• informazioni@maragines.com

Protezione dati personali

On line il modello per comunicare i dati del DPO

È finalmente online il Modulo per la comunicazione dei dati di contatto del DPO/RPD all’Autorità Garante in Italia. Lo avevamo aspettato per mesi e negli ultimi giorni ho più volte detto ai miei clienti che, non essendoci ancora, dovevamo pazientare un poco, ma ora è qui, lo possiamo iniziare ad usare o possiamo prepararci di corsa per iniziare ad usarlo.

Cosa serve per compilarlo

Ci sono le istruzioni ma in effetti è una operazione molto semplice, per compilarlo servono tutte le informazioni del titolare dei trattamenti, la sua esatta denominazione, il codice fiscale (se ne ha uno), la sede legale, un numero di telefono (è obbligatorio), un indirizzo fisico e un indirizzo PEC.

Servono anche tutte le informazioni del DPO/RPD: quindi il suo cognome, il suo nome (come fossimo al servizio militare) il suo numero di telefono/cellulare un suo indirizzo di posta elettronica, e un indirizzo PEC.

Ma servono anche informazioni relative al soggetto che fa la comunicazione e la compila (e la dovrà firmare), cognome e nome (sempre come fossimo al servizio militare), e un indirizzo di posta elettronica. Questa persona dovrà anche firmare digitalmente un documento (quindi deve essere dotata, personalmente, di firma digitale).

Serve anche sapere dove e come si è resa nota l’esistenza del DPO/RPD, usando i “dati di contatto” pubblicati sul sito Internet o indicando dove sono stati indicati.

Per i gruppi imprenditoriali

Bisognerà valutare se il gruppo ha pensato e valutato di designare un RPD/DPO di gruppo, in quel caso bisognerà indicare gli estremi della società controllante (se non è il soggetto per cui si sta facendo la comunicazione) anche indicando gli estremi della comunicazione (se in Italia) o verso quale Autorità di controllo straniera è stata fatta la comunicazione.

Chi lo può compilare

Non lo può compilare, apparentemente, per sé, il DPO/RPD. Anche se questa è una mera deduzione personale che potrebbe essere sbagliata: niente vieta che il Responsabile per la Protezione Dati inserisca due volte il proprio nome: come persona che effettua la comunicazione su delega del titolare dei trattamenti.

Tuttavia le istruzioni e la modulistica non accennano nemmeno incidentalmente a questa ipotesi; questo ha quindi provocato la mia deduzione che il soggetto che effettua la dichiarazione non possa essere il DPO/RPD delegato dal titolare, ma, hai visto mai…

Come si fa

Semplice: si compila online in ogni parte, si compila anche il “Codice di sicurezza” e si “Invia”, ricevendo a questo punto un messaggio di posta elettronica con un file allegato che dovrà essere firmato (e l’Autorità raccomanda di firmarlo persino senza aprirlo, già…) il file file firmato con estensione p7m deve a questo punto essere inviato e il soggetto che effettua la comunicazione riceverà un ID Provvisorio di comunicazione.

L’Autorità effettuerà i controlli formali, verificherà tra l’altro che il file inviato e il file firmato siano identici (per questo raccomanda persino di non aprilo…).

Se l’Autorità verificherà che formalmente non ci sono vizi, accoglierà la comunicazione e di conseguenza:

  • scriverà al “soggetto che ha effettuato la comunicazione” dandogli un numero di protocollo che diverrà importantissimo;
  • il Titolare del trattamento (come indicato nella comunicazione), all’indirizzo PEC riceverà un documento di sintesi di tutte le informazioni inviate;
  • il soggetto indicato quale RPD/DPO riceverà all’indirizzo PEC un documento con tutte le informazioni inserite e il numero di protocollo già menzionato.

Il numero di protocollo sarà quello che tutti dovranno indicare per le future comunicazioni con l’Autorità.

Osservazioni

Finalmente è arrivata! È qui, la possiamo usare e la possiamo segnalare, è stato importante ed è certamente una procedura fatta in modo abbastanza snello. Tuttavia alcune cose mi fanno storcere un poco il naso, non penso tanto il fatto che nel modulo si indichi prima il cognome e solo dopo il nome (è poco elegante, ma è una quisquilia), penso invece l’uso della firma digitale con riferimento ad uno standard normativo nazionale, e all’uso della PEC come strumento di comunicazione.

