Quanti giorni e quante notti spesi a redigere il documento programmatico sulla sicurezza e quanti centinaia di migliaia di euro investiti per la sua predisposizione e finiti all’ingrossare il portafoglio di specialisti – o sedicenti tali – piuttosto che di società che, nel tempo, hanno fatto della “redazione del DPS” il proprio core business.

Ora si cambia.

E’ questa la novità di maggior impatto in materia di tutela dei dati personali contenuta nel decreto legge sulle semplificazioni appena approvato dal Consiglio dei Ministri.

E’ bastato un pugno di ermetiche disposizioni contenenti l’abrogazione di altrettante previsioni contenute nel Codice Privacy e del suo Allegato B sulle misure di sicurezza per mandare in pensione quello che, probabilmente, ha sin qui rappresentato l’adempimento più complesso, costoso – ed evidentemente inutile alla luce della recente decisione del Governo – tra i tanti previsti dalla disciplina in materia di privacy e tutela dei dati personali.

Niente più DPS, niente più modalità semplificate per la tenuta del DPS e, naturalmente, niente più dichiarazione nelle relazioni a bilancio sull’avvenuta predisposizione del DPS.

Nessun dubbio che si tratti davvero di una semplificazione.

Bene così. Se, effettivamente, la redazione e tenuta del DPS era inutile, non c’era ragione per continuare a chiedere ad imprenditori e professionisti di spendere tempo e soldi (313 milioni di euro all’anno, per le sole PMI, secondo il Governo) per  per l’adempimento all’obbligo sino ad oggi previsto dal Codice privacy.

Ad un tempo, tuttavia, non si può fare a meno di domandarsi perché a questa decisione non si è arrivati prima.

Come è stato possibile attendere così tanto per assumere una scelta, poi assunta in qualche frazione di secondo ed adottata, addirittura, d’urgenza nell’ambito di un decreto legge?

Era davvero necessario, sin qui, chiedere alla piccola e media impresa italiana – così come alle grandi multinazionali – di affrontare investimenti importanti, per anni, per compilare e conservare il documento programmatico sulla sicurezza?

Perché solo oggi, dopo oltre un decennio – sebbene all’inizio la redazione del DPS fosse prevista solo per particolari categorie di dati personali – ci si è accorti della sua inutilità?

Sono domande come questo che, credo, occorra porsi per evitare di commettere ulteriori errori e mantenere in vita altri adempimenti ed oneri burocratici che appesantiscono, inutilmente, attività e bilancio delle imprese senza, evidentemente, produrre alcun beneficio alla tutela dell’interesse pubblico.

Il risvolto economico e l’impatto delle leggi sull’attività di impresa è, probabilmente, un tema, sin qui, troppo spesso ignorato dal legislatore e dai decisori politici.

In ogni caso: DPS addio. Peccato solo per i tanti imprenditori e professionisti italiani che hanno speso soldi e risorse per averti, come, necessario compagno di viaggio sin qui.

CONDIVIDI
Articolo precedenteDecreto semplificazioni, il Governo approva il testo
Articolo successivoIl delitto perfetto e le sue conseguenze: “L’assassino” di Georges Simenon
Guido Scorza
Un avvocato civilista che ama in pari misura il confronto in Tribunale e la negoziazione, in punta di penna, tra le pieghe di un contratto. Un blogger e giornalista, a detta di molti, polemico animatore del dibattito sulla politica dell’innovazione nel nostro Paese. Un docente universitario di diritto delle nuove tecnologie, perdutamente innamorato della ricerca e della didattica. Un appassionato difensore dei diritti civili in Rete per la ferma convinzione che Internet può e deve divenire la nuova agorà democratica del Paese che verrà e che, probabilmente, in molti sogniamo. Nel tempo libero, presiedo l’Istituto per le politiche dell’innovazione e giro il mondo a caccia di frammenti di storie, emozioni e colori da catturare attraverso la macchina fotografica. Per saperne di più potete visitare il mio blog [www.guidoscorza.it], il sito del mio Studio [SR&Partners, www.sr-partners.it] lanciare una googlata, cercarmi su 123 People o, piuttosto, mandarmi una mail ed invitarmi a prendere un caffè.

16 COMMENTI

  1. Decade l’obbligo del DPS?

    Se intendiamo la redazione di un documento formale si.
    Se intendiamo la redazione di un documento sostanziale no.

    Il Governo stima un risparmio di 313 milioni di euro. La giustificazione a tale misura è che la direttiva europea (peraltro in fase di revisione) non lo prevede.
    Strano che si consideri un risparmio il mancato investimento per proteggere i sistemi informativi.

