Semplificazione privacy: vantaggi e svantaggi di autocertificazione e dps

Ancora sul tema della semplificazione in materia di privacy per evidenziare alcuni aspetti, relativi alla sostituzione dell'obbligo del dps con l'autocertificazione, che possono essere fonte di perplessità o di pericolosa sottovalutazione nell'applicazione della normativa.

L'autocertificazione, innanzitutto, non è un obbligo ma una facoltà la cui applicazione è rimessa alla discrezionalità del soggetto, persona fisica o giuridica, titolare dei dati.

L'esercizio di questa facoltà implica, tuttavia, una attività di accertamento diretta a verificare che:

  1. la tipologia dei dati sensibili trattati sia soltanto quella prevista dalla legge
  2. i dati sensibili trattati siano riferibili esclusivamente ai soggetti indicati
  3. i dati sensibili trattati siano protetti da misure di sicurezza

Per quanto riguarda le prime due verifiche, l'accertamento deve condurre, in sostanza, alle seguenti conclusioni:

  • non esiste alcuna documentazione concernente dati sensibili diversi da quelli relativi allo stato di salute o malattia oppure all'adesione ad organizzazioni sindacali
  • nessun documento concernente lo stato di malattia o salute deve riportare informazioni di natura diagnostica
  • i dati sensibili devono essere riferiti o riferibili ai soli dipendenti e collaboratori, anche a progetto, del titolare

La casistica documentale da esaminare può essere molto ampia, a seconda del contesto di riferimento, ma è comunque consigliabile un impegno particolare nella identificazione di tutti i possibili trattamenti.

A questo proposito alcuni dei documenti nei quali possono "nascondersi", più spesso, dati di natura sensibile non ammessi al beneficio della semplificazione sono i curriculum vitae (informazioni su attività politica o adesione a particolari fedi religiose, ecc...) e gli altri atti concernenti la gestione del personale (permessi per attività politica o manifestazioni religiose, aspettativa per cariche politiche, documentazione sanitaria recante l'indicazione di una diagnosi, particolari accorgimenti alimentari nella fruizione del servizio mensa, ecc... ).

Se supportata da una adeguata fase di verifica dei presupposti, la semplificazione può comportare una riduzione delle spese, mentre, in caso contrario, questa riduzione rischia di essere vanificata dall'assunzione di responsabilità, anche di tipo penale, connesse con l'autocertificazione stessa.

Altra questione di una certa importanza è poi quella connessa alla scomparsa del documento programmatico sulla sicurezza ed ai conseguenti vantaggi che esso offre.

Al di là delle inevitabili tendenze a fare di tale adempimento un atto puramente burocratico o uno sterile esercizio di copia ed incolla, il dps costituisce, infatti, una evidenza documentale dell'approccio adottato dal titolare per garantire la sicurezza dei dati trattati, sia in termini di analisi dei rischi che di identificazione, pianificazione ed attuazione delle misure di protezione.

Esso svolge una funzione utilissima, non soltanto a livello organizzativo, ma anche in caso di controlli ed in un contesto difensivo derivante da eventuali controversie.

Ovviamente l'adozione dell'autocertificazione determina una rinuncia a tali vantaggi che va ponderata attentamente, anche perchè la mancata redazione ed aggiornamento del documento non implica, altresì, una esenzione dall'obbligo di protezione dei dati, essendo il titolare tenuto a proteggerli in modo specifico mediante idonee e preventive misure di sicurezza di cui deve dichiarare l'attuazione in fase di autocertificazione.

1 commenti:

Anonimo ha detto...

Molto interessante, chiaro e lineare, da visitare periodicamente e da consigliare.