Ennesima modifica della legge sui dati personali. Cosa cambia per l’ICT

di Andrea Monti – PC Professionale n. 132

Sarà meno facile negare informazioni con la “scusa” della riservatezza e sarà più regolamentato il meccanismo dello spamming e delle iscrizioni “d’ufficio” alle mailing list.

Il decreto legislativo 29 dicembre 2001 n.467 (www.andreamonti.net/it/lex/dlgs01467.htm) modifica per l’ennesima volta la famigerata legge 675/96, altresì nota come “legge sui dati personali” che in questi anni ha rappresentato un vero e proprio incubo per aziende, esterrefatte dall’inutile carico burocratico imposto dalla normativa, e per gli utenti, che in tante occasioni hanno dovuto tristemente rendersi conto che le garanzie offerte dalla legge erano tali soltanto sulla carta. Se a questo si aggiunge che nel corso di questi anni la legge è stata sostanzialmente disapplicata (non risulta che qualche pubblico ministero abbia svolto indagini, per esempio, in materia di omissione di misure di sicurezza, specie nei casi di accessi abusivi, defacing di siti web e quant’altro) il quadro che ne esce non è certo dei più gradevoli.

In questo contesto si inserisce il decreto legislativo 467/01 che, sostanzialmente, è una confessione di fallimento da parte del legislatore. Il quale ha dovuto prendere atto di avere “dimenticato” alcune situazioni, specie quelle relative alla rete, e di avere “iper regolamentato” alcuni adempimenti. Vediamo nel dettaglio le modifiche più rilevanti.

> Contrasto ai “paradisi dei dati personali”. La legge si applica anche ai non appartenenti alla Ue che però trattano anche parzialmente e con qualsiasi strumento, dati personali in Italia. A questo scopo dovrà essere nominato un rappresentante locale che, in sintesi, è il “capro espiatorio” in caso di violazioni.
> Esclusione delle ipotesi di “mero passaggio” Disposizione fatta apposta – sembra – per la rete. La legge non si applica se gli strumenti utilizzati servono soltanto a “muovere” i dati.
> Alleggerimento degli obblighi di notifica. Ora la notifica al Garante (l’atto con il quale si comunicano le modalità di trattamento) è obbligatoria solo se l’uso dei dati personali può recare pregiudizio ai diritti e alle libertà dell’individuo. Una formulazione abbastanza ambigua che lascia molto, troppo spazio all’interpretazione. All’entrata in vigore di un nuovo regolamento, poi, verranno abrogate le modifiche sulle semplificazioni e le esenzioni, già introdotte con una precedente riforma
> Nessun consenso per le “misure precontrattuali” attivate dall’interessato. In pratica, se è l’interessato a richiedere informazioni, preventivi e quant’altro, i suoi dati possono essere trattati senza che egli presti preventivamente il proprio consenso. Il che facilita di molto le attività di chi usa la rete come strumento di contatto. Nel contempo, si rende sempre più difficile la posizione degli spammer e di chi opera con il meccanismo “opt-out” (ti iscrivo d’ufficio, se vuoi cancellati)
> Meno facile negare informazioni con la “scusa” della riservatezza. Il Garante individuerà dei casi nei quali determinate informazioni dovranno essere comunicate (immagino, per esempio, nel caso di richieste necessarie per una causa civile o per recuperare dei crediti). Resta da capire in che modo questa disposizione impatterà sui diritti degli utenti della rete e sui provider
> Regolamentazione dei “dati particolari”. Finalmente (?) la legge ha preso atto che ci sono categorie di dati (es. numeri di carte di credito) che pur non essendo “sensibili” (non riguardando opinioni politiche, stato di salute eccetera) sono sicuramente altrettanto delicati. Prima della riforma, questi dati venivano considerati al pari di qualsiasi altro dato personale, il che, evidentemente, era assurdo. Ora si tratta di vedere come verranno gestiti – e soprattutto identificati – questi “altri dati particolari”. Queste, in sintesi, le modifiche apportate dalla riforma. Ci sono sicuramente alcuni aspetti condivisibili – alleggerimento degli oneri per le transazioni on-line, contrasto allo spam eccetera – che avrebbero richiesto una presa di posizione più decisa e tempestiva.

Tutte considerazioni che vennero formulate già nel lontano 1996 e che per anni il legislatore ha finto di ignorare. Ma, come si dice, meglio tardi che mai. Ma ci sono ancora due partite aperte: la definizione del regolamento attuativo della legge (per la determinazione delle modalità operative di applicazione della legge) e la predisposizione dei codici di condotta degli internet provider. Due partite dal cui risultato potrebbero dipendere le sorti dell’Internet italiana.

Possibly Related Posts: