L'articolo 10 del decreto legge n. 69 del 21 giugno scorso prevede, come già avviene adesso, che quanti offrono accessi a Internet tramite wi-fi (es. bar, ristoranti, alberghi) non debbano più identificare i clienti che utilizzano il terminale. Ma stabilisce al contempo l'obbligo di tracciare alcune informazioni relative all'accesso alla rete (come il cosiddetto "indirizzo fisico" del terminale, MAC Address) che, a differenza di quanto sostenuto nella norma, sono - ai sensi della Direttiva europea sulla riservatezza e del Codice privacy - dati personali, in quanto molto spesso riconducibili all'utente che si è collegato a Internet. Peraltro l'adempimento richiesto, sottolinea il Garante, non solo grava su una platea considerevole di imprese, ma reintroduce obblighi di monitoraggio e registrazione dei dati che, stabiliti a suo tempo dal decreto Pisanu per categorie di gestori diverse da quanti offrono accesso ad Internet con modalità wireless, sono stati successivamente soppressi anche in ragione delle difficoltà e degli oneri legati alla loro applicazione. Il Garante auspica lo stralcio della norma e l'approfondimento di questi aspetti nell'ambito di un provvedimento che non abbia carattere d'urgenza.
Art. 10 d.l. 69/2013 - Liberalizzazione dell’allacciamento dei terminali di comunicazione alle interfacce della rete pubblica1. L’offerta di accesso ad internet al pubblico e’ libera e non richiede la identificazione personale degli utilizzatori. Resta fermo l’obbligo del gestore di garantire la tracciabilita’ del collegamento (MAC address). 2. La registrazione della traccia delle sessioni, ove non associata all’identita’ dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici. Se l’offerta di accesso ad internet non costituisce l’attivita’ commerciale prevalente del gestore, non trovano applicazione l’articolo 25 del decreto legislativo 1° agosto 2003, n. 259 e l’articolo 7 del decreto legge 27 luglio 2005 , n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155. 3. Al decreto legislativo 26 ottobre 2010, n. 198, sono apportate le seguenti modificazioni: a) l’articolo 2 e’ soppresso; b) all’articolo 3 il comma 2 e’ sostituito dal seguente: “2. Il decreto del Ministro delle poste e telecomunicazioni 23 maggio 1992, n. 314, e’ abrogato”.L'art. 17 dello stesso decreto, poi, modificando precedenti disposizioni in materia di Fascicolo sanitario elettronico (Fse), prevede che, a fini di ricerca epidemiologica e di programmazione e controllo della spesa sanitaria, le Regioni e le Province autonome, il Ministero del lavoro e il Ministero della salute possano accedere alle informazioni sanitarie presenti nel Fse di tutti gli assistiti, compresi i documenti clinici prima espressamente esclusi. In questo modo tali amministrazioni si troverebbero ad utilizzare una enorme mole di dati sensibili (ricoveri, accessi ambulatoriali, referti, risultati di analisi cliniche, farmaci prescritti) che, per quanto non immediatamente riconducibili agli interessati, non sono indispensabili per il raggiungimento di finalità diverse da quella della cura.
Art. 17 d.l. 69/2013 - Misure per favorire la realizzazione del Fascicolo sanitario elettronico1. All ’articolo 12 del decreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, sono apportate le seguenti modificazioni: a) al comma 2, dopo le parole “Il FSE e’ istituito dalle regioni e province autonome,” sono inserite le seguenti “entro il 31 dicembre 2014”; b) al comma 6, le parole “senza l’utilizzo dei dati identificativi degli assistiti e dei documenti clinici presenti nel FSE” sono sostituite dalle seguenti “senza l’utilizzo dei dati identificativi degli assistiti presenti nel FSE”; c) al comma 15, dopo le parole “dei servizi da queste erogate” sono inserite le seguenti “, ovvero avvalersi dell’infrastruttura centrale per il FSE, fruibile in modalita’ cloud computing e conforme ai criteri stabiliti dal decreto di cui al comma 7, resa disponibile dall’Agenzia per l’Italia digitale, avvalendosi della societa’ di cui al comma 15 dell’articolo 83 del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133”; d) dopo il comma 15 sono aggiunti i seguenti commi: “15-bis. Entro il 31 dicembre 2013, le regioni e le province autonome presentano all’Agenzia per l’Italia digitale il piano di progetto per la realizzazione del FSE. 15-ter. L’Agenzia per l’Italia digitale sulla base delle esigenze avanzate dalle regioni nell’ambito dei rispettivi piani cura la progettazione e la realizzazione dell’infrastruttura centrale per il FSE di cui al comma 15. 15-quater. L’Agenzia per l’Italia digitale e il Ministero della salute operano congiuntamente, per le parti di rispettiva competenza, al fine di: a) valutare e approvare, entro 60 giorni, i piani di progetto presentati dalle regioni e province autonome per la realizzazione del FSE, verificandone la conformita’ ai criteri stabiliti dal decreto di cui al comma 7; b) monitorare la realizzazione del FSE, da parte delle regioni e province autonome, conformemente ai piani di progetto approvati. 15-quinquies. Per la realizzazione dell’infrastruttura centrale di FSE di cui al comma 15, e’ autorizzata una spesa non superiore ai 10 milioni di euro per il 2014 e ai 5 milioni di euro a decorrere dal 2015, da definirsi su base annua con decreto del Ministero dell’economia e delle finanze su proposta dell’Agenzia per l’Italia digitale.”
Infine il Garante ha espresso la sua contrarietà alla possibile riproposizione di disposizioni che risulterebbero inserite nel disegno di legge sulle semplificazioni di recente approvato dal Consiglio dei ministri, volte ad escludere gli imprenditori dall'applicazione del codice privacy. Tali norme privano di fatto le persone fisiche - sia pure quando agiscano nell'esercizio della propria attività imprenditoriale - del diritto alla protezione dei dati, con conseguenze paradossali e non certo semplificatorie. E anzi perfino pregiudizievoli per la stessa attività d'impresa, stante la difficoltà di distinguere, nella vita concreta, il dato della persona fisica da quello riferito alla sua qualità di imprenditore. In questo modo, gli imprenditori si troverebbero ad avere meno diritti (ad esempio non potrebbero più rivolgersi al Garante per tutelarsi in caso di informazioni non corrette presenti nelle banche dati), ma gli stessi oneri ai quali erano prima soggetti. La disposizione, peraltro, ricorda il Garante, si porrebbe in netto contrasto con la Direttiva europea con la conseguenza di costringere l'Autorità a sollevare la questione in sede comunitaria.
Come scrive Guido Scorza sulle pagine de Il Fatto Quotidiano, "il Governo legifera in materia di privacy senza sentire il parere del Garante per la privacy – che, sia detto per inciso, è tra l’altro, pagato proprio per orientare le scelte di Governo e Parlamento – e costringe quest’ultimo a bacchettarlo ed a minacciare di denunciarlo davanti alle Istituzioni dell’Unione Europea. Viene da ridere – ma ci sarebbe da piangere – ad immaginare cosa penserebbero a Bruxelles nel vedersi arrivare una segnalazione con la quale il Garante per la privacy italiano denuncia l’illegittimità di una norma varata dal Governo italiano".
.jpg)
