Amministratori di sistema: proroga dei termini per l'adozione delle misure

A seguito delle indicazioni formulate nel corso di una consultazione pubblica, il garante della privacy ha emanato nuove disposizioni per modificare il precedente provvedimento concernente le misure di sicurezza applicabili agli amministratori di sistema.

Le modifiche si giustificano con l'intento di facilitare l'adozione delle misure, anche per quelle realtà aziendali nelle quali determinati servizi informatici sono forniti da società esterne.

In tal senso l'autorità ha consentito che gli adempimenti connessi all'individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dai responsabili del trattamento.

Inoltre i termini per l'adozione delle misure tecniche ed organizzative sono stati prorogati al 15 dicembre 2009.

Di seguito riepilogo, per comodità, le porzioni del provvedimento originario oggetto delle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Aggiunta del punto 3-bis:

dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali".

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Il trattamento dei dati personali nelle controversie transfrontaliere

Le informazioni hanno assunto, da tempo, il ruolo di supporto decisionale fondamentale non soltanto nel business, ma anche nella risoluzione delle controversie che rappresentano ormai un evento, tutt'altro che remoto, nel contesto di rapporti negoziali e commerciali sempre più complessi, articolati e, spesso, estesi al di là dei tradizionali confini geografici.

Grazie all'utilizzo diffuso delle nuove tecnologie, le informazioni sono oggi generate, per la quasi totalità, in forma digitale e una parte consistente di esse non è neppure riprodotta su supporti fisici.

Inoltre, una quota, più o meno consistente, di questo immenso flusso informativo elettronico è probabilmente rappresentata dai dati personali oggetto, come è noto, delle particolari tutele previste dalla direttiva 95/46/CE.

Allo stato attuale permane una situazione di conflitto, abbastanza reale, tra l'ambito geografico di applicazione delle leggi europee sulla protezione dei dati personali e la natura multinazionale delle numerose società che, pur avendo sede in uno degli stati membri UE, fanno, in realtà, parte di gruppi societari esteri.

Esiste, infatti, la possibilità che la risoluzione delle controversie, nelle quali queste entità siano eventualmente coinvolte, sia devoluta a giurisdizioni diverse da quelle dei paesi membri UE, il che pone, in relazione alla normativa europea, alcune questioni, di non facile soluzione, concernenti la conservazione preventiva dei documenti - cosiddetto freezing - e la discovery, cioè il processo volto a garantire che tutte le parti possano utilizzare le informazioni rilevanti ai fini della controversia incluse, ovviamente, quelle memorizzate in forma elettronica.

A complicare ulteriormente il quadro, il fatto che lo scopo, le norme e le procedure che regolamentano la discovery differiscono, anche sensibilmente, tra gli ordinamenti di common law (U.S, UK) e quelli di civil law (paesi UE): ad esempio, negli Stati Uniti le parti devono rispettare gli obblighi imposti dalle procedure e sono indotte a scambiarsi, prima della prova, non solo le informazioni pertinenti, ma anche quelle che potrebbero portare alla divulgazione di altri aspetti rilevanti ai fini della risoluzione della controversia.

Peraltro, queste informazioni non sono affatto circoscritte ai soli dati personali, ma possono comprendere anche dati sensibili, come quelli sanitari, le e-mail ed i dati di terze parti (dipendenti o clienti), generando preoccupazioni per il rispetto della segretezza delle comunicazioni e il trattamento dei dati personali secondo le normative europee.

Nella maggior parte degli ordinamenti di civil law, invece, l'approccio è più restrittivo, limitando la divulgazione a ciò che è strettamente necessario ai fini della prova e lasciando alle singole parti l'onere, ma non l'obbligo, di offrire elementi a sostegno della loro causa. In alcuni ordinamenti, addirittura, sono state introdotte leggi che impediscono la divulgazione di informazioni a giurisdizioni straniere.

Proprio per garantire un corretto bilanciamento tra gli obblighi di protezione di matrice europea e le esigenze delle giurisdizioni straniere, il Gruppo di lavoro dell'art. 29 della direttiva 95/46/CE ha rilasciato un documento nel quale chiarisce quali siano i presupposti e le condizioni da rispettare per poter ritenere legittimo il trattamento dei dati personali nell'ambito delle controversie di natura transfrontaliera ed in considerazione delle varie fasi del contenzioso, compresi il mantenimento, la divulgazione, il trasferimento e l'utilizzo per finalità secondarie.

