Arriva l'estate, e insieme al bel tempo e alle ferie arriva la relazione al Parlamento del Garante che contiene, come al solito, informazioni interessanti su come si sta evolvendo il panorama Privacy in Italia e su cosa è stato fatto nel 2009. Cosa ne emerge ?
Nel 2009 ci sono state molte più sanzioni (circa l'82% delle ispezioni ha avuto come esito una sanzione rispetto al 68% circa del 2008) e le segnalazioni alla Autorità Giudiziaria sono più che triplicate (9,58% delle ispezioni rispetto al 2,40% del 2008), senza contare che sono state di recente inasprite diverse misure sanzionatorie. Ma si riesce ad adempiere alla normativa in maniera efficace, ed evitare quindi le multe o peggio le segnalazioni alla Autorità Giudiziaria, come ha fatto il 18% circa delle aziende ispezionate, senza spendere un patrimonio ? Personalmente ritengo di sì, vediamo come.
Innanzitutto è importante chiedersi cos'è la Privacy ? E la prima risposta importante consiste nel fatto che la Privacy, come identificata dalla normativa, non è e non vuole essere un certificato, bensì un processo di gestione della sicurezza dei dati personali. Ovvio a questo punto che se quello che abbiamo predisposto in azienda sono solo cartelli, certificati e DPS (a volte copiato cambiando il nome dell'azienda), e non abbiamo fatto fare nemmeno una valutazione di massima a qualcuno con competenze specifiche in materia di Privacy (non tutti gli avvocati hanno competenze specifiche o esperienza in materia di Privacy, come non ce l'hanno tutti i Commercialisti, e/o consulenti tecnici di vario tipo, siano essi professionisti o aziende) è probabile che siamo a rischio di sanzione. Perché?
Beh, la normativa sulla Privacy non è una banalità, non è la richiesta di un ennesimo pezzo di carta da mostrare in caso di ispezione, al contrario, prevede che siano definite ed effettuate alcune attività specifiche che vanno dall'analisi dei rischi che incombono sui dati alla definizione (e quindi alla verifica di funzionalità) di una piano di ripristino dei dati personali entro sette giorni dalla eventuale indisponibilità, alla analisi e definizione del personale che può avere accesso ai dati personali compresi quelli contenuti in eventuali riprese effettuate con sistemi di videosorveglianza e così via.
Detta così sembra una cosa molto complessa, molto laboriosa e soprattutto molto costosa, in realtà la verità sta nel mezzo come spesso accade.
Per le aziende che hanno una complessità o una dimensione tale da prevedere l'utilizzo di dati personali sensibili all'interno della loro normale attività, soprattutto in alcuni ambiti specifici che possono variare dal settore farmaceutico/sanitario alle gestioni finanziarie e altri ancora, la normativa può sicuramente risultare complessa, al contrario, per le aziende che non hanno particolari utilizzi dei dati personali la situazione è molto più semplice anche grazie alle semplificazioni ed ai chiarimenti introdotti nella normativa di recente da parte del Garante.
Allora perché ci sono comunque molte sanzioni ? Ovvio che andando ad analizzare la situazione alcune cose saltano agli occhi.
Ad esempio ben 24 violazioni di rilevanza penale su 43, ovvero più della metà, hanno riguardato il mancato adempimento alle Misure Minime di Sicurezza (MMS), nota dolente della normativa da molto tempo, e personalmente ritengo, pur non avendo conferme in merito e basandomi solo sulla mia esperienza di consulente, che diverse di queste situazioni siano state dovute ad un approccio superficiale nei confronti della normativa.
Molto spesso mi è capitato di sapere di aziende che non fanno la formazione obbligatoria o magari pensano di limitarsi a predisporre un registro firmato dai dipendenti (cone se bastasse ai fini ispettivi) oppure, in altri casi, pensano di farsi predisporre un DPS dal primo consulente di passaggio, o farsi un DPS 'on-line', senza occuparsi di verificare che le soluzioni proposte siano realmente utili, ed in questo caso mi riferisco alla possibilità di sfruttare quanto previsto dall'impianto normativo in vigore in materia di semplificazione delle Misure Minime di Sicurezza ed alla possibilità di evitare in toto l'obblgo di redazine del DPS o di arrivare ad una sua versione semplificata o alla emissione di una autocertificazione, soluzioni che possono essere adottate ma solo in presenza di alcune condizioni di contorno.
