É quanto stabiliscono le ”Linee guida“ per i siti web dedicati alla salute (che non riguardano comunque i servizi di assistenza sanitaria on line e la telemedicina) varate dal Garante privacy e pubblicata il 20/02/2012 sulla Gazzetta Ufficiale.

Il ricorso sempre più crescente alla rete da parte di persone che, nell’ambio di siti web, blog, forum, social network si scambiano informazioni, inviano commenti, chiedono consigli o consulenze, presenta, insieme ad un innegabile vantaggio per gli utenti, anche potenziali rischi connessi alla pubblicazione e alla diffusione on line dei dati relativi alla loro salute.

In base alle Linee guida del Garante, i gestori di siti, blog, forum, social network dedicati a tematiche relative alla salute, che prevedano o meno la registrazione degli utenti, dovranno inserire nella loro home page una specifica “avvertenza di rischio”, il cui scopo sarà quello di richiamare l’attenzione sui rischi connessi al fatto di rendersi identificabili sul web in relazione alla propria patologia. E questo anche alla luce della possibilità che tali informazioni possano essere indicizzate dai motori di ricerca generalisti o conosciuti dalla generalità degli utenti Internet e non dai soli iscritti al sito.

L’utente, così avvisato, potrà fare attenzione e decidere in modo più consapevole se inserire o meno dati personali (es. nome, cognome e-mail etc.) che possano rivelare, anche indirettamente, la propria identità o quella di terzi, così come se pubblicare foto o video che consentano di rendere identificabili persone e luoghi. L’utente sarà invitato a dare conferma di aver preso visione dell’ “avvertenza di rischio”, barrando un’apposita casella.

I siti che prevedono la registrazione saranno tenuti anche ad informare gli utenti sugli scopi per i quali i dati sono richiesti, sulle modalità del loro trattamento, sui tempi di conservazione, sul diritto di cancellare, aggiornare, rettificare o integrare i dati così raccolti, come previsto dal Codice sulla Privacy.

Il Garante ha stabilito, infine, che i dati raccolti dai gestori dei siti dovranno essere protetti da rigorose misure di sicurezza, dovranno restare riservati e non essere comunicati o diffusi a terzi, e dovranno essere trattati solo da personale autorizzato.

fonte Garante Privacy [link]

Dopo le introduzioni da parte del Dott. Marco Rosso, presidente DMA Italia e dell’avv. Bolognini il “Garante della Privacy” ha voluto subito prendere la parola sotto la gestione del moderatore e giornalista parlamentare del TG2 Luciano Ghelfi.
“Evitare la schizofrenia!” l’imperativo del Garante Pizzetti, alla fine del suo mandato.
L’eccessivo controllo, anche da parte dello stato, dei propri cittadini come nei casi dei movimenti bancari di ogni tipo, anche quotidianamente.
Il direct marketing aggressivo e la politica Americana di Obama in merito hanno fatto da padroni in questo dibattito.
Il problema dell’OPT-in e dell’OPT-out, termini che indicano l’accesso e l’uscita alle informazioni commerciali alle quali ci registriamo e ci fanno registrare quotidianamente, ha reso attuale e molto pratica l’applicazione dei temi alla realtà dell’uomo qualunque, del cittadino tartassato giornalmente e costantemente. Diversi i provvedimenti dell’Autorità Garante in merito, ma pochi i risultati effettivi.
La profilazione delle nostre abitudini su internet (attraverso i cookies) e non solo, e la successiva pubblicità mirata hanno portato a riflessioni profonde anche sulla qualità dei dati in rete sopratutto dopo l’avvento dei social network che ha amplificato la quantità di informazioni spazzatura sulla rete, molto spesso inattendibili e non fruibili per qualunque fine.

La domanda da porsi è la seguente: è possibile gestire i sistemi globalizzati?

