2012: cambi radicali per la privacy

A cavallo tra il 2011 ed il 2012, la normativa privacy ha subito modifiche radicali, che non si avevano praticamente da fine 2008, quando l’ultimo “privacy-shock” è stato imputabile all’emanazione del Provvedimento in materia di amministrazione del sistema.
Due i grandi temi degli ultimi mesi: abolizione del documento programmatico di sicurezza  (DPS), riduzione del concetto di interessato a sola persona fisica. Contrariamente a quello che mi aspettavo, l’abolizione del DPS (ancora in Parlamento, ad oggi non passata definitivamente) non è stata accolta da tutti come una liberazione, anzi molti responsabili dei sistemi informativi, in particolare nelle strutture più articolate, si sono lamentati di avere d’ora in poi uno strumento in meno da utilizzare come perno per ottimizzare l’organizzazione  e dare continuità nella gestione dei sistemi, con la “scusa” della legge sulla privacy. La riduzione del concetto di interessato ha poi portato molti a ritenere prossimo l’abbandono dell’interesse del legislatore all’applicazione della normativa privacy nei rapporti B2B (cosa peraltro inesatta, ma ne parleremo in altra occasione …).
Molti però si sono chiesti: alla luce di tutte queste modifiche, cambia qualcosa in merito agli obblighi sull’ADS?

Amministratori di sistema: il provvedimento inapplicabile alla lettera
Come accennavo prima, il provvedimento datato 27 novembre 2008, poi entrato definitivamente in vigore un anno più tardi, ha creato non pochi problemi ed imbarazzi applicativi, obbligando moltissime realtà medio-grandi, ad adottare soluzioni di registrazione degli accessi logici degli ADS appunto ai sistemi, con obbligo di conservazione per sei mesi delle registrazioni da mantenersi complete, inalterabili e con adeguate possibilità di verifica dell’integrità delle medesime; il “mantenimento” degli obblighi consequenziali al provvedimento è stato sancito mediante l’obbligo di verifica con cadenza almeno annuale da parte del Titolare/Responsabile,  in modo da controllare la rispondenza della soluzione adottata, alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
All’epoca quindi – e successivamente su ogni nuovo sistema – gli step di applicazione comportavano: mappatura dei sistemi, verifica di quali fossero destinatari dell’obbligo di adozione della soluzione di registrazione log, individuazione degli ADS interni ed esterni (e su questi verifica degli ADS in grado di loggarsi al sistema del titolare o svolgenti attività in outsourcing), individuazione del prodotto, assegnazione delle credenziali di autenticazione, avvio della registrazione, manutenzione della conservazione, relazione annuale al 15 dicembre. Riassunto in poche parole, un provvedimento che ha sconvolto letteralmente le aziende. Anche sotto il profilo economico. Provvedimento ridimensionato più volte dal Garante quando ormai però era stato emanato e costitutiva oggetto di potenziale controllo, rientrando peraltro tra le misure di sicurezza obbligatorie.

Ancora obbligatoria l’applicazione del provvedimento?
È normale dunque che ad oggi, con tutte queste modifiche, in molti si stiano ponendo la fatidica domanda: è ancora da applicarsi il provvedimento o no? Anzitutto occorre specificare che l’eventuale abolizione del DPS non impatta in modo diretto sul provvedimento, perché fine a sé stessa. Semmai essendo che molti il controllo annuale lo facevano in corrispondenza dell’aggiornamento del DPS, evidentemente dovranno rifasarsi (anche se stando alla lettera del provvedimento il controllo dovrebbe avvenire al 15 dicembre di ogni anno); quello che invece davvero impatta, è la ridefinizione del concetto di interessato. Difatti, venendo meno la persona giuridica dalla definizione (ora interessato è solo la persona fisica) va da sé che il provvedimento si applicherà esclusivamente sui sistemi aventi ad oggetto il trattamento di dati di “persone fisiche”. Da ciò deriva quindi una ampia riduzione della portata del provvedimento che in concreto applicherò ad esempio: sui sistemi di gestione del personale, su quelli che hanno ad oggetto dati sensibili (sanitari, sindacali), su quelli che ovviamente hanno DB di persone fisiche (chi effettua B2C, assicurazioni, banche, sistemi IP di videosorveglianza) ma che escluderò su quei sistemi che hanno in gestione esclusivamente persone giuridiche. Quindi in effetti le cose cambiano.

Rimappare i sistemi
Ora però il grande problema sarà capire la convenienza  di fare dei passaggi a ritroso: difatti, disapplicare parzialmente il sistema di loggatura credo possa creare difficoltà simili a quelle affrontate in fase di adozione (occorrerà capire quanto siano “scindibili” i sistemi che ospitano solo dati personali). Inoltre, per molte aziende il provvedimento sull’ADS è divenuto oggetto di controllo da parte di organismi di vigilanza ai fini della 231, ed un modo per gestire  soprattutto le verifiche sugli accessi da remoto o on site, di ADS esterni alla struttura. Insomma sarebbe come ricominciare da capo, dover rimappare come e quando applicare il provvedimento. Inoltre, essendo prossima l’emanazione del Regolamento europeo che sembra che darà varie incombenze proprio sotto il profilo della sicurezza, abbandonarlo adesso o ridurlo sui sistemi in gestione potrebbe essere una mossa poco intelligente, meglio operare forse a bocce ferme post-regolamento, spulciati i contenuti e gli obblighi imposti.