Riferimento al Documento Programmatico sulla Sicurezza, dove?

tratto da un articolo di Andrea Lisi www.scint.it

La domanda è “vi è l’obbligo di citare il DPS (circa la sua redazione o aggiornamento) nella “nota integrativa al bilancio di esercizio” (ex 2427 c.c.) o l’obbligo di citazione del DPS è previsto solo nella “relazione sulla gestione” (ex art. 2428 c.c.), documento necessario per le sole società di capitali che devono redigere il bilancio in forma ordinaria ed escludendo così dalla previsione del punto 26 dell’allegato B i bilanci che vengono redatti in forma abbreviata (e non contenenti, quindi, la relazione sulla gestione). L’allegato B al Codice della Privacy infatti, al punto 26, semplicemente afferma che “il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza”, senza però specificare cosa debba intendersi per “relazione accompagnatoria” (tenuto in considerazione che il codice civile italiano, pur con la intervenuta riforma di diritto societario, considera espressamente solo le figure della “nota integrativa” al bilancio d’esercizio - art. 2427 c.c. - o della “relazione sulla gestione” – 2428 c.c.). E, inoltre, ci chiediamo ancora: l’obbligatoria annotazione del DPS nella “relazione accompagnatoria” costituisce una misura minima nuova oppure no?

Dubbi e possibili soluzioni: il Garante per la Protezione dei dati personali, nel suo parere del 22 Marzo 2004 reso su sollecitazione di Confindustria (ed acquisibile sul sito del Garante alla pagina http://www.garanteprivacy.it/), in proposito si è limitato a dire che l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circal’avvenuta redazione o aggiornamento del DPS, inteso come misura minima, serve ad informare gli organi di vertice del titolare del trattamento, per responsabilizzarlo in materia di sicurezza. Inoltre, chi ha già predisposto in passato il DPS dovrà eventualmente aggiornarlo e riferire secondo quanto richiesto dall’art. 26 dell’Allegato B. I soggetti pubblici e privati tenuti, invece, per la prima volta a redigere il DPS non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. In ogni caso, secondo il Garante anche questa menzione rappresenta una misura “minima” nuova, indicata tra quelle di “tutela e garanzia” (regole 25 e 26 dell’allegato B).

Questo parere del Garante pone dei seri dubbi interpretativi sia perché non chiarisce cosa si intenda per “relazione accompagnatoria”.

Rileggendo l’articolo 26 dell’Allegato B, ciò che, quindi, risulta difficile comprendere è in quale parte del bilancio deve essere obbligatoriamente riportata l’indicazione del DPS (nella “relazione sulla gestione” o nella “nota integrativa”?).

Il Garante nel suo parere crea confusione nella confusione dicendo, invece, che la menzione deve essere sempre fatta da tutti quei soggetti (pubblici e privati) già tenuti in passato a predisporre o aggiornare il DPS, i quali “dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l’adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS” entro, (secondo l’ultima proroga), il 31 dicembre 2005!

Non si comprende perché il Garante abbia voluto operare questa differenziazione rispetto al regime transitorio; invece, sarebbe stato certamente più corretto e lineare uniformare la proroga a tutti gli adempimenti da considerarsi “misure minime nuove”. E, inoltre, in base al ragionamento del Garante ci chiediamo: tutte quelle società che non hanno menzionato il DPS o il suo aggiornamento nelle precedenti “relazioni accompagnatorie” ai loro bilanci di esercizio avrebbero pertanto violato l’art. 169 del Codice e rischierebbero, forse, pesanti sanzioni penali?? Dopo tutte queste domande e premesse, cerchiamo adesso quanto meno di chiarire cosa si debba intendere, amio modesto avviso, per “Relazione accompagnatoria”:- considerata la differente natura della nota integrativa (sempre presente in qualsiasi bilancio sia in forma ordinaria sia in forma abbreviata) e della relazione di gestione (che è prevista obbligatoriamente solo per il bilancio in forma ordinaria, secondo il comma 5 dell’art 2435 bis c.c.); - considerato che il legislatore, quando afferma nell’allegato B (al punto 26) che “il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, SE DOVUTA”, sembrerebbe riferirsi ad un documento accompagnatorio del bilancio dovuto solo in alcune circostanze; l’obbligo di cui al punto 26 sembrerebbe ascrivibile solo in capo a quelle società che saranno tenute ex lege alla redazione del bilancio d’esercizio in forma ordinaria; e quindi l’indicazione relativa all’adozione del DPS (o al suo intervenuto aggiornamento) andrebbe inserita obbligatoriamente nella sola relazione di gestione prevista dall’art. 2428 c.c. (chiamata “atecnicamente” dal legislatore “relazione accompagnatoria”).Ovviamente si tratta solo di una possibile interpretazione che al momento non è suffragata da riferimenti giurisprudenziali o da pareri e provvedimenti del Garante idonei a fare luce in questo caos normativo).

Comunque, al di là dei dubbi interpretativi si spera che il “Nuovo Garante Privacy” possa nuovamente ein maniera autorevole richiamare tutti (professionisti, imprese, pubbliche amministrazioni) ad una maggiore attenzione verso le norme del Codice sulla protezione dei dati personali già operative e verso quelle norme che entreranno in vigore a breve e soprattutto che si impegni a non permettere ulteriori proroghe che servirebbero solo a ridicolizzare ancora una volta questa normativa e a farla dissolvere in un sentimento diffuso di inoperatività/inutilità. Infatti, sebbene tali proroghe siano state emanate al fine di consentire a tutti l’adeguamento alla nuova normativa, tenendo conto anche delle notevoli difficoltà organizzative che certamente si possono incontrare nell’implementazione strategica delle recenti regole, non bisogna dimenticare che un livello di sicurezza minimo/adeguato per i dati personali che quotidianamente vengono trattati deve essere comunque e sempre garantito. Sarebbe, quindi, auspicabile che in un prossimo futuro, grazie ad una corretta campagna di informazione, chiunque tratti dati personali si impegni a seguire le norme e le specifiche procedure dettate dal Codice per un profondo rispetto verso il proprio cliente/utente e a prescindere da eventuali ulteriori proroghe stabilite da uno schizofrenico legislatore…ma questa, si sa, è una chimera inseguita da qualche paranoico Don Chisciotte il quale ancora spera che un briciolo di privacy possa comunque esistere nell’evoluzione della Società dell’Informazione!

Comments(0)