Decreto Monti “Cresci Italia” e Privacy
Seppure non ancora in Gazzetta ufficiale, il Decreto Monti, all’ Art. 46 agisce su “semplificazione in materia di dati personali” e investe alcune modificazioni sostanziali del testo di legge dell Dlg 196/03. Le modifiche maggiormente, e a parere di chi scrive più erroneamente, schiamazzate sui giornali pertengono la abrogazione del DPS, inteso come supporto cartaceo. Quindi una delle misure minime che purtroppo nell’immaginario collettivo rappresenta e condenza tutto ciò che è la privacy in una società.
In realtà, la abrogazione non si intende come una rinuncia alla privacy. Anche se purtroppo è vero che il DPS è spesso venduto a peso piuttosto che per contenuto e utilità, ma si tratta di uno degli adempimenti, il solo formale, mentre tutti gli altri obblighi sussistono.
Non si esagera scrivendo che, in una certa misura, questo decreto non serve a rinunciare al sistema privacy, piuttosto a renderlo molto più sostanziale.
Spieghiamo di seguito perchè !
I controlli della GdF saranno adesso concentrati non sul DPS ma su tutte le altre misure di cui all’Art. 34.
Paradossale, ma se possibile i Titolari del Trattamento e i Resposabili, saranno più esposti di prima per via delle verifiche al sistema informatico. Quello che viene chiamato “provvedimento per ADS ” (Amministratori di Sistema), diverrà adesso non più opzionale. Il Responsabile non potrà più barcamenarsi blaterando che di informatica non capisce nulla e se ne occupa il negoziante che gli vende il computer, la stampante o il mouse.
Adesso la società che intende poggiarsi sul consulente esterno deve avere un documento scritto da quest’ultimo redatto e controfirmato. Questo attestato sarà l’unica prova oggettiva che manleva il Responsabile e quindi il Titolare del Trattamento.
In breve e per riassumere permangono integralmente applicabili e predisposti per gli ADS :
- l’ adozione di procedure di gestione delle credenziali di autenticazione;
- l’autenticazione informatica;
- l’utilizzazione di un sistema di autorizzazione;
- l’aggiornamento periodico dell´individuazione dell´ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – istruzioni chiare e verbali di formazione per l’effettiva protezione dei dati;
- la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
- l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Forse non si chiamerà più DPS, ma dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all’adozione delle misure di cui all’art. 34 ed all’Allegato B.
In definitiva il Decreto Cresci Italia, aumenta la rilevanza del Consulente in merito agli obblighi di sicurezza informatica sui dati gestiti.
Le società dovranno fare maggiore attenzione ai contratti mediante i quali il Titolare o i Responsabili si affideranno a soggetti terzi, per adeguare le misure. Si pensi al punto 25 dell’ Allegato B) che viene disatteso nella maggior parte delle società e che diventerà sempre più rilevante ai fini del controllo della GdF; spesso infatti, i controllori usano il DPS come strumento di verifica per la Legge 231. Inoltre, in sede di controllo vale il principio di verifica pregressa. quindi bisognerà comunque visionare i DPS precedenti il 2011 perchè la conformità pregressa si da’ per ovvia e si può dimostrare solo mostrando i faldoni degli annali.
Una ulteriore implicazione dei sistemi privacy dell’azienda riguarda la gestione nomine e delle informativive che riacquisiscono una loro identità autonoma.Vincolante sarà il supporto del documento di delega che solo se firmato e correttamente allegato alla nomina, dimostrerà che è stata effettivamente operata la formazione da parte della società nei confronti dell’ Incaricato.
Con questa abrogazione si apre un ulteriore punto. Per quelle società tenute alla relazione accompagnatoria al bilancio, che al 31 marzo 2011 hanno dovuto render conto dell’aggiornamento del DPS, potrebbe oggi essere richiesto in sede di controllo, l’esibizione del vecchio DPS. Solo la presentazione della ultima versione del DPS a dimostra di aver adempiuto correttamente all’epoca della vigenza dell’obbligo medesimo.
Privacy 4.0 e Data Protection 