Sono state pubblicate sul sito del Garante per la protezione dei dati personali ( www.garanteprivacy.it ) le nuove procedure semplificate per l’applicazione delle misure minime di sicurezza ed in tema di notificazione dei trattamenti dati personali al Garante. Vediamo dunque in cosa consistono alcune semplificazioni e chi sono i fortunati (se ci sono e se lo sono davvero…) destinatari.
Alcuni esempi di semplificazione
La semplificazione comporta innazi tutto l’abbandono dell’onere di dare per iscritto le istruzioni agli incaricati in materia di adozione delle misure di sicurezza. Secondo l’Autorità Garante infatti, tale nomina con i suoi contenuti potrà essere rilasciata oralmente.
Su questo primo punto nutro legalmente dei dubbi: se un datore di lavoro può rilasciare la nomina oralmente, come dimostrerà di aver adempiuto correttamente al rilascio della stessa? Ma soprattutto, qualora l’incaricato violasse l’adozione di misure di sicurezza indicate oralmente dal datore di lavoro, quest’ultimo sarà in grado di provare “giudizialmente” quali esatte indicazioni aveva rilasciato al proprio dipendente ed in che termini?
Sulla nomina orale francamente ritengo che seppur semplificativa specialmente in realtà di grandi dimensioni, possa peggiorare le cose sul fronte più problematico, ovvero le ipotesi in cui occorra dimostrare se il datore di lavoro ha omesso o meno il rilascio della nomina, e quali istruzioni fossero davvero contenute nella nomina orale.
La questione va oltretutto affrontata sotto i due punti di vista giuridici delle parti interessate: il lavoratore rischia dei richiami per non essersi attenuto alle istruzioni oralmente impartite quando potrebbe non averle comprese o comprese in modo errato; dall’altra, il datore di lavoro potrebbe non saper dimostrare di aver rilasciato la nomina, potendo essere “accusato” in tal caso di omissione di tale adempimento…
Seconda semplificazione: i programmi di sicurezza possono essere aggiornati una volta l’anno. In sostanza gli antivirus non dovranno più essere aggiornati semestralmente come previsto dall’Allegato B al decreto legislativo n. 196/2003, ma con cadenza annuale. Ora, io non sono un informatico e posso quindi poco dire in materia tecnica, ma mi chiedo se sia proprio opportuno fare un aggiornamento di un antivirus una volta l’anno… la situazione mi sembra un tantino rischiosa… ma lascio ovviamente le considerazioni a chi ha esperienza nel settore..
Semplificazione anche per il modello di notificazione da compilare ed inviare via web al Garante: l’Autorità ha stabilito che le informazioni da inviare si riducono essenzialmente a sei:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
Chi sono i destinatari della semplificazione?
Eccoci all’aspetto che può interessare maggiormente: chi sono i fortunati destinatari della semplificazione? I destinatari sono soggetti pubblici o privati che:
1) utilizzino dati personali non sensibili o che trattino come unici dati sensibili quelli riferiti ai propri dipendenti e collaboratori anche a progetto (per dati sensibili si intendono quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale);
2) trattino dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
L’inquadramento è piuttosto chiaro, ma secondo la previsione del Garante si direbbe che restano fuori dalle semplificazioni quelle strutture private o pubbliche che detengano dati giudiziari di tipo “ordinario”: intendo in sostanza quei soggetti che detengano dati giudiziari derivanti da recupero crediti o contenziosi in essere con controparti.
Alla categoria dei dati giudiziari difatti l’Autorità non sembrerebbe far riferimento, benché siano di non poca diffusione (quante aziende hanno eseguito nella loro vita un recupero credito o partecipato ad un contenzioso…). Eppure nella semplificazione non se ne parla, o meglio se ne parla solo in occasione dei trattamenti effettuati senza l’ausilio della strumentazione informatica (pertanto su supporto cartaceo) e quello che viene stabilito ricalca sostanzialmente quanto già previsto dal legislatore nel decreto legislativo n. 196/2003.
Quindi la domanda nasce spontanea: che la semplificazione riguardi una fetta di destinatari un po’ ristretta? Fuori poi dalla lettura del provvedimento, c’è da dire che forse le misure di sicurezza in Italia andrebbero valorizzate, non ridotte. Ma questa è un’altra storia.
Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it