    Nel corso degli ultimi anni il DPS è stata l’unica norma che ha costretto enti pubblici e privati a considerare la necessità di proteggere adeguatamente le informazioni personali, e per riflesso non solo quelle.
    A livello europeo l’Italia è stata presa come riferimento, e si sta operando la revisione della direttiva europea sulla Privacy recependo la necessità di maggiore formalizzazione e miglioramento della governance. Proprio gli aspetti che con il Decreto Semplifica Italia sono stati aboliti.
    Probabilmente la fretta nella preparazione del Decreto Semplifica Italia ha portato a ignorare o sottovalutare questi aspetti, senza rendersi conto che in realtà non è stata operata una semplificazione bensì una complicazione.

    Non dimentichiamo che:
    – resta invariato l’art.31 che impone al titolare di ridurre i rischi che incombono sui dati personale adottando idonee misure di sicurezza;
    – restano invariati gli obblighi relativi alle misure minime di sicurezza di cui agli artt. 33 e seguenti ed all’allegato B;
    – restano invariate le sanzioni amministrative e penali;
    – resta invariato (in modo particolare) l’art.15, che in materia di risarcimento danni pone al titolare l’obbligo di dimostrare di aver fatto tutto quello che si poteva perchè il danno non accadesse.

    La sostanza della norma è rimasta invariata (per fortuna!).
    La responsabilità del Titolare è legata alla diligenza che esso applica nel trattare e proteggere i dati personali.

    Il Decreto Semplifica Italia si limita a rendere FACOLTATIVO la formalizzazione di ciò che il Titolare ha fatto. Un risparmio minimo.

    Non dimentichiamo che il DPS, al di là di essere uno strumento di sensibilizzazione in termini di sicurezza:

    – dà evidenza delle attività svolte dagli organi dirigenti;
    – tutela chi assume le decisioni dando prova della propria diligenza;
    – fissa la conoscenza sviluppata in azienda trasformando adempimenti dovuti per legge in valore aggiunto;
    – permette di formalizzare il processo privacy (corretta gestione e manutenzione).

    Nell’ottica di una SANA GOVERNANCE delle aziende, nell’interesse degli stessi amministratori e di tutte le parti in causa, i punti sopra elencati non sono una semplice formalizzazione, ma la base e l’essenza di un processo organizzativo, che deve essere realizzato con particolare attenzione.

    Per tutte le aziende, e per tutti coloro che gestiscono dati personali e sensibili (e quindi esposti al rischio privacy), è evidente la necessità di gestire il processo ciclico della sicurezza dei sistemi informativi (v. ad es.ISO 27001).

    Il rischio legato alla gestione delle informazioni deve continuare a essere gestito in modo strutturato e formale.
    Le decisioni devono essere assunte sulla base di una analisi dei rischi, le azioni ed i protocolli di sicurezza devono essere definiti ed aggiornati.
    Altrimenti come può il titolare garantire di aver adottato idonee misure di sicurezza a protezione dei dati personali se non effettua una idonea analisi dei rischi, se non pianifica l’implementazione della sicurezza, se non controlla e non revisiona il processo di sicurezza?

    Da tutto ciò appare chiaro che l’abolizione del DPS ha un impatto minimo rispetto a quanto l’enfasi mediatica possa lasciare intendere.
    L’impatto economico è estremamente incerto, mentre per contro è sicuramente certo il danno culturale che l’abolizione del DPS potrebbe produrre.

    Inoltre, se a breve la direttiva europea verrà aggiornata, e prevederà per i soggetti interessati la stesura e la manutenzione di un documento analogo al DPS (come sembra essere nelle aspettative – data protection impact assessment), ci troveremo nella imbarazzante situazione di far rientrare dalla porta principale ciò che è appena uscito dalla porta di servizio, con un evidente aggravio dei costi.

    Non bisogna essere talebani, ne in un senso ne nell’altro.
    La direttiva originale della privacy a momenti imponeva la redazione del DPS anche per i neonati.
    Adesso aboliamo il DPS per tutti.

    Sono d’accordo che le micro-imprese e i professionisti di norma trattano pochi o nulli dati sensibili.
    Ma non sempre e’ cosi’.
    L’obbligo (o meno) dovrebbe essere legato alla quantità di dati sensibili trattati.
    Qualcuno in rete ha scritto (http://punto-informatico.it/3418287/PI/Commenti/dps-abolito-avanti-art-34-ed-allegato.aspx):

    “Dunque viene meno una delle incombenze, ma l’art. 34 resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre: a) l’autenticazione informatica; b)l’ adozione di procedure di gestione delle credenziali di autenticazione; c) l’utilizzazione di un sistema di autorizzazione; d) l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – dovendo fornire istruzioni chiare e formarli laddove necessario per l’effettiva protezione dei dati-; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all’adozione delle misure di cui all’art. 34 ed all’Allegato B. questo aspetto assumerà particolare importanza.”

    Sono perfettamente d’accordo.
    Ciò che conta è la sostanza.
    Cordialità

  2. Si parla di solo abolizione del DPSS ed il sistema sanzionatorio è avvicinato a quello “per quote” della 231/01.
    Il modo più semplice per dimostrare l’adeguatezza del sistema ed avere un sistema esimente sarà quello di dotarsipiuttosto che di un modello obbligatorio, il DPSS, di un modello volontario di gestione e controllo, tipico del D.Lgs 231/01 e di investire di responsabilità un OdV.

  3. Salve a tutti,
    chiedo un aiuto puramente pratico, essendo una neo-consulente per la redazione del dpss…
    Ebbene, chi non deve più redigere il dpss? Aziende/Enti ecc che trattano solo dati di altre Aziende/Enti ecc?
    Commercialisti, scuole, medici ecc ecc devono continuare a farlo?

    Grazie mille per il prezioso aiuto che vorrete darmi…sono nel pallone!

  4. Non ci siamo…
    No dps, quindi no privacy? non è proprio così…
    Lei scrive in questo articolo, come mai non si sia arrivati prima alla soppressione del cosiddetto dps.. e’ facilmente spiegabile, nel fatto che questa presunta semplificazione, è emanazione del nuovo regolamento privacy europeo, la cui bozza circola già da qualche mese, e che sarà operativo entro il 2014.
    Il documento prpgrammatico sulla sicurezza, ovvero dps, non è da considerarsi come un mero espletamento burocratico, bensi come una fotografia riassuntiva del flusso di informazioni e dati presenti della struttura aziendale.
    La bozza in circolazione, stabilisce anche che ci sarà l’obbligo da parte di tutti i soggetti che erano tenuti alla redazione del dps, di adempiere in maniera più operativa alle misure minime di sicurezza, con controlli più frequenti e una nuova metodologia sanzionatoria calcolata percentualmente sul fatturato.
    In sostanza ciò che è stato abolito non è tanto un obbligo burocratico, quanto un documento aziendale che serviva oltre a riassumere tutte le misure di sicurezza adottate dall’impresa nel trattamento dei dati personali, anche come prova di conferma dell’adeguamento privacy nei controlli della GdF.
    A tal proposito, La invito a leggere alcuni articoli della dott.ssa Frediani, nota esperta privacy, così da poter approfondire meglio un tema molto delicato…

    Cordialità

  5. E va bene…consideratemi un povero miserabile disfattista…ma i corsi noooo!!!!
    Pietà!!!! C’è il corso per RSPP, per RDL, per addetto antinccendio, pronto soccorso, corso per energy manager (spegnere luci, in cinque tutti su un’automobile…), corso per addetti alla movimentazione e gestione merci pericolose, Responsabile Tecnico officina, trasporti, (edile in programma), addetto lavanderia/lavasecco,SISTRI, OSA per HACCP, corso per REC alimentare…aiutoooo…corso per sfoltimento fauna in esubero (cinghiali)…per il DPS consiglierei se mi ritenete ancora in grado di poterlo fare di acquisire comunque un foglio con data certa entro il 31 marzo onde sopperire all’eventuale corsa ultimo minuto per fare fronte a richieste improvvise e magari fino a poco prima ritenute irrituali da parte della P.A., onde evitare di andare al chiarimento in Tribunale…perché prevenire è sempre meglio di curare.

  6. Salve a tutti,
    non ho capito bene se è stato abolito il documento o la dichiarazione semplificata, sul sito del governo non si trova il decreto e il sito del garante è ancora non aggiornato.
    Gli adempimenti rimangono sempre gli stessi?
    Chi detiene dati sensibili deve ancora redigere il documento?

    Grazie a chi ci può chiarire le idee,

    http://www.software-privacy.net

  7. […] Categoria: Civile, News Quanti giorni e quante notti spesi a redigere il documento programmatico sulla sicurezza e quanti centinaia di migliaia di euro investiti per la sua predisposizione e finiti per ingrossare il portafoglio di specialisti – o sedicenti tali – piuttosto che di società che, nel tempo, hanno fatto della “redazione del DPS” il proprio core business. Ora si cambia. E’ questa la novità di maggior impatto in materia di tutela dei dati personali contenuta nel decreto legge sulle semplificazioni appena approvato dal Consiglio dei Ministri. E’ bastato un pugno di ermetiche disposizioni contenenti l’abrogazione di altrettante previsioni contenute nel Codice Privacy e del suo Allegato B sulle misure di sicurezza per mandare in pensione quello che, probabilmente, ha sin qui rappresentato l’adempimento più complesso, costoso – ed evidentemente inutile alla luce della recente decisione del Governo – tra i tanti previsti dalla disciplina in materia di privacy e tutela dei dati personali. Niente più DPS, niente più modalità semplificate per la tenuta del DPS e, naturalmente, niente più dichiarazione nelle relazioni a bilancio sull’avvenuta predisposizione del DPS. Nessun dubbio che si tratti davvero di una semplificazione. Fonte LeggiOggi.it […]

