La conversione del Decreto Legge n. 5 del 9 febbraio 2012 (c.d. Decreto semplificazioni), avvenuta con la Legge 4 aprile 2012 n. 35, conferma definitivamente la soppressione dell’obbligo – in capo a titolari di trattamento di dati sensibili e giudiziari effettuato mediante strumenti elettronici – di redigere, e quindi di tenere aggiornato, il Documento Programmatico sulla Sicurezza (DPS). Parallelamente e conseguentemente sono state abolite anche le sue forme sostitutive, in termini di Autocertificazione e DPS semplificato.

Cosa succede alla privacy?

L’art. 45 del decreto n. 5/2012, ora convertito in legge, ha infatti soppresso, oltre la lettera g) al comma 1 dell’articolo 34 del Codice Privacy (Decreto Legislativo n. 196 del 30 giugno 2003), anche il comma 1-bis dello stesso articolo – introdotto dalla Legge 6 agosto 2008 n. 133 e successivamente modificato dalla Legge 12 luglio 2011, n. 106 – il quale, oltre a prevedere le ipotesi che permettevano di redigere una semplice Autocertificazione in luogo del DPS, reggeva il Provvedimento del Garante del 27 novembre 2008, disciplinante procedure semplificate, tra cui la stessa struttura del DPS, per i soggetti pubblici e privati che trattano dati per finalità amministrativo-contabile.

Conseguenza di tali soppressioni è stato anche il venir meno del punto 19 dell’Allegato B al Codice, riguardante il termine di redazione e il contenuto del DPS, nonché del successivo punto 26, attinente il riferimento alla redazione del documento nell’eventuale relazione accompagnatoria del bilancio.

Il Decreto “Semplifica Italia” del febbraio 2012 quindi, con un solo colpo di spugna ha rimosso tanto l’adempimento formale originario quanto i successivi provvedimenti volti a semplificarlo, lasciando sopravvivere solo la definizione di finalità amministrativo-contabile di cui al comma 1-ter del citato articolo 34 e introdotta dalla Legge 106/2011.

Definizione, peraltro, già richiamata dall’ altro importante Provvedimento del Garante del 19 giugno 2008 (precedente quindi alla sopracitata Legge di agosto 2008) – contenente prescrizioni per soggetti pubblici e privati (soprattutto piccole-medie imprese, professionisti e artigiani) sull’ adozione di semplificazioni in materia di informativa e consenso rispetto a trattamenti effettuati per finalità amministrativo-contabile – il quale mantiene pienamente il suo vigore.

In effetti, l’onda del cambiamento era già iniziata nel corso del 2011 con la citata Legge n. 106 di luglio che, oltre ad introdurre ulteriori norme semplificative in tema di Autocertificazione (ad oggi, come detto, abrogate perché non più necessarie), ha aggiunto altre ipotesi di esonero dal consenso, anche in tema di dati sensibili contenuti nei curriculum spontaneamente trasmessi dagli interessati per l’instaurazione di un rapporto di lavoro.

Successivamente, la Legge 22 dicembre 2011, n. 214, ha ulteriormente intaccato la normativa, togliendo spessore ad alcune definizioni che rappresentano le colonne portanti del Codice Privacy: dal concetto di “dato personale” e di “interessato al trattamento” è stato infatti rimosso ogni riferimento a persone giuridiche, enti e associazioni: l’intento è evidenziare che gli unici soggetti meritevoli di norme miranti alla protezione di dati personali, a prescindere quindi dalle finalità del trattamento, sono esclusivamente le persone fisiche.

Da ultimo, la Legge 35/2012, citata in premessa, ha concluso l’opera – non solo consentendo il trattamento dei dati giudiziari anche quando effettuato in attuazione di protocolli di intesa con il Ministero dell’Interno per ragioni di prevenzione e contrasto dei fenomeni di criminalità organizzata – ma anche, come visto all ’inizio, abolendo il DPS.

Tale “pulizia” normativa, se da un lato ha risolto diverse questioni interpretative legate alle norme precedenti, dall’ altro, come sottolineato anche dall’Autorità Garante, ha reso vulnerabili le categorie di soggetti, in qualità di interessati al trattamento, diverse dalle persone fisiche (persone giuridiche, enti e associazioni), dato che, ad oggi, la complessità dei trattamenti effettuati può facilmente, in determinate realtà, fare da sfondo a finalità impreviste e spesso illecite nell’ utilizzo dei dati; peraltro, l’intento di alleggerire, da una parte, l’onerosità per tali soggetti in qualità di titolari del trattamento, non ripaga, dall’altra, l’incombenza sugli stessi di dover comunque rispettare la normativa quando trattano dati di persone fisiche.

Non resta che attendere i cambiamenti in materia di privacy che si stanno profilando a livello internazionale ed europeo, in prospettiva del prossimo Regolamento e della prossima Direttiva cui ogni paese dell’Unione sarà tenuto ad adeguarsi.

Certo, se pensiamo al solo DPS – al di la degli aspetti formali legati alla sua redazione, ai relativi termini, ai contenuti prescritti dall’ Allegato B al Codice, al di là del peso burocratico presentato a chi era tenuto a redigerlo e quindi dell’ulteriore opportunità offerta a consulenti attenti, forse e più che altro, agli aspetti di lucro che non al significato vero dell’adempimento – potremmo riconoscere che si trattava di un documento che aveva la sua pratica importanza, una misura di sicurezza utile, solo per il fatto di raccogliere insieme diversi aspetti legati alla protezione dei dati personali, diventando per molti titolari di trattamento un vero e proprio riferimento, soprattutto in un mondo sempre più orientato all’ informatizzazione.

Peraltro, a dispetto di quanto indicato nella relazione al Decreto Legge 5/2012, che definisce “meramente superfluo” l’adempimento del DPS in quanto “non realizza un’effettiva tutela della sicurezza dei dati e dei sistemi informatici“, l’Autorità Garante, in occasione del discorso di fine mandato tenuto dal presidente F. Pizzetti, non ha propriamente condiviso la decisione di abolirlo, ritenendo invece che tale documento era “utile a limitare in parte l’eventuale responsabilità per la perdita, la cancellazione o il furto dei dati, consentendo di provare che si era fatto almeno quanto richiesto come misura minima per evitare il verificarsi dell’evento”.

PIU’ SOSTANZA AI CONTROLLI

Cosa succederà ora in sede di controllo da parte delle autorità preposte?

Il DPS, effettivamente, aveva senz’ altro lo scopo di illustrare una situazione, in capo al titolare del trattamento obbligato a redigerlo, riguardante la tipologia di dati trattati, gli strumenti utilizzati, le finalità del trattamento nonché l’applicazione delle misure di sicurezza e protezione in relazione a determinati rischi; dava un’idea dell’organigramma e della distribuzione dei compiti fra i soggetti coinvolti, forniva informazioni sui trattamenti affidati a soggetti esterni e sulla formazione data agli incaricati.

Il tutto anche in prospettiva futura (da cui deriva la parola “programmatico”), in un’ottica di miglioramento delle varie situazioni e al fine di rafforzare lo stato di applicazione delle regole da parte del titolare.

E se quanto contenuto nel DPS non avesse corrisposto alla realtà effettiva ?

Vorrà dire che i “controllori” saranno indotti, d’ora in avanti, a mettere da parte le rappresentazioni e i propositi risultanti da un semplice documento e si orienteranno direttamente sugli aspetti concreti, cioè sull’ effettiva applicazione delle misure di cui agli articoli 31 e seguenti del Codice Privacy nonché del relativo Allegato B, che descrive la modalità pratica di tale applicazione.

