Speciale Jobs Act

Privacy 27 gennaio 2012, 18:50

Addio al DPS!

Niente più documento programmatico sulla sicurezza, niente più modalità semplificate per tenuta e niente più dichiarazione nelle relazioni a bilancio sull’avvenuta predisposizione


Quanti giorni e quante notti spesi a redigere il documento programmatico sulla sicurezza e quanti centinaia di migliaia di euro investiti per la sua predisposizione e finiti all’ingrossare il portafoglio di specialisti – o sedicenti tali – piuttosto che di società che, nel tempo, hanno fatto della “redazione del DPS” il proprio core business.

Ora si cambia.

E’ questa la novità di maggior impatto in materia di tutela dei dati personali contenuta nel decreto legge sulle semplificazioni appena approvato dal Consiglio dei Ministri.

E’ bastato un pugno di ermetiche disposizioni contenenti l’abrogazione di altrettante previsioni contenute nel Codice Privacy e del suo Allegato B sulle misure di sicurezza per mandare in pensione quello che, probabilmente, ha sin qui rappresentato l’adempimento più complesso, costoso – ed evidentemente inutile alla luce della recente decisione del Governo – tra i tanti previsti dalla disciplina in materia di privacy e tutela dei dati personali.

Niente più DPS, niente più modalità semplificate per la tenuta del DPS e, naturalmente, niente più dichiarazione nelle relazioni a bilancio sull’avvenuta predisposizione del DPS.

Nessun dubbio che si tratti davvero di una semplificazione.

Bene così. Se, effettivamente, la redazione e tenuta del DPS era inutile, non c’era ragione per continuare a chiedere ad imprenditori e professionisti di spendere tempo e soldi (313 milioni di euro all’anno, per le sole PMI, secondo il Governo) per  per l’adempimento all’obbligo sino ad oggi previsto dal Codice privacy.

Ad un tempo, tuttavia, non si può fare a meno di domandarsi perché a questa decisione non si è arrivati prima.

Come è stato possibile attendere così tanto per assumere una scelta, poi assunta in qualche frazione di secondo ed adottata, addirittura, d’urgenza nell’ambito di un decreto legge?

Era davvero necessario, sin qui, chiedere alla piccola e media impresa italiana – così come alle grandi multinazionali – di affrontare investimenti importanti, per anni, per compilare e conservare il documento programmatico sulla sicurezza?

Perché solo oggi, dopo oltre un decennio – sebbene all’inizio la redazione del DPS fosse prevista solo per particolari categorie di dati personali – ci si è accorti della sua inutilità?

Sono domande come questo che, credo, occorra porsi per evitare di commettere ulteriori errori e mantenere in vita altri adempimenti ed oneri burocratici che appesantiscono, inutilmente, attività e bilancio delle imprese senza, evidentemente, produrre alcun beneficio alla tutela dell’interesse pubblico.

Il risvolto economico e l’impatto delle leggi sull’attività di impresa è, probabilmente, un tema, sin qui, troppo spesso ignorato dal legislatore e dai decisori politici.

In ogni caso: DPS addio. Peccato solo per i tanti imprenditori e professionisti italiani che hanno speso soldi e risorse per averti, come, necessario compagno di viaggio sin qui.


Pubblicato da il 27 gennaio 2012 alle 18:01 in Privacy
Tags: , , ,


16 Commenti per Addio al DPS!

  1. Pingback: DPS (documento programmatico sicurezza) addio, adieu, adios? | ZioGianni

  2. Pingback: GuidoScorza.it | Addio al DPS!

  3. Clizio dr. Merli

    Decade l’obbligo del DPS?

    Se intendiamo la redazione di un documento formale si.
    Se intendiamo la redazione di un documento sostanziale no.

    Il Governo stima un risparmio di 313 milioni di euro. La giustificazione a tale misura è che la direttiva europea (peraltro in fase di revisione) non lo prevede.
    Strano che si consideri un risparmio il mancato investimento per proteggere i sistemi informativi.

    Nel corso degli ultimi anni il DPS è stata l’unica norma che ha costretto enti pubblici e privati a considerare la necessità di proteggere adeguatamente le informazioni personali, e per riflesso non solo quelle.
    A livello europeo l’Italia è stata presa come riferimento, e si sta operando la revisione della direttiva europea sulla Privacy recependo la necessità di maggiore formalizzazione e miglioramento della governance. Proprio gli aspetti che con il Decreto Semplifica Italia sono stati aboliti.
    Probabilmente la fretta nella preparazione del Decreto Semplifica Italia ha portato a ignorare o sottovalutare questi aspetti, senza rendersi conto che in realtà non è stata operata una semplificazione bensì una complicazione.

