DPS abolito- Avanti art. 34 ed Allegato B

Transcript

1 DPS abolito- Avanti art. 34 ed Allegato B di Valentina Frediani - Il Documento Programmatico sulla Sicurezza dei dati scompare dagli obblighi previsti per le imprese. Cosa cambierà in materia di tutela della privacy? Roma E stato approvato dal Parlamento il testo definitivo del Decreto Monti che comporterà la soppressione degli obblighi inerenti l'adozione del documento programmatico di sicurezza. Non ci saranno più questioni interpretative né discriminazioni tra titolari di dati amministrativi e dati sensibili, tra piccole e grandi aziende, tra professionisti o altro. In una situazione particolarmente grave sotto il profilo economico, non poteva che rispondere con questa abrogazione il Governo, recependo peraltro gli umori manifestati da aziende ed operatori del settore, nonché in prospettiva dell'ormai prossima Direttiva Europea che metterà mano all'argomento. Il DPS aveva un senso? Certo, lo aveva in un momento storico di sviluppo dell'informatizzazione, lo ha avuto fino a quando non è stato snaturato diventando un ingestibile documento spesso promosso dai consulenti come un documento da valutare più per il peso e numero di pagine, che rispetto ai contenuti! I controlli sulle misure di sicurezza Il DPS era comunque uno strumento che consentiva di dare evidenza, in caso di controllo, di un approccio positivo all'applicazione normativa. All'arrivo della Guardia di Finanza o in occasione di richieste specifiche dell'autorità Garante, esibire il DPS costituiva un presupposto fondamentale per dimostrare l'attenzione del Titolare sull'applicazione delle misure. Cosa succederà adesso? Che i controlli - non certo destinati a scemare - si concentreranno in modo più approfondito su ben altri elementi. In particolare ora le aziende ed i professionisti dovranno concentrarsi sulla verifica effettiva dell'applicazione dell'art. 34 orfano del DPS. Da sempre ho definito il DPS una "ciliegina sulla torta" al termine dell'adeguamento normativo della struttura, non comprendendo né il terrore avvertito dalle aziende nel doverlo applicare, né il terrorismo dilagante tra i consulenti nel farlo redigere. Dunque viene meno una delle incombenze, ma l'art. 34 resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre: a) l'autenticazione informatica; b)l' adozione di procedure di gestione delle credenziali di autenticazione; c) l'utilizzazione di un sistema di autorizzazione; d) l'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici - dovendo fornire istruzioni chiare e formarli laddove necessario per l'effettiva protezione dei dati-; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l'adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all'adozione delle misure di cui all'art. 34 ed all'allegato B. questo aspetto assumerà particolare importanza. Ora l'art. 34 a totale carico del Responsabile Si valorizza dunque con questa abrogazione il ruolo del Responsabile della sicurezza informatica. Se sino ad ieri il DPS era un documento da sottoscrivere unitamente da parte di tutti i Responsabili o direttamente dal Titolare del trattamento, con l'abrogazione ormai prossima sarà il Responsabile della sicurezza informatica a dover attestare la sussistenza delle misure di cui all'art. 34 ed all'allegato B. Si ridarà così un senso più stretto al concetto di sicurezza informatica sui dati gestiti; saranno quindi valorizzati ulteriormente i consulenti informatici e necessiteranno di maggior attenzione i contratti mediante i quali il Titolare o i Responsabili si affideranno a soggetti terzi, parzialmente o totalmente, per adeguare le misure.

