...

Allora non chiamiamolo più DPS, ma piuttosto manuale sulla

by user

on
Category: Documents
0

views

Report

Comments

Transcript

Allora non chiamiamolo più DPS, ma piuttosto manuale sulla
D.L. SULLE SEMPLIFICAZIONI E PRIVACY: IL DPS NON SERVE PIÙ? L'art. 46 del D.L. sulle semplificazioni e sviluppo fa piazza pulita del Documento programmatico sulla sicurezza vale a dire il documento principale che soggetti pubblici e privati che trattano dati sensibili e giudiziari con strumenti elettronici erano tenuti a redigere. MA È DAVVERO COSÌ? E TUTTI GLI ALTRI ADEMPIMENTI DOVE LI “METTIAMO”? Le novità privacy In un'ottica di ulteriori tagli delle spese per le imprese e per gli enti pubblici il Governo ritorna sulla normativa a tutela dei dati personali provvedendo, questa volta, non a modificare la nozione di dato personale che fa ormai riferimento solo ai dati relativi alle persone fisiche con adeguamento alla normativa a tutela dei dati personali (cfr. art. 40, comma 2, lettere a) e B) del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214 che ha modificato l'art. 4, comma 1 lett. b) ed i) del D. Lgs. 196/2003 relativo alle definizioni) ma eliminando l'obbligo di redazione del Documento programmatico sulla sicurezza. L'eliminazione del DPS? L'art. 46 del pacchetto sulle semplificazioni, infatti, ha eliminato dall'art. “34 comma 1, lettera g”del Codice privacy che appunto prevede l'obbligo di tenere un documento programmatico sulla sicurezza (da aggiornare entro il 31 marzo di ogni anno), la regola 19 inerente il contenuto del DPS, la regola 26 che stabiliva l'obbligo menzione dell'avvenuta adozione del DPS nella relazione di accompagnamento al bilancio di esercizio nonché il comma 1 bis che, invece, prevede la possibilità ‐ per alcune aziende ‐ di sostituire l'obbligo di adozione del DPS con un'autocertificazione. È importante valutare le conseguenze a livello organizzativo che tutti i titolari del trattamento dovranno affrontare nel corso dei prossimi mesi. Nonostante questa riforma, infatti, il DPS non scomparirà del tutto da quelle realtà che sono attente alla sicurezza e alla tutela dei dati, specie se sensibili: L'eliminazione del DPS, tuttavia, comporterà l'obbligo per le pubbliche amministrazioni di ristrutturare taluni adempimenti privacy che venivano soddisfatti proprio in occasione del DPS. a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti e determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Ognuna di queste misure, non più descritta all’interno di un documento unico che le racchiuda, dovrà essere regolata con una specifica policy interna, potenziando tutti quegli adempimenti come informative, nomine di incaricati e responsabili interni o esterni (anche contrattualizzate con clausole privacy ad hoc), regolamenti privacy su posta elettronica e internet, nonché tutta l’attività di information security svolta dalla funzione IT aziendale che si occupa dei piani di sicurezza informatica, e che dovrà attestare e documentare di aver adottato tutte le procedure di sicurezza idonee per prevenire il rischio che incombe sui dati trattati. Allora non chiamiamolo più DPS, ma piuttosto manuale sulla sicurezza o manuale del responsabile privacy, perchè gli obblighi di sicurezza rimangono e devono essere provati! A breve verranno organizzati i corsi sulle novità in materia di privacy, oltre all’obbligo di redigere piani di disaster recovery come previsto dall'art. 50‐bis del D. Lgs. 82/2005 e legge 231/01. Resta ferma l’opportunità, in determinati casi e per chi è particolarmente attento alla gestione della sicurezza aziendale, di adottare un modello organizzativo 231 (anch’esso facoltativo, ma assolutamente opportuno) per prevenire non solo il rischio del reato di trattamento illecito dei dati personali ma, in verità, per prevenire il compimento di tutti i crimini informatici, proprio attraverso una accurata e documentata politica di sicurezza informatica e, più in particolare, attraverso l’adozione di un Manuale sulla Sicurezza (in sostituzione del DPS) a disposizione del responsabile del trattamento o IT. La redazione di tale documento, quindi, diventerà un adempimento non più