giovedì 8 settembre 2011

Misteri del DPS e il mito della data certa (post lavoro ispirato)

 Argomento del giorno: privacy, questa sconosciuta. 


Perché non sto scrivendo, come al solito, di supidaggini, libri, spazzatura differenziata, paure, bimbiminkia, Twilight e diete?! 
e, invece, ho pensato di scrivere questo post serio (o quasi)? 
Perché sull'argomento c'è un po' di confusione in merito, anche "grazie" (come sempre) a sedicenti colleghi consulenti aziendali, che si fanno pagare, immagino anche profumatamente, per dire, fare e far fare fesserie (anche ben confezionandole in blog bellissimi e pieni di paroloni, come mi è capitato di notare in questi giorni). 
Allora mi è venuto in mente che mi piacerebbe creare una sezione del blog un po' più seria (ma non troppo, eh!), dedicata ad argomenti vari che tratto per lavoro e che talvolta sono un soggetti alle interpretazioni più varie... Ovviamente, il mio blog conterrà la mia interpretazione delle cose, non sarà mai neanche lontanamente paragonabile ad un libro di testo o un sito di riferimento ufficiale, non mi farò mai pagare da nessuno per le cose che deciderò di postare qui, rimanderò sempre ai siti ufficiali di informazione per qualunque argomento mi verrà in mente e dirò cose di una banalità pazzesca per chi ha dimestichezza con gli argomenti... ma sarebbe bello se i miei argomenti, un giorno, potessero aiutare qualcuno... così come alcuni blog non ufficiali, che parlano di cose che sconosco, tipo cose di contabilità (che non so nemmeno nominare!), a volte, aiutano me.

Fatta questa doverosa premessa, che trovate qui, scritta anche un po' meglio (e quindi magari, potete leggerla)...

Tutti, bene o male, sanno che c'è la legge sulla privacy, che prima si chiamava "la (legge) 675 del 96" e adesso si chiama "il nuovo codice privacy" o "il decreto (legislativo) 196 del 2003". 
La consulenza sulla privacy, nell'ambito del mio lavoro, è quella che mi piace di meno, perché è la parte in cui inevitabilmente ci si scontra con gente che pensa sempre di saperne di più e che in effetti, spesso... posso dirlo? beh, spesso non ha capito una beata fava.
La legge sulla privacy è spesso soggetta a interpretazioni errate... mah... forse perché il decreto è molto lungo, quindi, non in molti lo hanno letto tutto... (questa è una mia cattivissima considerazione su alcuni colleghi).
Due volte ho litigato, o quasi (preciso che io non litigo: esprimo chiaramente le mie opinioni, ma lascio liberi gli altri di pensare quello che vogliono... certo, magari mettendo a verbale, se è il caso, che io la penso diversamente!), con persone che dimostravano di non avere la più pallida idea dell'argomento, ma che, dall'alto delle loro età e Professioni (con la P maiuscola),  pensavano di possedere la Conoscenza (con la C maiuscola!).
Mentre io, in fin dei conti, sono solo una laureata in biologia e che, spesso, dimostro anche meno anni di quelli che ho (e che quindi non sembra, a volte, che magari è vero che ho diversi anni di esperienza) e che ne posso sapere di questa legge, anche se l'ho studiata a lungo, mi sono documentata un sacco e se il sito del Garante è tra i miei preferiti dal 2004?!
Sì, ogni tanto sono antipatica, polemica e presuntuosa.


Comunque, i punti peggio interpretati, i dubbi che più assillano le aziende, almeno nella mia esperienza, che ho definito "Miti e misteri della legge sulla privacy" sono questi:
1) che cavolo è il consenso informato (o l'autorizzazione al trattamento dei dati personali) e perché devo far firmare ai miei clienti questo foglio inutile?
2) ma io, che distribuisco volantini, devo redigere il DPS?!
3) ok, ho aggiornato il DPS e adesso come faccio a mettere la data certa, me lo spedisco?