Se da un lato è comprensibile la scelta di adottare lo strumento della firma digitale che velocizza le operazioni e che è uno strumento riconosciuto in ambito europeo, invece non riesco ad apprezzare la scelta di rendere obbligatorio l’uso di una PEC.

La PEC è uno strumento limitato, non riconosciuto fuori dall’Italia e quindi è – secondo me – sconsigliabile adottarlo in un contesto internazionale, e, almeno, comunitario. Personalmente ero sempre riuscito a non adottarlo ma a questo punto obtorto collo sarò costretto a farne uso.

Da ultimo, invece che mettere un link dell’AgID che non indica l’elenco dei certificatori, potevano direttamente mettere quello che li indica in ordine alfabetico: Prestatori Attivi.

Da ultimo, mi sono messo a rileggere l’informativa per questa comunicazione adottata dal Garante, e ironicamente mi chiedo se non si poteva fare uno sforzo maggiore per adottare un linguaggio chiaro, adottando l’indiazione della Autorità stessa che raccomandava termini semplici usando, persino, l’italiano colloquiale.

Much ado about nothing

Sono state sollevate alcune voci, un poco di confusione e qualche discussione, verso la fine della scorsa settimana a partire dal 19 aprile. Tutto è nato attorno al commento ad un provvedimento dell’Autorità Garante del 22 febbraio scorso, reso noto di recente sul sito dell’Autorità.

Su Agenzia Digitale, Gabriele Faggioli ha scritto che l’Autorità Garante ha rimandato di sei mesi controlli e sanzioni relativamente al Regolamento che entrerà pienamente in vigore dal 25 maggio 2018.

A seguito di questo articolo l’Autorità Garante ha scritto un comunicato nel quale ha dichiarato non veritiera la notizia riportata da Agenzia Digitale e Luigi Garofalo, su Key4biz, ha ripreso il comunicato bollando la notizia come una fake news.

Il giorno stesso l’autore è tornato sul tema precisando perché la notizia fornita era non scorretta (o almeno non così scorretta). 

Trovo esagerato e impreciso sostenere che l’articolo di Gabriele Faggioli sia una notizia falsa, e trovo persino esagerata la smentita dell’Autorità Garante al punto da rendere sibillino il provvedimento citato che rimane, al momento, comunque sospeso nella sua efficacia. 

Il cuore della querelle è quindi il provvedimento del 22 febbraio, che è a tutti gli effetti un’introduzione molto cauta e prudente, al Regolamento Europeo prossimo e venturo. In esso vengono semplicemente introdotti e anticipati i temi di cui inevitabilmente tratteranno nei prossimi mesi (e anni) l’attività delle Autorità di controllo Europee. 

Si parla di:

  • monitoraggio e vigilanza sul Regolamento e di come l’Autorità intende attuarle;
  • di interoperabilità dei sistemi e dei formati in cui sono incorporati i dati per la “portabilità”
  • e del trattamento per finalità di legittimo interesse dei titolari o di terzi.

Rispetto alle Linee Guida del WP29, nessuna significativa novità da segnalare. Rispetto agli obblighi di sorveglianza già individuati dal Regolamento nessun principio originale da registrare e sul legittimo interesse come analizzato dall’Autorità, solo timidi accenni a possibili interpretazioni future. 

In ogni caso le novità sono effettivamente sospese, tutto il provvedimento è sospeso: nero su bianco questo è quanto riporta il provvedimento (le annotazioni in rosso sono mie):

Quindi:

  • certo, le novità sul monitoraggio sono sospese, ma questo non comporta un blocco delle attività di monitoraggio (che l’Autorità potrà comunque espletare);
  • certo, le sanzioni possono essere irrogate anche a prescindere dall’attività di controllo (quindi giusta la precisazione del Garante);
  • MA comunque, il provvedimento e le sue novità sono congelate.

In conclusione è sempre più urgente che venga esercitata la delega da parte del Governo Italiano. Ma, a questo punto entriamo nel delicato gioco di equilibri politici e ogni considerazione tecnica diventa inutile. 

Verso un regolamento efficace

Il 25 maggio entra in vigore il regolamento per la protezione dei dati personali, da quando lo abbiamo letto, noi professionisti del settore, abbiamo capito che pur essendo il Regolamento pienamente (e automaticamente) efficace, c’erano alcuni interventi per cui l’Autorità di Controllo (il Garante) non poteva bastare, perché serviva un’azione del legislatore (che, ovviamente non può essere scavalcato).

