La privacy si semplifica. Un po'

Con il provvedimento del Garante della privacy del 27 novembre 2008, pubblicato sulla Gazzetta Ufficiale del 9 dicembre 2008, è stato completato, dopo l'articolo 29 del dl 112/2008, il quadro delle misure di alleggerimento degli adempimenti per garantire la sicurezza di computer e trattamenti cartacei. Della semplificazione possono avvalersi sia le pubbliche amministrazioni sia imprese e professionisti se:  utilizzano diagnosi; trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese. Agevolate, quindi, le piccole e piccolissime realtà. Nel testo del provvedimento, il Garante approva un prospetto riepilogativo di misure minime di sicurezza che possono essere applicate dai beneficiari con l'ausilio di strumenti elettronici. Per i beneficiari indicati, l'allegato B) è sostituito, dal prospetto allegato al provvedimento del Garante. Le principali novità per i trattamenti effettuati con strumenti elettronici riguardano la possibilità che le istruzioni agli incaricati del trattamento (dipendenti e collaboratori) possono essere impartite anche oralmente, con semplice e chiara formulazione. L'accesso ai sistemi informatici può avvenire tramite un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati, associato a una parola chiave. Con il provvedimento viene ridotto il contenuto del Documento programmatico sulla sicurezza (Dps); Questo deve contenere l'identificazione del titolare del trattamento, e, se designati, degli eventuali responsabili, e, infine, le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; una descrizione generale dei trattamenti realizzati; l'elenco degli incaricati del trattamento e delle relative responsabilità; la descrizione delle altre misure di sicurezza adottate per la prevenzione dei rischi di distruzione o perdita. Per quel che concerne i trattamenti cartacei sono previste istruzioni, anche orali, agli incaricati finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. E' poi previsto anche un obbligo di custodia in capo all'incaricato del trattamento che deve controllare atti e documenti contenenti dati sensibili fino alla restituzione.