mercoledì 1 febbraio 2012

Privacy: le "semplificazioni" del D.Lgs. Monti


Finalmente è stato pubblicato il Dlgs Monti che contiene tutta una serie di norme legate alle "semplificazioni" in materia di Privacy. Come sempre le associazioni di categoria e i giornali hanno titolato a 4 colonne "SEMPLIFICATA LA PRIVACY" e nei commenti non si legge altro che: "Le aziende non devono fare più nulla in ambito privacy."
Questo approccio gestito in maniera semplicistica e facilona, come spesso succede quando si parla di privacy, non fa altro che illudere le aziende, per poi in sede di eventuali controlli da parte della guardia di finanza generare pianti e stridore di denti.
Cerchiamo di fare chiarezza, leggendo la manovra Monti che all’art. 40, comma 2, dice: “2. Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196: a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”. b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse. c) Il comma 3-bis dell’articolo 5 è abrogato. d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso. e) La lettera h) del comma i dell’articolo 43 è soppressa.”
Il concetto base di questi articoli è il seguente: viene soppresso dalla definizione di interessato il concetto di persona giuridica ovvero l'ambito di applicazione della legge tocca solamente i dati che riguardano le persone Fisiche e non più le persone giuridiche(aziende associazione etc).

A prima vista può sembrare una grande semplificazione per le aziende e spesso si è sentito dire in questi giorni: "io vendo solo ad altre aziende non a privati quindi…."
Ciò, tuttavia, non significa che le imprese non debbano seguire la norma del Codice della privacy e le indicazioni del Garante per la protezione dei dati relativi alle persone fisiche poiché esse trattano, e continueranno a trattare, anche dati di persone fisiche. 

 
Le imprese giornalmente gestiscono ad esempio nome dell’amministratore di altra società, il nome ed ill cognome del direttore marketing o di quello di produzione , il nome della segretaria del commercialista o dell'avvocato, il nome ed i riferimenti personale che fa assistenza tecnica ai computer.
NON ESISTE AZIENDA che tratti dati solo di persone giuridiche.
Non scompare neppure la figura della persona giuridica infatti troviamo i riferimenti a questa categoria nella definizione di “abbonato”. Questo comporta che il telemarketing su elenchi ricade all'interno del Dlgs 196 sulla privacy con relative sanzioni e non vengono meno neppure le tutele riservate agli abbonati.
Ecco quindi che le agognate semplificazioni si trasformano in un ulteriore aggravio o meglio le Aziende e le imprese dovranno: Modificare le informative ai clienti e fornitori per essere sostituite da informative alla persone giuridiche per le persone fisiche che ci stanno dietro
Riverificare le misure minime di sicurezza solamente nell'ambito degli archivi che contengono riferimenti a persone fisiche nel dubbio di scordare qualche cosa. Modificare il nostro Documento Programmatico sulla Sicurezza per contenere solo alcune banche dati stravolgendo una struttura che negli anni si era consolidata e il cui mantenimento era semplice.
Modificare le nomine agli incaricati
Dovremo quindi di fatto rivedere tutta la nostra documentazione per adeguarla alla semplificazione. PrivacyLab sta procedendo a tappe forzate per implementare tutti i cambiamenti che queste presunte semplificazioni ci hanno portato per riuscire a rendere meno impattante e problematico il cambiamento
Mentre i nostri tecnici e i nostri consulenti lavorano anche di notte una domanda sorge spontanea: "Ma se fossero stati fermi non era più semplice?"

Ho tratto quest post dalle newsletter dello staff di PrivacyLab, con cui CD Bergamo coopera da anni nel campo delle consulenze privacy aziendali che, nello specifico vengono gestite dal sottoscritto.
In estrema sintesi quindi, possiamo dire che dal punto di vista della gestione intra-aziendale della documentazione ex D.Lgs. 196/2003 il D.Lgs Monti cambia le carte in tavola ed il modo di redigere il Documento Programmatico sulla Sicurezza.