Riflessioni sul recente provedimento che abolisce il DPS

Decade l’obbligo del DPS, ma resta obbligatorio proteggere i dati in modo adeguato, secondo tutti i principi espressi dalla 196/2003. Per questa ragione, di fatto, si consiglia di mantenere un documento “corporate” che descriva come vengono protette le informazioni. Sull’argomento pubblichiamo  le riflessioni dell’Avv. Alessandro Frillici, Coordinare dell’Osservatorio Privacy e Sicurezza Informatica.

L’art. 47 del Decreto Semplifica Italia cancella il Documento Programmatico sulla Sicurezza in materia di tutela dei dati personali.
Il Governo ha stimato che gli italiani dovrebbero ricavarne un risparmio di 313 milioni di euro. La misura è stata giustificata sostenendo che la direttiva europea, peraltro in fase di sostituzione, non lo prevede.
E’ curioso che per rilanciare il Paese si pensi che debbano essere tolte le regole, come pure è curioso considerare un risparmio i mancati investimenti per proteggere i sistemi informativi, ma queste sono considerazioni politiche che esulano dallo scopo di questo documento. Qui vogliamo analizzare la portata reale del provvedimento.

Le direttive europee codificano principi minimi lasciando agli Stati membri il compito di svilupparli secondo le proprie specifiche realtà e culture. Nel 1996 si ritenne di prevedere il DPS e le misure minime di sicurezza partendo dalla considerazione che nel nostro Paese la realtà e la cultura della protezione dei sistemi informativi era più arretrata rispetto agli altri.
In questi anni, al di là dei miglioramenti possibili di queste regole, il DPS è stata l’unica norma che ha costretto enti pubblici e privati a considerare la necessità di dover proteggere le informazioni.
La pur scheletrica e minima struttura offerta dai paragrafi da 19 a 19.8 dell’allegato B al Codice della Privacy offriva una guida su come impostare un modello di organizzazione e gestione della sicurezza dei sistemi informativi. Il richiamo del paragrafo 26, che imponeva ai massimi organi dirigenti di un ente l’attenzione sulla sicurezza del sistema informativo, richiedendone la attestazione nella relazione di accompagnamento ai bilanci, favoriva lo sviluppo della governance consapevole delle informazioni e, attraverso esse, la governance dei sistemi informatici (aspetto ripreso dal tanto contestato provvedimento sugli Amministratori di Sistema).

La stessa Europa, una volta tanto non ha guardato all’Italia come esempio negativo, ma, su nostro esempio, sta lavorando alla revisione della direttiva sulla Privacy recependo la necessità di maggiore formalizzazione e miglioramento della governance: esattamente quello che oggi è stato abolito.

Evidentemente chi ha pensato questa misura ha ignorato tutto questo, ma ha anche ignorato che in realtà non è stata operata una semplificazione bensì una complicazione. Da tempo, con i provvedimenti di semplificazione, il DPS era rimasto obbligatorio per le realtà più complesse e per quelle che trattavano dati particolarmente critici, quindi gli effetti dell’attuale provvedimento devono essere letti in relazione a queste circoscritte realtà (imprese di grandi dimensioni, ospedali, banche, assicurazioni, enti pubblici…).

La scure di Semplifica Italia non ha cancellato il Codice della Privacy, accanto a tutti gli obblighi diversi dalla sicurezza (informativa, consenso, nomine, ecc…) permane invariato l’art.31 che impone al titolare di ridurre i rischi che incombono sui dati personale adottando idonee misure di sicurezza.
Restano pure invariati gli obblighi relativi alle misure minime di sicurezza di cui agli artt. 33 e seguenti ed all’allegato “B”. Restano invariate le sanzioni amministrative e penali e, soprattutto, resta invariato l’art.15 che in materia di risarcimento danni pone al titolare l’obbligo di dimostrare di aver fatto tutto quello che si poteva perchè il danno non accadesse.

La responsabilità del Titolare è dunque legata alla diligenza che esso applica nel trattare e proteggere i dati personali, la sostanza della norma è rimasta invariata.
Il provvedimento in esame si limita a rendere facoltativo l’obbligo di formalizzare quello che il Titolare ha fatto, solo in questo risiederebbe il risparmio.

Il DPS, al di là della meritoria opera di sensibilizzazione alla sicurezza,

  • assolveva il ruolo pratico di fornire evidenza delle attività svolte dagli organi dirigenti;
  • tutelava chi assumeva le decisioni fornendo prova della diligenza prestata;
  • fissava la conoscenza sviluppata nell’ente trasformando attività comunque dovute per legge in valore aggiunto, valutabile e trasmissibile;
  • permetteva di strutturare il processo privacy consentendone la corretta gestione e la manutenzione.

Appare del tutto evidente che, nell’ottica di un sano governo degli enti, nella diligenza qualificata richiesta agli amministratori dal codice civile, nello stesso interesse di questi e degli stakeholders degli enti, questa attività non è mera formalizzazione, ma è organizzazione, e dunque non può essere comunque elusa.
Si potrà cambiare nome, ma per tutti gli enti complessi e per coloro che sono a “rischio privacy”, appare di tutta evidenza la necessità di continuare a gestire il processo ciclico della sicurezza dei sistemi informativi (magari facendo riferimento all’ISO 27001).

Il rischio delle informazioni deve continuare ad essere gestito in modo strutturato e formale. Le decisioni devono essere assunte sulla base di analisi dei rischi, le azioni ed i protocolli di sicurezza devono essere definiti ed aggiornati; come può infatti il titolare garantire di aver adottato idonee misure di sicurezza a protezione dei dati personali se non svolge una analisi dei rischi, non pianifica l’implementazione, non la controlla e non revisiona il processo?

In conclusione si può affermare che la portata reale della abolizione del DPS è molto più ridotta di quanto l’enfasi mediatica lasci intendere, è estremamente incerto l’impatto economico positivo, mentre è certo il danno culturale che potrebbe prodursi.

Alessandro Frillici

 

Questa voce è stata pubblicata in News, privacy. Contrassegna il permalink.

I commenti sono chiusi.