    Non dimentichiamo che:
    - resta invariato l’art.31 che impone al titolare di ridurre i rischi che incombono sui dati personale adottando idonee misure di sicurezza;
    - restano invariati gli obblighi relativi alle misure minime di sicurezza di cui agli artt. 33 e seguenti ed all’allegato B;
    - restano invariate le sanzioni amministrative e penali;
    - resta invariato (in modo particolare) l’art.15, che in materia di risarcimento danni pone al titolare l’obbligo di dimostrare di aver fatto tutto quello che si poteva perchè il danno non accadesse.

    La sostanza della norma è rimasta invariata (per fortuna!).
    La responsabilità del Titolare è legata alla diligenza che esso applica nel trattare e proteggere i dati personali.

    Il Decreto Semplifica Italia si limita a rendere FACOLTATIVO la formalizzazione di ciò che il Titolare ha fatto. Un risparmio minimo.

    Non dimentichiamo che il DPS, al di là di essere uno strumento di sensibilizzazione in termini di sicurezza:

    - dà evidenza delle attività svolte dagli organi dirigenti;
    - tutela chi assume le decisioni dando prova della propria diligenza;
    - fissa la conoscenza sviluppata in azienda trasformando adempimenti dovuti per legge in valore aggiunto;
    - permette di formalizzare il processo privacy (corretta gestione e manutenzione).

    Nell’ottica di una SANA GOVERNANCE delle aziende, nell’interesse degli stessi amministratori e di tutte le parti in causa, i punti sopra elencati non sono una semplice formalizzazione, ma la base e l’essenza di un processo organizzativo, che deve essere realizzato con particolare attenzione.

    Per tutte le aziende, e per tutti coloro che gestiscono dati personali e sensibili (e quindi esposti al rischio privacy), è evidente la necessità di gestire il processo ciclico della sicurezza dei sistemi informativi (v. ad es.ISO 27001).

    Il rischio legato alla gestione delle informazioni deve continuare a essere gestito in modo strutturato e formale.
    Le decisioni devono essere assunte sulla base di una analisi dei rischi, le azioni ed i protocolli di sicurezza devono essere definiti ed aggiornati.
    Altrimenti come può il titolare garantire di aver adottato idonee misure di sicurezza a protezione dei dati personali se non effettua una idonea analisi dei rischi, se non pianifica l’implementazione della sicurezza, se non controlla e non revisiona il processo di sicurezza?

    Da tutto ciò appare chiaro che l’abolizione del DPS ha un impatto minimo rispetto a quanto l’enfasi mediatica possa lasciare intendere.
    L’impatto economico è estremamente incerto, mentre per contro è sicuramente certo il danno culturale che l’abolizione del DPS potrebbe produrre.

    Inoltre, se a breve la direttiva europea verrà aggiornata, e prevederà per i soggetti interessati la stesura e la manutenzione di un documento analogo al DPS (come sembra essere nelle aspettative – data protection impact assessment), ci troveremo nella imbarazzante situazione di far rientrare dalla porta principale ciò che è appena uscito dalla porta di servizio, con un evidente aggravio dei costi.

    Non bisogna essere talebani, ne in un senso ne nell’altro.
    La direttiva originale della privacy a momenti imponeva la redazione del DPS anche per i neonati.
    Adesso aboliamo il DPS per tutti.

    Sono d’accordo che le micro-imprese e i professionisti di norma trattano pochi o nulli dati sensibili.
    Ma non sempre e’ cosi’.
    L’obbligo (o meno) dovrebbe essere legato alla quantità di dati sensibili trattati.
    Qualcuno in rete ha scritto (http://punto-informatico.it/3418287/PI/Commenti/dps-abolito-avanti-art-34-ed-allegato.aspx):

    “Dunque viene meno una delle incombenze, ma l’art. 34 resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre: a) l’autenticazione informatica; b)l’ adozione di procedure di gestione delle credenziali di autenticazione; c) l’utilizzazione di un sistema di autorizzazione; d) l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – dovendo fornire istruzioni chiare e formarli laddove necessario per l’effettiva protezione dei dati-; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all’adozione delle misure di cui all’art. 34 ed all’Allegato B. questo aspetto assumerà particolare importanza.”

