3. L’attuale Dlgs 30 giugno 2003, n. 196 (Codice Privacy), ha
subito delle variazioni introdotte dal Presidente
del Consiglio attualmente in carica, attraverso il Decreto "CrescItalia"
Decreto Legge 6 dicembre 2011, n. 201.
Recentemente sono state introdotte delle modifiche anche dal Decreto
di semplificazione Decreto Legge 9 febbraio 2012, n. 5, convertito
dalla Legge 4 aprile 2012, n. 35.
4. Per effetto delle semplificazioni in atto è stato previsto
dal Governo un risparmio pari a 313 milioni di euro
all’anno per le PMI.
Che cosa cambia?
6. 1) Art. 4 Dlgs 196/03, comma 1 lettera " b ":
Prima delle modifiche:
Ai fini del presente codice si intende per "dato personale", qualunque
informazione relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale;
Dopo le modifiche:
Ai fini del presente codice si intende per "dato personale", qualunque
informazione relativa a persona fisica, identificata o identificabile,
anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale;
7. 2) Art. 4 Dlgs 196/03, comma 1 lettera " i ":
Prima delle modifiche:
Ai fini del presente codice si intende per "interessato", la persona
fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati
personali;
Dopo le modifiche:
Ai fini del presente codice si intende per "interessato", la persona
fisica, cui si riferiscono i dati personali;
8. Gli adempimenti previsti dal Codice Privacy, oggi
non risultano quindi più applicabili se i dati trattati si
riferiscono ai soggetti giuridici, lasciando cadere ogni obbligo privacy
previsto in precedenza.
Questo fa sì per esempio che le informative e le note sintetiche non
siano più obbligatorie se indirizzate a persone giuridiche, ma anche che
le aziende non abbiano più diritti riconosciuti dal Dlgs 196/03 (ex art.
7).
9. Anche in presenza di un CRM, sembra che le
semplificazioni abbiano valore, ma attenzione alla
presenza di nome e/o cognome di referenti aziendali nonché di e-mail
nominative (nome.cognome@, n.cognome@, cognome@, ecc…); se
presenti queste informazioni, le semplificazioni in atto non hanno
valore.
Il Codice Privacy rimane applicabile ai dati appartenenti ai soggetti
giuridici per quanto riguarda le comunicazioni indesiderate
(telemarketing), disciplinato da art. 130
10. 3) Art. 34 Dlgs 196/03 prima delle modifiche
dopo le modifiche
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
11. Risulta abolito anche il comma 1-bis che prevedeva
l’autocertificazione in sostituzione del DPS per le aziende
che trattano solo dati personali, e come sensibili solo quelli dei
dipendenti.
Per effetto delle misure già in vigore, oggi il DPSS quindi diventa uno
strumento volontario.
Sarebbe interessante capire se è comunque obbligatorio esibire il
DPSS 2011 in caso di accertamento, o come comportarsi per
applicazione di regolamenti specifici (Ag. Entrate) o di altre norme
(D.lgs. 231/01, UNI EN ISO 9001:2008) che continuano a richiedere il
DPSS
12. 4) Paragrafo 19 Allegato B (contenuti del DPSS), abolito
completamente. Ma attenzione:
Prima delle modifiche Dopo le modifiche
Aggiornamento del DPSS entro il 31 marzo Abolito
Elenco dei trattamenti dei dati Abolito, ma rientra nell’art. 30 e 34 e
All. B
Distribuzione dei compiti e responsabilità Abolito, ma rientra nell’art. 29 e 30 e
All.B
Analisi dei rischi Abolito
Misure per garantire integrità e disponibilità dei dati Abolito, ma rientra nell’All. B
Descrizione dei criteri e modalità per il ripristino della Abolito, ma rientra nell’All. B
disponibilità dei dati
Previsione di interventi formativi Abolito
Descrizione dei criteri per garantire le misure minime di Abolito, ma rientra nell’All. B
sicurezza per trattamento in esterno
Individuazione dei criteri per la cifratura dei dati Abolito, ma rientra nell’All. B
13. 5) Paragrafo 26 Allegato B, abolito completamente :
"Il titolare riferisce, nella relazione accompagnatoria del bilancio
d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza"
15. Quali sono gli obblighi ancora in vigore nonostante
le semplificazioni?
Documenti informativi (per soggetti fisici) anche su siti
web (art. 13) e consenso informato ove necessario (art. 23);
Nomina dei soggetti responsabili del trattamento (art. 29);
Nomina dei soggetti incaricati del trattamento (art. 30);
Conformità con le misure minime di sicurezza indicate nell’Allegato B;
Nomina degli Amministratori di sistema e conformità con Provv.
27/11/08;
Conformità con le disposizioni in materia di video sorveglianza
(Provv. 08/04/2010 e L. 300/70 art. 4);
Conformità per lo smaltimento dei dispositivi informatici (regola 22
All. B e Provv. 13/10/2008)
Conformità con Linee Guida per posta elettronica e internet (stesura
di regolamento aziendale, Linee Guida 01/03/2007);
Normativa in materia di comunicazioni commerciali;
Notificazione del trattamento, ove opportuno (art. 37).
17. Ma vale veramente la pena abbandonare il DPSS?
Una risposta a questa domanda può derivare dal tipo di percezione
personale del DPSS maturata negli anni.
Sicuramente il documento era dovuto per imposizione di una norma
esogena, ma il vero ruolo doveva essere quello di strumento di
valutazione e diagnosi interno, riferito agli obblighi privacy e al
trattamento dei dati
18. Senza una “guida” potrebbe divenire difficile capire
quale sia la posizione attuale, e quale sia la strada
che si sta percorrendo verso la conformità con tutti gli adempimenti
previsti dal Dlgs 196/03
I controlli di conformità effettuati dagli organi preposti (gli
accertamenti non sono stati aboliti) potrebbero essere più difficoltosi
in assenza di DPSS, in quanto potrebbero fare accertamenti più
approfonditi sul rispetto di tutte le misure indicate nel Disciplinare
Tecnico (Allegato B) ad oggi non abolite.
19. In assenza di DPSS altri documenti potrebbero essere
comunque richiesti in sede di eventuale verifica,
quali (a titolo esemplificativo):
Organigramma di responsabilità privacy
Elenco degli incaricati al trattamento
Elenco e tipologia delle banche dati
Autodichiarazione di conformità con All. B
20. Rimane pertanto consigliabile adottare un documento
interno di analisi in merito al trattamento dei dati.
Tale documento può essere denominato e strutturato in maniera
diversa dal DPSS, da sottoporre comunque ad aggiornamento
periodico (almeno annuale) per garantire consapevolezza e veridicità
dei contenuti.
22. In seguito alle variazioni subite dal Dlgs 196/03,
il punto 25 dell’Allegato B assume un valore crescente:
“Il titolare che adotta misure minime di sicurezza avvalendosi di
soggetti esterni alla propria struttura, per provvedere alla esecuzione
riceve dall'installatore una descrizione scritta dell'intervento effettuato
che ne attesta la conformità alle disposizioni del presente disciplinare
tecnico”
23. L’art. 31, non abolito, recita:
“ Art. 31. Obblighi di sicurezza
I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l'adozione di
idonee e preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o
di trattamento non consentito o non conforme alle finalità della
raccolta. ”
Senza un documento di analisi e senza una reale formazione agli
incaricati al trattamento, come può risultare possibile avere la certezza
e la garanzia di aver adottato le idonee e preventive misure di
sicurezza?
24. Per maggiori chiarimenti
Dott. Alessio Bottarelli
Consulente Privacy
a.bottarelli@gruppoinfor.it