Che cavolo è il consenso informato.
Se un'azienda, per fornirci un servizio, deve trattare i nostri dati personali, soprattutto se si tratta anche di dati sensibili (relativi al nostro stato di salute, vita sessuale, convinzioni religiose e politiche, ecc.), ci deve chiedere il consenso / autorizzazione al trattamento dei dati personali.
Questa richiesta di autorizzazione (obbligatoriamente per iscritto, in diversi casi), spesso percepita, soprattutto paradossalmente dall'interessato (utente), come scocciatura infinita, va tutta a vantaggio dell'interessato (quindi di noi utenti), perché, tramite il "consenso", l'azienda ci chiede di darle l'autorizzazione ad usare i nostri dati, ma solo per i fini che essa stessa ha dichiarato. 
Infatti, l'azienda deve rendere disponibile un'informativa, allegandola alla modulistica del consenso o pubblicandola da qualche parte, tipo sul sito, in bacheca o dove si vuole, purché sia leggibile da chi si vuole prendere la briga di farlo. In questa informativa, l'azienda deve informarci di varie cose, tra cui di cosa se ne fa dei nostri dati personali... Insomma... se li urla dal balcone con il megafono, se li distribuisce sotto forma di volantini ai passanti, se li pubblica su internet a vantaggio di altre aziende che poi ci spaccheranno le scatole con tre telefonate al giorno, ecc.
So che ho appena detto una banalità pazzesca, per chi ha un minimo di dimestichezza con l'argomento, ma c'è tanta gente che non ne ha... io stessa non ne avrei, come non ne avevo prima di studiare la legge. 
Una volta mi è capitata una discussione surreale, non con un vecchietto o con una persona poco colta, no, mi è capitato con una laureanda, utente di un'azienda mia cliente, che si è rifiutata di firmare il consenso, farneticando le sue motivazioni... ovviamente alla tizia non è stato possibile erogare il servizio, perché se non si dà il consenso al trattamento dei dati personali, le aziende, non potendo trattare i nostri dati, spesso non possono fornirci alcun servizio.

Misteri del DPS e il mito della data certa.
Secondo il codice privacy, alcune tipologie di aziende devono produrre e aggiornare annualmente un documento noto come DPSDP (documento programmatico sulla sicurezza dei dati personali) o solo DPS, nel quale si devono mettere varie informazioni, tra cui relative a tipi di dati trattati, quali sono i rischi (tipo che entra un ladro e ti ruba gli archivi degli utenti), quali sono le misure preventive (non lasciare fogli in giro, mettere le sbarre alle finestre e firewall nel pc potrebbero essere alcune di queste), ogni quanto tempo fate il backup dei dati (perché lo fate, vero?), come fate a recuperare i dati se accidentalmente li cancellate e così via. 
La linea guida sul sito del Garante in proposito è molto più completa e più seria di me.
Oggi, dato che "nel più ci sta il meno", anche chi vende matite ha redatto il DPS... ma, in effetti, quali sono le tipologie di aziende che devono obbligatoriamente redigere il fantomatico documento? 
Le aziende obbligate a redigerlo sono quelle che trattano dati personali con l'ausilio di strumenti elettronici (art. 34 del Codice).
E comunque, anche chi non usa strumenti elettronici, deve adottare le misure di sicurezza minime e redigere delle procedure (che però non si chiamano DPS), che descrivono il trattamento dei dati, quali sono gli archivi, chi e come accede agli archivi (vedi l'art. 35 del Codice).
 
Riguardo al DPS, vi è poi una sorta di mito... quello della data certa.
Molte aziende, ogni anno, aggiornano e poi si spediscono il documento, acquisendo la data certa tramite il timbro postale (personalmente ho qualche dubbio sulla validità di questo metodo) o si fanno, più sensatamente, mettere un timbro alla posta o usano altri metodi che non ho mai approfondito. 
Ora... non che questa pratica, soprattutto la seconda, possa far male a qualcuno (anzi, potrebbe avere anche il suo perché, nell'eventualità di dover dimostrare di aver aggiornato il documento in quella precisa data), ma non è necessaria, tantomeno richiesta dal codice privacy. 
Il mito della data certa nacque, infatti, qualche anno fa, quando vi fu una proroga dei termini per l'adeguamento al codice privacy e, per usufruire della proroga, doveva essere prodotto un documento con data certa, che indicasse le ragioni della richiesta di proroga. Allora sì che ci voleva l'auto-spedizione, la fila alla posta, la timbratura al comune, ecc. Non è il caso del DPS.