I titolari del trattamento devono quindi ora concentrare maggiormente la loro attenzione sulle seguenti tematiche:

• • autenticazione informatica e adozione di procedure di gestione delle credenziali di autenticazione;

  • utilizzo di un sistema di autorizzazione;

  • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, fornendo opportune e chiare istruzioni per l’effettiva protezione dei dati;

  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a programmi informatici dannosi;

  • aggiornamento degli strumenti elettronici al fine di prevenirne la loro vulnerabilità e correggerne i difetti;

  • adozione di procedure e fornitura di istruzioni per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

  • adozione di misure di protezione e ripristino specifiche per i dati sensibili e giudiziari rispetto ad accessi abusivi e fornitura di istruzioni tecniche e organizzative per la custodia e l’uso dei supporti rimovibili contenenti tale tipologia di dati;

  • predisposizione e sottoscrizione di attestazioni di conformità da parte di soggetti esterni, rispetto alla struttura del titolare, riguardanti il rispetto delle disposizioni privacy nell’ambito dei loro interventi e/o trattamenti;

  • adozione di altre misure finalizzate alla protezione e conservazione dei dati, in caso di utilizzo di strumenti diversi da quelli elettronici.

Da questo elenco si comprende bene che sarebbe comunque utile e opportuno predisporre un documento interno (possiamo anche non chiamarlo più DPS…) che riepiloghi tutti gli aspetti illustrati in modo da attestare che viene rispettato da parte del titolare del trattamento quanto stabilito dal Codice Privacy; chiaro poi, ovviamente, che questi dovrà anche dimostrare di aver messo in pratica ciò che risulta sulla carta.

Saranno soprattutto le grandi realtà, come ad esempio istituti bancari, assicurativi, strutture sanitarie, aziende di telemarketing, ad avere necessità di redigere un documento che somigli sostanzialmente, da un punto di vista contenutistico, all’abolito DPS, in ragione della complessità dei trattamenti nonché della vastità dell’utenza finale, costituita soprattutto da interessati persone fisiche. Certo, non sarà più necessario attenersi ai rigidi schemi imposti dal soppresso punto 19 dell’Allegato B, essendo sufficiente che il documento in questione, eventualmente redatto, racchiuda il principio di prevenire fondamentalmente il reato di trattamento illecito dei dati (come si desume anche dalla normativa della Legge 231/01 sulla responsabilità sociale d’impresa).

MAGGIOR FOCUS PER RESPONSABILE, INFORMATIVE E NOMINE

A ben vedere, dallo stesso elenco sopra riportato risulta palesemente rivalutato il ruolo del Responsabile della sicurezza informatica, il quale, se nelle piccole realtà potrebbe anche coincidere con il titolare del trattamento, nelle realtà più complesse è sicuramente un soggetto (o anche più di uno) avente la qualifica di “amministratore di sistema” e quindi soggetto, fra l’altro, a tutte le prescrizioni contenute nel Provvedimento generale del Garante del 27 novembre 2008.

In effetti, per quanto riguarda i trattamenti di dati effettuati mediante l’utilizzo di strumenti elettronici, ciò che viene riportato nell’ Allegato B al Codice Privacy costituisce, guarda caso, prerogativa dei soggetti che svolgono funzioni proprie degli amministratori di sistema e quindi in definitiva dei soggetti responsabili della sicurezza informatica; saranno proprio questi ad accollarsi l’onere di attestare l’adozione e la sussistenza delle misure previste dalla legge e risulteranno quindi più valorizzati altri documenti (ad esempio quello riportante l’elenco degli amministratori di sistema con l’indicazione delle funzioni a loro assegnate, quello relativo alla loro nomina, oppure le attestazioni di conformità, anche su base contrattuale, sul rispetto delle regole in tema di privacy rilasciate da incaricati che effettuano interventi di manutenzione sui sistemi elettronici) che, in presenza del DPS, erano a volte trascurati, altre volte proprio inesistenti.

Ricordiamo, tra l’altro, che il citato Provvedimento del Garante di novembre 2008, contiene importanti prescrizioni di carattere pratico riguardanti l’attività degli amministratori di sistema, in virtù della potenziale facoltà, per questi soggetti, di trattare molteplici dati personali: ci si riferisce, in particolare, all’ implementazione, presso la struttura del titolare, di sistemi informatici che forniscono traccia di tutte le operazioni (access log) effettuate dagli amministratori di sistema nell’ espletare la propria attività, al fine di consentire al titolare del trattamento un controllo ed una verifica costante sulla correttezza del loro operato.

