Domanda:"Siete in regola con gli adempimenti per la privacy sulla videosorveglianza?" Risposta: "Si, abbiamo messo i cartelli !"
Questo ipotetico scambio di battute è quello che sentiremmo, nella maggior parte dei casi, se potessimo bussare alla porta di tutte le aziende che hanno un impianto di videosorveglianza, e la cosa preoccupante è che spesso chi dà la risposta di cui sopra pensa di aver fatto tutto ciò che c'è da fare, e di essere al riparo da sanzioni o peggio da conseguenze penali, ma si sbaglia di grosso, Perché?
Beh, perché la privacy non è in un cartello, o per meglio dire, i cartelli non sono gli unici adempimenti previsti dalla normativa.
In realtà anche in questo caso si assiste ad una confusione generale causata, involontariamente, dall'approccio tipico di chi vuole il risparmio a tutti i costi e, per non chiedere consigli a pagamento, si basa su quello che ha fatto il collega imprenditore (se lo fa lui perché devo spendere soldi chiedendo informazioni?), o gli ha consigliato l'amico ('metti i cartelli come ho fatto io, tanto li scarichi gratis da internet') e tutto finisce lì, e andrebbe anche bene, se non fosse che il malcapitato si è appena candidato per una sonora multa o per conseguenze di tipo penale. Vediamo perché.
Inizio facendovi una domanda semplice e vera, e per domanda 'vera' intendo un domanda a cui dobbiamo rispondere seriamente e senza condizionamenti. La domanda è:
"Avete mai letto il provvedimento del Garante sulla Videosorveglianza?"
(il provvedimento integrale è disponible gratuitamente sul sito del Garante www.garanteprivacy.it)
Se la risposta alla domanda è 'no', allora temo che gli adempimenti che avete predisposto autonomamente possano non bastare ed il rischio è serio. Cosa avreste trovato nel provvedimento se lo aveste letto ?
Beh, intanto avreste potuto inserire i trattamenti di immagini nel contesto più generale della gestione dei dati personali in maniera molto organica perché, non lo dimentichiamo, la privacy non è un certificato così come gli adempimenti per la videosorveglianza non sono un cartello, e questo avrebbe potuto dare una immagine più completa del problema; in seconda battuta avreste anche trovato l'elenco degli adempimenti da predisporre, alcuni più articolati di altri, e vi sarebbe apparso chiaro come i cartelli siano in realtà solo una parte di quanto è necessario fare.
Ormai mi occupo di tematiche connesse alla Privacy da un po' di tempo, e i rischi maggiori che ho riscontrato da parte di chi sceglie il 'fai da te', sono causati spesso dalla errata convinzione che 'far fare la Privacy' a consulenti esterni costi molto, e che serva solo a far spendere soldi per predisporre due certificati e un po' di cartelli e, come spesso accade, la verità sta nel mezzo.
Se da un lato è vero che ci sono strutture consulenziali che esagerano nel voler vendere i servizi a carissimo prezzo (anche quando si potrebbero utilizzare i processi di semplificazione presenti da tempo nella normativa), dall'altro è vero che la pigrizia dell'utente e la voglia di risparmio a tutti i costi portano spesso a scegliere il servizio più economico, senza curarsi dei contenuti del servizio stesso, e qui, potenzialmente, iniziano i problemi, perché si spendono pochi soldi ma non si raggiunge comunque l'obbiettivo.
Non mi stancherò mai di dire che, a mio modesto avviso, il risparmio maggiore nel tempo, lo si ottiene interpretando la normativa nel suo senso più ampio, ovvero, come un processo di gestione della Privacy che è consigliabile inserire fra i normali processi di gestione dei dati importanti della nostra azienda mentre, al contrario, cercare di risparmiare sulla privacy a tutti costi (DPS online a pochi euro, videosorveglianza [dis]fatta affiggendo due cartelli scaricati gratis da internet, etc..) espone a rischi e produce solo costi.
Faccio alcune considerazioni:
1. le ispezioni sono in forte aumento (500 ispezioni solo nel 2008, tendenza in aumento), e navigando nel sito del Garante si scopre che sono in forte aumento le sanzioni e le conseguenze penali. Le multe inflitte possono facilmente diventare a 4 o 5 zeri in funzione delle mancanze,
2. gli adempimenti sulla Privacy sono diversi, non si limitano a DPS (o autocertificazione nel caso si scelga di utilizzare le semplificazioni disponibili) e la mancata adozione anche di uno solo degli accorgimenti richiesti rischia di farci presentare un conto salato in caso di ispezione,
3. se cerchiamo il risparmio a tutti costi sicuramente troviamo chi fa il DPS online a poche centinaia di euro, o i cartelli per la videosorveglianza gratuiti (sono disponibili anche sul sito del garante, www.garanteprivacy.it, proprio alla fine del provvedimento che dovremmo leggere), ma esiste anche chi effettua lo stesso servizio al costo di alcune decine di migliaia di euro presso la vostra azienda e se, come spesso accade, la verità sta nel mezzo allora probabilmente è il caso di diffidare sia degli uni che degli altri e cercare una sana via intermedia,
4. se inseriamo il processo di gestione della Privacy in azienda, e iniziamo a proteggere i dati personali come dati 'preziosi' per il nostro lavoro, come in realtà sono (si pensi anche solo ai dati riferiti ai nostri clienti), ci rendiamo conto che il nostro modo di lavorare cambia in positivo, aumenta la consapevolezza dei dipendenti e diminuisce il rischio di 'perdere' informazioni che possono risultare preziosissime per i nostri obiettivi professionali, e di fatto i costi riferiti alla Privacy possiamo considerarli come un investimento sulla protezione delle informazioni preziose per la nostra attività.
Tutto bello, ma alla fine cosa bisogna fare ? Semplicemente bisogna fare delle scelte attente e consapevoli.
Attenzione a scegliere come affrontare la privacy in generale, e sulla videosorveglianza in particolare, per evitare multe o conseguenze penali, attenzione a come scegliamo i consulenti (ad esempio: il nostro solito avvocato, il nostro solito commercialista o uno specialista della privacy?) per evitare che i costi troppo bassi nascondano inefficienze e rischi, e infine, ma non ultimo, attenzione a verificare che l'operato delle persone/professionisti/aziende a cui abbiamo dato l'incarico sia coerente con le nostre aspettative, visto che, in ogni caso, è il Titolare del trattamento ad assumersi i rischi di quanto viene, o non viene, realizzato.
Carlo Rossi
CGEIT, CISA, Lead Audtor ISO27001
Per informazioni sui nostri servizi di consulenza inviare una email a info@crconsultingnet.it
Corsi di riferimento:
- Disaster Recovery Plan designhttp://www.crconsultingnet.it/ita/Formazione/Disaster-Recovery-Plan-Design-–-DRP-Design |
||
- IT & Data Privacyhttp://www.crconsultingnet.it/ita/Formazione/IT-Data-Privacy |
||
- Sistemi di gestione della sicurezza delle informazionihttp://www.crconsultingnet.it/ita/Formazione/Sistema-di-gestione-della-sicurezza-delle-informazioni |
||
- Sicurezza Informatica per utentihttp://www.crconsultingnet.it/ita/Formazione/Sicurezza-informatica-per-utenti |
Commenti