    Sono perfettamente d’accordo.
    Ciò che conta è la sostanza.
    Cordialità

  4. Si parla di solo abolizione del DPSS ed il sistema sanzionatorio è avvicinato a quello “per quote” della 231/01.
    Il modo più semplice per dimostrare l’adeguatezza del sistema ed avere un sistema esimente sarà quello di dotarsipiuttosto che di un modello obbligatorio, il DPSS, di un modello volontario di gestione e controllo, tipico del D.Lgs 231/01 e di investire di responsabilità un OdV.

  5. consulente junior

    Salve a tutti,
    chiedo un aiuto puramente pratico, essendo una neo-consulente per la redazione del dpss…
    Ebbene, chi non deve più redigere il dpss? Aziende/Enti ecc che trattano solo dati di altre Aziende/Enti ecc?
    Commercialisti, scuole, medici ecc ecc devono continuare a farlo?

    Grazie mille per il prezioso aiuto che vorrete darmi…sono nel pallone!

  6. gabriele

    Non ci siamo…
    No dps, quindi no privacy? non è proprio così…
    Lei scrive in questo articolo, come mai non si sia arrivati prima alla soppressione del cosiddetto dps.. e’ facilmente spiegabile, nel fatto che questa presunta semplificazione, è emanazione del nuovo regolamento privacy europeo, la cui bozza circola già da qualche mese, e che sarà operativo entro il 2014.
    Il documento prpgrammatico sulla sicurezza, ovvero dps, non è da considerarsi come un mero espletamento burocratico, bensi come una fotografia riassuntiva del flusso di informazioni e dati presenti della struttura aziendale.
    La bozza in circolazione, stabilisce anche che ci sarà l’obbligo da parte di tutti i soggetti che erano tenuti alla redazione del dps, di adempiere in maniera più operativa alle misure minime di sicurezza, con controlli più frequenti e una nuova metodologia sanzionatoria calcolata percentualmente sul fatturato.
    In sostanza ciò che è stato abolito non è tanto un obbligo burocratico, quanto un documento aziendale che serviva oltre a riassumere tutte le misure di sicurezza adottate dall’impresa nel trattamento dei dati personali, anche come prova di conferma dell’adeguamento privacy nei controlli della GdF.
    A tal proposito, La invito a leggere alcuni articoli della dott.ssa Frediani, nota esperta privacy, così da poter approfondire meglio un tema molto delicato…

    Cordialità

  7. Pingback: DPS abolito? Avanti art. 34 ed Allegato B – Punto Informatico | Italia – iWooho.com

  8. Setti Roberto

    E va bene…consideratemi un povero miserabile disfattista…ma i corsi noooo!!!!
    Pietà!!!! C’è il corso per RSPP, per RDL, per addetto antinccendio, pronto soccorso, corso per energy manager (spegnere luci, in cinque tutti su un’automobile…), corso per addetti alla movimentazione e gestione merci pericolose, Responsabile Tecnico officina, trasporti, (edile in programma), addetto lavanderia/lavasecco,SISTRI, OSA per HACCP, corso per REC alimentare…aiutoooo…corso per sfoltimento fauna in esubero (cinghiali)…per il DPS consiglierei se mi ritenete ancora in grado di poterlo fare di acquisire comunque un foglio con data certa entro il 31 marzo onde sopperire all’eventuale corsa ultimo minuto per fare fronte a richieste improvvise e magari fino a poco prima ritenute irrituali da parte della P.A., onde evitare di andare al chiarimento in Tribunale…perché prevenire è sempre meglio di curare.

  9. Salve a tutti,
    non ho capito bene se è stato abolito il documento o la dichiarazione semplificata, sul sito del governo non si trova il decreto e il sito del garante è ancora non aggiornato.
    Gli adempimenti rimangono sempre gli stessi?
    Chi detiene dati sensibili deve ancora redigere il documento?

    Grazie a chi ci può chiarire le idee,

    http://www.software-privacy.net

  10. Pingback: Studio Legale » Blog Archive » DPS (alias Documento Programmatico sulla Sicurezza) addio!!!

  11. Ozanam Bonavita

    L’obbligatorietà della redazione del Documento Programmatico sulla Sicurezza era già un debole sistema per divulgare e sintetizzare le regole indispensabili per il buon funzionamento dei sistemi informatici e non solo (il segreto d’ufficio pare sia diventato un di più, tutto può essere divulgato e diffuso,meglio se, barricandosi dietro la mancata conoscenza di regole per tutelarlo), A questo punto lo si dovrà sostituire con dei regolamenti interni

  12. Vincenzo Corradi

    Ho la sensazione che chi pensa di risparmiare grosse somme con l’avvenuta abrogazione del DPS stia facendo un pò di confusione: si è solo decretato che non è più necessario mettere nero su bianco tutta quella serie di attività che necessariamente dovranno comunque essere svolte per evitare di finire nel penale non trattando adeguatamente informazioni detenute! Un inciampone che il decreto ha preso è stato poi il sopprimere il progetto formativo da riservare agli incaricati perchè sappiano utilizzare in massima sicurezza gli strumente affidati loro (siamo alla follia). Stanno già nascendo organizzazioni appositamente nate per difendere aziende e cittadini da abusi legati al cattivo trattamento delle informazioni prestate a chi i nostri dati ha il dovere di trattare con tutte le garanzie di sicurezza e riservatezza , la più nota e seguita è http://www.nospammer.info alla quale ci si può iscrivere gratuitamente, tra un pò ci sarà da ridere.
    Twitter -> @VincenzoCorradi

  13. Setti Roberto

    Senza offese…ma si riconosce il principio economico (mi dite Bocconiano???!!!)
    del rastrellare i centesimi per scialare poi i miliardi…
    Certo poi nel carrozzone ci sta tutto…anche le norme ISO sulla qualità e sulla presenzione di chi va a sindacare sull’esperienza più che trentennale di alcuni
    professionisti!!! Ma cosa vogliamo certificare, la qualità o l’incompetenza?
    Per il buonsenso purtroppo non esistono norme o certificazioni abbastanza adeguate
    e l’esperieza sul campo…con le mani in pasta per intenderci non la si può derogare con un qualsiasi attestato piovuto dall’alto, certe cose esistevano già anche quando prestavo servizio militare presso la Brigata “Cremona”! Eravamo all’avanguardia, macchina per scrivere Olivetti elettrica!!! Procedure di protocollazione atti in entrata e uscita….ma cosa ci costa importare tanta saccenza dall’Europa o dal Mondo, prossimamente magari dal Cosmo! Nessuno ha fatto ancora la cosa più ovvia:ristrutturare tutto l’ambaradan normativo (tanto con Codice Civile e Codice Penale non si rischia niente!) facendo tabula rasa e ripartendo da zero…ma evidentemente quando si è in troppi…troppe teste pensanti…c’* un esubero…qualche salvatore della Patria dovrebbe fare un salutare passo indietro a beneficio sì di molti!

  14. Pingback: Abrogato il DPS | Ordine Avvocati Agrigento

  15. Setti Roberto

    Se aggiungessimmo il DVR, il MOG,il PSCC, il POS,VIA,SIA, la relazione annuale ex D.Lvo 40, HACCP, SISTRI,ORSO e compagnia ballando allora sì che si risparmierebbe.davvero qualcosa..si affidasse pure tutto ai Tribunali…e alla divina misericordia. Senza polemiche…ripiegheremo sul genere SCI-FI.

  16. Vincenzo Corradi

    Premesso che non faccio parte dei così ingenerosamente descritta categoria dei Consulenti mi sento di dissentire totalmente dalla affermazioni di questo articolo. Adesso possiamo abolire anche le certificazioni ISO 9001-2008 (quante module da riempire) e poi la 81/2008 sulla sicurezza dei lavoratori. Se l’equazione diventa : “la documentazione è un costo che quindi va abolito” possiamo fare davvero dei disastri. Poi non ci dobbiamo lamentare se in nostri dati personali o peggio sensibili diventano di pubblico dominio o se veniamo inondati di spam. Lavoro nel Mondo IT da molti anni e sono convinto che non attuare una corretta strategia di backup a salvaguardia delle informazioni che custodisco, non installare un firewall per evitare indebite intrusioni dall’esterno e non acculturare gli utenti delle apparecchiature informatiche della gravità del gesto, avente rilevanza penale, di utilizzare la password di accesso al PC del collega non sia così distante come responsabilità dal non ricaricare un estintore. Le norme europee in tema di privacy che saranno varate a Bruxelles entro quest’anno e dovranno obbligatoriamente essere attuate dalle imprese entro i due anni a venire sono enormemente più stringenti e invasive rispetto a quanto indicava il nostro tanto vituperato DPS chi troppo ride oggi prepari i fazzoletti.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Guido Scorza

avvocato, docente universitario, vicedirettore di Leggi Oggi

Rss Feed Facebook LinkedIn Twitter Google Plus


Articoli dello stesso autore

Privacy 29 aprile 2013, 09:04

Privacy: il Garante detta le istruzioni per l’adempimento agli obblighi di segnalazione

Ecco quali sono i principali obblighi contenuti nel recente provvedimento del Garante privacy, pubblicato sulla Gazzetta Ufficiale dello scorso 24 aprile

Politica 10 aprile 2013, 08:06

Governodelturismo.it: l’ultima eredità del Governo del Professore?

Evidentemente non sono bastati i 45 milioni di euro buttati dalla finestra per lo sviluppo del famoso portale del turismo italiano, “italia.it” del quale restano solo inchieste e macerie, né […]

Politica 17 febbraio 2013, 22:26

AGCOM: sondaggi per molti ma non per troppi

E’ uno di quei casi in cui la sconfitta precede il fischio di inizio, la partita che, nei prossimi mesi vedrà contrapposte, dinanzi ai giudici, la SWG, società di indagini […]

Diritto d'autore 30 ottobre 2012, 17:12

Opere orfane in digitale e online, al via direttiva Parlamento UE

Tutta una serie di istituti potranno riprodurre, digitalizzare indicizzare, catalogare e mettere a disposizione del pubblico tutte le opere orfane ovvero quelle in relazione alle quali nessuno dei titolari è stato individuato o rintracciato

Internet e responsabilità 29 agosto 2012, 15:25

Intermediari non vigilantes

La libertà fondamentale di ricevere e comunicare informazioni può essere limitata solo ove ciò risulti necessario e proporzionato rispetto al fine perseguito


LeggiOggi.it

Ogni settimana il meglio di LeggiOggi.it nella tua E-mail



Ho letto l'informativa e acconsento al trattamento dei dati



NOTA INFORMATIVA SULLA TUTELA DEI DATI PERSONALI EX ART 13 D.LGS. 196/2003 E RICHIESTA DI CONSENSO AL TRATTAMENTO

Maggioli SpA, titolare del trattamento, si propone di gestire il servizio nel rispetto della normativa vigente in materia di tutela dei dati personali. Al proposito intende con questa nota, fornire a tutti gli utenti un'informativa sulle modalità e finalità del trattamento dei dati personali in conformità a quanto previsto dall'art. 13 del D.Lgs n. 196 del 30.06.2003. I dati personali forniti dagli utenti verranno trattati elettronicamente e/o manualmente da Maggioli SpA, Via del Carpino 8 - 47822 Santarcangelo di Romagna (RN), titolare del trattamento, per tutte le finalità correlate alla prestazione del servizio. Inoltre, previo suo consenso, i suoi dati saranno trattati dalla nostra società e dalle società del Gruppo Maggioli per l'invio di materiale promozionale inerente i nostri prodotti o servizi o quelli di società clienti del Gruppo Maggioli. L'indicazione della email deve essere fatta con cura in quanto necessaria per ricevere il servizio, i dati a corredo vengono chiesti per targettizzare gli invii informativi. I suoi dati non saranno diffusi. I suddetti dati potranno essere comunicati a soggetti pubblici, in aderenza ad obblighi di legge e a soggetti privati per trattamenti, funzionali all'adempimento del contratto, quali: nostra rete agenti, società di informazioni commerciali, professionisti e consulenti. I suoi dati potranno essere comunicati a soggetti terzi nostri clienti, che li tratteranno in qualità di autonomi titolari del trattamento secondo la definizione contenuta nel D.lgs 196/2003. Tali dati saranno trattati dai nostri dipendenti e/o collaboratori, incaricati al trattamento, preposti ai seguenti settori aziendali: editoria elettronica, mailing, marketing, CED, servizi Internet, fiere e congressi. L'utente potrà esercitare ogni ulteriore diritto previsto dall'art. 7 del D.Lgs 196 del 30.06.2003 che di seguito integralmente si riporta: "1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art. 5 comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione, in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettera a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di colori ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento di rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano ancorchà pertinenti allo scopo della raccolta; b) al trattamento dei dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. "Compilare il form con i propri dati con conseguente dichiarazione espressa di aver letto e accettato questa informativa, autorizza la Maggioli spa e le società del Gruppo Maggioli al trattamento dei suoi dati per le finalità correlate alla prestazione del servizio e per l'invio di materiale promozionale, anche da parte di soggetti terzi nostri clienti, secondo le modalità illustrate nell'informativa. L'utente potrà esercitare ogni diritto previsto dal citato art. 7 con la semplice risposta alla e-mail ricevuta.

Chiudi questa finestra
Torna Su