2012: cambi radicali per la privacy

16/03/2012
di Valentina Frediani

Privacy e Regolamento EuropeoA cavallo tra il 2011 ed il 2012, la normativa privacy ha subito modifiche radicali, che non si avevano praticamente da fine 2008, quando l’ultimo “privacy-shock” è stato imputabile all’emanazione del Provvedimento in materia di amministrazione del sistema.
Due i grandi temi degli ultimi mesi: abolizione del documento programmatico di sicurezza  (DPS), riduzione del concetto di interessato a sola persona fisica. Contrariamente a quello che mi aspettavo, l’abolizione del DPS (ancora in Parlamento, ad oggi non passata definitivamente) non è stata accolta da tutti come una liberazione, anzi molti responsabili dei sistemi informativi, in particolare nelle strutture più articolate, si sono lamentati di avere d’ora in poi uno strumento in meno da utilizzare come perno per ottimizzare l’organizzazione  e dare continuità nella gestione dei sistemi, con la “scusa” della legge sulla privacy. La riduzione del concetto di interessato ha poi portato molti a ritenere prossimo l’abbandono dell’interesse del legislatore all’applicazione della normativa privacy nei rapporti B2B (cosa peraltro inesatta, ma ne parleremo in altra occasione …).
Molti però si sono chiesti: alla luce di tutte queste modifiche, cambia qualcosa in merito agli obblighi sull’ADS?

Amministratori di sistema: il provvedimento inapplicabile alla lettera
Come accennavo prima, il provvedimento datato 27 novembre 2008, poi entrato definitivamente in vigore un anno più tardi, ha creato non pochi problemi ed imbarazzi applicativi, obbligando moltissime realtà medio-grandi, ad adottare soluzioni di registrazione degli accessi logici degli ADS appunto ai sistemi, con obbligo di conservazione per sei mesi delle registrazioni da mantenersi complete, inalterabili e con adeguate possibilità di verifica dell’integrità delle medesime; il “mantenimento” degli obblighi consequenziali al provvedimento è stato sancito mediante l’obbligo di verifica con cadenza almeno annuale da parte del Titolare/Responsabile,  in modo da controllare la rispondenza della soluzione adottata, alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
All’epoca quindi – e successivamente su ogni nuovo sistema – gli step di applicazione comportavano: mappatura dei sistemi, verifica di quali fossero destinatari dell’obbligo di adozione della soluzione di registrazione log, individuazione degli ADS interni ed esterni (e su questi verifica degli ADS in grado di loggarsi al sistema del titolare o svolgenti attività in outsourcing), individuazione del prodotto, assegnazione delle credenziali di autenticazione, avvio della registrazione, manutenzione della conservazione, relazione annuale al 15 dicembre. Riassunto in poche parole, un provvedimento che ha sconvolto letteralmente le aziende. Anche sotto il profilo economico. Provvedimento ridimensionato più volte dal Garante quando ormai però era stato emanato e costitutiva oggetto di potenziale controllo, rientrando peraltro tra le misure di sicurezza obbligatorie.

Ancora obbligatoria l’applicazione del provvedimento?
È normale dunque che ad oggi, con tutte queste modifiche, in molti si stiano ponendo la fatidica domanda: è ancora da applicarsi il provvedimento o no? Anzitutto occorre specificare che l’eventuale abolizione del DPS non impatta in modo diretto sul provvedimento, perché fine a sé stessa. Semmai essendo che molti il controllo annuale lo facevano in corrispondenza dell’aggiornamento del DPS, evidentemente dovranno rifasarsi (anche se stando alla lettera del provvedimento il controllo dovrebbe avvenire al 15 dicembre di ogni anno); quello che invece davvero impatta, è la ridefinizione del concetto di interessato. Difatti, venendo meno la persona giuridica dalla definizione (ora interessato è solo la persona fisica) va da sé che il provvedimento si applicherà esclusivamente sui sistemi aventi ad oggetto il trattamento di dati di “persone fisiche”. Da ciò deriva quindi una ampia riduzione della portata del provvedimento che in concreto applicherò ad esempio: sui sistemi di gestione del personale, su quelli che hanno ad oggetto dati sensibili (sanitari, sindacali), su quelli che ovviamente hanno DB di persone fisiche (chi effettua B2C, assicurazioni, banche, sistemi IP di videosorveglianza) ma che escluderò su quei sistemi che hanno in gestione esclusivamente persone giuridiche. Quindi in effetti le cose cambiano.

Rimappare i sistemi
Ora però il grande problema sarà capire la convenienza  di fare dei passaggi a ritroso: difatti, disapplicare parzialmente il sistema di loggatura credo possa creare difficoltà simili a quelle affrontate in fase di adozione (occorrerà capire quanto siano “scindibili” i sistemi che ospitano solo dati personali). Inoltre, per molte aziende il provvedimento sull’ADS è divenuto oggetto di controllo da parte di organismi di vigilanza ai fini della 231, ed un modo per gestire  soprattutto le verifiche sugli accessi da remoto o on site, di ADS esterni alla struttura. Insomma sarebbe come ricominciare da capo, dover rimappare come e quando applicare il provvedimento. Inoltre, essendo prossima l’emanazione del Regolamento europeo che sembra che darà varie incombenze proprio sotto il profilo della sicurezza, abbandonarlo adesso o ridurlo sui sistemi in gestione potrebbe essere una mossa poco intelligente, meglio operare forse a bocce ferme post-regolamento, spulciati i contenuti e gli obblighi imposti.

 

 

Riproduzione riservata ©

ALTRE NEWS

smart working
Dal lavoro da remoto allo Smart Working, cosa serve e cosa manca

Il mondo del lavoro, nelle modalità adottate, sta vivendo cambiamenti significativi. La pandemia ha costretto la maggioranza di imprese ed enti a rivedere i processi… Leggi Tutto

Industrial IoT e privacy by design: come applicare correttamente il GDPR ai dispositivi

Articolo Pubblicato da IOTtoday il 30 Ottobre 2020 La compliance in materia di privacy riguarda anche l’Industrial IoT e le sue linee di produzione. Sistemi e macchinari… Leggi Tutto

White Paper Colin: Raccomandazione EDPB 1/2020
Addio Privacy Shield: il nostro White Paper dedicato alla Raccomandazione 1/2020 EDPB

La Corte di Giustizia dell’Unione europea ha invalidato, lo scorso 16 luglio 2020, la decisione di adeguatezza del Privacy Shield, in merito al regime di… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form