A oggi la soluzione italiana al trattamento eccedente dei dati personali è rappresentato dal Registro delle opposizioni che, se non risolve i problemi, si pone oggettivamente come uno strumento ulteriore di segnalazione all’autorità Garante.
Da Marzo 2011 a Dicembre 2011 le segnalazioni di telefonate non desiderate, anche grazie al registro, sono state 3500!
Altri elementi dibattuti hanno riguardato le regole internazionali sul Copyright, con la citazione di realtà come Pirate Bay e Megaupload. Il ditritto di proprietà, rappresentato dalla protezione economica dell’opera intellettuale sono una delle basi della Privacy, come citato anche dal 4° emendamento americano che protegge la proprietà dell’individuo.
Il cloud computing, rappresenta un altro problema per la protezione dei dati poiché molto spesso dietro l’offerta dei servizi si celano secondi fini nascosti che danneggiano il cittadino.
Infine la questione legata alle grandi multinazionali, come Google, Facebook, Apple che per tutelare la privacy, in assenza di una normativa internazionale comune e globalizzata, cercano, da soli, di darsi le regole migliori e condivise per garantire, a detta loro, la sicurezza dei propri utenti e clienti…Ma siamo sicuri che sono così buoni con tutti noi?

Dott. Daniele Scopece, docente e consulente in materia di Privacy ex D.lgs 196/03 smi
[Riproduzione vietata]

Come annunciato il tanto atteso Decreto Semplificazioni ha prodotto i suoi frutti.

Il decreto semplificazioni (Decreto legge n. 5 del 9/2/2012) è ormai legge, dopo la pubblicazione in Gazzetta Ufficiale (n. 33 il 9/2/2012 suppl. ordinario n. 27) e la conseguente entrata in vigore in data 10/2/2012.

Il cosiddetto decreto “Salva Italia” del 6 dicembre 2011 n.201 approvato con legge di conversione 22 dicembre 2011 n.214 e pubblicata sulla G.U. il 27 dicembre scorso aveva già apportato delle modifiche al testo del decreto relativo alla Protezione dei Dati Personali, in particolare all’art. 4 comma 1- lett. b) ex D.lgs. 196/03. In quest’occasione parlando di dato personale e di interessato al trattamento si era fatto ben intendere che la persona giuridica non era compresa in questo ambito. Nella pratica, alla persona giuridica, ente o associazione, non si applicano più i diritti dell’interessato dell’art. 7 e per “non” addolcire la pillola, non valgono più le misure di tutela per il trasferimento dei dati all’estero. Un’azienda non potrà più far ricorso al Garante in caso di trattamento illecito o non conforme alla legge sui dati a lei riferiti come persona giuridica e poiché i provvedimenti sui dati personali riferiti a persone giuridiche non saranno più applicabili non saranno più necessarie:

• l’informativa al trattamento dei dati personali verso persone giuridiche (clienti, fornitori, partner, etc..);
• le richieste di consenso, anche per finalità commerciali o di marketing, sempre nei confronti delle persone giuridiche.

L’architettura legislativa che era un modello europeo di tutela ed estensione dei diritti anche per le persone giuridiche, perde di valore in poche nuove righe.

Come previsto l’ Art. 45  del D.L. 5/2012 legifera nuove disposizioni in materia di misure minime di sicurezza ex “Codice in materia di protezione dei dati personali”.

Tale D.L. modifica anche il decreto (n.138 del 2011) che aveva introdotto la possibilità di autocertificazione in sostituzione del DPS “per i soggetti che trattano soltanto  dati  personali  non sensibili e che trattano  come  unici  dati  sensibili  e  giudiziari quelli relativi  ai  propri  dipendenti  e  collaboratori,  anche  se extracomunitari, compresi quelli relativi al coniuge e ai parenti”. Lo stesso Garante della Privacy, Francesco Pizzetti aveva già commentato queste novità dichiarando che “sono certo maggiori i potenziali costi, relativa ai rischi che comporta, che gli attesi vantaggi in ordine alla riduzione degli oneri” (Il Sole 24ore – 10 dicembre 2011).