Il legislatore nazionale è chiamato in causa innanzitutto dall’art. 84 del Regolamento:

Articolo 84 – Sanzioni

1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83. Tali sanzioni devono essere effettive, proporzionate e dissuasive.

2. 
Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.

In altre parole, viene imposto agli stati dell’UE di adottare delle sanzioni penali per le violazioni più gravi del regolamento, esattamente come già prevede il d.lg. 196/2003. Tuttavia, la traslazione dal Codice Privacy al Regolamento non può essere una operazione automatica, infatti queste sono le figure di reati previste ad oggi in tema:

  • art. 167 – Trattamento illecito dei dati;
  • art. 168 – Falsità nelle dichiarazioni e notificazioni al Garante;
  • art. 169 – Misure di sicurezza;
  • art. 170 – Inosservanza di provvedimenti del Garante;
  • Violazioni delle norme sul controllo dei lavoratori.

Di queste norme, nessuna viene facilmente trasportata da un regime ad un altro perché, se non altro, cambiano tutti i riferimenti normativi (e quindi bisogna fare un intervento redazionale non automatico), ma in più alcune necessitano di un vero e proprio adattamento.

In concreto (ma in maniera non esaustiva) questo vuol dire che:

Trattamento illecito

Il trattamento illecito prevede una condotta, che, in linea generale, è in effetti facilmente trasportata salvo la necessità di variare alcuni aspetti e riflettere al fatto che le norme nel 2003 la cui violazione era ritenuta così grave da fare scattare l’illecito penale, nel 2018 non hanno più la gravità invocata, nell’ambito della moderna società dell’informazione.

Falsità al Garante

Decisamente è necessario un intervento di adattamento, perché la notificazione non è più prevista e perché il Garante è oggi una delle Autorità di controllo competenti ad agire per verifiche e controlli.

Misure di sicurezza

L’illecito penale riguardante le misure di sicurezza dovrà essere completamente variato, infatti su questo punto il RGPD ha eliminato le “Misure minime di sicurezza” sostituendo la doverosità delle stesse, non già dipendenti da un Allegato Tecnico (oggi l’Allegato B), ma da una Analisi del rischio elaborata dal titolare dei trattamenti.

Se prima era quindi semplice collegare l’esistenza di un illecito penale al mancato rispetto di una norma cogente, oggi è difficile valutare che le misure di sicurezza sono così inefficaci da fare scattare una condotta penalmente rilevante, visto che l’efficacia o meno dipende da un documento elaborato autonomamente dal titolare.

Inosservanza di provvedimenti del Garante

Ancora una volta l’illecito non è penalmente adattabile per via automatica, perché la struttura delle Autorità di controllo e l’emanazione di norme specifiche è profondamente diversa nel passaggio verso il Regolamento.

Violazioni delle norme sui lavoratori

È questa la norma, forse, più facilmente trasportabile nel nuovo regime perché dipende dallo Statuto del Lavoratori (non modificato dal Regolamento UE) e perché ancora oggi è vietato (e penalmente rilevante) controllare l’attività dei lavoratori a distanza e fare indagini sulle loro opinioni politiche.

Chi è causa del suo mal…

Aneddoto

In piena notte di quel venerdì 7 ottobre 2016, in Italia, su una strada di una qualsiasi provincia italiana, alla periferia del capoluogo, un’automobile viaggia a velocità sostenuta, è buio e la strada è poco o niente illuminata, il limite imposto in quel tratto di statale è di sessanta chilometri orari.

L’automobile tuttavia sta viaggiando a più di centodieci chilometri orari, è una vecchia Giulietta Alfa Romeo, sono anni che non effettua la revisione e la sua carta di circolazione è scaduta, chi guida ha deciso di vedere non solo sino a che punto tira la vecchia vettura sportiva del nonno, ma anche se conosce la strada così bene da poterla percorrere a fari spenti, nella notte. Si sente il personaggio di una canzone di Lucio Battisti, Antonio, nipote di Antonio, mentre sfreccia lungo la strada rombando.

