Con tutta probabilità sarà approvato dal Parlamento il testo definitivo del Decreto Monti che comporterà la soppressione degli obblighi inerenti l’adozione del documento programmatico di sicurezza. Non ci saranno più questioni interpretative né discriminazioni tra titolari di dati amministrativi e dati sensibili, tra piccole e grandi aziende, tra professionisti o altro. In una situazione particolarmente grave sotto il profilo economico, non poteva che rispondere con questa abrogazione il Governo, recependo peraltro gli umori manifestati da aziende ed operatori del settore, nonché in prospettiva dell’ormai prossima Direttiva Europea che metterà mano all’argomento. Il DPS aveva un senso? Certo, lo aveva in un momento storico di sviluppo dell’informatizzazione, lo ha avuto fino a quando non è stato snaturato diventando un ingestibile documento spesso promosso dai consulenti come un documento da valutare più per il peso e numero di pagine, che rispetto ai contenuti!
I controlli sulle misure di sicurezza
Il DPS era comunque uno strumento che consentiva di dare evidenza, in caso di controllo, di un approccio positivo all’applicazione normativa. All’arrivo della Guardia di Finanza o in occasione di richieste specifiche dell’Autorità Garante, esibire il DPS costituiva un presupposto fondamentale per dimostrare l’attenzione del Titolare sull’applicazione delle misure. Cosa succederà adesso? Che i controlli – non certo destinati a scemare – si concentreranno in modo più approfondito su ben altri elementi . In particolare ora le aziende ed i professionisti dovranno concentrarsi sulla verifica effettiva dell’applicazione dell’ art. 34 orfano del DPS. Da sempre ho definito il DPS una “ciliegina sulla torta” al termine dell’adeguamento normativo della struttura, non comprendendo né il terrore avvertito dalle aziende nel doverlo applicare, né il terrorismo dilagante tra i consulenti nel farlo redigere.
Dunque viene meno una delle incombenze, ma l’art. 34 resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre: a) l’autenticazione informatica; b) l’ adozione di procedure di gestione delle credenziali di autenticazione; c) l’utilizzazione di un sistema di autorizzazione; d) l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – dovendo fornire istruzioni chiare e formarli laddove necessario per l’effettiva protezione dei dati-; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all’adozione delle misure di cui all’art. 34 ed all’ Allegato B . questo aspetto assumerà particolare importanza.
Ora l’art. 34 a totale carico del Responsabile
Si valorizza dunque con questa abrogazione il ruolo del Responsabile della sicurezza informatica. Se sino ad ieri il DPS era un documento da sottoscrivere unitamente da parte di tutti i Responsabili o direttamente dal Titolare del trattamento, con l’abrogazione ormai prossima sarà il Responsabile della sicurezza informatica a dover attestare la sussistenza delle misure di cui all’art. 34 ed all’Allegato B. Si ridarà così un senso più stretto al concetto di sicurezza informatica sui dati gestiti; saranno quindi valorizzati ulteriormente i consulenti informatici e necessiteranno di maggior attenzione i contratti mediante i quali il Titolare o i Responsabili si affideranno a soggetti terzi, parzialmente o totalmente, per adeguare le misure .
Troppe disposizioni normative trascurate
L’eccessiva valorizzazione del DPS ha portato, nel tempo, l’abbandono di diverse misure imposte dal Codice privacy e dall’Allegato B. Si pensi a quanto disposto al punto 25: “Il Titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico”. Assolutamente raro trovare, in una azienda o in uno studio, la descrizione predetta, che assume peraltro, sotto il profilo strettamente giuridico, un ruolo di relazione di conformità, non potendo certo il Titolare avere le conoscenze informatiche del soggetto di cui si avvale. In questa fase quindi si potrà assistere ad una valorizzazione da parte del Titolare di certi obblighi indicati dall’Allegato B fin troppo trascurati a fronte dell’eccessiva valorizzazione del DPS.
Nomine ed informative
Le nomine e le informative , dunque, si sganciano dall’essere inserite nel DPS – abitudine ormai di molti – e riacquisiscono la loro identità autonoma . Il Codice prevede espressamente l’obbligo di aggiornamento in merito a questi documenti in caso di modifiche normative o provvedimenti. L’analisi in materia di privacy, quindi, comporterà ancora una volta la definizione dei ruoli e dei rispettivi trattamenti, stavolta incentrati però sulla redazione di atti formalizzanti l’autorizzazione alla gestione dei dati – con indicazione delle modalità da adottare – nonché sulla redazione delle informative da rilasciare ex art. 13 agli interessati. Saranno certamente le nomine ad acquisire un valore quasi “contrattuale” se così si può dire, rispetto all’effettiva tutela dei dati. Qui giocherà un ruolo di rilievo la formazione , che benché depennata dal punto 19 dell’Allegato B, resterà ora unico strumento per dimostrare, da parte del Titolare, di aver messo in condizione oggettivamente l’incaricato di adempiere ai doveri indicati nella nomina anche attraverso una formazione effettiva e non solo richiamata nei documenti aziendali.
Ma sarà davvero abbandonato il DPS?
Le strutture più articolate difficilmente potranno abbandonare questo documento. Si pensi ad una società che tratta dati di utenti finali (assicurazioni, banche, aziende di telemarketing, aziende sanitarie ecc.) dove la vastità dei trattamenti effettuati non potrà che esigere la redazione di un documento organizzativo che coincide nella logica e nella struttura nel DPS, con il vantaggio però di non dover rispondere a tutti quei criteri imposti originariamente dal nostro legislatore con l’elenco degli elementi costitutivi indicati al punto 19 dell’Allegato B. Per la normativa 231 ad esempio, il DPS può essere assunto come strumento atto a contribuire alla prevenzione dei reati di trattamento illecito dati, pertanto potrà continuare ad essere gestito in quell’ottica per chi vi abbia ad oggi investito.
Obbligo di esibire il DPS 2011
Con questa abrogazione si apre un ulteriore punto. Sussisterà l’obbligo in caso di controllo, di esibire il DPS 2011? Il legislatore in questo senso non ha mai dato indicazioni. È pur vero però, che per quelle società tenute alla relazione accompagnatoria al bilancio, che al 31 marzo 2011 hanno dovuto render conto dell’aggiornamento del DPS, potrebbe oggi essere richiesto in sede di controllo, l’esibizione del vecchio DPS . È quindi raccomandabile conservare l’ultima versione redatta del DPS a dimostrazione di aver adempiuto correttamente all’epoca della vigenza dell’obbligo medesimo.
In conclusione si può ritenere oggettivamente opportuna l’abrogazione del DPS, anche se ora gli operatori del settore, i Responsabili e le Autorità di controllo dovranno gestire la privacy in modo meno formale e più operativo. Effettivamente con ampio ritorno al significato di protezione dei dati.
Avv. Valentina Frediani
www.consulentelegaleinformatico.it