formale e poco concreto ma, insieme alle altre policy sulla sicurezza, potrà da un lato esentare l’azienda o l’ente pubblico da eventuali responsabilità in caso di evento dannoso (es. per l’applicazione del famoso art. 2050 c.c.) e, dall’altro, potrà essere di aiuto all’organizzazione per gestire meglio i processi di sicurezza interna e preservare il dato e l’informazione da perdita, distruzione, accessi non autorizzati, etc. Pertanto, nel caso di trattamento di dati particolarmente delicati e di strutture organizzative complesse difficilmente si potrà prescindere dall’adottare un documento molto simile al vecchio DPS, ma più concreto e puntuale dello stesso. Un documento di sintesi e allo stesso tempo modello organizzativo che pianifichi anche il monitoraggio e la verifica delle misure di sicurezza adottate è, infatti, fortemente consigliato così come lo è stato il Manuale della Conservazione (prima che diventasse obbligatorio) nel documentare i processi di conservazione digitale e le relative politiche organizzative e di sicurezza. D’altronde, è oramai pacifico che non ci può essere digitalizzazione documentale senza privacy. Poiché il vecchio DPS altro non era che un riassunto di tutti questi adempimenti, redigere e aggiornare un documento simile potrà essere comunque di aiuto al titolare, al responsabile o all’intero reparto IT di un’azienda anche nell’eventualità di controlli da parte dell’Autorità Garante Privacy o della Guardia di Finanza sull’adeguamento alle restanti misure di sicurezza a cui il titolare è ancora tenuto. Valutando l’orientamento verso cui ci si sta muovendo a livello legislativo in termini di privacy e sicurezza, sia a livello nazionale sia europeo (con un regolamento di prossima emanazione che sarà direttamente applicabile e uniformerà tutte le normative privacy in ciascuno degli stati membri), non solo emergono dubbi circa la bontà e l’opportunità di tale nuova modifica apportata al Codice Privacy in questo momento storico, ma soprattutto si profila un problema di coordinamento tra norme italiane (e relativi adempimenti) che creerebbe una discordanza, per esempio, con quanto affermato nelle nuove linee guida di DigitPA sul disaster recovery: da una parte, infatti, si indica per le P.A. l’obbligo di redigere piani di disaster recovery e business continuity (art. 50‐bis del CAD) altamente sofisticati, mentre dall’altra ci si ostina a semplificare, senza rendersi conto delle necessità di quei settori della digitalizzazione potenzialmente più esposti ai rischi che tale trattamento comporta (si pensi alla digitalizzazione in sanità, al trattamento di dati sensibili, biometrici, etc.). Se vogliamo “risparmiare” digitalizzando, infatti, occorre accettare i costi che la protezione del dato e la sua corretta custodia comportano. Si spera che il Garante intervenga presto e in maniera autorevole con un provvedimento (che sarebbe in questo momento più che giustificato) che chiarisca i contorni degli obblighi e degli adempimenti in materia di tenuta della documentazione privacy, magari individuando la redazione di un aggiornato documento (DPS o Manuale del Responsabile del trattamento a seconda di come lo si voglia chiamare) quale misura necessaria ai sensi dell’art. 154 comma 1 lett. c) e d) ad attestare le proprie politiche privacy interne (quanto meno per certe tipologie di società o per le pubbliche amministrazioni). Oppure, rimane auspicabile che il Parlamento in sede di conversione della norma specifichi le particolari tipologie di titolari per i quali rimane più che opportuna l’adozione di una aggiornata e accurata documentazione delle politiche di sicurezza informatica adottate (se proprio vogliamo eliminare il DPS). Nell’attesa, in ogni caso, poiché il 31 marzo 2012 si avvicina, si consiglia vivamente di mantenere e aggiornare il vecchio DPS redatto nello scorso marzo 2011 per non trovarsi di fronte a problematiche da gestire in fretta e con poca attenzione. Allora non chiamiamolo più DPS, ma piuttosto manuale sulla sicurezza o manuale del responsabile privacy, perchè gli obblighi di sicurezza rimangono e devono essere provati! Fonte dati: www.studiolegalelisi.it 
Fly UP