. 121 non era stato modificato neanche dal decreto 69/2012. Né in occasione della adozione del d.lgs. 69/2012 il Legislatore del 2012 aveva recepito i suggerimenti del Garante volti a delineare con chiarezza il quadro normativo riferibile alla figura dell’abbonato - ora contraente – persona-giuridica, tenuto conto della normativa europea , suggerimenti che l’Autorità indicava o nelle necessarie modifiche relative alle nozioni stesse di interessato” e di dato personale” nelle quali far rientrare – limitatamente al settore delle comunicazioni elettroniche - rispettivamente, le persone giuridiche, gli enti e le associazioni in quanto abbonati ad un servizio di comunicazione elettronica , oppure nella introduzione nel Capo I del Titolo X del Codice di una norma generale che chiarisca il regime normativo degli abbonati-persone giuridiche, specie per quanto riguarda le tutele e le garanzie ad esse spettanti . In assenza di norme certe, era dunque intervenuto il Garante per la privacy con l’adozione - il 20 Settembre 2012 – del Provvedimento in ordine all'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 pubblicato sulla Gazzetta Ufficiale n. 268 del 16 novembre 2012 . In tale provvedimento il Garante – colmando la lacuna legislativa e in parte contraddicendo se stesso rispetto a quanto affermato nel precedente parere al Governo – aveva chiarito È opportuno sottolineare che la norma di apertura del capo in esame, e cioè l'art. 121, che individua l'ambito di applicazione delle regole relative ai servizi di comunicazione elettronica fa esplicito riferimento al trattamento di dati personali, quelli cioè che possono ora riferirsi soltanto alle persone fisiche, secondo la novella definizione di dato personale. Questa considerazione, che ad un primo esame parrebbe dunque orientare per l'esclusione delle persone giuridiche anche dall'ambito applicativo dell'intero Capo I del Titolo X, deve essere tuttavia integrata dall'esame di ulteriori elementi. Ci si riferisce al fatto che, nonostante la definizione di interessato non ricomprenda più le persone giuridiche e l'art. 121 menzioni esplicitamente i dati personali , la quasi totalità delle altre disposizioni contenute nel richiamato Capo I del Titolo X del Codice sono rivolte a destinatari individuati non in funzione della loro qualifica soggettiva se, cioè, persone fisiche ovvero giuridiche , bensì di una qualifica ulteriore che ne prescinde segnatamente, quella di contraente , termine che, proprio a seguito dell'entrata in vigore del d.lgs. n. 69/2012, a far data dal 1° giugno 2012 ha sostituito, nelle disposizioni del Codice, quello di abbonato , utilizzato in precedenza. Abbonato, contraente o utente? Il concetto di abbonato , e dunque ora di contraente , è certamente applicabile, anche sulla base di principi comunitari, tanto alle persone fisiche quanto a quelle giuridiche, di conseguenza continua a trovare applicazione anche alle persone giuridiche, enti ed associazioni il Capo I del Titolo X del Codice, rectius le disposizioni ivi contenute che riguardano i contraenti , a prescindere dal loro essere persone fisiche ovvero giuridiche, enti ed associazioni . Con il nuovo comma 1- bis introdotto all’art. 121 del Codice il Legislatore del 2013 sembra recepire in parte una delle indicazioni del Garante nel sopra citato parere al Governo del 2012 introduzione nel Capo I del Titolo X del Codice di una norma generale che chiarisca il regime normativo degli abbonati-persone giuridiche , disponendo che le norme del Titolo X del Codice della privacy artt. da 121 a 134 si applicano anche al trattamento dei dati delle persone giuridiche, quali contraenti o utenti di fornitura di servizi di comunicazione elettronica . Anche questa formulazione sembra comunque non essere scevra da lacune redazionali. In primo luogo, gli enti e le associazioni sembrerebbero esclusi dalla portata della norma, anche se tali categorie di destinatari possono essere recuperate dalla successiva menzione - nel comma - della persona giuridica come contraente che ai sensi dell’art. 4, comma 2, lett. f , Codice privacy è definito come qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate . In secondo luogo il Capo I del Titolo X si applica anche alle persone giuridiche se queste sono semplici utenti di servizi di comunicazione elettronica la norma appare essere addirittura in contrasto e andare ben oltre alla definizione di utente come fornita dall’art. 4, comma 2, lett. g , Codice privacy, e cioè la sola persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata . Quindi, o il Legislatore utilizza in senso non tecnico il termine utente , oppure in sede parlamentare occorrerà intervenire urgentemente per chiarire la criticità segnalata per esempio estendendo la definizione di utente alle persone giuridiche, agli enti e alle associazioni . In ogni caso, il nuovo comma 1- bis introduce una disposizione di rango legislativo che tenta di chiarire in via generale coordinandosi a quanto già specificato – sia pure in via solo amministrativa – dal Garante con il provvedimento del 20 Settembre 2012 sopra segnalato la residua applicabilità del Codice della privacy ai dati delle persone giuridiche esclusivamente nei casi in cui queste sono parte di un contratto con un fornitore di servizi di comunicazione elettronica oppure utilizzano tali servizi per altri motivi commerciali anche se non sono legate al fornitore da alcun tipo di contratto o abbonamento. Adeguamento periodico del Disciplinare Tecnico sulle misure minime di sicurezza. Un ulteriore intervento di semplificazione ha riguardato l’art. 36, Codice privacy, che nella attuale formulazione dispone che Il disciplinare tecnico di cui all'allegato B , relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore . Si tratta di una norma che impone la revisione periodica del Disciplinare Tecnico – Allegato B al Codice della privacy che contiene le regole sulle modalità operative e applicative di adozione e implementazione delle misure minime di sicurezza nel trattamento dei dati personali come prescritte dagli artt. 33-35 del Codice. Una tale revisione – stante la portata tecnica e tecnologica delle norme sulle misure minime – è ovviamente necessaria per evitare l’obsolescenza delle misure normative tecniche a seguito del rapido sviluppo della tecnologia tanto è vero che il termine biennale prima previsto per ogni adeguamento periodico è sparito da tempo nella formulazione dell’art. 36 . L’art. 18 del disegno di legge Semplificazioni intenderebbe sostituire come segue l’art. 36 del Codice della privacy Il disciplinare tecnico di cui all'allegato B , relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per la pubblica amministrazione e la semplificazione, previo parere del garante, ai sensi dell’art. 154, comma 5, e sentite le associazioni più rappresentative a livello nazionale delle categorie economiche coinvolte, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore, anche individuando modalità semplificate di adozione delle misure minime in caso di trattamenti effettuati in particolare presso piccole e medie imprese, liberi professionisti e artigiani . Anche se non è certo su tali norme del Codice della privacy che dovrebbe intervenire il Legislatore per introdurre una reale semplificazione, non può non darsi atto che tale proposta di modifica ha un duplice merito. In primo luogo – difatti – introduce come prescrizione normativa permanente quella di individuare ad ogni aggiornamento periodico sia pure delle sole misure minime di sicurezza modalità semplificate per gli obblighi di sicurezza applicabili a piccole e medie imprese, liberi professionisti e artigiani. In secondo luogo, è apprezzabile la scelta di politica legislativa – auspicabile anche come tendenza per futuri interventi di modifica - per cui per la prima volta viene introdotto nel Codice della privacy un meccanismo di coinvolgimento delle associazioni più rappresentative a livello nazionale delle categorie economiche coinvolte in occasione di ogni adeguamento periodico delle misure minime di sicurezza. Resta comunque il fatto che l’art. 36, Codice privacy fino ad oggi è rimasto inattuato da quando è entrato in vigore il Codice della privacy il 1° Gennaio 2004 non vi è mai stata da parte del Legislatore alcuna revisione periodica ed organica del Disciplinare Tecnico – Allegato B al Codice, ma solo interventi di modifica del Disciplinare esistente es la eliminazione del Documento Programmatico sulla Sicurezza oppure provvedimenti di semplificazione del Garante per la privacy. Anzi, vi è da dire che i provvedimenti del Garante in materia già hanno introdotto le semplificazioni in materia di misure minime di sicurezza, e non solo per piccole e medie imprese, liberi professionisti e artigiani, ma anche – ad esempio – per tutti i soggetti pubblici o privati che utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale cfr. il Provvedimento del Garante Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B al Codice in materia di protezione dei dati personali - 27 novembre 2008 pubblicato in G.U. n. 287 del 9 dicembre 2008 . Dunque, in conclusione, non si avverte in tale proposta di modifica dell’articolo 36 del Codice alcuna portata realmente innovativa né di reale e concreta semplificazione. Concludendo. La valutazione complessiva del nuovo intervento del Legislatore e delle proposte di modifica al Codice della privacy non può che essere negativa se rapportata ai reali effetti di semplificazione di cui il mercato e la libera circolazione delle informazioni necessiterebbero. Ancora una volta – come già nel 2011 e nel 2012 – il Legislatore tenta di introdurre semplificazioni episodiche, prive di un reale disegno e dunque di reali effetti positivi per i destinatari di ampio respiro. Sarebbe invece necessaria una organica, complessiva ed omogenea riforma della normativa sulla tutela dei dati personali riforma che sarà comunque introdotta dal nuovo Regolamento UE sulla Protezione dei Dati Personali, che sarà approvato all’inizio del 2014 per essere applicato direttamente negli Stati membri a partire dal 2016 , aggiornando norme e stratificazioni regolatorie si pensi ai numerosissimi provvedimenti generali normativi del Garante che scontano oramai quasi un decennio applicativo. Inoltre, se si esamina la bozza del disegno di legge come entrata al Consiglio dei Ministri, si vedrà che dalle norme licenziate sono state espunte quelle suggerite dal Garante per la privacy che forse rappresentavano le uniche ed effettive semplificazioni, e cioè le norme di modifica dell’apparato sanzionatorio del Codice della privacy con l’introduzione di meccanismi di definizione agevolata del pagamento delle sanzioni amministrative o le importanti modifiche alle sanzioni penali per violazione della privacy. Anche se va sottolineato che la revisione dell’apparato sanzionatorio del Codice della privacy – come segnalato dallo stesso Garante nella relazione annuale dell’11 Giugno 2013 - dovrebbe essere parte di un disegno complessivo di riforma, visto che le attuali sanzioni sono a detta dell’Autorità prevalentemente focalizzate su sistemi tradizionali di trattamento dei dati ed è opportuno invece un confronto con il Parlamento e il Governo per introdurre aggiornamenti che sappiano fronteggiare le nuove sfide di condivisione e violazione dei dati . Il Legislatore continua invece a percorrere la via di norme che appaiono – come giustamente ha sottolineato il Garante – solo depotenziare il diritto alla tutela della privacy senza effettivo sgravio di obblighi e adempimenti, e nel nome della semplificazione si rischia di sopprimere la tutela di un diritto fondamentale scambiando i diritti per burocrazia.