Al decreto legislativo 30 giugno 2003, n. 196, sono quindi apportate le seguenti modificazioni:

a) all’articolo 21 dopo il comma 1 è inserito il seguente: «1-bis. Il trattamento dei dati giudiziari è  altresì  consentito quando è effettuato in attuazione  di  protocolli  d’intesa  per  la  prevenzione e il contrasto dei fenomeni di  criminalità  organizzata  stipulati  con  il  Ministero  dell’interno  o  con  i  suoi   uffici  periferici di cui all’articolo 15, comma 2, del  decreto  legislativo 30 luglio 1999,  n.  300,  che  specificano  la  tipologia  dei  dati  trattati e delle operazioni eseguibili.»;
b) all’articolo 27, comma 1, è aggiunto, in  fine,  il  seguente periodo: “Si applica quanto previsto dall’articolo 21, comma 1-bis.”;
c) all’articolo 34 è soppressa la lettera g) del comma 1  ed  è  abrogato il comma 1-bis; (abrogazione obbligo D.P.S. e autocertificazione)
d) nel disciplinare  tecnico  in  materia  di  misure  minime  di sicurezza di cui all’allegato B sono soppressi i paragrafi  da  19  a 19.8 e 26.

COSA DEVONO FARE LE AZIENDE IN MATERIA DI PRIVACY?

Innanzitutto l’adeguamento alla Privacy in Italia NON È la redazione del DPS, già in vigore con l’ex D.lgs. 675/96, così come sarebbe sciocco pensare che la sicurezza sul lavoro sia solo la redazione del Documento di valutazione dei rischi (ex D.lgs. 81/08 smi), senza pensare minimamente alla reale sicurezza dei lavoratori, o, come nel nostro caso, dei dati delle persone e dei loro diritti di riservatezza. Come ho avuto spesso occasione di dire ai nostri clienti, il Garante ha sempre inteso l’adeguamento come una misura “cautelativa”, ricordando che il 90% delle sanzioni nasce da segnalazioni di privati e non da controlli degli organi competenti.

Il DPS non è che una delle misure minime di sicurezza obbligatorie, finalizzate alla riduzione dei rischi di distruzione, perdita, accesso non autorizzato e trattamento non consentito di dati personali.

Lo stesso articolo 34 infatti specifica come il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le misure minime ancora obbligatorie riportate in basso.

Chi in questi anni ha provveduto onestamente all’adeguamento alla norma sa che la Privacy è un’orchestra costituita, anche dopo il Decreto semplificazioni obbligatoriamente,  da:

1. designazioni e nomine (responsabili e incaricati interni e esterni, amministratori di sistema, responsabili della videosorveglianza);
2. obblighi di informativa ed eventuale consenso al trattamento (art. 13)
3. particolari provvedimenti generali dell’autorità Garante (videosorveglianza, amministratori di sistema, custodia delle password, utilizzo di Internet e mail nei luoghi di lavoro, ecc.)
4. previsioni specifiche previste nelle autorizzazioni generali o in provvedimenti simili (autorizzazione al trattamento di dati genetici, dati relativi al traffico ecc.).

RICORDATE che Rimangono in vigore sanzioni e potenziali controlli da parte dell’Autorità Garante, anche tramite il nucleo operativo privacy della GDF (su 230 controlli nel 1semestre 2011, 181 sono stati sanzionatori).

Eliminare il D.P.S. non vuol dire abrogare la Privacy e fregarsene della sicurezza dei dati.
Il titolare coscienzioso, elaborerà comunque un documento di sintesi sugli adempimenti minimi di sicurezza previsti anche per risparmiarsi un sacco di fatica in caso di controllo.
Il titolare più ingenuo riterrà che la Privacy sia solo una perdita di tempo e soldi e che questa è l’occasione giusta per avere una scusa!
La lungimiranza e il successo appartengono a pochi.
Chi vuole avere successo sa che occorre assumersi le proprie responsabilità, perciò se il decreto avrà nella prassi l’effetto di spingere i titolari a sostituire il D.P.S. eccessivamente formale dell’All. B con un nuovo documento più flessibile, il legislatore avrà raggiunto un risultato di pregio.

Articolo a cura del Dott. Daniele Scopece, consulente e docente in materia di Privacy

[RIPRODUZIONE VIETATA]