  8. L’obbligatorietà della redazione del Documento Programmatico sulla Sicurezza era già un debole sistema per divulgare e sintetizzare le regole indispensabili per il buon funzionamento dei sistemi informatici e non solo (il segreto d’ufficio pare sia diventato un di più, tutto può essere divulgato e diffuso,meglio se, barricandosi dietro la mancata conoscenza di regole per tutelarlo), A questo punto lo si dovrà sostituire con dei regolamenti interni

  9. Ho la sensazione che chi pensa di risparmiare grosse somme con l’avvenuta abrogazione del DPS stia facendo un pò di confusione: si è solo decretato che non è più necessario mettere nero su bianco tutta quella serie di attività che necessariamente dovranno comunque essere svolte per evitare di finire nel penale non trattando adeguatamente informazioni detenute! Un inciampone che il decreto ha preso è stato poi il sopprimere il progetto formativo da riservare agli incaricati perchè sappiano utilizzare in massima sicurezza gli strumente affidati loro (siamo alla follia). Stanno già nascendo organizzazioni appositamente nate per difendere aziende e cittadini da abusi legati al cattivo trattamento delle informazioni prestate a chi i nostri dati ha il dovere di trattare con tutte le garanzie di sicurezza e riservatezza , la più nota e seguita è http://www.nospammer.info alla quale ci si può iscrivere gratuitamente, tra un pò ci sarà da ridere.
    Twitter -> @VincenzoCorradi

  10. Senza offese…ma si riconosce il principio economico (mi dite Bocconiano???!!!)
    del rastrellare i centesimi per scialare poi i miliardi…
    Certo poi nel carrozzone ci sta tutto…anche le norme ISO sulla qualità e sulla presenzione di chi va a sindacare sull’esperienza più che trentennale di alcuni
    professionisti!!! Ma cosa vogliamo certificare, la qualità o l’incompetenza?
    Per il buonsenso purtroppo non esistono norme o certificazioni abbastanza adeguate
    e l’esperieza sul campo…con le mani in pasta per intenderci non la si può derogare con un qualsiasi attestato piovuto dall’alto, certe cose esistevano già anche quando prestavo servizio militare presso la Brigata “Cremona”! Eravamo all’avanguardia, macchina per scrivere Olivetti elettrica!!! Procedure di protocollazione atti in entrata e uscita….ma cosa ci costa importare tanta saccenza dall’Europa o dal Mondo, prossimamente magari dal Cosmo! Nessuno ha fatto ancora la cosa più ovvia:ristrutturare tutto l’ambaradan normativo (tanto con Codice Civile e Codice Penale non si rischia niente!) facendo tabula rasa e ripartendo da zero…ma evidentemente quando si è in troppi…troppe teste pensanti…c’* un esubero…qualche salvatore della Patria dovrebbe fare un salutare passo indietro a beneficio sì di molti!

  11. Se aggiungessimmo il DVR, il MOG,il PSCC, il POS,VIA,SIA, la relazione annuale ex D.Lvo 40, HACCP, SISTRI,ORSO e compagnia ballando allora sì che si risparmierebbe.davvero qualcosa..si affidasse pure tutto ai Tribunali…e alla divina misericordia. Senza polemiche…ripiegheremo sul genere SCI-FI.

  12. Premesso che non faccio parte dei così ingenerosamente descritta categoria dei Consulenti mi sento di dissentire totalmente dalla affermazioni di questo articolo. Adesso possiamo abolire anche le certificazioni ISO 9001-2008 (quante module da riempire) e poi la 81/2008 sulla sicurezza dei lavoratori. Se l’equazione diventa : “la documentazione è un costo che quindi va abolito” possiamo fare davvero dei disastri. Poi non ci dobbiamo lamentare se in nostri dati personali o peggio sensibili diventano di pubblico dominio o se veniamo inondati di spam. Lavoro nel Mondo IT da molti anni e sono convinto che non attuare una corretta strategia di backup a salvaguardia delle informazioni che custodisco, non installare un firewall per evitare indebite intrusioni dall’esterno e non acculturare gli utenti delle apparecchiature informatiche della gravità del gesto, avente rilevanza penale, di utilizzare la password di accesso al PC del collega non sia così distante come responsabilità dal non ricaricare un estintore. Le norme europee in tema di privacy che saranno varate a Bruxelles entro quest’anno e dovranno obbligatoriamente essere attuate dalle imprese entro i due anni a venire sono enormemente più stringenti e invasive rispetto a quanto indicava il nostro tanto vituperato DPS chi troppo ride oggi prepari i fazzoletti.

SCRIVI UN COMMENTO