DPS abolito? Avanti art. 34 ed Allegato B

E-mail Stampa PDF

Con tutta probabilità sarà approvato dal Parlamento  il testo definitivo del Decreto Monti che comporterà la soppressione degli obblighi inerenti l’adozione del documento programmatico di sicurezza. Non ci saranno più questioni interpretative né discriminazioni tra titolari di dati amministrativi e dati sensibili, tra piccole e grandi aziende, tra professionisti o altro.

In una situazione particolarmente grave sotto il profilo economico, non poteva che rispondere con questa abrogazione il Governo, recependo peraltro gli umori manifestati da aziende ed operatori del settore, nonché in prospettiva dell’ormai prossima Direttiva Europea che metterà mano all’argomento. Il DPS aveva un senso? Certo, lo aveva in un momento storico di sviluppo dell’informatizzazione, lo ha avuto fino a quando non è stato snaturato diventando un ingestibile documento spesso promosso dai consulenti come un documento da valutare più per il  peso e numero di pagine, che rispetto ai contenuti!!!


I controlli sulle misure di sicurezza
Il DPS era comunque uno strumento che consentiva di dare evidenza in caso di controllo, di un approccio positivo all’applicazione normativa. All’arrivo della Guardia di Finanza o in occasione di richieste specifiche dell’Autorità Garante, esibire il DPS costituiva un presupposto fondamentale per dimostrare l’attenzione del Titolare sull’applicazione delle misure. Cosa succederà adesso? Che i controlli – non certo destinati a scemare – si concentreranno in modo più approfondito su ben altri elementi. In particolare ora le aziende ed i professionisti dovranno concentrarsi sulla verifica effettiva dell’applicazione dell’art. 34 orfano del DPS. Da sempre ho definito il DPS una “ciliegina sulla torta” al termine dell’adeguamento normativo della struttura, non comprendendo né il terrore avvertito dalle aziende nel doverlo applicare, né il terrorismo dilagante tra i consulenti nel farlo redigere. Dunque viene meno una delle incombenze, ma l’art. 34 resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre: a) l’autenticazione informatica; b)l’ adozione di procedure di gestione delle credenziali di autenticazione; c) l’utilizzazione di un sistema di autorizzazione; d) l’aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – dovendo fornire istruzioni chiare e formarli laddove necessario per l’effettiva protezione dei dati-; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all’adozione delle misure di cui all’art. 34 ed all’Allegato B. questo aspetto assumerà particolare importanza.


Ora l’art. 34 a totale carico del Responsabile
Si valorizza dunque con questa abrogazione il ruolo del Responsabile della sicurezza informatica. Se sino ad ieri il DPS era un documento da sottoscrivere unitamente da parte di  tutti i Responsabili o direttamente dal  Titolare del trattamento, con l’abrogazione ormai prossima, sarà il Responsabile della sicurezza informatica a dover attestare la sussistenza delle misure di cui all’art. 34 ed all’Allegato B. Si ridarà così un senso più stretto al concetto di sicurezza informatica sui dati gestiti; saranno quindi valorizzati ulteriormente i consulenti informatici e necessiteranno di maggior attenzione i contratti mediante i quali il Titolare o i Responsabili si affideranno a soggetti terzi, parzialmente o totalmente, per adeguare le misure.


Troppe disposizioni normative trascurate
L’eccessiva valorizzazione del DPS ha portato nel tempo, l’abbandono di diverse misure imposte dal Codice privacy e dall’Allegato B. Si pensi a quanto disposto al punto 25: “Il Titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico”. Assolutamente raro trovare in una azienda o in uno studio, la descrizione predetta, che assume peraltro, sotto il profilo strettamente giuridico, un ruolo di relazione di conformità, non potendo certo il Titolare avere le conoscenze informatiche del soggetto di cui si avvale. In questa fase quindi si potrà assistere ad una valorizzazione da parte del Titolare di certi obblighi indicati dall’Allegato B fin troppo trascurati a fronte dell’eccessiva valorizzazione del DPS.


Nomine ed informative
Le nomine e le informative, dunque, si sganciano dall’essere inserite nel DPS – abitudine ormai di molti – e riacquisiscono la loro identità autonoma. Il Codice prevede espressamente l’obbligo di aggiornamento in merito a questi documenti in caso di modifiche normative o provvedimenti. L’analisi in materia di privacy, quindi, comporterà ancora una volta la definizione dei ruoli e dei rispettivi trattamenti, stavolta incentrati però sulla redazione di atti formalizzanti l’autorizzazione alla gestione dei dati – con indicazione delle modalità da adottare – nonché sulla redazione delle informative da rilasciare ex art.13 agli interessati. Saranno certamente le nomine ad acquisire un valore quasi “contrattuale” se così si può dire, rispetto all’effettiva tutela dei dati. Qui giocherà un ruolo di rilievo la formazione, che benché depennata dal punto 19 dell’Allegato B, resterà ora unico strumento per dimostrare da parte del Titolare, di aver messo in condizione oggettivamente l’incaricato di adempiere ai doveri indicati nella nomina anche attraverso una formazione effettiva e non solo richiamata nei documenti aziendali.


Ma sarà davvero abbandonato il DPS?
Le strutture più articolate difficilmente potranno abbandonare questo documento. Si pensi ad una società che tratta dati di utenti finali (assicurazioni, banche, aziende di telemarketing, aziende sanitarie, ecc.) dove la vastità dei trattamenti effettuati non potrà che esigere la redazione di un documento organizzativo che coincide nella logica e nella struttura nel DPS, con il vantaggio però di non dover rispondere a tutti quei criteri imposti originariamente dal nostro legislatore con l’elenco degli elementi costitutivi indicati al punto 19 dell’Allegato B. Per la normativa 231 ad esempio, il DPS può essere assunto come strumento atto a contribuire alla prevenzione dei reati di trattamento illecito dati, pertanto potrà continuare ad essere gestito in quell’ottica per chi vi abbia ad oggi investito.
Obbligo di esibire il DPS 2011
Con questa abrogazione si apre un ulteriore punto. Sussisterà l’obbligo in caso di controllo, di esibire il DPS 2011? Il legislatore in questo senso non ha mai dato indicazioni. È pur vero però, che per quelle società tenute alla relazione accompagnatoria al bilancio, che al 31 marzo 2011 hanno dovuto render conto dell’aggiornamento del DPS, potrebbe oggi essere richiesto in sede di controllo, l’esibizione del vecchio DPS. È quindi raccomandabile conservare l’ultima versione redatta del DPS a dimostrazione di aver adempiuto correttamente  all’epoca della vigenza dell’obbligo medesimo. 


In conclusione …
… si può ritenere oggettivamente opportuna l’abrogazione del DPS, anche se ora gli operatori del settore, i Responsabili e le Autorità di controllo dovranno gestire la privacy in modo meno formale e più operativo. Effettivamente con ampio ritorno al significato di protezione dei dati.

A cura di Avv. Valentina Frediani - www.consulentelegaleinformatico.it

e-max.it: your social media marketing partner
Ultimo aggiornamento ( Sabato 28 Aprile 2012 07:58 )  

Chi ci sostiene?

Tra i nostri sostenitori c'è anche

Login

I nostri sostenitori

Newsletter

Rimani aggiornato con le nostre news periodiche
captcha 
Privacy e Termini di Utilizzo
Ho letto l'informativa e presto il mio consenso

Statistiche Utenti

Totale iscritti : 8
Membri online : 0
Mese corrente : 0 iscritti
Totale soci: 1759

Regolamento UE 2016/679:il Data Protection Officer

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Aziende ed enti che aderiscono a Federprivacy

  • Garante

  • News

  • Società

  • Press

Garante Privacy, no allo spam sulle Pec dei liberi professionisti
Il Garante per la privacy ha vietato a una società e a un’associazione a essa collegata l’invio senza consenso di e-mail promozionali a liberi professionisti, utilizzando i loro indirizzi di posta elettronica...
Leggi tutto 2644 Visite 0 Voti
Garante, multa di 840mila euro a Telecom per telemarketing senza consenso
Il Garante per la privacy ha ordinato a Telecom Italia il pagamento di una sanzione amministrativa di 840.000 euro per aver effettuato telefonate promozionali senza consenso nei confronti di tutti gli ex clienti che non avevano dato l’autorizzazione a ricevere chiamate commerciali o l’avevano revocata. Con questa campagna pubblicitaria la società intendeva...
Leggi tutto 3939 Visite 0 Voti
Sim aziendali: sì al controllo dei consumi, ma nel rispetto della privacy
Ok del Garante per la privacy ad un sistema per il controllo dei consumi telefonici aziendali. La multinazionale che ha sottoposto il progetto al vaglio dell'Autorità dovrà però attenersi a precise misure a tutela della riservatezza dei lavoratori...
Leggi tutto 4632 Visite 0 Voti
Superate le 1.000 prenotazioni per il 7° Privacy Day Forum
A meno di tre mesi dalla scadenza per adeguarsi al nuovo Regolamento UE 2016/679, anche l'evento annuale di Federprivacy cede il passo alle attività necessarie a professionisti e manager per arrivare conformi al 25 maggio 2018. Bernardi: "Finora si è parlato molto del GDPR, ma adesso il tempo rimasto è...
Leggi tutto 5347 Visite 0 Voti
Data protection officer: obbligo, requisiti, compiti, e certificazioni
Nonostante le abbondanti informazioni fornite dall'Autorità e l'avvicinarsi della scadenza del 25 maggio, molte le aziende e le pubbliche amministrazioni che conoscono ancora poco la figura del Data Protection Officer. Il riepilogo per capire chi deve designarlo, quali sono i compiti che gli sono attribuiti...
Leggi tutto 7770 Visite 0 Voti
Privacy Officer in forte crescita, ma aumenta anche la confusione
A 10 anni dalla sua costituzione, sono oggi circa 7mila gli iscritti a Federprivacy, con un aumento del 28,7% solo nello scorso anno. Sono 648 le certificazioni professionali in materia di protezione dei dati emesse finora. Bernardi: "Quella di Privacy Officer rilasciata da TÜV Italia è un prezioso strumento di...
Leggi tutto 4348 Visite 0 Voti
Privacy:Ue, no negoziati su protezione in intese commerciali
La tutela dei dati personali non può essere oggetto di negoziati nelle intese commerciali tra l'Ue e un Paese terzo, in quanto questa sarà sempre sottoposta strettamente al rispetto delle norme europee in materia. E' quanto ha messo nero su bianco il Collegio dei commissari, chiarendo che i flussi...
Leggi tutto 6674 Visite 0 Voti
Foto sui social dei figli minorenni, genitori rischiano multa fino a 10mila euro
Il sorriso di Sofia mentre mangia un gelato o quello di Francesco che tira un calcio al pallone: ricordi che ogni genitore vuole conservare e condividere con parenti e amici, spesso anche utilizzando i social network. Ma attenzione: un gesto che può sembrare innocente potrebbe costare caro a mamma...
Leggi tutto 4580 Visite 0 Voti
La privacy nelle intercettazioni diventa legge 31 Dicembre 2017, 13.16 Federprivacy
La privacy nelle intercettazioni diventa legge
Con l’ultimo passaggio nel consiglio dei ministri di ieri, è legge la nuova disciplina sulle intercettazioni «non penalmente rilevanti». S’intendono così quelle intercettazioni che il giudice ritiene inutili ai fini del processo. Obiettivo della legge è tutelare tre interessi...
Leggi tutto 3608 Visite 0 Voti
Millionaire, la privacy come nuovo business 15 Febbraio 2018, 10.21 Federprivacy
Millionaire, la privacy come nuovo business
La Privacy come un business per DPO e consulenti con il GDPR in un'intervista al presidente di Federprivacy pubblicata in uno speciale di Lucia Ingrosso sulla rivista Millionaire di febbraio in edicola, che ha intervistato anche il Garante Europeo Buttarelli:"Il Regolamento UE chiede ai gestori delle...
Leggi tutto 6359 Visite 0 Voti
Ansa:privacy, regole Ue imporranno 45mila specialisti 18 Novembre 2017, 05.54 Federprivacy
Ansa:privacy, regole Ue imporranno 45mila specialisti
Con l'entrata in vigore, il 25 maggio 2018 del nuovo Regolamento Europeo sulla Protezione dei dati personali che, nell'era della videosorveglianza intelligente, tutelerà il diritto alla riservatezza aumentando di contro responsabilità di produttori, installatori e grandi utilizzatori, serviranno...
Leggi tutto 3665 Visite 0 Voti
Repubblica: nuove regole europee sulla privacy: servono 45mila esperti
La privacy disegnata da Bruxelles aggiungerà un tassello importante al futuro mercato unico digitale, permettendo a tutti i cittadini europei di vivere tranquillamente il trattamento dei propri dati personali e alle aziende di guadagnare credibilità e ridurre i contenziosi. Questo è l’obiettivo del...
Leggi tutto 5178 Visite 0 Voti