2 Troppe disposizioni normative trascurate L'eccessiva valorizzazione del DPS ha portato, nel tempo, l'abbandono di diverse misure imposte dal Codice privacy e dall'allegato B. Si pensi a quanto disposto al punto 25: "Il Titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico". Assolutamente raro trovare, in una azienda o in uno studio, la descrizione predetta, che assume peraltro, sotto il profilo strettamente giuridico, un ruolo di relazione di conformità, non potendo certo il Titolare avere le conoscenze informatiche del soggetto di cui si avvale. In questa fase quindi si potrà assistere ad una valorizzazione da parte del Titolare di certi obblighi indicati dall'allegato B fin troppo trascurati a fronte dell'eccessiva valorizzazione del DPS. Nomine ed informative Le nomine e le informative, dunque, si sganciano dall'essere inserite nel DPS - abitudine ormai di molti - e riacquisiscono la loro identità autonoma. Il Codice prevede espressamente l'obbligo di aggiornamento in merito a questi documenti in caso di modifiche normative o provvedimenti. L'analisi in materia di privacy, quindi, comporterà ancora una volta la definizione dei ruoli e dei rispettivi trattamenti, stavolta incentrati però sulla redazione di atti formalizzanti l'autorizzazione alla gestione dei dati - con indicazione delle modalità da adottare - nonché sulla redazione delle informative da rilasciare ex art. 13 agli interessati. Saranno certamente le nomine ad acquisire un valore quasi "contrattuale" se così si può dire, rispetto all'effettiva tutela dei dati. Qui giocherà un ruolo di rilievo la formazione, che benché depennata dal punto 19 dell'allegato B, resterà ora unico strumento per dimostrare, da parte del Titolare, di aver messo in condizione oggettivamente l'incaricato di adempiere ai doveri indicati nella nomina anche attraverso una formazione effettiva e non solo richiamata nei documenti aziendali. Ma sarà davvero abbandonato il DPS? Le strutture più articolate difficilmente potranno abbandonare questo documento. Si pensi ad una società che tratta dati di utenti finali (assicurazioni, banche, aziende di telemarketing, aziende sanitarie ecc.) dove la vastità dei trattamenti effettuati non potrà che esigere la redazione di un documento organizzativo che coincide nella logica e nella struttura nel DPS, con il vantaggio però di non dover rispondere a tutti quei criteri imposti originariamente dal nostro legislatore con l'elenco degli elementi costitutivi indicati al punto 19 dell'allegato B. Per la normativa 231 ad esempio, il DPS può essere assunto come strumento atto a contribuire alla prevenzione dei reati di trattamento illecito dati, pertanto potrà continuare ad essere gestito in quell'ottica per chi vi abbia ad oggi investito. Obbligo di esibire il DPS 2011 Con questa abrogazione si apre un ulteriore punto. Sussisterà l'obbligo in caso di controllo, di esibire il DPS 2011? Il legislatore in questo senso non ha mai dato indicazioni. È pur vero però, che per quelle società tenute alla relazione accompagnatoria al bilancio, che al 31 marzo 2011 hanno dovuto render conto dell'aggiornamento del DPS, potrebbe oggi essere richiesto in sede di controllo, l'esibizione del vecchio DPS. È quindi raccomandabile conservare l'ultima versione redatta del DPS a dimostrazione di aver adempiuto correttamente all'epoca della vigenza dell'obbligo medesimo. In conclusione si può ritenere oggettivamente opportuna l'abrogazione del DPS, anche se ora gli operatori del settore, i Responsabili e le Autorità di controllo dovranno gestire la privacy in modo meno formale e più operativo. Effettivamente con ampio ritorno al significato di protezione dei dati.

3 L art.47 del Decreto Semplificazioni mette mano al DLgs 196/2003 e al suo Allegato B Autore: Paolo Mazzolari consulente L art.47 del Decreto Semplificazioni mette mano (per l ennesima volta in pochi mesi) al DLgs 196/2003 (Codice Privacy) e al suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all obbligo di redazione e aggiornamento del DPS (sia in forma ordinaria che abbreviata). Per meglio comprendere che cosa rimane dopo questa brutale rimozione (in controtendenza, fra l altro, con le prospettive privacy dell Unione Europea. Al riguardo v. Unione Europea: la privacy che verrà) mettiamo a fuoco quello che era il DPS. Il DPS come fotografia degli obblighi privacy aziendali Il DPS altro non era che la fotografia ufficiale di ciò che l azienda aveva fatto in termini di privacy. In altre parole riassumeva tutte le procedure e misure di sicurezza messe a regime dal Titolare del trattamento. Procedure e misure la cui cogenza non è stata certo messa in discussione dal Decreto Semplificazioni. Quando incontro i miei Clienti che, fino all altro ieri, avevano come unica preoccupazione la redazione/aggiornamento del DPS, passavo i primi quindici minuti a spiegar loro che, per metter mano al DPS, bisognava prima occuparsi della compliance aziendale al DLgs 196/2003, e, quindi, come ultimo e meno impegnativo step, creare o integrare tabelline, schemi ed elenchi vari nel DPS. Cosa rimane, dunque? Eliminato il DPS, rimane la parte più seria e impegnativa degli obblighi privacy, quella sempre presidiata da sanzioni sia di carattere amministrativo che penale, ovvero: Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all assunzione; Privacy Policy sito web. Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d incarico per ciascun incaricato al trattamento dati personali. Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29 DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all esterno dell Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali. Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1 Marzo 2007): redazione Disciplinare interno obbligatorio relativo all uso di Internet e della posta elettronica. Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h)

4 DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 Garante privacy. Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010). Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate. Formazione del Personale. Quali aggiornamenti annuali rimangono obbligatori? DPS a parte, ogni Titolare del trattamento deve, almeno annualmente: - Aggiornare il Sistema Privacy alla luce delle modifiche alla normativa di riferimento - Verificare l attività degli Amministratori di Sistema: l operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti - Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione - Aggiornare il mansionario Privacy e le attività svolte in outsourcing (Incaricati e Responsabili del trattamento). In conclusione Bene Monti: ha eliminato l adempimento privacy più formale e sostanzialmente inutile nella sua ridondanza; Ma la Privacy non è il DPS: tutti noi Consulenti dobbiamo rivedere le nostre strategie di comunicazione per far arrivare nella maniera più chiara e onesta possibile a tutti i Titolari di trattamento che la Privacy NON è il DPS.

