Arrivano le nuove regole per la videosorveglianza, e gli utenti si agitano, sperano e si informano, ma in tutto questo le nuove regole cosa cambiano ? Sono più semplici ? Servono a qualcosa ?
Andiamo con ordine. A mio avviso le nuove regole portano un po' di chiarezza da un lato e limitano un po' la disciplina dall'altro. Di certo si è fatta chiarezza su molti punti e si sono confermati alcuni temi importanti, come ad esempio per la durata massima della conservazione della registrazione che rimane oggetto di discussione.
La documentazione delle scelte non c'è più. Nel documento reso disponibile sul sito del Garante ( www.garanteprivacy.it) non si menziona più la documentazione delle scelte, che invece faceva parte degli adempimenti indicati nel provvedimento del 2004 (punto 3.5). Personalmente ritengo sia un peccato, visto che il documento in questione era un modo a mio avviso valido ed economico per evidenziare i ragionamenti che avevano portato alla adozione di determinati sistemi di videosorveglianza ed alla scelta del loro impiego.
I cartelli, o per meglio dire le forme di semplificazione dell'informativa, sicuramente rimangono una caratteristica tipica di questa norma, e se da un lato possono generare confusione in chi deve predisporre gli adempimenti, visto che molti pensano di dover solo mettere dei cartelli, (http://crconsultingnet.typepad.com/blog/2010/03/videosorveglianza-e-adempimenti-ovvero-la-privacy-non-%C3%A8-un-cartello.html), dall'altro costituiscono una forma di semplificazione molto interessante che mi auguro venga trattata sempre
Le misure di sicurezza sono in bella mostra, ed insieme alle regole per responsabili e incaricati rivestono un ruolo significativo nella nuova normativa, e se da un lato la norma è orfana delle scelte, di fatto un qualche documento che comprovi l'adozione di misure di sicurezza idonee visto che i dati personali raccolti tramite videosorveglianza "....devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini (artt. 31 e ss. del Codice). ...".
Ma se questo documento assomiglia alla documentazione delle scelte con qualche variazione in più è un problema ? Probabilmente no, e le verifiche non tarderanno ad arrivare anche in questo caso, non ci dimentichiamo che le visite ispettive stanno aumentando di anno in anno, infatti, a giudicare dai dati pubblicati di anno in anno sempre dal Garante in occasione della relazione annuale le visite ispettive sono arrivate nel 2008 a 500 con circa il 68% delle ispezioni che si è concluso con una sanzione amministrativa oltre a diverse denunce all'Autorità Giudiziaria, sapremo a breve cosa è successo nel 2009 per quanto riguarda le ispezioni e le sanzioni.
Quali schemi di riferimento adottare per gli adempimenti ? Nulla di nuovo (purtroppo?) da questo punto di vista, nel senso che nelle nuove disposizioni non si menzionano standard di riferimento, e la cosa non mi sorprende. Se in un provvedimento di questo genere venisse indicato uno standard, lo stesso standard diventerebbe di fatto una legge, a discapito forse di altre metodologie, e siccome di metodologie valide ne esistono molte, sceglierne una risulterebbe forse limitante nei confronti del vero obbiettivo del provvedimento che, non dimentichiamolo, è la gestione della sicurezza dei dati personali raccolti anche tramite sistemi di videosorveglianza. Forse sembrerà didascalico, ma l'importante è che nel metodo scelto siano contenute disposizioni in grado di garantire, fra l'altro, confidenzialità, integrità ed accessibilità delle informazioni in questione.
Ma esiste un modo facile, e soprattutto economico, per adempiere a questo tipo di normative ? Ottime notizie, c'è. Sembra strano a dirsi, ma il modo facile ed economico consistere nello spendere [pochi] soldi per introdurre in azienda un nuovo processo. Che si parli di aziende piccole o grandi, (ma le PMI hanno i maggiori vantaggi) il modo più semplice ed economico consiste nell'introdurre nella cultura aziendale il processo di gestione della sicurezza delle informazioni, il concetto di protezione dei valori aziendali e di conseguenza dei dati personali, a prescindere che vengano acquisiti da videosorveglianza o meno.
E' semplice perché, se affrontato correttamente, non stravolge la vita dell'azienda e una volta preso il via non comporta particolari scadenze dell'ultimo minuto, visto che tutte le scadenze si integreranno con la normale vita dell'azienda, fino a non essere più percepite come una anomalia rispetto al quotidiano.
E' economico perché, se ci si affida all'azienda giusta, si riesce a limitare, ed in alcuni casi ad evitare, l'acquisto di piattaforme hardware/software, spesso molto onerosi, che se usati male non introducono in azienda alcun processo di gestione e si limitano a vincolare i processi aziendali esistenti dentro regole funzionali pensate da chi ha scritto il software, spesso senza conoscere minimamente la vostra realtà aziendale. E' anche possibile migliorare ulteriormente l'economicità di questo processo se si riesce ad integrare il processo di gestione dei dati personali con la gestione della sicurezza dei dati aziendali in generale, aumentandone quindi la sicurezza.
Insomma, credo che le nuove regole da un lato abbiano risolto diverse questioni sollevate in questi anni dagli utenti, ma dall'altro ne hanno introdotte di nuove, lasciando alle aziende il compito di adempiere secondo quanto indicato nella norma. Integrare un nuovo processo in azienda può sembrare complesso, ma in realtà è più semplice di quanto si possa pensare e sicuramente è più efficace e più economico che non cercare italiche scappatoie ad una normativa che di certo diventerà sempre di più parte integrante del nostro modo di fare azienda.
Di certo rimane una materia difficilmente affrontabile senza l'aiuto di consulenze esterne, soprattutto se parliamo di aziende di una certa dimensione, ma fortunatamente l'Italia è il paese dei santi, dei navigatori, ....e anche dei consulenti.
Carlo Rossi
CGEIT,CISA,L.A.ISO27001,ITILV3F
http://mitsloan.mit.edu/execed/cp/rossi.php
Managing Partner
CRConsultingnet Srl
Commenti