PRIVACY: Governanti da medio evo – modifiche al 196/2003
Leggo dal Blog di Gigi Tagliapietra, che nelle pieghe di uno dei tanti disegni di legge della camera, è stato approvato un articolo che eviterebbe alle imprese sotto i 15 dipendenti di rispettare gli adempimenti previsti dal D.Lgs. 196/2003 (Codice della Privacy) anche per quanto riguarda le misure minime di sicurezza.
Tralasciando il fatto che tali misure ormai dovrebbero essere state prese tempo fa e pertanto non avrebbe molto senso eliminarle ora, bisogna notare quanto chi legifera in Italia sia anni luce lontano da quello che è il mondo reale.
Dopo le ridicole restrizioni a tutta una serie di siti, a loro dire, contro la morale, ora dimostrano come per primi considerino la privacy e la sicurezza una palla al piede, un iniquo obbligo che può essere imposto o tolto a seconda della bontà di chi ci governa.
Nascosti nella loro torre di avorio, allargano o stringono il cappio con cui ci tengono senza nemmeno capire l’effetto delle loro scelte.
Ci sono 334 persone che ritengono di poter lasciare incontrollati migliaia di computer e milioni di informazioni perché cosi si “agevolano le attività produttive e commerciali”.
Ma chi ha deciso che un computer può essere lasciato senza antivirus aggiornato e senza password ha mai acceso un computer? ha mai utilizzato un programma o navigato in internet?
Per fortuna che, come succede spesso in Italia, l’articolo è talmente impapocchiato che può essere interpretato in 2000 modi diversi per cui, probabilmente, nessuno si fiderà a smettere di fare qualcosa che la legge potrebbe ancora prevedere, ma forse no. ( Nel caso lo spiegherete alla Guardia di Finanza).
Io voglio approfittare per dire solo una ultima cosa:
Le misure di sicurezza non sono un peso, sono una garanzia.
Cosa pensereste di qualcuno che vi vendesse porte d’ingresso per la vostra abitazione senza serratura perché così “evitate la scocciatura del mazzo di chiavi”?
[...] sia risolto. A parziale giustificazione del mio comportamento, vorrei far notare che un minimo di notizia l’avevo comunque data. E ora aspettiamo la prossima stupidata da stroncare… Posted [...]
Carissimo,
innanzitutto si tratta di un Decreto Legge e non di un Disegno di legge. La legge è stata pubblicata in data 25 giugno in gazzetta ufficiale (D.L. 112/2008) e non esonera nessuno dall’obbligo di mettere in atto tutte le misure minime previste anche se prevede la non obbligatorietà per le imprese (a prescindere dal numero di addetti) di redegere il DPS. Si tratta di una semplificazione richiesta a gran voce soprattutto dalle associazioni che rappresentano le piccole imprese in quanto la redazione di un DPS aggiornato annualmente richiedeva un onere troppo elevato e non giustificabile sotto nessun punto di vista considerando il limitatissimo trattamento dei dati che viene fatto dalle stesse (soltanto per fatturazione…).
Ecco il testo dell’articolo:
Art. 29.
Trattamento dei dati personali
1. All’articolo 34 del decreto legislativo 30 giugno 2003, n. 196,
dopo il comma 1 e’ aggiunto il seguente:
«1-bis. Per i soggetti che trattano soltanto dati personali non
sensibili e l’unico dato sensibile e’ costituito dallo stato di
salute o malattia dei propri dipendenti senza indicazione della
relativa diagnosi, l’obbligo di cui alla lettera g) del comma 1 e di
cui al punto 19 dell’Allegato B e’ sostituito
dall’autocertificazione, resa dal titolare del trattamento ai sensi
dell’articolo 47 del decreto del Presidente della Repubblica
28 dicembre 2000, n. 445, di trattare soltanto dati personali non
sensibili, che l’unico dato sensibile e’ costituito dallo stato di
salute o malattia dei propri dipendenti senza indicazione della
relativa diagnosi, e che il trattamento di tale ultimo dato e’ stato
eseguito in osservanza delle misure di sicurezza richieste dal
presente codice nonche’ dall’Allegato B).».
2. Entro due mesi dall’entrata in vigore della legge di conversione
del presente decreto-legge, con un aggiornamento del disciplinare
tecnico adottato nelle forme del decreto del Ministro della giustizia
di concerto con il Ministro per la pubblica amministrazione e
l’innovazione e con il Ministro per la semplificazione normativa, ai
sensi dell’articolo 36 del decreto legislativo 30 giugno 2003, n.
196, sono previste modalita’ semplificate di redazione del documento
programmatico per la sicurezza di cui alla lettera g) del comma 1
dell’articolo 34 e di cui al punto 19 dell’Allegato B al decreto
legislativo 30 giugno 2003, n. 196 per le correnti finalita’
amministrative e contabili.
3. Qualora il decreto di cui al comma 2 non venga adottato entro il
termine ivi indicato, la disciplina di cui al comma 1 si applica a
tutti i soggetti di cui al comma 2.
4. All’articolo 38 del decreto legislativo 30 giugno 2003, n. 196,
il comma 2 e’ sostituito dal seguente:
«La notificazione e’ validamente effettuata solo se e’ trasmessa
attraverso il sito del Garante, utilizzando l’apposito modello, che
contiene la richiesta di fornire tutte e soltanto le seguenti
informazioni:
1) le coordinate identificative del titolare del trattamento e,
eventualmente, del suo rappresentante, nonche’ di un responsabile del
trattamento se designato;
2) la o le finalita’ del trattamento;
3) una descrizione della o delle categorie di persone
interessate e dei dati o delle categorie di dati relativi alle
medesime;
4) i destinatari o le categorie di destinatari a cui i dati
possono essere comunicati;
5) i trasferimenti di dati previsti verso Paesi terzi;
6) una descrizione generale che permetta di valutare in via
preliminare l’adeguatezza delle misure adottate per garantire la
sicurezza del trattamento.».
5. Entro due mesi dall’entrata in vigore della presente legge il
Garante di cui all’articolo 153 del decreto legislativo 30 giugno
2003, n. 196 adegua il modello di cui al comma 2 dell’articolo 38 del
decreto legislativo 30 giugno 2003, n. 196 alle prescrizioni di cui
al comma 4.
Far comprendere alle imprese che la legge privacy è una tutela e non un vincolo è cosa molto difficile. Di norma l’illuminazione avviene quando si ritrovano un problema tra i piedi, tipo un dipendente che se ne va con la banca dati clienti. Lo dico per esperienza, occupandomi da anni di adeguamenti al D.Lgs. 196/2003 ed avendo realizzato un blog (www.doctorprivacy.blogspot.com) dove ho raccolto una serie di notizie sull’argomento.
All’interno del blog e del sito www. doctorprivacy.it sono anche disponibili una serie di link di approfondimento.
andate a lavorare e poi potrete parlare.
Se non si ha una partita iva non si può capire.
Voi siete chiusi nelle vostre torri d’avorio….