Area Riservata

E la chiamano semplificazione...

 

Con quasi due settimane di ritardo è stato pubblicato il Decreto Legge “Semplificazione” che il governo aveva annunciato il 27 gennaio 2012* e nel quale è contenuto un articolo riferito specificamente alla “semplificazione in materia di dati personali”.

Questo il testo dell’art. 45 del decreto:

"Semplificazioni in materia di dati personali
Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
all’articolo 21 dopo il comma 1 è inserito il seguente: «1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli  d'intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell'interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n.300, che specificano la  tipologia dei dati trattati e delle operazioni eseguibili.»;
all’articolo 27, comma 1, è aggiunto, in fine, il seguente periodo: "Si applica quanto previsto dall'articolo 21, comma 1-bis.";
all'articolo 34 è soppressa la lettera g) del comma 1 ed è abrogato il comma 1-bis;
nel disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B sono soppressi i paragrafi da 19 a 19.8 e 26."

Questa semplificazione, già ostica e complicata da leggere, è ancora più complessa da comprendere …

Punto Primo

Il decreto-legge, per espressa disposizione interna** è efficace a partire dal 10 febbraio. Tuttavia per sua natura, è una norma temporanea che deve essere convertita in legge entro 60gg altrimenti decade come se non fosse mai esistito.
In quei 60 giorni può essere modificato e integrato (succede spessissimo) ma soprattutto quei 60 gg scadono DOPO la fatidica data del 31 Marzo entro la quale il DPS va aggiornato.
Quindi che fare? Buttare tutto alle ortiche, o aggiornare il DPS?
Rispondere a queste domande richiede qualche ragionamento....

Punto Secondo

Supponiamo che il decreto legge venga convertito in legge lasciando inalterati i contenuti pubblicati: la prima cosa che si nota è che il testo del Codice Privacy non è stato “riscritto” ma sono solo stati eliminati articoli e commi in cui si menzionano i termini “Documento Programmatico sulla Sicurezza”. Il DPS (come nome) a questo punto “non esiste più” *** ma tutto il resto rimane immodificato.
Lo stesso è stato fatto per l’Allegato B (allegato al Codice in materia di protezione dei dati personali), e si tratta di modifica di certo irrituale perché attuata con decreto legge ****.
Si deve ricordare che il comma 1-bis consentiva di certificare l’adozione delle misure minime di sicurezza in modo semplificato: abrogandolo il legislatore non consente più alcuna modalità semplificata in tale ambito.
Si torna pertanto all’obbligo integrale previsto dal Capo I del Titolo V del Codice in materia di protezione dei dati personali.
In particolare:

  • Misure di sicurezza idonee e preventive ***** volte a ridurre i rischi;
  • Misure minime di sicurezza previste dall'art. 33 del d.lg.196/2003.

Anche queste vanno documentate e non si può più adottare alcuna procedura semplificata per dire che ciò si è fatto…
Quindi si dovrà:

  • descrivere il sistema di autenticazione adottato;
  • adottare procedure per la gestione delle credenziali;
  • utilizzare un sistema di autorizzazione;
  • aggiornare periodicamente l’ambito di trattamento consentito ai singoli incaricati;
  • indicare come sono stati adottati sistemi di protezione dalle “vulnerabilità” informatiche;
  • adottare politiche per le copie di sicurezza, e per la protezione delle stesse copie;
  • adottare sistemi di cifratura nel caso di trattamento di dati sensibili.

Anche per le nomine a responsabile (art. 28 del d.lg. 196/2003), le lettere d'incarico (art. 29 del d.lg. 196/2003), resta obbligatoria la formalizzazione scritta.
Già a questo punto sfugge la comprensione di cosa si intenda per "semplificazione"...

Punto Terzo

Altro punto importante: è attesa a breve un nuovo Regolamento Europeo in materia di protezione dei dati personali e comunicazioni elettroniche, l’impressione è che la norma, assorbendo le precedenti direttive comunitarie, detti regole più restringenti di quelle già esistenti.
In estrema sintesi: scompare il DPS ma nascerebbe l’obbligo della redazione di una “Relazione sul Sistema di Gestione dei dati personali”.
È meglio?
Secondo noi no; anzi per alcuni aspetti potrebbe perfino essere peggio (vedi pt. successivo).

