DPS abolito? Avanti art. 34 ed Allegato B

di V. Frediani - Il Documento Programmatico sulla Sicurezza dei dati scompare dagli obblighi previsti per le imprese. Cosa cambierà in materia di tutela della privacy?

Roma - Con tutta probabilità sarà approvato dal Parlamento il testo definitivo del Decreto Monti che comporterà la soppressione degli obblighi inerenti l'adozione del documento programmatico di sicurezza. Non ci saranno più questioni interpretative né discriminazioni tra titolari di dati amministrativi e dati sensibili, tra piccole e grandi aziende, tra professionisti o altro. In una situazione particolarmente grave sotto il profilo economico, non poteva che rispondere con questa abrogazione il Governo, recependo peraltro gli umori manifestati da aziende ed operatori del settore, nonché in prospettiva dell'ormai prossima Direttiva Europea che metterà mano all'argomento. Il DPS aveva un senso? Certo, lo aveva in un momento storico di sviluppo dell'informatizzazione, lo ha avuto fino a quando non è stato snaturato diventando un ingestibile documento spesso promosso dai consulenti come un documento da valutare più per il peso e numero di pagine, che rispetto ai contenuti!

I controlli sulle misure di sicurezza
Il DPS era comunque uno strumento che consentiva di dare evidenza, in caso di controllo, di un approccio positivo all'applicazione normativa. All'arrivo della Guardia di Finanza o in occasione di richieste specifiche dell'Autorità Garante, esibire il DPS costituiva un presupposto fondamentale per dimostrare l'attenzione del Titolare sull'applicazione delle misure. Cosa succederà adesso? Che i controlli - non certo destinati a scemare - si concentreranno in modo più approfondito su ben altri elementi. In particolare ora le aziende ed i professionisti dovranno concentrarsi sulla verifica effettiva dell'applicazione dell'art. 34 orfano del DPS. Da sempre ho definito il DPS una "ciliegina sulla torta" al termine dell'adeguamento normativo della struttura, non comprendendo né il terrore avvertito dalle aziende nel doverlo applicare, né il terrorismo dilagante tra i consulenti nel farlo redigere.

Dunque viene meno una delle incombenze, ma l'art. 34 resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre: a) l'autenticazione informatica; b)l' adozione di procedure di gestione delle credenziali di autenticazione; c) l'utilizzazione di un sistema di autorizzazione; d) l'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici - dovendo fornire istruzioni chiare e formarli laddove necessario per l'effettiva protezione dei dati-; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l'adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all'adozione delle misure di cui all'art. 34 ed all'Allegato B. questo aspetto assumerà particolare importanza.
Ora l'art. 34 a totale carico del Responsabile
Si valorizza dunque con questa abrogazione il ruolo del Responsabile della sicurezza informatica. Se sino ad ieri il DPS era un documento da sottoscrivere unitamente da parte di tutti i Responsabili o direttamente dal Titolare del trattamento, con l'abrogazione ormai prossima sarà il Responsabile della sicurezza informatica a dover attestare la sussistenza delle misure di cui all'art. 34 ed all'Allegato B. Si ridarà così un senso più stretto al concetto di sicurezza informatica sui dati gestiti; saranno quindi valorizzati ulteriormente i consulenti informatici e necessiteranno di maggior attenzione i contratti mediante i quali il Titolare o i Responsabili si affideranno a soggetti terzi, parzialmente o totalmente, per adeguare le misure.

Troppe disposizioni normative trascurate
L'eccessiva valorizzazione del DPS ha portato, nel tempo, l'abbandono di diverse misure imposte dal Codice privacy e dall'Allegato B. Si pensi a quanto disposto al punto 25: "Il Titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico". Assolutamente raro trovare, in una azienda o in uno studio, la descrizione predetta, che assume peraltro, sotto il profilo strettamente giuridico, un ruolo di relazione di conformità, non potendo certo il Titolare avere le conoscenze informatiche del soggetto di cui si avvale. In questa fase quindi si potrà assistere ad una valorizzazione da parte del Titolare di certi obblighi indicati dall'Allegato B fin troppo trascurati a fronte dell'eccessiva valorizzazione del DPS.

