Accedi FTP

Teleassistenza

Shop

PERCHE' FARE IL DPS?

PERCHE' FARE IL DPS?

   Fai click su mi piace e ricevi tutte le notizie sulla tua pagina facebook
Sei in: Home    News    PERCHE' FARE IL DPS?
 

03/02/2014 - PERCHE' FARE IL DPS?

 

PRIVACY e DPS

PERCHE’ FARE ANCORA IL D.P.S.?

PRIMA DI TUTTO, COS’E’ IL D.P.S. (Documento Programmatico sulla sicurezza)

L'adozione di un documento programmatico sulla sicurezza (DPS) era un obbligo previsto dal DL 196/2003 normativa sulla protezione dei dati personali, che sostituisce e abroga la legge 675/96 (obbligo abolito dal Decreto Legge n. 5 del 9 febbraio 2012 in attesa di conversione); l'obbligo esiste per tutte le aziende, liberi professionisti, enti o associazioni che trattano i dati personali, anche sensibili con strumenti elettronici. Il documento, a partire dal 31/03/2006 (ultima proroga concessa per mettersi definitivamente in regola) va predisposto ed aggiornato annualmente entro il 31 marzo successivo, affinché si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e deve soddisfare anche determinati obblighi di legge, se previsti (p.e. se ne deve dare comunicazione nella relazione allegata al Bilancio d'esercizio).

I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza e sono:

1.    l'elenco dei trattamenti di dati personali;

2.    la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;

3.    l'analisi dei rischi che incombono sui dati;

4.    le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

5.    la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

6.    la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

7.    la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;

8.    per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

COSA ACCADE CON IL DECRETO MONTI “Sviluppo Italia

Il D.Lgs. 5/2012 recante “Disposizioni urgenti in materia di semplificazione e di sviluppo” ha apportato modifiche al D.Lgs. 196/2003 ”Codice in materia di protezione dei dati personali” ed al suo Allegato B.

In particolare sono stati modificati, l’art. 21, il 27  Garanzie per i dati giudiziari, il 34 e sono stati soppressi i paragrafi da 19 a 19.8 e 26 dell’allegato B del Codice Privacy.

PERTANTO LA REDAZIONE  DEL DOCUMENTO NON E’ PIU’ OBBLIGATORIA

la disposizione che più c’interessa è quella che prevede l’abolizione dell’obbligo di tenere "un aggiornato documento programmatico sulla sicurezza".

 

MA ATTENZIONE: RESTANO LE MISURE DI SICUREZZA

Restano obbligatorie le misure di sicurezza minime a protezione dei dati personali e restano le numerose e pesantissime sanzioni amministrative e penali (artt. 161 sino a 166 per le violazioni amministrative e da 167 sino a 172 per gli illeciti penalmente rilevanti).

DOCUMENTO A PROVA DELL'ADOZIONE DELLE MISURE DI SICUREZZA

In quale documento si potranno e dovranno rappresentare allora le misure di sicurezza adottate? Si dovrà, a nostro parere, redigere uno snello documento di conformità delle misure adottate alla normativa vigente, quindi un documento in grado di "misurare" la sicurezza fisica, logica, organizzativa raggiunta nel trattamento dei dati personali: in buona sostanza il D.P.S.

Noi continueremo a svolgere il nostro lavoro, come sempre abbiamo fatto, nell' ottica della maggior effettività delle misure adottate e nell'ottica della semplificazione dei processi aziendali. Del resto il nostro lavoro non si concretizzava neppure in passato nella mera stesura del DPS, un documento riassuntivo della situazione aziendale, quanto piuttosto nell'assistenza per raggiungere una situazione di piena conformità alla normativa privacy nel rispetto dell'efficienza interna.

MISURE DI SICUREZZA

Art. 31. Obblighi di sicurezza. 

1.    I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Art. 32. Particolari titolari. 

1.    Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell'articolo 31 idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l'integrità dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita.

2.    Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente. 

3.    Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni.

Art. 33. Misure minime. 

1.    Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

Art. 34. Trattamenti con strumenti elettronici. 

1.    Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza(abrogato); h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

SANZIONI

Il Testo Unico sulla Privacy prevede illeciti penali, violazioni amministrative e responsabilità civile per danni.

Riportiamo di seguito un riassunto delle principali norme in materia, un nostro commento in merito e un riepilogo di quelli che, visto l'attuale apparato sanzionatorio, a nostro avviso risultano essere gli adempimenti prioritari.

Gli illeciti penali

Trattamento illecito di dati

(Art. 167 Codice privacy)

Salvo che il fatto non costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della normativa è punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a tre anni.

Falsità nelle dichiarazioni e notificazioni al Garante

(Art. 168 Codice privacy)

Chiunque, nella notificazione o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.

Misure di sicurezza

(Art. 169 Codice privacy)

Chiunque, essendovi tenuto, omette di adottare le misure minime previste è punito con l’arresto sino a due anni o con l’ammenda da 10.000 a 50.000 Euro. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario. (…) Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato.

Inosservanza di provvedimenti del Garante

(Art. 170 Codice privacy)

Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante, è punito con la reclusione da tre mesi a due anni.

 

Le violazioni amministrative

Omessa o inidonea informativa all’interessato

(Art.161 Codice privacy)

Sanzioni da 3000 a 18000 Euro, oppure da 5.000 a 30.000 Euro se dati sensibili. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

Omessa o incompleta notificazione

(Art. 163 Codice privacy)

Sanzioni da 10.000 Euro a 60.000 Euro ed in più condanna alla pubblicazione della sentenza.

Omessa informazione o esibizione al Garante

(Art. 164 Codice privacy)

Sanzioni da 4.000 a 24.000 Euro.

