Stato dell'arte dell'applicazione della normativa di settore
Sanzioni per chi non rispetta i termini. La proroga della proroga per l'adozione delle nuove misure di sicurezza previste dal codice privacy è stata definitivamente approvata il 1° marzo 2005. A prescindere dal giudizio sull'opportunità di questo ulteriore differimento dei termini per l'applicazione della nuova normativa introdotta dal codice della privacy (dlgs 196/2003), come era già avvenuto con le precedenti proroghe, si sono accavallati i pareri e le interpretazioni sul senso di cosa è stato prorogato'. (...) E' importante fare riferimento al parere del 22 marzo 2004' dal titolo 'Prima applicazione del codice in materia di protezione dei dati personali in materia di misure minime di sicurezza (artt. 31-36 e Allegato B) al dl 196/2003)' che è stato dato a Confindustria, a firma del segretario generale dott. Giovanni Buttarelli, facilmente consultabile su internet all'indirizzo www.garanteprivacy.it nel quale sono fornite importanti interpretazioni della normativa. In particolare in questo documento si ricorda che: Le misure minime che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori', e quindi per tutto quanto era disposto dal dpr 318/1999 in attuazione della legge 675/96, non ci sono proroghe applicabili perchè sono rimaste pienamente valide con l'entrata in vigore del nuovo codice già a partire dal 1° gennaio 2004. Anche le più ampie misure di sicurezza' previste dall'art. 31 del codice, che prevedono l'adozione di adeguati sistemi di protezione contro i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, erano obbligatorie con la legge 675/96, e sono rimaste pienamente in vigore dal 1° gennaio 2004. (...) Rimane comunque importante sottolineare che tolte le 'nuove misure minime di sicurezza' la maggior parte dell'impianto normativo del codice della privacy è già in vigore dal 1° gennaio 2004. In base al codice civile è infatti previsto un preciso obbligo di risarcimento a carico di chi cagioni ad altri un danno per effetto del trattamento dei dati personali, ivi compresa la mancata adozione di 'idonee' misure di sicurezza (art. 31 del codice). A questo riguardo va aggiunto che il codice civile prevede in questo caso l'inversione dell'onere della prova. In pratica, a prescindere dalla volontà a procurare il danno, deve essere colui che viene indicato come causa del danno (il titolare del trattamento) a dover dimostrare di avere adottato 'in positivo' tutte le 'misure idonee' a evitare che il danno si potesse verificare. E come se non bastasse in questo caso l'eventuale risarcimento comprende non solo il danno patrimoniale, ma anche quello non patrimoniale o danno morale. Per questo non conviene a nessuno aspettare la scadenza del 31 dicembre 2005 per mettersi in regola.
Italia Oggi - L. Innocenzi (Docente di 'Norme per la Tutela dei Prodotti Software e della Privacy') - art. pag. 39