Nomine ed informative
Le nomine e le informative, dunque, si sganciano dall'essere inserite nel DPS - abitudine ormai di molti - e riacquisiscono la loro identità autonoma. Il Codice prevede espressamente l'obbligo di aggiornamento in merito a questi documenti in caso di modifiche normative o provvedimenti. L'analisi in materia di privacy, quindi, comporterà ancora una volta la definizione dei ruoli e dei rispettivi trattamenti, stavolta incentrati però sulla redazione di atti formalizzanti l'autorizzazione alla gestione dei dati - con indicazione delle modalità da adottare - nonché sulla redazione delle informative da rilasciare ex art. 13 agli interessati. Saranno certamente le nomine ad acquisire un valore quasi "contrattuale" se così si può dire, rispetto all'effettiva tutela dei dati. Qui giocherà un ruolo di rilievo la formazione, che benché depennata dal punto 19 dell'Allegato B, resterà ora unico strumento per dimostrare, da parte del Titolare, di aver messo in condizione oggettivamente l'incaricato di adempiere ai doveri indicati nella nomina anche attraverso una formazione effettiva e non solo richiamata nei documenti aziendali.

Ma sarà davvero abbandonato il DPS?
Le strutture più articolate difficilmente potranno abbandonare questo documento. Si pensi ad una società che tratta dati di utenti finali (assicurazioni, banche, aziende di telemarketing, aziende sanitarie ecc.) dove la vastità dei trattamenti effettuati non potrà che esigere la redazione di un documento organizzativo che coincide nella logica e nella struttura nel DPS, con il vantaggio però di non dover rispondere a tutti quei criteri imposti originariamente dal nostro legislatore con l'elenco degli elementi costitutivi indicati al punto 19 dell'Allegato B. Per la normativa 231 ad esempio, il DPS può essere assunto come strumento atto a contribuire alla prevenzione dei reati di trattamento illecito dati, pertanto potrà continuare ad essere gestito in quell'ottica per chi vi abbia ad oggi investito.

Obbligo di esibire il DPS 2011
Con questa abrogazione si apre un ulteriore punto. Sussisterà l'obbligo in caso di controllo, di esibire il DPS 2011? Il legislatore in questo senso non ha mai dato indicazioni. È pur vero però, che per quelle società tenute alla relazione accompagnatoria al bilancio, che al 31 marzo 2011 hanno dovuto render conto dell'aggiornamento del DPS, potrebbe oggi essere richiesto in sede di controllo, l'esibizione del vecchio DPS. È quindi raccomandabile conservare l'ultima versione redatta del DPS a dimostrazione di aver adempiuto correttamente all'epoca della vigenza dell'obbligo medesimo.

In conclusione si può ritenere oggettivamente opportuna l'abrogazione del DPS, anche se ora gli operatori del settore, i Responsabili e le Autorità di controllo dovranno gestire la privacy in modo meno formale e più operativo. Effettivamente con ampio ritorno al significato di protezione dei dati.

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
Notizie collegate
47 Commenti alla Notizia DPS abolito? Avanti art. 34 ed Allegato B
Ordina
  • Salve, mentre da una parte pare chiaro che non è piu' necessaria la revisione del dps, dall'altra alcuni enti pubblicano sul loro albo pretorio notizie relative a trattativa negoziata per il rinnovo del dps http://www.comune.scicli.rg.it/flex/FixedPages/IT/...

    Mi chiedo ma gli enti come i comuni devono ancora predisporre la revisione dle dps?
    non+autenticato
  • NOn sono d'accordo con l'Avv. Frediani. L'eliminazione del DPS è di fatto l'eliminazione anche delle misure di sicurezza.