Sito ufficiale sull'argomento privacy non è questo blog (per quello che ne sapete, io potrei essere una pazza farneticante) ma è quello del Garante.
Pro del sito del Garante: Abbastanza completo, molto interessante e aggiornato spesso. Contiene linee guida e opuscoli che possono essere usati per formazione/informazione di personale e utenti. E contiene il testo del codice privacy, aggiornato con successive modifiche e integrazioni.
Contro del sito del Garante: La sezione faq potrebbe essere davvero molto più ampia. Potrebbero pubblicare alcune cose per chiarire miti che andrebbero sfatati e invece non lo fanno. Dicono che rispondono ai quesiti, a me però non hanno risposto, anni fa, quando gli posi una domanda su qualcosa che oggi ho dimenticato (forse proprio sul mito della data certa).



UPDATE

Il Decreto-legge 9 febbraio 2012, n. 5 ha modificato alcune disposizioni del Codice in materia di protezione di dati personali, sopprimendo in particolare, dagli adempimenti in materia di misure minime di sicurezza, proprio il Documento Programmatico per la Sicurezza (DPS)

Dal sito del Garante (febbraio 2012)
NOTA IMPORTANTE: In riferimento all'obbligo, finora previsto, dell'aggiornamento entro il 31 marzo di ogni anno del Documento Programmatico per la Sicurezza (DPS), si segnala che il d.l. 9 febbraio 2012, n. 5 - convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35 (pubblicata sulla Gazzetta Ufficiale del 6 aprile 2012, n. 82) - ha, tra l'altro, modificato alcune disposizione del Codice in materia di protezione di dati personali, sopprimendo in particolare, dagli adempimenti in materia di misure minime di sicurezza, proprio il Documento Programmatico per la Sicurezza (DPS). Pertanto, l'obbligo di redigere e aggiornare periodicamente il citato DPS è venuto meno.




Fonte
Fonte: clicca sull'immagine.



9 commenti:

  1. Great site you have got here.. It's difficult to find quality writing like yours these days. I honestly appreciate individuals like you! Take care!!
    hardwood floors

    my web site installing hardwood floors
    my website: hardwood floor refinishing

    RispondiElimina
  2. For latest information you have to go to see world-wide-web and on the web I found this web site as a most excellent website for most recent updates.


    Here is my webpage :: hardwood flooring

    RispondiElimina
  3. Ahaa, its good discussion concerning this piece of writing at this place at this weblog, I have read all that, so now me also commenting at this place.


    my page hardwood floors prices
    my site > hardwood floors prices

    RispondiElimina
  4. Way cool! Some extremely valid points! I appreciate you writing this write-up and also the rest of the site is also
    very good.

    Also visit my web page: http://www.flooranddecoroutlets.com/hardwood-solid.html

    RispondiElimina
  5. This article offers clear idea for the new visitors of blogging, that in fact how to do blogging.



    Feel free to visit my blog post - hardwood flooring

    RispondiElimina
  6. Hello! This post could not be written any better! Reading through this post reminds me of my good old room
    mate! He always kept chatting about this. I will forward this post to him.
    Fairly certain he will have a good read. Many thanks for sharing!


    Visit my website ... nail fungus treatment

    RispondiElimina
  7. Hi, Neat post. There is a problem along with your web
    site in web explorer, might test this? IE still
    is the market chief and a large part of folks will miss your
    excellent writing because of this problem.

    Stop by my web-site :: hardwood flooring

    RispondiElimina
  8. Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina
  9. The idea of availing discount paphos car hire UKeven facilitates the customers with
    special offers and packaged deals. Pattaya paphos car hire is happy to announce the introduction of electronic immobilizers.
    But he fell short of the 50% needed for an outright victory.

    Also visit my web blog ... paphos car hire airport

    RispondiElimina

Grazie per essere passato/a da qui!
Thanks for stopping by!