Tag: violazione riservatezza

Mentre prosegue il cammino di costante crescita, molti ci domandano quale sarà l’esatto ruolo di Federprivacy nel prossimo futuro. Quando è stata costituita, i fondatori avevano chiaro in mente che Federprivacy avrebbe dovuto essere un principale punto di riferimento sul territorio nazionale per consulenti della privacy, e soprattutto per quel gran numero di soggetti, anche privati cittadini, che per la natura delle loro professioni sono quotidianamente coinvolti in trattamenti di dati personali, essendo di fatto esposti ai rischi derivanti dallo svolgimento di “attività pericolose”, cosi come le descrive l’articolo 2050 del Codice Civile. Poiché le funzioni che Federprivacy si attribuisce per statuto sono numerose , gli interrogativi in merito al preciso ruolo che il nostro ente aspira ad assumere si devono considerare legittimi. Federazione di consulenti, associazione di categoria specifica per gli addetti ai lavori in materia di privacy, portavoce d’innanzi alle autorità, osservatorio, promotore di eventi formativi e informativi, ed altro ancora. Tuttavia, dovendo individuare una unica definizione che vorremo associare a Federprivacy e fare nostra nel prossimo futuro, ritenendo che possa sintetizzarne il ruolo, questa è, il “Garante Ombra”. Come molti sanno, Il governo ombra (in inglese shadow government) è un’istituzione politica sorta in Gran Bretagna, e presente in alcuni sistemi parlamentari di altri stati del Commonwealth , costituita dal capo della minoranza, che la dirige, e da parlamentari della minoranza (i ministri ombra) incaricati di seguire da vicino, proprio come un’ombra (da cui il nome), l’attività dei corrispondenti ministri del governo in carica. Originario compito del governo ombra, è quello svolgere un’azione critica ma costruttiva verso le decisioni del governo in carica, proponendo all’occorrenza alternative che rispecchino i bisogni dei cittadini, ma sostenendo le decisioni prese dal governo in carica, se queste sono ritenute idonee, adoperandosi perché queste vengano rispettate. Allo stesso modo, Federprivacy, intende svolgere le proprie attività come un’ombra del Garante, il quale è l’Autorità per eccellenza istituita dallo Stato Italiano, adoperandosi affinchè la normativa vigente sulla privacy venga rispettata in modo diligente, e fornendo all’occorrenza supporto e strumenti ai propri associati per poterlo fare al meglio, ma d’altra parte mostrandosi pronta a raccogliere e recepire segnalazioni e necessità dei propri associati, che sperimentano sul campo le criticità operative e le problematiche che si presentano quotidianamente mentre si sforzano di applicare le prescrizioni della legge, all’occorrenza segnalando allo stesso Garante i disagi che tipicamente vengono riscontrati da chi la legge la deve applicare, e proponendo eventuali alternative che possano rivelarsi idonee ed eque. Lavoreremo quindi nei prossimi mesi in tale direzione, per far sì che Federprivacy sia maggiormente conosciuta per questo tipo di attività, e che si possa pensare ad essa anche come al “Garante Ombra”.

