mercoledì 10 dicembre 2008

Privacy: attenzione alle semplificazioni !!!!


Il Garante Privacy con un provvedimento del 27 novembre 2008 pubblicato sulla Gazzetta Ufficiale del 9 dicembre prosegue l'opera di semplificazione di alcuni adempimenti in materia di protezione dei dati personali.
Questo ulteriore provvedimento riguarda sia le amministrazioni pubbliche o società private che utilizzano dati personali non sensibili o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali sia le piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.
In sostanza è consentito ai destinatari del provvedimento di impartire agli incaricati le istruzioni in materia di misure minime anche oralmente; di utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; di aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese; di adottare modalità semplificate per la redazione del Documento Programmatico sulla Sicurezza qualora necessario.
Sinceramente non condivido questi provvedimenti del Garante che rischiano di svuotare la normativa e generare solo ulteriore confusione con conseguenze tra l’altro deleterie.
Già con il precedente provvedimento modificativo del codice era stata introdotta una semplificazione “pericolosa” poiché sostituendo la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) con l’obbligo di autocertificazione (resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445) di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte, lo stesso titolare va incontro ai rischi connessi ad una dichiarazione mendace che può configurarsi facilmente in caso di un’erronea analisi sulla propria organizzazione di lavoro (rischio che diventa probabile proprio perché non si prevede più il DPS).
Ma con quest’ultimo provvedimento si rischia di “fuorviare” ulteriormente gli operatori prevedendo l’aggiornamento “annuale” di un antivirus quando sappiamo bene che questi programmi devono essere aggiornati continuamente per il proliferare continuo di virus (i più insidiosi ormai sono i malware, spyware, Trojan, ecc.) ed un backup mensile che spesso è davvero insufficiente anche per modeste organizzazioni.
Il Garante dovrebbe ricordare agli interessati che esiste un art. 15 del codice in materia di protezione dei dati personali, che, a prescindere dalle sanzioni previste in caso di misure di sicurezza carenti o inesistenti, associa il trattamento del dato personale ad un’attività pericolosa ed in caso di danni arrecati a cittadini le richieste di risarcimento potranno essere più che sostanziose. Solo l’esistenza di un sufficiente apparato di sicurezza come delineato dalla normativa potrebbe prevenire il proliferare di danni ed in tal senso le semplificazioni suggerite dal Garante rischiano di diventare un pericoloso “specchietto per le allodole”.