    Non dico che la norma dica questo, tutt'altro. Segnalo che in questo modo il management (pubblico e privato che sia) non avrà più nessun motivo per stanziare budget per la sicurezza informatica in quanto non viene percepito il problema oggi come allora.

    Fino a ieri l'unico vantaggio era ricordare come fossero loro i responsabili per cui era meglio che i budget ci fossero per salvare il loro dorato sederino. Oggi senza dps chi è il responsabile? Naturalmente il responsabile della sicurezza che dovrà garantire tutto ma tagliando sulle spese.

    Al manager non interesserà più la cosa e l'unica frase sarà " ma quanto costa sta sicurezza... spendiamo di meno, tagliamo il 10,20,30%" tanto a che serve? Gli hacker tanto non attaccano mica noi, magari solo i ragazzini ma per quelli non serve spendere, tanto abbiamo già il responsabile della sicurezza.

    Sob....
    non+autenticato
  • D'accordo su tutto!
  • Sono d'accordo che la prima percezione possa essere quella che ha indicato: ricordo però che il DPS era un documento finale riassuntivo che ora dovrà essere comunque sostituito dalla prova di adozione - anche come relazione - di tutte le misure dell'art. 34 e dell'Allegato B. Non si chiamerà DPS - e quindi cadrà l'analisi delle misure di sicurezza sotto il profilo di programmazione e rilevazione dei rischi - ma non cadranno gli obbighi connessi alla verifica della sussistenza delle misure di sicurezza. Occorre tener presente che è in sede di approvazione apposito regolamento europeo, che supererà a mio parere il DPS avvalorando ben altri obblighi sul fronte sicurezza. Non è assolutamente chiusa la partita. Stanno cambiando priorità e modalità tutto a favore della sicurezza. Saluti
    non+autenticato
  • healer e tank bastano e avanzano.
    non+autenticato
  • - Scritto da: nome e cognome
    > healer e tank bastano e avanzano.

    AHAHAHAHAHAH +1
  • So che quello che scriverò non piacerà a molti ma spero veramente tanto che inizino a fare controlli a tappeto un macello di aziende non sanno minimamente che significa sicurezza informatica e/o sicurezza di dati personali...
    non+autenticato
  • - Scritto da: ermac
    > So che quello che scriverò non piacerà a molti ma
    > spero veramente tanto che inizino a fare
    > controlli a tappeto un macello di aziende non
    > sanno minimamente che significa sicurezza
    > informatica e/o sicurezza di dati
    > personali...

    E come li dovrebbero fare questi controlli?
    Assoldano un hacker per vedere se questo riesce ad accedere ai dati riservati, oppure mandano un utonto statale che non sa riconoscere un client da un server (non ci riesce neppure Fiber).
  • io parlo del minimo necessario...

    Per intenderci che spariscano postit con password o fogli di exel con dentro password da i pc
    Non è possibile che ci sono gestori di hotel/residence che quando fai una prenotazione per telefono ti chiedono numero di carta di credito e ccv per poi trascriverli nella migliore delle ipotesi in un file di testo sul pc in chiaro per non parlare delle volte che le segnano sui postit e li appiccicicano sul monitor.
    Password quando le mettono assolutamente ridicole che non vengono mai cambiate e il + delle volte tutte uguali e alcune volte quelle password ridicole usate anche per servizi come remotedesktop
    Oppure negozi che tengono scannerizzazioni dei documenti di identità in delle in belle cartelle ovviamente condivise al mondo perchè sia mai la fatica di mettere una password per accederci da un altro pc
    E potrei andare avanti con un elenco simile per ore e ore E VOGLIO SOTTOLINEARE CHE IN TUTTI QUESTI CASI erano persone dotate di dps soltanto che viene fatto tanto per fare questo è il problema
    non+autenticato
  • - Scritto da: ermac
    > io parlo del minimo necessario...
    >
    > Per intenderci che spariscano postit con password
    > o fogli di exel con dentro password da i
    > pc

    Ripeto: come lo fai questo controllo?
    Non puoi mettere il naso nei computer aziendali.
    A chi lo fai fare il controllo?
    Ti devi fidare di una autocertificazione.
    E poi quando l'hacker entra e trova tutto in chiaro, dai la colpa al virus.
    Perche' le aziende continuano ad usare winsozz, quando invece c'e' linux gratis e piu' sicuro?
    Perche' cosi' possono dare la colpa della loro incapacita' al virus.

