In the past the City of Milan was dogged by a virus, whatever the result of receiving a fine, by the Guarantor in respect of personal data, by omission of safety measures and the obligation to provide regularization of the virus within a short time.
Today seems to be opening the case, a PM rather attentive to the matter has notified a notice of the Head of the IT systems of the time, challenging two offenses: failure to control the security measures of information systems, the ' another consisting of false statements made to the Guarantor in relation to adaptation measures after the period prescribed by the Authority for the same compliance.
What crimes are we talking about? We are talking about two crimes proceedings office in the Legislative Decree 196/2003 (the so-called Code on Personal Data Protection), which provide quite a few consequences negative finding of liability in the case of those under investigation.
The offense based on the security measures is cited art. 169 of that Code, which expressly provides that:
• Anyone, there being required, fails to take the minimum measures laid down in Article 33 shall be punished by imprisonment up to two years or a fine of ten thousand to € fifty thousand euro;
• the offender, when the assessment or, in complex cases, with subsequent act of the Guarantor, shall be given a prescription for a fixed time for the adjustment period of time not exceeding the technically necessary prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.
Ebbene, all'epoca del primo controllo fu impartito al Comune il termine di prescrizione per l'adeguamento, difatti il Responsabile dei sistemi informativi rilasciò poi successivamente al Garante la dichiarazione inerente l'adeguamento avvenuto, evento che evidentemente avrebbe generato la presunta violazione lamentata dal PM ovvero la resa di false attestazioni all'Autorità Garante.
Il problema è sorto quando a fine anno passato, proprio l'Autorità ha promosso una verifica presso il Comune, considerata la precedente gravità dei fatti: dall'accertamento è emersa la presenza di antivirus su 7000 e passa client, rispetto ai 10.500 client presenti realmente presso gli uffici del Comune.
È ovvio che ad oggi sotto il profilo penale si sta esclusivamente parlando di una potenziale responsabilità, è pur vero che gli aspetti relativi alla responsabilità penale nell'ambito privacy, vengono fin troppo sottovalutati.
Spesso titolari e responsabili dei trattamenti sono scettici circa i controlli e la concretezza delle responsabilità derivanti in materia di privacy, ritenendo con troppa leggerezza che le misure di sicurezza non a norma oggi, verranno "sistemate" nel tempo.
Il tempo è già arrivato, il Codice in materia di protezione dati personali è in vigore dal primo gennaio 2004, le misure di sicurezza, anche se non fossero imposte dal legislatore, dovrebbero essere applicate solo alla luce dell'importanza che i dati rivestono all'interno del settore pubblico o privato: antivirus, password, back-up non dovrebbero trovare imposizione nel Codice privacy, dovrebbero essere una premura dei titolari del trattamento, adottando semplicemente una diligenza media.
And especially in case of outsourcing the management of security measures would be appropriate checks and get feedback about the accuracy of the measures taken.
Today this in many public and private facilities still not done, but there's no excuse ...
0 comments:
Post a Comment