La Voce di GÉODE: 5: "Privacy per le imprese: cosa cambia con la manovra Monti?"
Le recenti Manovre Monti (Decreto Legge 6.12.2011, n. 201 e decreto legge 9.02.2012, n. 5)
hanno previsto alcune semplificazioni in materia di privacy a carico delle imprese.
Le novità riguardano:
- l’applicazione delle norme in materia di privacy per i soli dati personali delle persone
fisiche e non anche delle persone giuridiche (società, aziende, organizzazioni, ecc.); - la cancellazione degli articoli relativi all’obbligo di redazione e aggiornamento del
Documento Programmatico sulla Sicurezza (DPS) sia in forma ordinaria che abbreviata (autocertificazione) per le PMI.
Ma gli oneri in materia di privacy sono stati ridotti o no per le vostre imprese?
Nell’applicazione pratica sicuramente non molto.
Vediamo di seguito nel dettaglio i due punti sopra descritti.
- L’aver escluso dal concetto di “interessato” le persone giuridiche permetterà pochissimi vantaggi alle imprese e limitati alla gestione dei loro rapporti commerciali: non ci sarà più la necessità di raccogliere il consenso preventivo per contattate un’azienda per qualunque motivo. Ma nel proseguo dei rapporti con le altre aziende non ci saranno snellimenti nella documentazione in quanto i dati che le imprese gestiscono nella pratica quotidiana non sono mai solo i dati delle aziende, ma sono soprattutto i dati relativi alle persone fisiche che in esse e con esse operano come i dati dei propri dipendenti e collaboratori.
Pensiamo ai database con i riferimenti dei Responsabili aziendali in Outlook, software CRM, schedari, ecc.
Il criterio discriminante, quindi, per capire se un'impresa è effettivamente avvantaggiata da questa misura è il soggetto di cui tratta i dati personali: se persone fisiche allora nulla cambia; viceversa se sono trattati solo dati personali di persone giuridiche allora si potrà fare a meno di ottemperare a tutti gli obblighi previsti da D.Lgs. 196/2003. - Per quanto riguarda la possibilità per le PMI di non redigere annualmente il DPS, si deve premettere pur cadendo l'obbligo della redazione di tale documento, le misure minime di sicurezza previste dall'art. 34 e l'allegato “B” dello stesso Codice restano in vigore. Il DPS rappresenta infatti per le stesse lo strumento riepilogativo degli adempimenti iniziali e degli aggiornamenti annui. Una sorta di equivalente del Manuale con procedure per chi conosce i Sistemi di Gestione Qualità ISO 9001, che formalizza quello che si è realizzato e quello che si prevede di realizzare.
Proprio per tale motivo il DPS è da considerarsi strumento utile in caso di controlli da parte delle autorità competenti per provare la diligenza dell'imprenditore nell'applicare correttamente la normativa privacy in modo sintetico ed organico. Senza il DPS l'imprenditore dovrà lo stesso dimostrare di essere in regola con il Codice, anche se in materia più disorganica, dovendo mostrare tutti i documenti e giustificare la corretta applicazione delle misure minime di sicurezza previste da D.Lgs. 196/2003.
Pertanto l’abrogazione dell’obbligo della tenuta del DPS non significa cancellare di colpo tutti gli adempimenti finora obbligatori in materia di privacy e tutela dei dati personali, ma solo alleggerire le modalità di osservanza di tali obblighi. Privacy per le imprese: cosa cambia con la manovra Monti? 2 di 2 Resta invariata ad esempio la necessità di prevedere password per l’accesso ai singoli pc e/o al sistema informatico aziendale, la periodica sostituzione di tali credenziali con la relativa procedura di conservazione presso il custode delle parole chiave, l’obbligo di definizione di una procedura di salvataggio dei dati, la definizione di un sistema di ripristino di dati ed informazioni, la nomina di un Amministratore di sistema, oltre alla definizione e all’adozione di procedure per la gestione, conservazione ed archiviazione dei dati cartacei.
Restano inoltre invariate le sanzioni amministrative e penali e, soprattutto, resta invariato l'art. 15 che in materia di risarcimento danni pone al titolare l'obbligo di dimostrare di aver fatto tutto quello che si poteva perché il danno non accadesse.
Le nomine e le informative acquistano in questa nuova ottica un ruolo ancora più importante in quanto diventano documenti indipendenti fini a se stessi e rappresentano, insieme alla formazione ai Responsabili, la dimostrazione che il Titolare del trattamento ha individuato le figure addette alla gestione dei dati e ha fornito loro le informazioni indispensabili per adempiere ai doveri indicati nella nomina.
L’abrogazione del DPS quindi non comporta meno obblighi in materia di privacy da parte di un Responsabile: semplicemente limita la documentazione ( le “carte”) da produrre per dimostrare ciò che comunque si deve continuare a fare.
E’ fondamentale quindi che tale concetto sia efficacemente trasmesso poiché il rischio di tale semplificazione è quello di far credere che non sia più necessario far nulla in tema di protezione dei dati personali. Considerato che poi spesso era proprio la redazione del DPS che metteva in evidenza le carenze e le azioni mai messe effettivamente in atto e che costituiva uno spunto per migliorare il livello di protezione. Proprio per tutto questo, specie nelle strutture aziendali “complesse” e in quelle che trattano dati “sensibili”, un documento riepilogativo è sicuramente consigliato.
Cosa si devono aspettare le aziende nel prossimo futuro?
L’evoluzione della normativa è da seguire attentamente in quanto è previsto nel prossimo futuro un Regolamento Comunitario che andrà a sostituire la normativa di riferimento dei singoli Stati europei. Si tratta di un regolamento importante perché oltre ad uniformare le norme a livello europeo, stando alla bozza che circola, renderà molto più incisive le regole in materia di tutela dei dati personali.
I nuovi obblighi prevedranno una serie di adempimenti e di documentazione più stringente rispetto all’attuale DPS.
GÉODE si mantiene costantemente aggiornata sulle novità legislative e vi terrà regolarmente informati.
____________________________________________________________________________________