    > Non è possibile che ci sono gestori di
    > hotel/residence che quando fai una prenotazione
    > per telefono ti chiedono numero di carta di
    > credito e ccv per poi trascriverli nella migliore
    > delle ipotesi in un file di testo sul pc in
    > chiaro per non parlare delle volte che le segnano
    > sui postit e li appiccicicano sul
    > monitor.

    Scemo tu che gli dici il cvv.
    Quello non glielo devi dare mai!

    > Password quando le mettono assolutamente ridicole
    > che non vengono mai cambiate e il + delle volte
    > tutte uguali e alcune volte quelle password
    > ridicole usate anche per servizi come
    > remotedesktop
    > Oppure negozi che tengono scannerizzazioni dei
    > documenti di identità in delle in belle cartelle
    > ovviamente condivise al mondo perchè sia mai la
    > fatica di mettere una password per accederci da
    > un altro
    > pc

    Tutto vero quello che dici.
    Ma come lo effettui il controllo?


    > E potrei andare avanti con un elenco simile per
    > ore e ore E VOGLIO SOTTOLINEARE CHE IN TUTTI
    > QUESTI CASI erano persone dotate di dps soltanto
    > che viene fatto tanto per fare questo è il
    > problema

    No. Il problema e' dare il computer in mano agli ignoranti.
    Sulle mie macchine e' sempre tutto blindato, lo era anche prima del DPS e lo sara' anche dopo.

    Non serve nessuna legge per far applicare l'intelligenza, ne' l'intelligenza e' esigibile per legge.
  • - Scritto da: panda rossa
    >
    > Non serve nessuna legge per far applicare
    > l'intelligenza, ne' l'intelligenza e' esigibile
    > per
    > legge.

    Non tutti sono intelligenti.

    Ma poi, visto che parli di controlli, ma tua sai cos'è il DPS?
    Da come parli sembra proprio di no.
  • Si so cosa è il DPS e so come dalle piccole imprese viene visto, cioè solo come una semplice pratica burocratica tanto per essere fatta...
    non+autenticato
  • E' vero, ma tieni conto che c'è una superficialità tra imprenditori e professionisti (e, specialmente, loro dipendenti) che fa paura!

    Basterebbe che durante un controllo o visita fiscale la GdF facesse anche un controllo sul rispetto di misure di sicurezza. E' ovvio che non pretendo che i baschi verdi siano espertoni, ma basta far redigere a qualche persona decente un memorandum con i passi da seguire nel controllo delle misure di sicurezza e darlo a chi opera sul campo (non dimenticando le peculiarità dei sistemi operativi alternativi a windows), del resto lo fanno già in materia di ispezioni tributare (dove guardare, a chi rivolgersi, cosa chiedere ecc...) ...
    non+autenticato
  • Ovvio che io il mio ccv ne il numero glielo do manco se piangono... però per uno come me che gli dice un bel no quanti gli dicono un bel si??