Photo credit: ilco

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.

Marketing telefonico e privacy: verso un sistema di opt-out ?

L'istituto italiano privacy ha recentemente presentato un disegno di legge sul marketing telefonico con il quale si propone di abbandonare il sistema vigente, basato sul consenso preventivo dell'utente (opt-in), in favore del più flessibile sistema di opt-out, già in uso in altri paesi.

Semplificando, la principale differenza è che gli utenti che vorranno opporsi al trattamento dei propri dati per finalità di marketing attraverso il mezzo telefonico, dovranno iscriversi in un apposito registro tenuto dal garante.

L'iniziativa trae origine dall'esigenza, comunemente avvertita, di rendere meno rigida la normativa del settore, facilitando le attività di business, ma senza privare i cittadini degli strumenti fondamentali per l'esercizio dei loro diritti, tra cui quello di controllare la diffusione ed il trattamento dei propri dati personali.

Sebbene sia convinto anche io dell'opportunità di modificare le norme vigenti e condivida le finalità di un equo bilanciamento dei contrapposti interessi, cui la relazione introduttiva del disegno di legge fa riferimento, vorrei fare alcune precisazioni su alcuni passaggi del ddl che hanno attratto la mia attenzione.

Iscrizione nel registro

L'articolo 1, comma 4, così dispone:

L’iscrizione al registro non preclude i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24. L’iscrizione al registro ha effetto entro 30 giorni dal giorno successivo a quello della richiesta. Tale iscrizione è sempre revocabile dall’interessato, ha una durata di ventiquattro mesi e può essere rinnovata in qualunque momento. L’iscrizione cessa automaticamente quando cambi, per qualsivoglia motivo, l’intestatario della numerazione.

Il meccanismo delineato in questo comma mi sembra poco bilanciato, a discapito degli utenti, poichè pone, a loro carico, l'onere di rinnovare esplicitamente l'iscrizione nel registro delle opposizioni, una volta che siano passati 24 mesi dalla prima richiesta.

Credo sarebbe più equo prevedere, dopo la prima richiesta, un rinnovo tacito della iscrizione per un eguale durata, salvo contraria ed esplicita indicazione da parte degli interessati.

Questi ultimi risulterebbero meglio tutelati in questo modo, non essendo costretti a ricordare, ogni due anni, di esercitare nuovamente il loro diritto.

Al contrario, invece, l'onere di attivarsi per impedire un rinnovo tacito dell'iscrizione non risulterebbe altrettanto gravoso per quei soggetti che dovessero maturare nel frattempo un ripensamento.

Organizzazione e gestione del registro

Secondo l'articolo 1 , comma 5:

Il Garante può suddividere il registro in più sezioni separate per diversi settori di attività, individuate e aggiornate tenendo conto della classificazione delle attività economiche definita dall’ISTAT, con la conseguente facoltà degli interessati di chiedere l’iscrizione in una o in più sezioni.

In questo caso vedrei come opportuna la specifica che l'iscrizione nel registro, effettuata senza indicare la sezione di appartenenza, si intende riferita implicitamente a tutte le attività economiche.

Illeciti

L'articolo 3, comma 1, prevede:

All’articolo 162 del decreto legislativo 30 giugno 2003, n. 196 è aggiunto il seguente comma:

“3. La violazione del diritto di opposizione come risultante dal registro di cui all’articolo 129, comma 2 o delle disposizioni contenute nel comma 8 dell’art. 129, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.”

La previsione di nuove fattispecie di illecito amministrativo si inquadra, giustamente, nell'esigenza di sanzionare in modo rigoroso i comportamenti scorretti degli operatori.

In tale prospettiva si potrebbe, inoltre, valutare l'opportunità di sanzionare, eventualmente come circostanza aggravante del trattamento illecito dei dati (art. 167), l'aver commesso il fatto in violazione delle disposizioni di cui all'art. 129.

Ovviamente, trattandosi di un progetto di legge, bisognerà attendere ancora a lungo prima che esso si trasformi, se mai, in norme vincolanti.

Senza dubbio, però, un passo importante è stato intrapreso nella direzione di un cambiamento che, da tempo, sembra essere invocato da più parti.

Corso online (gratuito) su direct marketing e privacy

Photo credit: hbrinkman

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.