Bologna – Il significato del seminario lo ha illustrato al meglio la professoressa Giusella Finocchiaro, ordinaria di diritto di Internet all’Università di Bologna, coordinatrice dell’incontro organizzato lo scorso 27 febbraio all’Università di Bologna: “Il nostro obiettivo era quello di presentare in maniera documentata i provvedimenti più recenti in materia di protezione dei dati personali, approfondendone profili di interesse e possibili criticità in dialogo diretto con l’Autorità”. Ed è per questo che alla giornata, la prima di una serie che approfondirà gli intrecci emergenti tra ” Diritto e Innovazione Tecnologica ” è stato invitato come relatore direttamente il Dott. Claudio Filippi, Direttore del Dipartimento Libertà Pubblica e Sanità presso l’Autorità Garante.
Filippi ha illustrato prima di tutto le misure assunte in materia di semplificazione degli adempimenti sulla sicurezza dei dati personali. In questo senso, con una serie di provvedimenti successivi ( qui , qui e qui ), l’Autorità ha inteso semplificare l’applicazione delle norme vigenti in particolare per quei soggetti che “utilizzano solo dati personali non sensibili”. In questo senso, è stata prevista la possibilità per alcuni soggetti di sostituire la tenuta del Documento Programmatico sulla Sicurezza strutturato con documenti di autocertificazione, alcuni obblighi di notifica sono stati soppressi, e sono state altresì semplificate alcune delle procedure in materia di informativa attribuzione del consenso. “Dopo diversi anni di applicazione del Codice” ha detto Filippi “ci si è resi conto che il grado di tutela richiesto dalle varie situazioni è spesso sensibilmente diverso: è difficile raffrontare le esigenze, ad esempio, di una struttura ospedaliera con quelle di un piccolo produttore di manufatti. A fronte di questo, il Garante ha voluto intervenire con alcune misure di semplificazione ed esenzione, tese a parametrare maggiormente il grado di protezione offerta rispetto alle esigenze del caso”.
Ma nel corso dell’incontro si è parlato anche delle prescrizioni introdotte dal Garante in materia di identificazione e tracking comportamentale degli amministratori di sistema. La prima notizia in questo senso è che il provvedimento è stato prorogato e non entrerà in vigore prima del 30 giugno 2009. Per quanto concerne invece il merito del provvedimento, illustrato da Finocchiaro, i punti principali riguardano l’obbligo per il titolare di identificare in maniera ufficiale l’amministratore di sistema – delineandone in modo esplicito le prerogative ed il tipo di professionalità – l’obbligo di effettuare verifiche periodiche sul suo comportamento, nonché di mantenere un registro degli accessi al sistema da parte del SysAd medesimo. Il registro, recita ancora il provvedimento, deve essere mantenuto per sei mesi, e registrato su un supporto che non consenta la sovrascrittura da parte di alcuno.
Spiega Finocchiaro: “L’amministratore è a tutti gli effetti figura coinvolta nell’applicazione della normativa sulla protezione dei dati personali. In questo senso, era assolutamente opportuno che il Garante intervenisse per identificare e responsabilizzare questa figura, prevedendo anche degli strumenti che consentissero di tracciarne gli accessi”. Sollecitata sulle possibili difficoltà applicative che il provvedimento comporta, invece, la docente commenta: “È vero: forse non sarà semplice tradurre in pratica la lettera della norma. Ma non va neppure dimenticato che il provvedimento nasce dopo diversi casi di cronaca famosi, in cui ci sono stati abusi gravi da parte dei system administrator Avendo presente quello scenario possiamo capire meglio perché siamo arrivati qui, e perché era necessario istituire una cornice di riferimento”.
Nel corso della giornata si è parlato anche del recente provvedimento – non ancora approdato in Gazzetta Ufficiale – che prevede l’inasprimento delle sanzioni amministrative in tutti i casi in cui le informative sulla privacy relative alla sicurezza dei dati non vengono presentate, o vengono presentate in maniera incompleta. In queste fattispecie, ha spiegato Filippi, vengono immediatamente applicate multe che vanno dai 20.000 ai 100.000 euro, e questo a prescindere da qualsiasi profilo penale.
Giovanni Arata