    Per quel che riguarda i controlli invece potrebbero fare come fanno con gli ausiliari del traffico facendogli un piccolo corso nulla di che ma almeno per arrivare a una accettabilità di sicurezza minima e sguinzagliarli in giro e con quello che incasserebbero delle multe paghi il loro stipendio cosi facendo si andrebbe al pari e forse i dati personali sarebbero un po + al sicuro

    Non volevo iniziare un flame su windows ma dato che è stato tirato in mezzo non sono tanto i cracker (ben diverso da hacker...) ma ovvio che windows è il male da cui parte tutto ed è proprio quello che mi spaventa essendo un colabrodo per sicurezza di suo aggiungi l'utonto che fa avanti avanti senza leggere che nel 99% delle volte ha i diritti di amministrazione... non c'è bisogno che aggiungo altro...
    non+autenticato
  • - Scritto da: ermac
    > Ovvio che io il mio ccv ne il numero glielo do
    > manco se piangono... però per uno come me che gli
    > dice un bel no quanti gli dicono un bel
    > si??

    Se uno mi chiede 100 euro e io gliele do', poi non devo lamentarmi se resto con 100 euro in meno.

    > Per quel che riguarda i controlli invece
    > potrebbero fare come fanno con gli ausiliari del
    > traffico facendogli un piccolo corso nulla di che
    > ma almeno per arrivare a una accettabilità di
    > sicurezza minima e sguinzagliarli in giro e con
    > quello che incasserebbero delle multe paghi il
    > loro stipendio cosi facendo si andrebbe al pari e
    > forse i dati personali sarebbero un po + al
    > sicuro

    Non credo che si possano sguinzagliare degli ausiliari per controllare i dati personali.
    Solo un pubblico ufficiale puo' mettere il naso nei dati personali per qualsivoglia verifiva.

    Gli ausiliari del traffico sono pubblici ufficiali?

    > Non volevo iniziare un flame su windows

    Parlar male di windows non e' un flame, e' un dato di fatto.

    > ma dato
    > che è stato tirato in mezzo non sono tanto i
    > cracker (ben diverso da hacker...) ma ovvio che
    > windows è il male da cui parte tutto ed è proprio
    > quello che mi spaventa essendo un colabrodo per
    > sicurezza di suo aggiungi l'utonto che fa avanti
    > avanti senza leggere che nel 99% delle volte ha i
    > diritti di amministrazione... non c'è bisogno che
    > aggiungo
    > altro...

    Tanto adesso arriva Fiber ad aggiungere altro.
  • - Scritto da: panda rossa
    [CUT]
    >
    > Scemo tu che gli dici il cvv.
    > Quello non glielo devi dare mai!
    [CUT]

    Mai ordinato on line da amazon? Non ho mai dato il ccv a loro
    ma dalla mia carta prepagata visa electron hanno sempre prelevato
    il dovuto dei miei acquisti.
    non+autenticato
  • - Scritto da: panda rossa

    > Sulle mie macchine e' sempre tutto blindato, lo
    > era anche prima del DPS e lo sara' anche
    > dopo.
    >
    > Non serve nessuna legge per far applicare
    > l'intelligenza, ne' l'intelligenza e' esigibile
    > per
    > legge.

    Concordo con te...
    Ma devi capire che ci sono persone che NON capiscono l'importanza della sicurezza, e che sono convinte che nei loro PC non c'è nulla di interessante per un hacker.

    Per queste persone serve una legge purtroppo.
    Ora senza DPS, l'unica soluzione è che inaspriscano le sanzioni e i controlli.

    Ovvio che a fare i controlli devono essere persone con un minimo di preparazione... ma basterebbe anche realizzare un programmino da lanciare nei PC da controllare per verificare se ha una password, da quanto giorni non viene cambiata e forse etc.
  • Solita semplificazione all'italiana.
    si fanno male i DPS e ci si affida a consulenti che ci marciano sopra, facendosi dare soldi per degli inutili copia incolla?
    e allora eliminiamo il DPS e chi se ne frega!
    e invece il DPS, se fatto bene, poteva essere strumento utilissimo di verifica, prevenzione e protezione.
    ciao a tutti e w l'italia
    (e avv. frediani mi ha convinto poco questa volta!)
    non+autenticato
  • - Scritto da: Pippo
    > Solita semplificazione all'italiana.
    > si fanno male i DPS e ci si affida a consulenti
    > che ci marciano sopra, facendosi dare soldi per
    > degli inutili copia
    > incolla?

    eh, evidentemente più di qualche imprenditore ci dev'essere cascato...