A seguito dell’emanazione del Decreto Legge 25.06.2008 n.112, il percorso di semplificazione avviato dal Governo riguardante nella fattispecie gli adempimenti in materia di privacy, in molti casi ha suscitato negli addetti ai lavori sensazioni di smarrimento e non poche perplessità sulla posizione da assumere alla luce delle novità rivolte ad alcune categorie. Sul fronte opposto, tra i diretti interessati che fino a poco tempo prima si sentivano schiacciati dalla macchina burocratica, molti imprenditori interessati dalle semplificazioni hanno esultato per la tanto agognata liberazione dall’obbligo di redigere annualmente il documento programmatico sulla sicurezza dei dati personali, visto come uno dei tanti fardelli di cui l’impresa italiana deve, suo malgrado, farsi carico.
A beneficio di tutti, ma soprattutto dei propri associati, Federprivacy ritiene opportuno esprimere, in modo più oggettivo possibile, il proprio punto di vista in merito alla questione:
Senza fare in questa sede una disamina tecnico-giuridica analitica sui contenuti del predetto decreto legge, occorre premettere che, ogniqualvolta venga introdotta una reale semplificazione per la vita dell’impesa italiana, a condizione che non faccia venir meno i diritti fondamentali del cittadino, questa deve essere accolta con soddisfazione e sollievo.
Pertanto, l’esenzione dall’obbligo di redigere annualmente il documento programmatico sulla sicurezza dei dati personali a favore di quelle aziende e di quei soggetti che non trattano dati di natura sensibile eccetto quelli riferiti allo “stato di salute dei propri dipendenti senza indicazione della relativa diagnosi”(art. 29 DL 112/08), e soprattutto l’esenzione per queste categorie di soggetti titolari del trattamento dalle pesante sanzioni civili e penali che comporta il mancato adempimento a questo obbligo di legge, può rappresentare un criterio di selezione ragionevole ed equilibrato introdotto dal Governo.
Tuttavia, è doveroso rilevare che, poichè il requisito affinchè un titolare del trattamento non sia più obbligato dalla legge a redigere il DPS è limitato ad una condizione meramente circostanziale, di fatto i soggetti, enti e imprese, che realmente ne possono beneficiare, non sono che una parte.
Infatti, ipotizziamo ad esempio il caso di un’azienda con dipendenti che, non trattando dati sensibili nella sua attività tipica, per rientrare nella categoria dei soggetti che non devono fare il DPS , predisponga diligentemente di accettare esclusivamente certificati di malattia privi di diagnosi, ovvero con la sola prognosi relativa alla durata dell’assenza del lavoratore, a queste condizioni questa sarebbe in effetti legittimata ad astenersi dal redigere il documento programmatico; ma che dire se uno dei dipendenti presentasse una richiesta di adesione ad un sindacato? Oppure, nel caso in cui un lavoratore fosse vittima di un infortunio, sarebbe possibile gestire la pratica senza trattare alcun dato sensibile relativo alla diagnosi? E se l’ufficiale giudiziario notificasse un provvedimento del tribunale per il pignoramento del quinto dello stipendio di un dipendente? O ancora, nel comune caso in cui la lavoratrice comunichi il suo stato di gravidanza alla quale sussegua i periodo di maternità obbligatoria, facoltativa e permessi per allattamento? E’ evidente che in molti casi evitare lo sconfinamento che riporterebbe tale datore di lavoro nell’obbligo di redigere il DPS potrebbe essere alquanto difficile. Decidere quindi di redigere o meno il DPS in base ad un esame generico della propria struttura organizzativa eseguito in un dato momento, potrebbe essere fuorviante e condurre ad errori di valutazione importanti.

Non ultimo aspetto da considerare, è che, essere non obbligati per legge a redigere il documento programmatico, non equivale a non essere obbligati ad adottare le misure di sicurezza minime ed ulteriori sui dati personali trattati in azienda. Rimanendo obbligatorio e sanzionabile provvedere a tutti gli adempimenti che rimangono inalterati, ovvero ad esempio , la nomina degli incaricati al trattamento di dati personali, e la distribuzione delle responsabilità, la rete informatica adeguata con un sistema di autenticazione, un sistema antivirus efficace ed aggiornato, il cambio periodico delle password, la pianificazione della formazione del personale,etc.
Pur considerando specificamente caso per caso, la linea suggerita attualmente da Federprivacy è quella di continuare a tenere comunque un aggiornato documento programmatico per la sicurezza dei dati personali, il quale, oltre che scongiurare situazioni di inimmaginata sanzionabilità, rappresenta una valida guida programmatica interna con ogni criterio di verifica per il controllo e la gestione degli adempimenti comunque obbligatori, in special modo quelli rientranti tra le misure minime, sanzionabili penalmente.
Se poi, in conclusione, ricordiamo che, in sostituzione del DPS, si sarebbe comunque obbligati a redigere annualmente una autocertiifcazione resa ai sensi dell’art. 47 del D.P.R. n. 445 del 28 dicembre 2000, nella quale si dichiari di aver attuato tutte le misure di sicurezza, (che devono essere effettivamente adottate, altrimenti a nulla servirebbe tale documento sostitutivo), allora è dissolto ogni dubbio, che in fin dei conti, è opportuno pensarci bene prima di accantonare il DPS, con l’auspicio di vedere presto ulteriori interventi in materia di privacy da parte delle istituzioni.