GDPR: tutti pronti, installatori e progettisti?

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, Chief Security Officer e Data Protection Officer, Giovanni Villarosa è anche Vice Presidente di SECURTEC (Associazione culturale, composta da security manager certificati, che si occupa di tematiche legate al mondo - logica e fisica - per la protezione di infrastrutture complesse e critiche).

Il 25 Maggio sarà pienamente operativo il nuovo GDPR UE 2016/679, ma quanto ne sanno progettisti e installatori? E come dovranno adeguarsi? Secondo l’allegato K, contenuto nell’ultima revisione della norma CEI 79-3? O per mezzo di un organismo di certificazione di terza parte sotto il controllo di Accredia? Esiste già uno schema accreditato? Una norma di settore (UNI)? Chi sono gli attori deputati alla progettazione? Quali garanzie professionali hanno, ma piuttosto offrono? Devono essere obbligatoriamente professionisti certificati? E quale organismo li sorveglierà? Avranno le capacità tecnico-normative compliance in ambito privacy per progettare (privacy by design), per realizzare corrette misure di sicurezza (sicurezza fisica e logica), e idonei impianti tecnologici di raccolta (controllo accessi, biometria, videosorveglianza), di trattamento e protezione (server, ced, etc) dei dati personali? Il legislatore dovrà per forza pronunciarsi.

Ho più volte affrontato, nel corso del 2017, questo complesso e spinoso argomento sul tema della responsabilità professionale in materia civilistica (contrattuale ed extracontrattuale) dell’installatore, dei progettisti e degli altri stakeholders operanti nel settore della sicurezza integrata (safety e security); una responsabilità doppia originata, da una parte, dal punto di vista tecnico e applicativo della nuova norma CEI 79-3/2012, e dall’altra, dalle numerose sentenze di condanna (cassazione sent. N°. 5644/2012, N°12879/2012) emesse dai diversi tribunali della Repubblica, quale risarcimento ai danni prodotti per negligenza/colpa del professionista, o per il mancato/errato funzionamento delle tecnologie applicate negli impianti di sicurezza.

SERVE UN RIPASSO?

Prima di passare all’analisi delle nuove responsabilità previste dal Regolamento UE in carico ai professionisti di settore, riassumiamo velocemente quanto previsto attualmente dalla nostra legislazione nazionale (tecnico-giuridica), appartenente agli ambiti delle progettazioni/installazioni, e che affiancherà parallelamente il nuovo GDPR UE 2016/679. Va premesso, innanzitutto, che sussistono precetti giuridici sia di ordinamento civile, che di natura penale; distinti in due ulteriori ambiti normativi: uno di carattere generale, l’altro specifico. Il primo si fonda sulla attuazione del contratto sottoscritto tra il professionista ed il committente; con la sottoscrizione dell’accordo, il professionista si assume l’obbligo dell’organizzazione per il compimento dello stesso, e quindi assumendosi il rischio delle proprie capacità, garantirà che le opere e/o servizi contrattualizzati con la committenza, siano esenti da difformità e/o vizi di funzionamento/operatività. In linea di principio il professionista dovrà sempre realizzare il progetto dal punto di vista tecnico, segnalando le eventuali difformità emerse nell’alveo delle istruzioni ricevute dal committente; infatti, sarà sempre esente da responsabilità quel professionista che informa il titolare delle non conformità contenute nelle istruzioni impartite, quando tali indicazioni avranno, come risultato tecnico ultimo, soluzioni divergenti dalle regole previste dalla conformità progettuale.

D.M. N° 37/2008

Il secondo riconduce a normazione più specifica, che fa capo al D.M. N° 37/2008, decreto che stabilisce gli standard minimi nel settore impiantistico, e al testo unico sulla sicurezza del lavoro, ovvero alla Legge N° 81/2008. Di natura strettamente tecnica il testo unico, dove viene imposto agli installatori di osservare rigorosamente tutte le norme a protezione della salute personale, obbligando il professionista a conformarsi ai requisiti di sicurezza previsti dalla legge, perché solo seguendo la regola dell’arte (Legge N° 186/1968) e le norme della buona tecnica (art. 2224 CC) si potrà escludere, a suo carico, ogni tipo di responsabilità contrattuale ed extracontrattuale. Mentre il D.M. 37/2008 rappresenta la cornice normativa di indirizzo nell’ambito delle progettazioni, installazione degli impianti tecnologici (sistemi di sicurezza in genere, videosorveglianza, accessi, biometria, etc), imponendo determinati parametri minimi di sicurezza per tutte le realizzazioni impiantistiche, prescrivendo peraltro, i titoli abilitativi per l’impresa (art.3), e successivamente i necessari requisiti professionali a carico del responsabile tecnico/progettista (art.4).

REGOLA DELL’ARTE

E’ bene non dimenticare poi un’altra cosa fondamentale: durante la fase concettuale della progettazione, l’elaborato va contestualizzato sempre alla regola dell’arte; difatti, con tale espressione il legislatore richiama il professionista a tutta una serie di obblighi, che vanno dalla produzione dei disegni planimetrici, dagli schemi elettrici di impianto fino alle relazioni tecniche descrittive della realizzazione, finendo al rilascio della dichiarazione di conformità (art.5) dell’impianto realizzato, che ricordo essere: un documento obbligatorio per legge che includerà il progetto, la relazione dei materiali utilizzati, la relazione di rispondenza dei materiali al contesto ambientale installativo, le caratteristiche tecniche delle apparecchiature utilizzate.

