Nel precedente articolo abbiamo visto come è necessario rispondere annualmente alla normativa privacy. Oggi vediamo di capire meglio la funzione dell’autocertificazione sostitutiva del DPS.
La legge privacy richiede che annualmente con la scadenza del 31 marzo, ogni titolare di trattamento di dati personali, proceda alla revisione del DPS od in alternativa confermi la validità del precedente DPS già redatto.
L’autocertificazione sostitutiva può essere adottata in quei casi dove nel corso dell’anno, non si siano verificate modifiche alla struttura logistica (sedi ed uffici di trattamento), alla natura dei trattamenti effettuati, alle risorse hardware (PC+Device), agli incaricati.
In questo caso il titolare del trattamento attraverso un modulo di autocertificazione (il software PrivacyFast prevede il modello) può dichiarare di non avere subito modifiche rispetto al documento programmatico della sicurezza (DPS o DPSS) già prodotto in precedenza.
Va sottolineato che questa è un’autocertificazione con valore legale e che quindi deve essere assolutamente veritiera per non incorrere in reati addirittura penali come quello di falsa testimonianza.
Come ogni altra scadenza, il nostro compito sarà quello di provvedere entro il 31 marzo al termine dell’adeguamento e dovremo trovare un sistema in grado di dimostrare il completamento entro la data di scadenza.
Ecco che nasce il concetto di data certa. Vediamo quali sono i sistemi possibili:
1) il documento prodotto (DPS od autocertificazione) viene imbustato e spedito a se stessi tramite posta. Il plico dovrà essere ovviamente sigillato e la data del timbro postale sarà quella che garantirà il rispetto dei tempi.
2) Nel caso in cui i tempi siano particolarmente ristretti e che quindi si corra il rischio che la posta ordinaria non effettui l’invio entro la data scadenza, è possibile utilizzare il sistema della raccomandata con ricevuta di ritorno. L’effetto sarà analogo a quello del caso precedente.
3) Per chi utilizza per altre funzioni la firma digitale, è possibile produrre i documenti sotto forma di file PDF ed apporre ai file creati la firma digitale con una marca temporale. Questa potrà essere usata in qualsiasi caso di opposizione, anche legale.
4) Ultima possibilità è quella di non usare nessuno dei metodi sopra esposti e basarsi esclusivamente sulla data riportata sul documento. Quest’ultimo caso riuscirà a coprirci nel caso di eventuali controlli ma non potrà essere usato nel caso di controversie dove per questo requisito vige “l’onere della prova” ovvero la necessità di dimostrare la nostra conformità attraverso una prova.
Personalmente faccio utilizzare i primi due metodi in quanto riescono a coprire totalmente l’esigenza della data certa senza richiedere particolari tecniche inusuali.
Per quanto riguarda l’autocertificazione, rimango abbastanza perplesso sul suo utilizzo. Ricordo infatti che l’autocertificazione esonera dalla produzione annuale del DPS, ma non dalla verifica di tutte le norme previste.
In parole povere, tutto il lavoro più impegnativo resta da eseguire e attraverso l’autocertificazione viene evitato di raccontare quello che è stato il nostro lavoro. Credo che sia proprio una piccola semplificazione.
Per di più l’utilizzo di software specifici come PrivacyFast, consentono un approccio guidato a tutte le fasi necessarie per la compilazione del DPS. Una piccola o media attività attraverso i questionari di PrivacyFast, riuscirà con delle semplici risposte a domande specifiche a predisporre ogni informazione si renda necessaria alla compilazione di un DPS in meno di un’ora. Esattamente meno di un’ora ed un minimo di conoscenza sulla materia che comunque viene fornita attraverso manuali esplicativi. Nel prossimo articolo parleremo di figure e di nomine.
.
One Reply to “Privacy 2011 DPS data certa aggiornamento e autocertificazione”