In altri casi si eccede in prudenza e si cerca la soluzione al provvedimento sugli amministratori di sistema, magari dietro sollecitazione di un produttore/venditore di soluzioni software o hardware, senza aver verificato di essere veramente obbligati ad adempiere (anche in questo caso ci sono delle esenzioni a fronte di condizioni specifiche) oppure senza aver verificato che il resto della normativa, tipo DPS, videosorveglianza o formazione, siano effettivamente a norma, e in questi casi il risultato è il peggiore possibile perché da un lato crescono i costi di adempimento e dall'altro non si è comunque completata l'adozione di quanto richiesto dalla legge.
Insomma, non è sicuramente semplice, ma non deve essere necessariamente un bagno di sangue, e sono proprio i dati a dirlo, anzi, ad urlarlo.
Proviamo a vedere i dati da un'altra angolazione, ovvero, circa IL 18% DELLE ISPEZIONI NON HA PRODOTTO SANZIONI, questo a significare che adempiere alla normativa è possibile ma non semplice e quindi :
- non sempre ricorrere alla soluzione più economica è la cosa giusta da fare (vedi DPS online, cartelli videosorveglianza sparpagliati sui muri, adempimenti tecnici lasciati ad avvocati e/o commercialisti che non abbiano competenze specifiche in termini di adempimenti Privacy o autocertificazioni copiate senza discernimento, ma solo per fare alcuni esempi),
- non sempre ricorrere al tool più articolato per la normativa sugli amministratori di sistema, o al più economico, è la scelta migliore, anzi, nessuna scelta in merito alla Privacy, così come le scelte in generale, può considerarsi valida se non è preceduta da una analisi fatta da personale competente,
in buona sostanza, NON CONFONDETE L'OBBIETTIVO CON LO STRUMENTO, o per dirla con un detto che reputo molto sensato "Uno sciocco con uno strumento, rimane pur sempre uno sciocco", o per dirla nella sua lingua orginale "A fool with a tool is still a fool".
Anche i migliori tool che riuscite ad immaginare hanno un limite, ossia quello di poter automatizzare un processo, o fornire una documentazione, o testimoniare una attività solo se il processo da automatizzare/documentare esiste nell'organizzazione dell'azienda, inutile quindi pensare al tool con cui gestire la Privacy in azienda se prima non si pensa a come gestirla, e quindi ne consegue che nessun tool è utile se il processo di gestione della Privacy non viene prima pensato, implementato e gestito.
Quale rimane la strada migliore da percorrere ?
Difficile a dirsi senza un minimo di contesto in più, ma in linea generale possiamo sicuramente affermare che prima di predisporre adempimenti in merito alla Privacy, o dare mandati per farlo, è bene accertarsi che il piano degli adempimenti da realizzare sia realmente coerente con un processo di gestione della Privacy o che, come minimo, ci sia assoluta chiarezza in azienda su cosa la Privacy prevede e come lo si può ottenere, dopodiché rimane campo libero alle scelte, anche perché la responsabilità sulla Privacy può essere sì condivisa tramite la nomina di un Responsabile, anche esterno, come previsto dalla legge, ma non può mai essere alienata dalla figura del Titolare del trattamento, cui verranno sempre e comunque imputate le eventuali mancanze in materia di privacy, e quindi attenzione a scegliere con cura il consulente a cui date l'incarico o il tool che sceglierete per gli adempimenti, sempre ché un tool sia necessario o indispensabile, il ché è tutto da dimostrare, come dichiarato a chiare lettere anche dal Garante.
Carlo Rossi
CISA, CISM, CGEIT, Lead Auditor ISO27001
Commenti