Recensioni Stampa

Millionaire, la privacy come nuovo business 15 Febbraio 2018, 10.21 Federprivacy
Millionaire, la privacy come nuovo business
La Privacy come un business per DPO e consulenti con il GDPR in un'intervista al presidente di Federprivacy pubblicata in uno speciale di Lucia Ingrosso sulla rivista Millionaire di febbraio in edicola, che ha intervistato anche il Garante Europeo...
Leggi tutto 6359 Visite 0 Voti
Al via il corso per Data Protection Officer al CNR di Pisa
In partenza il corso di formazione manageriale per DPO con un percorso di 124 ore che inizierà il 16 gennaio per terminare con l'esame finale il 30 marzo. Bernardi: "Per garantire un elevato livello della qualità della formazione abbiamo ingaggiato 23...
Leggi tutto 8312 Visite 0 Voti
Shopping online, il vademecum per acquisti sicuri durante le festività
Un italiano su due fa acquisti su internet, ma pochi utenti sanno riconoscere un sito non sicuro. Con l’avvicinarsi delle festività natalizie, nei prossimi giorni si registrerà il picco degli acquisti in rete. Federprivacy ha stilato un vademecum per...
Leggi tutto 7253 Visite 0 Voti

Privacy & Società

Privacy:Ue, no negoziati su protezione in intese commerciali
La tutela dei dati personali non può essere oggetto di negoziati nelle intese commerciali tra l'Ue e un Paese terzo, in quanto questa sarà sempre sottoposta strettamente al rispetto delle norme europee in materia. E' quanto ha messo nero su bianco il Collegio dei...
Leggi tutto 6674 Visite 0 Voti

Le Notizie di oggi

Sapresti rispondere?

Chi è l'interessato? 02 Maggio 2006, 00.00
Chi è l'interessato?
È "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; il soggetto interessato gode dei diritti previsti dall'articolo 7 del codice della...
Leggi tutto 18882 Visite 0 Voti

Community

    • Field Service Management
    • I utilize the chrome assess apparatus a lot when chipping away at activities, however generally I simply...
    • 1 Mese 2 Settimane fa
    • Field Service Management
    • A Field Service Management has a crucial role in maintaining telecommunication systems as they are...
    • 1 Mese 3 Settimane fa

Altre discussioni »

 623 visitatori online