Dopo un lungo rettilineo c’è una brusca curva a sinistra lungo la statale ed è quasi una curva parabolica che però ha due differenti punti di corda, così bisogna farla con attenzione e pronti a correggere la traiettoria. Ma Antonio si distrae fatalmente quando non deve e così la Giulietta scivola perde aderenza e travolge, sull’altra carreggiata, la bicicletta di Gianluca, che dopo avere finito il suo lavoro nella sua pasticceria lì vicino sta tornando a casa in bicicletta; sono poche centinaia di metri dalla pasticceria a casa sua, ed è per questo che con ogni tempo e ad ogni orario Gianluca preferisce fare la strada in bici, e sono poche centinaia di metri, per questo non ha mai montato i fari alla sua bici o la tuta con i catarifrangenti.

Il giorno dopo i giornali locali parleranno del gesto folle di Antonio e lo descriveranno come l’ennesimo pirata della strada. Nessuno sarà mosso a compassione per le ferite che ha riportato, nessuno piangerà i danni alla Giulietta del nonno.

#Wannacry ma non solo

Da anni mi chiedo come mai, i giudizi spesso drastici, feroci e crudeli che la gente riserva a chi tiene condotte stradali così azzardate non vengono applicati per analogia anche a chi è vittima di minacce informatiche come quella in corso con Wannacry.

Lunedì 15 maggio 2017, nella provincia già teatro – ad ottobre – dell’incidente immaginato, in più di un ufficio scoprono che i loro computer sono bloccati e che l’attacco in corso da giovedì in oltre cento Paesi ha colpito pure loro.

Perché chi tratta dati personali usando computer, senza avere una copia di sicurezza (backup) tiene un comportamento imprudente molto simile a quello di Antonio. Ma la somiglianza non è limitata all’imprudenza, infatti sia Antonio con la Giulietta del nonno che il titolare dei trattamenti privo di backup stanno violando la legge.

Antonio non può circolare con la Giulietta senza idonea carta di circolazione, e non può ignorare i limiti di velocità e tenere i fari della vettura spenti, facendo questo si è automaticamente messo “dalla parte del torto”, ma anche il titolare che tratta dati personali (siano essi i dati del personale assunto o le quote del condominio di cui è amministratore) non può non avere adottato delle buone politiche di salvataggio dei dati.

Il backup, non una scelta: un obbligo

Dal 2003 tutti coloro i quali trattano dati personali per fini che non siano quelli esclusivamente personali (cfr. art. 5 d.lg. 196/2003) dovendo applicare le misure minime di sicurezza (cfr. articoli 31, 33, 34 del d.lg. 196/2003), devono anche porsi il problema delle “copie di sicurezza”.

Questo è il testo dell’art. 33:

Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

L’articolo successivo (art. 34, comma 1, lettera f) invece dice che si possono trattare dati personali con strumenti elettronici solamente se sono adottate (tra gli altri obblighi):

procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

Se anche questi riferimenti non bastassero, sono ribaditi dall’Allegato B al Codice Privacy, che infatti alla regola 18 dice:

Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Quindi i dati personali:

  • devono essere salvati almeno settimanalmente;
  • devono essere salvati e custoditi secondo procedure idonee;
  • devono essere ripristinati e resi disponibili secondo procedure idonee.

Obbligo vuol dire sanzioni per l’inadempimento

È un obbligo, sancito dall’art. 33, dall’art. 34 e dall’Allegato B al Codice Privacy. Non adempiere a questo obbligo significa incorrere nella sanzione prevista dall’art. 162 comma 2-bis, e nella sanzione prevista dall’art. 169 (almeno teoricamente).

Nel primo caso (l’art. 162 comma 2-bis) è prevista una sanzione amministrativa da ventimila a centoventimila euro. Nel secondo caso è previsto l’arresto sino a due anni.

L’illecito amministrativo e il reato si realizzano non quando si verificano danni a seguito degli inadempimenti, ma per il solo fatto di avere omesso gli adempimenti nel modo corretto. Quindi, a ben vedere, è quasi più grave non avere un backup e relative procedure di custodia e ripristino che non guidare a fari spenti nella notte…

Tenete XP in garage

La cosa straordinaria successa negli ultimi giorni è che Microsoft ha rilasciato un aggiornamento di sicurezza persino per il suo sistema operativo più longevo: Windows XP: a questa pagina la lista degli aggiornamenti.

Questo è successo per colpa (o merito) di #Wannacry che sta, tutt’ora, minacciando molti sistemi informativi comportandosi come le più moderne minacce informatiche sanno fare. E la minaccia è stata presa così seriamente da spingere Microsoft all’aggiornamento persino di Windows XP, sistema operativo di cui la società produttrice aveva dichiarato cessata l’assistenza (o “supporto” come amano dire loro e gli informatici in genere) nel 2014 (qui un comunicato di Microsoft).