    > e allora eliminiamo il DPS e chi se ne frega!

    Classica soluzione taglia-testa-al-toro all'italiana.

    > e invece il DPS, se fatto bene, poteva essere
    > strumento utilissimo di verifica, prevenzione e
    > protezione.

    se fatto bene...

    ;)
  • Concordo, era un ottimo modo per fare il punto della situazione, una sorta di check-list delle misure e dei rischi potenziali.
    Il fatto che aziende di servizi e "conslutanti" ci mangiassero sopra non significa che fosse un inutile peso.
    non+autenticato
  • - Scritto da: Pippo
    > Solita semplificazione all'italiana.
    > si fanno male i DPS e ci si affida a consulenti
    > che ci marciano sopra, facendosi dare soldi per
    > degli inutili copia
    > incolla?
    > e allora eliminiamo il DPS e chi se ne frega!
    > e invece il DPS, se fatto bene, poteva essere
    > strumento utilissimo di verifica, prevenzione e
    > protezione.
    > ciao a tutti e w l'italia
    > (e avv. frediani mi ha convinto poco questa
    > volta!)

    Infatti era meglio se semplificavano il DPS magari con dei
    moduli standard prodotti dallo stesso ministero modellati
    su aziende/enti tipo.
    non+autenticato
  • - Scritto da: pinco pallino
    > - Scritto da: Pippo
    > > Solita semplificazione all'italiana.
    > > si fanno male i DPS e ci si affida a consulenti
    > > che ci marciano sopra, facendosi dare soldi per
    > > degli inutili copia
    > > incolla?
    > > e allora eliminiamo il DPS e chi se ne frega!
    > > e invece il DPS, se fatto bene, poteva essere
    > > strumento utilissimo di verifica, prevenzione e
    > > protezione.
    > > ciao a tutti e w l'italia
    > > (e avv. frediani mi ha convinto poco questa
    > > volta!)
    >
    > Infatti era meglio se semplificavano il DPS
    > magari con dei
    >
    > moduli standard prodotti dallo stesso ministero
    > modellati
    > su aziende/enti tipo.

    Si, bravo.
    Secondo te il DPS serve per incrementare il livello di sicurezza o per dar da mangiare agli amici degli amici?
  • - Scritto da: panda rossa
    [CUT]
    > > Infatti era meglio se semplificavano il DPS
    > > magari con dei
    > >
    > > moduli standard prodotti dallo stesso
    > ministero
    > > modellati
    > > su aziende/enti tipo.
    >
    > Si, bravo.
    > Secondo te il DPS serve per incrementare il
    > livello di sicurezza o per dar da mangiare agli
    > amici degli
    > amici?

    E' un testo, per cui è difficile che riesca ad incrementare il livello di sicurezza...
    Come quasi ogni norma tende a sviluppare un mercato di consulenti.
    Se usato come stimolo per tenere in ordine le proprie strutture (e questo per realtà piccole è più facile che avvenga se la realizzazione è piuttosto semplice) non è una cosa così negativa.
    non+autenticato
  • - Scritto da: pinco pallino

    > Se usato come stimolo per tenere in ordine le
    > proprie strutture (e questo per realtà piccole è
    > più facile che avvenga se la realizzazione è
    > piuttosto semplice) non è una cosa così
    > negativa.

    Il problema è che le aziende piccole e i professionisti (geometri, ingegneri, commercialisti, avvocati) che sicuramente non hanno bene in mente le problematiche della sicurezza dei loro dati, poteva essere una "scusa" per mettere ordine.

    Di fatto però, per quel poco che ho visto, volevano solo il pezzo di carta.

    Forse le aziende medio/grandi sono più attente (ma non è detto).
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)