8 luglio 2009
Privacy… ADS ennesima proroga
Siamo alle solite: con un provvedimento pubblicato sulla G.U. del 30 giugno 2009 l’Autorità per la protezione dei dati personali, a seguito della consultazione pubblica avviata un mese fa sul proprio sito e delle richieste provenienti da diverse associazioni imprenditoriali, ha prorogato il termine (che scadeva proprio il 30 giugno) per l’adozione delle misure tecniche e organizzative introdotte dal provvedimento del 27 novembre 2008 in materia di amministratore di sistema. La nuova scadenza è fissata al 15 dicembre 2009.
Come al solito, prima si introducono norme rigidissime e per certi versi incomprensibili e poi, come di consueto, si rinvia tutto di mese in mese. Accadde così anche nel 2004 all’epoca dell’entrata in vigore del Codice della privacy, allorchè l’adozione delle misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B), che inizialmente doveva avvenire entro il 30 giugno 2006, fu differita più volte sino a slittare al 31 marzo 2006.
Nel recente provvedimento si prevedono alcune semplificazioni ed integrazioni che, a detta del Garante, dovrebbero rendere più agevoli per le imprese i nuovi adempimenti, mantenendo pur sempre elevato il livello di protezione dei dati personali e le garanzie per i cittadini.
Con il nuovo provvedimento scompare l’obbligo di inserire l’elenco degli amministratori di sistema nel DPS e tale elenco potrà essere conservato in un apposito documento che il titolare dovrà conservare separatamente.
Qualora l’attività dell’amministratore di sistema comporti trattamenti di informazioni di carattere personale dei lavoratori, la conoscibilità dell’ADS da parte dei lavoratori oltre che con ordini di servizio, pubblicazione nella intranet, informativa ai dipendenti e regolamento interno in materia di utilizzo di Internet e posta elettronica, è possibile anche tramite procedure formalizzate a istanza del lavoratore.
Il nuovo provvedimento del Garante potenzia il ruolo del responsabile del trattamento all’interno dell’organizzazione aziendale, dato che adesso anche questa figura (e non più soltanto il titolare) può svolgere l’attività annuale di verifica sull’operato degli ADS, sotto il profilo del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Inoltre il responsabile (e non solo il titolare) è tenuto – nel caso di servizi di amministrazione di sistema affidati in outsourcing – a conservare per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali ADS. Queste eventuali nuove attribuzioni del responsabile del trattamento relative all’attuazione delle prescrizioni sull’ADS debbono essere formalizzate o nella lettera di nomina quale ” responsabile del trattamento” oppure tramite opportune clausole contrattuali.
Malgrado la proroga al 15 dicembre 2009 (ma sarà l’ultima?), non si debbono in ogni caso sottovalutare gli adempimenti definiti dal provvedimento del 27 novembre 2008, anche alla luce della pesantissima sanzione amministrativa prevista dall’art. 162, comma 2-ter del Codice della privacy in caso di inosservanza delle prescrizioni del Garante: da trentamila euro a centottantamila euro.
Scritto il 27-5-2014 alle ore 17:22
Marcello buongiorno, sono ancora a richiedere il suo prezioso aiuto: ho un’azienda che produce dispositivi ortopedici (calzari, solette..) anche su presentazione di certificato medico.
Quindi presenza di dati sensibili cartacei e informatici. La ditta che segue l’azienda a livello di consulenza informatica (hardware e software) deve essere nominata (il titolare ovviamente) Amministratore di Sistema o posso rientrare nelle semplificazioni (vengono chiamati quando qualcosa non funziona o c’è da fare manutenzione sul server..etc) e quindi nominati semplicemente incaricati al trattamento in outsourcing.
Se devo nominarli Amministratori e loro si rifiutano di firmare o chiedono ulteriori soldi per accettare la nomina, l’unica strada è dargli il benservito?
grazie per l’aiuto!