Anche le nomine dei responsabili del trattamento, se designati, le nomine degli incaricati (a meno che tale nomina non sia inserita nel contratto generale che regola i rapporti con il titolare o derivi da un organigramma o mansionario che specifica, per ogni incaricato, “chi fa cosa”) nonché le informative – con l’eventuale richiesta di consenso all’ interessato – acquisiranno, accanto ad una maggiore rilevanza in sede di controllo, una rinnovata identità; documenti, fra l’altro, soggetti ad eventuale aggiornamento derivante da interventi legislativi o nuovi provvedimenti emanati dal Garante.

A questi aspetti non può rimanere estranea la formazione cui devono sottoporsi gli incaricati al trattamento, tanto sotto l’aspetto normativo, quanto sotto l’aspetto tecnico-organizzativo: l’attestazione di aver provveduto o comunque la risultanza che effettivamente sono state attuate attività formative servirà quindi al titolare per dimostrare di aver messo gli incaricati in condizione di rispettare le istruzioni contenute nelle rispettive nomine.

VALORE STORICO DEL DPS

E il DPS redatto entro il 31 marzo 2011?

Nonostante il legislatore non si sia mai pronunciato sulla conservazione del documento in questione, prescrivendo semplicemente che doveva risultarne la predisposizione almeno entro il 31 marzo di ogni anno, possiamo, per l’anno 2012 e nel caso di eventuali controlli, ritenere opportuno conservare il DPS redatto nei termini dell’anno precedente, dimostrando così di essere stati in regola con l’adempimento all’epoca in cui l’obbligo ancora sussisteva.

La conclusione – già fatta trasparire tra le righe precedenti – è comunque che, abolendo il DPS, si è voluto evidentemente dare più risalto agli aspetti concreti riguardanti il rispetto delle misure di protezione dei dati personali, facendo passare in secondo piano i risvolti formali legati ai documenti.

L’art. 45 del decreto legge sulle semplificazioni, approvato dal Consiglio dei Ministri, abroga tutte le previsioni contenute nel Codice della privacy e nel Disciplinare tecnico sulle misure di sicurezza che si riferiscono al Documento Programmatico sulla Sicurezza per il trattamento dei dati personali.

In particolare il decreto interviene all’art. 34, lett. g), comma 1 e comma 1 bis, del D.Lgs 196/2003 (Codice dellaPrivacy) e al suo Allegato B, paragrafi da 19 a 19.8 e 26 (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (sia in forma ordinaria che abbreviata).

Eliminato il DPS, unitamente alle modalità semplificate per la tenuta del DPS, vengono meno anche i relativi riferimenti nelle relazioni accompagnatorie del bilancio sull’avvenuta redazione o aggiornamento.

Il DPS è un documento che rappresenta la politica del soggetto obbligato per quanto riguarda la privacy.

In altri termini, il documento fotografa la “privacy policy” e sulla base di un’attenta analisi dei rischi procede a definire e programmare le misure necessarie per migliorare la sicurezza del trattamento dei dati personali.

Il DPS va redatto o aggiornato entro il 31 marzo di ciascun anno.

Soggetto obbligato alla redazione del DPS è il titolare dei trattamenti di dati sensibili o giudiziari con strumenti elettronici, anche attraverso il responsabile, se designato. Il DPS non va inviato al Garante della privacy, ma deve essere conservato presso la propria struttura ed esibito in caso di controllo.

È da sottolineare che il DPS è solo una delle misure minime di sicurezza, le altre misure previste dal D. Lgs. 196/2003 non vengono abrogate.

Si tratta di misure che comportano sanzioni sia di carattere amministrativo che penale, in particolare:

• Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web.

• Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali.

• Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29 DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.

• Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica.

• Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy.

• Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010).

• Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate.

• Formazione del Personale.

Con periodicità annuale, il titolare del trattamento deve aggiornare il “sistema privacy” in considerazione delle possibili modifiche normative avvenute nel corso dell’anno, verificare la rispondenza delle misure adottate riguardanti i trattamenti dei dati personali e aggiornare i documenti e i mansionari adottati.

