Sono state pubblicate sul sito del Garante per la protezione dei dati personali
(www.garanteprivacy.it)
le nuove procedure semplificate per l'applicazione delle misure minime di
sicurezza ed in tema di notificazione dei trattamenti dati personali al Garante.
Vediamo dunque in cosa consistono alcune semplificazioni e chi sono i fortunati
(se ci sono e se lo sono davvero...) destinatari.
Alcuni esempi di semplificazione
La semplificazione comporta innnazi tutto l'abbandono dell'onere di dare per
iscritto le istruzioni agli incaricati in materia di adozione delle misure di
sicurezza. Secondo l'Autorità Garante infatti, tale nomina con i suoi contenuti
potrà essere rilasciata oralmente. Su questo primo punto nutro legalmente dei
dubbi: se un datore di lavoro può rilasciare la nomina oralmente, come dimosterà
di aver adempiuto correttamente al rilascio della stessa? Ma soprattutto,
qualora l'incaricato violasse l'adozione di misure di sicurezza indicate
oralmente dal datore di lavoro, quest'ultimo sarà in grado di provare
“giudizialmente” quali esatte indicazioni aveva rilasciato al proprio dipendente
ed in che termini? Sulla nomina orale francamente ritengo che seppur
semplificativa specialmente in realtà di grandi dimensioni, possa peggiorare le
cose sul fronte più problematico, ovvero le ipotesi in cui occorra dimostrare se
il datore di lavoro ha omesso o meno il rilascio della nomina, e quali
istruzioni fossero davvero contenute nella nomina orale. La questione va
oltretutto affrontata sotto i due punti di vista giuridici delle parti
interessate: il lavoratore rischia dei richiami per non essersi attenuto alle
istruzioni oralmente impartite quando potrebbe non averle comprese o comprese in
modo errato; dall'altra il datore di lavoro potrebbe non saper dimostrare di
aver rilasciato la nomina, potendo essere “accusato” in tal caso di omissione di
tale adempimento... Seconda semplificazione: i programmi di sicurezza possono
essere aggiornati una volta l'anno. In sostanza gli antivirus non dovranno più
essere aggiornati semestralmente come previsto dall'Allegato B al decreto
legislativo n. 196/2003, ma con cadenza annuale. Ora, io non sono un informatico
e posso quindi poco dire in materia tecnica, ma mi chiedo se sia proprio
opportuno fare un aggiornamento di un antivirus una volta l'anno... la
situazione mi sembra un tantino rischiosa... ma lascio ovviamente le
considerazioni a chi ha esperienza nel settore... Semplificazione anche per il
modello di notificazione da compilare ed inviare via web al Garante: l'Autorità
ha stabilito che le informazioni da inviare si riducono essenzialmente a sei: a)
le coordinate identificative del titolare del trattamento e, eventualmente, del
suo rappresentante, nonché le modalità per individuare il responsabile del
trattamento se designato; b) la o le finalità del trattamento; c) una
descrizione della o delle categorie di persone interessate e dei dati o delle
categorie di dati relativi alle medesime; d) i destinatari o le categorie di
destinatari a cui i dati possono essere comunicati; e) i trasferimenti di dati
previsti verso Paesi terzi; f) una descrizione generale che permetta di
valutare in via preliminare l'adeguatezza delle misure adottate per garantire la
sicurezza del trattamento.
Chi sono i destinatari della semplificazione?
Eccoci all'aspetto che può interessare maggiormente: chi sono i fortunati
destinatari della semplificazione? I destinatari sono soggetti pubblici o
privati che 1) utilizzino dati personali non sensibili o che trattino come unici
dati sensibili quelli riferiti ai propri dipendenti e collaboratori anche a
progetto (per dati sensibili si intendono quelli costituiti dallo stato di
salute o malattia senza indicazione della relativa diagnosi, ovvero
dall'adesione a organizzazioni sindacali o a carattere sindacale); 2) trattino
dati personali unicamente per correnti finalità amministrative e contabili, in
particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr.
art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla
disciplina comunitaria dei criteri di individuazione di piccole e medie imprese,
pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
L'inquadramento è piuttosto chiaro, ma secondo la previsione del Garante si
direbbe che restano fuori dalle semplificazioni quelle strutture private o
pubbliche che detengano dati giudiziari di tipo “ordinario”: intendo in sostanza
quei soggetti che detengano dati giudiziari derivanti da recupero crediti o
contenziosi in essere con controparti. Alla categoria dei dati giudiari difatti
l'Autorità non sembrerebbe far riferimento, benchè siano di non poca diffusione
(quante aziende hanno eseguito nella loro vita un recupero credito o partecipato
ad un contenzioso...). Eppure nella semplificazione non se ne parla, o meglio se
ne parla solo in occasione dei trattamenti effettuati senza l'ausilio della
strumentazione informatica (pertanto su supporto cartaceo) e quello che viene
stabilito ricalca sostanzialmente quanto già previsto dal legislatore nel
decreto legislativo n. 196/2003. Quindi la domanda nasce spontanea: che la
semplifcazione riguardi una fetta di destinatari un po' ristretta? Fuori poi
dalla lettura del provvedimento, c'è da dire che forse le misure di sicurezza in
Italia andrebbero valorizzate, non ridotte. Ma questa è un'altra storia…
Studio Legale Avvocato Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it
Archivio Privacy
|