lunedì 23 settembre 2019

Codice di condotta privacy per i sistemi IT per informazioni creditizie

Chiara Ponti degli Idraulici della privacy ha segnalato che è stato pubblicato il "Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti":
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9141941.

Innanzi tutto vedo che stanno uscendo questi codici di condotta previsti dal GDPR. Non mi pare sia stato stabilito un meccanismo per la loro certificazione, ma almeno ci sono e questo è un bene.

Mi pare un po' curioso che vengano pubblicati codici di condotta per la gestione dei sistemi IT in un settore specifico e non più generali. Forse però è questo che il Garante ha avuto come proposta (anche per il rinnovo dei codici preesistenti) e questo può approvare.

Speravo in qualcosa di più interessante, da cui ricavare indicazioni applicabili ad altri ambiti. Invece sono rimasto deluso. Elenco i punti che ho sottolineato:
- come unica misura tecnica precisa, si specifica che "All'atto del ricevimento dei dati, il gestore verifica la loro congruità attraverso controlli di carattere formale e logico"; si richiama nel seguito la necessità di attuare "adeguate misure tecniche ed organizzative" (come da testo del GDPR), ma ancora una volta il Garante si rifiuta entrare nel merito, superando così l'impostazione precedente (quella delle misure minime);
- fanno eccezioni richiami a "modalità di accesso graduale e selettivo", preclusione di "modalità di accesso che permettano interrogazioni di massa o acquisizioni di elenchi di dati personali", verifica periodica degli algoritmi;
- dedica un intero allegato ai tempi di conservazione; forse sono troppo complicati per le finalità della maggior parte delle imprese, però il punto 8 dell'Allegato 2 è applicabile a quasi tutte (tratta dei backup e della conservazione per 10 anni per "difesa di un proprio diritto in sede giudiziaria, amministrativa, arbitrale o di conciliazione (inclusa la fase propedeutica)";
- presenta un esempio di contitolarità (in questo caso tra il gestore e i partecipanti); il Codice presenta alcune clausole (ricorda che i partecipanti accedono con gli strumenti individuati dal gestore e quali persone possono accedere);
- formalmente, il Codice parla di "autonomo titolare", quando alcuni invece dicono di non usare il termine "autonomo" perché il GDPR non lo usa (secondo me, però, l'uso dell'aggettivo rinforza il concetto nel corso della lettura);
- nell'Allegato 3 è presentato un modello di informativa, che ad alcuni potrebbe risultare utile.

Nessun commento:

Posta un commento