L’evoluzione della normativa è da seguire attentamente in quanto è in arrivo un regolamento comunitario che andrà a sostituire la normativa di riferimento dei singoli Stati europei. Si tratta di un regolamento importante perché oltre ad uniformare le norme a livello europeo, stando alla bozza che circola, renderà molto più incisive le regole in materia di tutela dei dati personali.

I nuovi obblighi prevedranno una mole di documentazione ancora più massiccia rispetto al DPS.

I soggetti obbligati dovranno adottare un vero modello organizzativo per la tutela dei dati.

Sarà introdotto il principio di responsabilità (accountability) con un impianto sanzionatorio che prescriveràsanzioni parametrate al fatturato.

L’eliminazione dell’obbligo di predisporre e aggiornare il DPS risponde al fatto che si tratta di un “adempimento meramente superfluo” (Comunicato stampa del 27 gennaio u.s.) ritenuto formale e sostanzialmente inutile.

Ben fatto! Si sappia, però, che la privacy non è il DPS

Consigli alle aziende:

.

Quindi per gli obblighi in materia di privacy, rimangono valide tutte le incombenze relative alla gestione dei dati:

•L’obbligo di redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli incaricati su di essi

•L’obbligo di istruire gli incaricati sulle procedure di autenticazione informatica e di gestione delle credenziali di autenticazione (allegato B dal punto 1 al punto 11)

•L’obbligo di istruire gli incaricati sul sistema di autorizzazione (allegato B dal punto 12 al punto 14)

•L’obbligo di individuare i soggetti coinvolti nel trattamento (incaricati, responsabili, amministratori di sistema etc. – artt. 29 e 30 del codice e punto 15 dell’allegato B)

•L’obbligo di proteggere gli strumenti elettronici ed i dati rispetto a trattamenti illeciti, accessi non consentiti, programmi maligni e conseguente istruzione del personale. (allegato B punti 16 e 17)

•L’obbligo di procedure di ripristino di dati personali in tempi brevi (allegato B punto 18)

•L’obbligo di stabilire delle misure minime di sicurezza in caso di trattamento di dati sensibili su supporti rimovibili (allegato B dal punto 21 al 23)

•L’obbligo di impartire istruzioni agli incaricati anche per i trattamenti su supporto cartaceo (allegato B punto 27)

•L’obbligo di stabilire delle procedure di custodia durante il trattamento (allegato B punto 28)

• L’obbligo di stabilire delle procedure per l’accesso identificato e restrittivo agli atti (allegato B punto 29)

Per leggere la versione integrale dell'allegato clicca qui

Anche se ancora si attendono le disposizioni finali da parte dell'Unione Europea, sono molti i tratti gia' delineati, come per esempio la portabilita' del dato da un provider all'altro, in formato neutro e il "diritto all'oblio". Inoltre per tutte le aziende al di sopra di un determinato parametro e per tutti gli enti pubblici dovra' essere prevista la figura professionale del "data protection officer" che si occupi della corretta archiviazione del dato e del puntuale espletamento degli obblighi previsti.

Il principio di "privacy by design" riguardera' la struttura dei software che dovra' tassativamente prevedere determinati parametri per la tutela dei dati come previsto dal regolamento.

L'argomento e' delicato e complesso e va tenuto in grande considerazione, poiche' le multe in caso di mala gestione dei dati di privacy sono salatissime: fino a € 1.000.000,00 o il 2% del fatturato.

Tutte le certificazioni ISO per la tua impresa

Per le imprese ottenere le certificazioni ISO equivale ad avere un attestato di riconoscimento della Qualità - ISO 9001:2008, Sicurezza - OSHAS 18001, Ambientale - ISO 14000 ed Etica SA 8000. ISO/IEC 27001:2006 Tecnoligia delle informazioni.

Essere certificati ISO, generalmente, oltre a costituire un vantaggio in termini di efficienza e produttività comporta, come effetto indotto, un aumento del livello di credibilità dell’azienda , dei suoi prodotti e servizi.

CG INFORMATICA, forte dell’esperienza maturata dai propri dipendenti e personale qualificato, è in grado di offrire alle imprese tutta la consulenza necessaria per ottenere la certificazione ISO.

Richiedi subito informazioni utilizzando il form sulla pagina contatti.