Dal 2014 ad oggi moltissime (quasi tutte?) le aziende hanno lasciato i lidi di Windows XP, ma nonostante questo, ad oggi, conosco più di una realtà lavorativa dove Windows XP è ancora utilizzato con generosità e incoscienza: ad esempio molti uffici delle Poste Italiane hanno ancora terminali che utilizzano Windows XP, e conosco almeno un ospedale dove è con generosità adottato oltre che una università che continua a tenere terminali con Windows XP.

Nonostante questo aggiornamento rilasciato tempestivamente da Microsoft, però, usare Windows XP per “lavoro” è una formale violazione delle misure minime di sicurezza. Se leggete le righe che seguono capirete come si può arrivare ad una affermazione così drastica (tutte le volte che lo dico la reazione è di stupore o persino di fastidio).

Uso professionale e dati personali

Il d.lg. 196/2003 è la norma fondamentale in Italia (conforme a direttiva UE e sino al maggio 2018 quando entrerà in vigore Regolamento UE) sulla protezione dei dati personali, si applica a tutti coloro i quali trattano dati personali con la sola esclusione delle persone fisiche che trattano i dati personali “per fini esclusivamente personali” (cfr. art. 5 del d.lg. 196/2003): di fatto la norma non si occupa delle rubriche telefoniche di ciascun privato cittadino et similia.

Tutti gli altri (persone giuridiche e qualsiasi professionista), però, non appena trattano dati personali devono rispettare gli obblighi della norma e in particolare gli obblighi di sicurezza.

Tutti trattiamo dati personali

Anni fa, all’inizio della mia professione, seppi di una deliziosa direttrice di banca che sosteneva con forza di non trattare dati personali: spero che oggi sappia di avere sostenuto una solenne corbelleria: tutto nel 2017 tende ad essere “dato personale”, un numero di targa, un indirizzo IP, un cookie, un log di sessione, e ovviamente una scheda cliente, gli estremi identificativi di un conto corrente e via dicendo. I dati anonimi sono solo quelli che non non possono “essere associati ad un interessato identificato o identificabile” (cfr. art. 4, comma 1, lettera n).

Tutti dobbiamo rispettare le misure di sicurezza

Se ne deve dedurre che poiché tutti quelli che per fini professionali (non quelli esclusivamente personali quindi) trattano dati sono sottoposti alle regole del Codice Privacy tutti devono anche rispettare le misure di sicurezza (almeno quelle minime).

Tra le misure di sicurezza da rispettare ci sono quelle minime come indicate dall’Allegato B al Codice (cfr. art. 34 d.lg. 196/2003). Quindi “tutti” (tutti secondo significato già precisato) dobbiamo rispettare le regole contenute nell’Allegato B.

L’Allegato B

L’Allegato B al Codice è il “Disciplinare tecnico in materia di sicurezza” vecchio e ormai superato (il Consiglio dei Ministri avrebbe dovuto aggiornarlo, cfr. art. 58) detta le misure minime che bisogna adottare.

La regola 16 dice:

I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615- quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

La regola 17 dice:

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale. 

In altre parole si deve sempre periodicamente aggiornare il proprio computer contro minacce informatiche, e l’aggiornamento deve essere preventivo. Per i sistemi operativi supportati l’aggiornamento periodico (e preventivo nei limiti del possibile) viene effettuato, ma per Windows XP dal 2014 non viene più previsto.

Quindi le due regole sopra indicate non possono essere rispettate!

Quindi usare Windows XP in ambiente lavorativo connesso ad Internet, quasi inevitabilmente trattando dati personali è una “Omessa adozione delle misure minime di sicurezza” (cfr. art. 169 d.lg. 196/2003).

In altre parole: Windows XP è una vecchia vettura che da anni non effettua la revisione, di conseguenza la sua carta di circolazione è stata annullata (e per fortuna aggiungerei).

Suvvia: passate ad altro, o tenete quel vecchio computer solo per giocarci a Freecell o per farci qualcosa che non prevede Internet!

Risorse esterne

  1. Testo del Codice Privacy in italiano e in inglese
  2. Testo dell’Allegato B al Codice a questa pagina.
1