5 DPS abolito: restano le altre norme. Il DPS (Documento Programmatico sulla Sicurezza) è un adempimento che da anni ha riguardato tutti coloro che effettuano un trattamento di dati personali, anche non sensibili ed indipendentemente dalla loro natura o ragione sociale, quindi anche imprese individuali, associazioni, comitati, imprese agricole e così via. Il documento, da redigere a cadenza annuale, doveva attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e doveva soddisfare anche determinati obblighi di legge, se previsti (se ne doveva ad esempio dare comunicazione nella relazione allegata al Bilancio d'esercizio). Abbiamo utilizzato l'imperfetto perché il DPS sembra ormai avere le ore contate: entro fine marzo, quindi, potrebbe non essere più necessario predisporre alcun documento. E' l'avvocato Guido Scorza, esperto in tematiche legali correlate al mondo del web, ad evidenziare la novità del "Decreto Semplificazioni". Il Governo ha deciso di cassare completamente un obbligo, evidentemente ritenuto inutile e costoso, per il quale - secondo le stime - gli imprenditori ed i professionisti spendevano, complessivamente, ogni anno una somma pari a circa 313 milioni di Euro. Non c'è comunque la volontà di "sorvolare" sulle tematiche legate alla privacy ed alla tutela dei dati personali: abrogate le norme relative al DPS, resteranno comunque in vigore tutte le disposizioni che obbligano gli interessati ad implementare meccanismi di "autenticazione informatica, all'adozione di procedure di gestione delle credenziali di autenticazione, all'utilizzazione di un sistema di autorizzazione, all'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, alla protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici, all'adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi, alla tenuta di un aggiornato documento programmatico sulla sicurezza e all'adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari" (art. 34 del "codice sulla privacy").

6 Privacy, via il DPS, resta l art.34 e l Allegato B DL. 5/2012 Riduzione degli oneri in materia di privacy. Il Decreto Semplificazioni varato dal CDM il 27 dicembre ha ridotto gli oneri in materia di privacy modificando, come descritto nei dettagli che seguono, il DLgs 196/2003 (Codice in materia di protezione dei dati personali). a) All articolo 4, comma 1, alla lettera b), le parole persona giuridica, ente od associazione sono soppresse e le parole identificati o identificabili sono sostituite dalle parole identificata o identificabile (*); b) all articolo 4, comma 1, alla lettera i), le parole la persona giuridica, l ente o l associazione sono soppresse.(**); c) il comma 3-bis dell articolo 5 è abrogato.(***); d) al comma 4, dell articolo 9, l ultimo periodo è soppresso.(****); e) la lettera h) del comma 1 dell articolo 43 è soppressa(*****). Prima, rilevante novità è che l obbligo dell osservanza del Codice della privacy non spetta più alle imprese, agli enti, alle associazioni a condizione che tali soggetti trattino dati personali nell ambito di rapporti intercorrenti tra di loro e che il trattamento venga effettuato per finalità organizzative, gestionali, amministrative e contabili realizzate al proprio interno oppure in relazione agli adempimenti esterni (si pensi ai contratti). Conseguenza di maggior rilievo è il venir meno dell obbligo, da parte delle aziende, dell elaborazione e dell aggiornamento del Documento programmatico di sicurezza (DPS), in quanto, secondo il Consiglio dei Ministri, il documento, oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento meramente superfluo. Va ricordato che, entro il 31 marzo di ogni anno, era fatto obbligo dell adozione o dell aggiornamento del DPS o delle misure semplificate (autocertificazione). I contenuti del documento erano previsti dal Disciplinare tecnico in materia di misure minime di sicurezza (All.B). Caduto l obbligo dell elaborazione e tenuta del DPS, le aziende devono tuttavia osservare le prescrizioni dell art. 34 del Codice privacy e dell All. B. In particolare, si dovrà tenere conto che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell allegato B), le seguenti misure minime: a) Autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Gli adempimenti sono posti a carico del Responsabile della sicurezza informatica, sia esso interno oppure esterno all azienda. A tale proposito, il punto 25 dell All. B, recita: Il titolare che

7 adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del. disciplinare tecnico. Continua anche l obbligo relativo alla nomina degli incaricati del trattamento dei dati (e alla loro formazione) e alle informative. * Art. 4.Definizioni 1. Ai fini del presente codice si intende per: b) dato personale, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; ** i) interessato, la persona fisica, la persona giuridica, l ente o l associazione cui si riferiscono i dati personali; *** 3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo contabili.. Ai fini dell applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro), non è soggetto all applicazione del presente codice. **** Art. 9. Modalità di esercizio 4. L identità dell interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell interessato. Se l interessato è una persona giuridica, un ente o un associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti. ***** Art. 43. Trasferimenti consentiti in Paesi terzi: h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.