ART. 40 CP

Appare evidente come le diverse normative tecniche, e non solo il testo unico sulla sicurezza, siano molto rigorose e complesse, ragion per cui andranno osservate alla lettera, giacché a supporto di tale quadro legislativo, e di caratterizzazione strettamente tecnica, esiste una norma, all’interno del nostro ordinamento penale, di carattere più generale, (art. 40 CP) che stabilisce un principio fondamentale: non impedire un evento che si ha l’obbligo giuridico di impedire equivale a cagionarlo! Analizzando tale articolo, ben si comprende quale portata ampia abbia tale precetto penale, giacché adagia sullo stesso scenario giuridico due particolari condotte: azione e omissione! Difatti, il titolare di una determinata condizione importante per l’ordinamento (il professionista responsabile della commessa) viene investito di una posizione di garanzia rispetto agli eventi dannosi che dovessero verificarsi in fase di realizzazione, fissando l’obbligo di predisporre tutti gli strumenti e le capacità che impediscano l’attuarsi dell’evento; ed è qui che si evidenzia la responsabilità penalmente rilevante a carico del professionista, quando si assume l’obbligo fissato dalla legge di impedire il verificarsi di situazioni di pericolo.

E IL GDPR?

All’interno del nuovo GDPR sono previste diverse responsabilità, diversi soggetti professionali (titolari, responsabili, DPO, progettisti, installatori, etc). Ma spariscono, di fatto, le responsabilità penali contenute, invece, nel nostro D.Lgs N° 196/2003, il cd Codice della Privacy, e previste nell’art. 169 dal Codice, per la mancata adozione delle misure minime di sicurezza contenute sia nell’art. 33, che nella regola 25 dell’allegato B (disciplinare tecnico in materia di misure minime di sicurezza). Mentre l’art. 162 comma 2 bis, fissa stabilmente la sanzione amministrava, determinando una responsabilità risarcitoria di natura civilistica. Riassunto ciò, osserviamo come nel nuovo Regolamento europeo una particolare attenzione va posta al dettato dell’art. 32, punto cardine che disciplina gli obblighi e le responsabilità, individuando gli attori interessati ai processi derivanti dal trattamento dei dati personali: sono di fatto, tutti coloro (progettisti, installatori e manutentori) che operano materialmente nel settore della sicurezza, dell’impiantistica tecnica nel senso più ampio. Ecco perché sono nuovamente tornato sull’argomento, perché tutta la materia, tra qualche mese, sarà di rilevante significato per tutti i professionisti, obbligatoriamente chiamati a rispettare quanto previsto negli articoli, e considerando, contenuti nel nuovo GDPR.

E LA SAFETY?

Analizzando, nella fattispecie, il contenuto dettato dall’art. 32, al comma 1, osserviamo un precetto vincolante per coloro che dovranno misurarsi professionalmente con le tematiche connesse al trattamento dei dati personali, mentre al comma 2, si identificano tutta una serie di rischi specifici, esplicitati ancor meglio nel considerando N° 83, a supporto di tale articolo, considerando che evidenzia, oltre al rischio security, un rischio strettamente safety per le persone! Rischi che i professionisti della sicurezza non devono mai sottovalutare, specialmente in delicati settori a forte impatto privacy: si pensi alla videosorveglianza, ai sistemi biometrici, alle tecnologie di controllo accessi, e al nuovo emergente settore della sicurezza per mezzo dell’uso dei droni! Ora, il palese riferimento fatto dalla norma al titolare e al responsabile del trattamento, non deve essere interpretato come irrilevante e non attinente nei confronti degli altri attori operanti nel settore: progettisti e installatori; un impianto mal progettato, o peggio ancora installato in maniera errata, una apparecchiatura elettronica non conforme, rappresentano tutte azioni che possono compromettere l’integrità e la sicurezza dei dati trattati, quindi il professionista ne risponde al pari del titolare.

STUDIATE, GENTE

Nel Considerando N° 78, ad esempio, si richiama il titolare del trattamento ad attuare solo misure (by default e by design) lineari e disciplinate fin dalla progettazione! Da ciò si deduce come il nuovo Regolamento indirizzi il titolare del trattamento ad essere sempre più cauto e puntuale nell’esigenza di selezionare tecnologie, servizi e installatori che garantiscano il rispetto degli obblighi di compliance normativi a lui spettanti e, conseguentemente, da un lato si rivolgerà necessariamente a chi tali garanzie dimostrerà di possedere, dall’altro, si tutelerà pretendendo determinati vincoli contrattuali. Appare chiaro come per i professionisti inseriti nella filiera (progettisti, fornitori, installatori, etc) sarà necessario possedere una specifica conoscenza e padronanza della problematica, una settoriale competenza nelle soluzioni proposte, sia per rispondere alle esigenze della committenza, sia per scongiurare possibili responsabilità professionali.