Cessione illecita di dati

(“Altre fattispecie”, Art. 162 Codice privacy)

La cessione dei dati in violazione della normativa sul trattamento di dati personali è punita con la sanzione amministrativa da 5.000 a 30.000 Euro.

Pubblicazione della sentenza

(“Pene accessorie”, Art. 172 Codice privacy)

La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza.

 

La responsabilità civile per danni

Danni cagionati per effetto del trattamento

(Art. 15 Codice privacy)

Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. E’ risarcibile anche il danno non patrimoniale.

ECCO QUINDI PERCHE’ REDIGERE ANCORA IL D.P.S.

Il DPS era comunque uno strumento che consentiva di dare evidenza, in caso di controllo, di un approccio positivo all'applicazione normativa. All'arrivo della Guardia di Finanza o in occasione di richieste specifiche dell'Autorità Garante, esibire il DPS costituiva un presupposto fondamentale per dimostrare l'attenzione del Titolare sull'applicazione delle misure. Cosa succederà adesso? Che i controlli - non certo destinati a scemare - si concentreranno in modo più approfondito su ben altri elementi. In particolare ora le aziende ed i professionisti dovranno concentrarsi sulla verifica effettiva dell'applicazione dell' art. 34 orfano del DPS. Da sempre ho definito il DPS una "ciliegina sulla torta" al termine dell'adeguamento normativo della struttura, non comprendendo né il terrore avvertito dalle aziende nel doverlo applicare, né il terrorismo dilagante tra i consulenti nel farlo redigere.

Dunque viene meno una delle incombenze, ma l'art. 34 resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre: a) l'autenticazione informatica; b)l' adozione di procedure di gestione delle credenziali di autenticazione; c) l'utilizzazione di un sistema di autorizzazione; d) l'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici - dovendo fornire istruzioni chiare e formarli laddove necessario per l'effettiva protezione dei dati-; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l'adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all'adozione delle misure di cui all'art. 34 ed all'Allegato B questo aspetto assumerà particolare importanza.

Ora l'art. 34 a totale carico del Responsabile

Si valorizza dunque con questa abrogazione il ruolo del Responsabile della sicurezza informatica. Se sino ad ieri il DPS era un documento da sottoscrivere unitamente da parte di tutti i Responsabili o direttamente dal Titolare del trattamento, con l'abrogazione ormai prossima sarà il Responsabile della sicurezza informatica a dover attestare la sussistenza delle misure di cui all'art. 34 ed all'Allegato B. Si ridarà così un senso più stretto al concetto di sicurezza informatica sui dati gestiti; saranno quindi valorizzati ulteriormente i consulenti informatici e necessiteranno di maggior attenzione i contratti mediante i quali il Titolare o i Responsabili si affideranno a soggetti terzi, parzialmente o totalmente, per adeguare le misure.

Troppe disposizioni normative trascurate

L'eccessiva valorizzazione del DPS ha portato, nel tempo, l'abbandono di diverse misure imposte dal Codice privacy e dall'Allegato B. Si pensi a quanto disposto al punto 25: "Il Titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico". Assolutamente raro trovare, in una azienda o in uno studio, la descrizione predetta, che assume peraltro, sotto il profilo strettamente giuridico, un ruolo di relazione di conformità, non potendo certo il Titolare avere le conoscenze informatiche del soggetto di cui si avvale. In questa fase quindi si potrà assistere ad una valorizzazione da parte del Titolare di certi obblighi indicati dall'Allegato B fin troppo trascurati a fronte dell'eccessiva valorizzazione del DPS.


Nomine ed informative

Le nomine e le informative, dunque, si sganciano dall'essere inserite nel DPS - abitudine ormai di molti - e riacquisiscono la loro identità autonoma. Il Codice prevede espressamente l'obbligo di aggiornamento in merito a questi documenti in caso di modifiche normative o provvedimenti. L'analisi in materia di privacy, quindi, comporterà ancora una volta la definizione dei ruoli e dei rispettivi trattamenti, stavolta incentrati però sulla redazione di atti formalizzanti l'autorizzazione alla gestione dei dati - con indicazione delle modalità da adottare - nonché sulla redazione delle informative da rilasciare ex art. 13 agli interessati. Saranno certamente le nomine ad acquisire un valore quasi "contrattuale" se così si può dire, rispetto all'effettiva tutela dei dati. Qui giocherà un ruolo di rilievo la formazione, che benché depennata dal punto 19 dell'Allegato B, resterà ora unico strumento per dimostrare, da parte del Titolare, di aver messo in condizione oggettivamente l'incaricato di adempiere ai doveri indicati nella nomina anche attraverso una formazione effettiva e non solo richiamata nei documenti aziendali.

Ma sarà davvero abbandonato il DPS?

Le aziende difficilmente potranno abbandonare questo documento.

Si pensi per esempio in occasione di controlli da parte delle Autorità Giudiziarie in cui vengano richiesti i ruoli di cui al paragrafo precedente …

E’ evidente che il Titolare dell’Azienda non potrà che sfruttare la redazione del  documento organizzativo che coincide nella logica e nella struttura al vecchio D.P.S. con il vantaggio però di non dover rispondere a tutti quei criteri imposti originariamente dal nostro legislatore con l'elenco degli elementi costitutivi indicati al punto 19 dell'Allegato B.

Per la normativa 231 ad esempio, il DPS può essere assunto come strumento atto a contribuire alla prevenzione dei reati di trattamento illecito dati, pertanto potrà continuare ad essere gestito in quell'ottica per chi vi abbia ad oggi investito.

 

effesistemicom
© EFFESISTEMI srl - PI 06816940966
via Giotto, 7 - 20032 Cormano (MI) - info@effesistemi.it
Privacy policy   |   FAQ   |   Newsletter