Punto Quarto

Il (rimosso) DPS era il “Documento Programmatico sulla Sicurezza”: la sua stessa definizione implicava che in esso andavano indicate sia le azioni che il Titolare aveva già intrapreso per conseguire/mantenere l'adeguamento alla norma, sia quelle che si impegnava a intraprendere, pianificando interventi in aree “non compliant”. Scomparendo il DPS scompare l'aspetto “programmatico”: non sarà più possibile segnalare un’area critica (quindi non in regola...) indicando contestualmente le soluzioni che si adotteranno (procrastinando così, in modo quasi giustificato. le azione concrete da compiere...). Quindi o si sarà già in regola o non lo si sarà: in questo secondo caso si sarà, ovviamente, sanzionabili. La perdita del “margine di manovra”, ricavabile da quel sibillino termine "programmatico", non ci sembra un vantaggio o una semplificazione. Tutt’altro!

Punto Quinto

Cosa deve fare un “Titolare” a questo punto?
Nella incertezza totale, e nella confusione che questo decreto legge. ha ingenerato, è nostro parere che anche per quest'anno convenga comunque aggiornare e formalizzare il DPS (al 31/03/2012), anche perché se il titolare ha lavorato decorosamente, alla data attuale dovrebbe essere un lavoro di impegno modesto. Poi aspettare che questo decreto veda la luce e l'eventuale conversione in legge, e prendere solo allora eventuali decisioni.

Punto Sesto

E gli “Amministratori di sistema”?
Si ricorderà che nel novembre 2008 l’Autorità Garante era intervenuta stabilendo degli obblighi particolarmente stringenti per tutti i titolari dei trattamenti, in concreto si doveva:

  • procedere alla nomina degli “amministratori di sistema” analogamente a come viene fatto per i “soggetti esterni” e per i “responsabili”;
  • si doveva adottare un sistema (software) che tenesse traccia dell’attività degli Amministratori di sistema;
  • si doveva procedere annualmente ad una analisi dei log raccolti per verificare l’operato degli amministratori di sistema.

Tale obbligo previsto inizialmente per tutti i titolari di trattamento, con la revisione del provvedimento di novembre 2008, venne applicato, con il provvedimento dell’Autorità Garante di giugno 2009, solamente a quei titolari di trattamento che, per la complessità dei trattamento, non potevano avvalersi dell’indicazione semplificata sulle misure di sicurezza adottate.
Ma, come sopra abbiamo detto, è stato abrogato il comma 1-bis dell’art. 34 e quindi tale possibilità non c’è più per nessuno, e, se ne dedurrebbe, che quindi… Tutti i titolari dei trattamenti, dovranno adottare le precauzioni previste in materia di Amministratori di Sistema.

E la chiamano semplificazione…!

Autori Dr. Marco Pitrolo e Dr. Furio Neri - 10 Febbraio 2012

Note:

* Il decreto legge è stato annunciato nel Comunicato del Governo del 27 gennaio 2012, ed è stato pubblicato solamente nel Supplemento Ordinario della G.U. di giovedì 9 febbraio 2012 come Decreto Legge n. 5/2012.

** Cfr. l’art. 63 al D.L. come pubblicato in GU: “1. Il presente decreto entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge. (…)”

*** Vale a dire che non è più obbligatorio...

**** Come chiaramente indicato dall’art. 36 del Codice in materia di protezione dei dati personali l’Allegato B doveva essere periodicamente aggiornato con un decreto ministeriale. In concreto da quasi un anno si attendeva l’aggiornamento dell’Allegato B che, essendo formulato nel 2003, è oggi del tutto inadatto a descrivere le misure di sicurezza minime che devono essere applicate dai titolari. “Art. 36 - Adeguamento - Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.”

***** Questo è quanto prevede l’art 31 del Codice: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.” Difficile rispettare questa disposizione senza effettuare una documentata analisi dei rischi che incombono sui dati…!

Copyright © 2011 EUCS - Via E. Forlanini 16 - 35136 Padova - info@eucs.it - P.I. 03928150287 | Privacy Policy