24 novembre 2011
Il nuovo Decreto Sviluppo vuole abolire il DPS. Ma ha veramente senso?
In rete circola una bozza del c.d. “nuovo Decreto Sviluppo” predisposta il 18 ottobre 2011 dal Governo, che è ancora in fase di definizione. In realtà si tratta del secondo provvedimento governativo in materia di “sviluppo”, perchè c’è già stato il D.L. 13 maggio 2011, n. 70 convertito con la legge 12 luglio 2011, n. 106.
Anche questo nuovo Decreto Sviluppo nel Capo 4 dedicato alle “semplificazioni” contiene delle disposizioni in materia di protezione dei dati personali, che apportano delle modifiche sostanziali al Codice della privacy.
Leggendo la bozza del provvedimento sembra che il legislatore si sia piegato alle esigenze operative delle grandi imprese, alle quali le norme sulla privacy erano da subito sembrate troppo pesanti ed eccessivamente sanzionate sia penalmente che amministrativamente.
Tra l’altro, nel nuovo decreto legge vengono soppressi il comma 1, lettera g) e il comma 1-bis (introdotto con il precedente Decreto Sviluppo già citato) dell’art. 34, che riporto qui di seguito evidenziando in grassetto le modifiche.
Art. 34. Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
[g) tenuta di un aggiornato documento programmatico sulla sicurezza;]
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’ articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.
Non si conoscono ancora le reazioni del Garante alle nuove modifiche, ma già in precedenza l’Authority aveva espresso un severo giudizio nei confronti del legislatore per la novella alla normativa sulla privacy introdotta dall’art. 6 del D.L. n. 70/2011, convertito con la legge n. 106/2011.
La cosa che balza subito agli occhi nel testo novellato dell’art. 34 del Codice della privacy è l’abolizione dell’obbligo di tenuta del DPS (ma il testo della bozza di decreto legge è incongruente, perché non contiene alcun riferimento all’abrogazione anche del punto 19 dell’allegato B al D.Lgs. n. 196/03 che tratta espressamente del DPS).
“Bene – dirà qualcuno – finalmente una semplificazione sostanziale per le imprese!” Ma è davvero così? Certamente il sistema economico italiano è in una persistente crisi, e quindi c’è bisogno di misure che producano un clima meno oppressivo e condizioni che favoriscano la ripresa. Ben venga allora un decreto per lo “sviluppo”! Ma eliminare il DPS, oltre a far esultare molti imprenditori che tireranno finalmente un sospiro di sollievo per la soppressione di un adempimento considerato “inutile”, che effetti collaterali avrà e come si ripercuoterà sul cittadino?
L’eliminazione del DPS, se da un lato potrebbe essere comprensibile nell’ottica di semplificazione, dall’altro suscita molti dubbi in ordine ai controlli sul rispetto delle norme del Codice della privacy in particolare per quanto riguarda l’allegato B) sulle misure di sicurezza. Infatti, senza il DPS i controlli saranno più complessi perchè gli organi preposti non dovranno più verificare un documento programmatico, ma dovranno fare accertamenti approfonditi sul rispetto da parte del titolare del trattamento delle misure indicate proprio nell’allegato B) al Codice.
Ora, sappiamo bene che la redazione del DPS non è una misura minima di sicurezza generale, che riguarda indiscriminatamente tutte le imprese, ma è obbligatoria solo per quelle che trattano dati sensibili (relativi a salute, religione, sessualità, politica, etnia, ecc.) che non siano quelli dei propri dipendenti. In sostanza, il DPS riguarda solo quelle imprese che gestiscono le informazioni più delicate dei cittadini a causa della natura stessa dell’attività che svolgono (pensiamo ad es. a un laboratorio di analisi mediche, o ad una comunità che accoglie orfani e altri minori disagiati). Ma se si elimina il DPS, anche se gestire un’impresa potrà sembrare più snello, come saranno tutelati i cittadini? Se a un imprenditore che finora è stato “obbligato” a fare una volta l’anno il punto della situazione sulla gestione aziendale dei dati personali mediante il DPS si dirà che non è più tenuto a farlo, siamo sicuri che impiegherà ugualmente tempo e risorse per tutelare la privacy?
Se sino ad oggi il diritto fondamentale alla protezione dei dati personali sancito dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea è stato rispettato a fatica, siamo certi che senza il DPS potremo continuare ad avere la garanzia di un minimo di tutela dei nostri dati sensibili?
E’ pur vero che l’ex ministro per la Pubblica Amministrazione e l’Innovazione Renato Brunetta nell’illustrare il precedente “Decreto Sviluppo” del maggio scorso ha ricordato che solo l’Italia e l’Austria nel recepire la Direttiva Comunitaria 95/46/CE sulla protezione dei dati personali hanno introdotto il DPS, mentre tutti gli altri Paesi membri dell’Unione Europea non lo hanno mai adottato, per cui non ci sarebbe niente di male a eliminarlo. Ma, se per una volta l’Italia si è a suo tempo distinta introducendo una misura di sicurezza utile e importante, dovrebbe poi sopprimerla solo perché gli altri Paesi non l’hanno seguita? Semmai avrebbero dovuto essere le altre nazioni ad imitare il Codice della privacy italiano, prevedendo che tutte le misure di sicurezza obbligatorie devono essere riepilogate in un documento programmatico aggiornato annualmente!
Facciamo bene attenzione! Il DPS non è stato concepito dal legislatore italiano come un inutile insieme di fogli che “si devono compilare per la privacy”, ma come un importante documento con il quale si pianifica la gestione di un’attività – il trattamento dei dati sensibili – che l’art. 15 del D.Lgs. n. 196/03 definisce “pericolosa” (v. art. 2050 c.c.) e che ha gravi conseguenze risarcitorie in caso di danni.
L’aggiornamento annuale del DPS a mio avviso è una delle condizioni cardine per un costante monitoraggio della correttezza dei trattamenti di dati effettuati dal titolare. Paradossalmente, con l’abolizione del DPS non diminuirà il rischio delle sanzioni per le violazioni del Codice della privacy, ma si avrà un aumento, perché si elimina lo strumento interno di autoverifica che indica all’imprenditore se è in linea oppure no con tutte le prescrizioni della normativa sula tutela della privacy. Per fare un paragone, pensare che eliminando il DPS ci sarebbero meno pericoli di sanzioni per un’impresa, è un po’ come pensare che eliminando l’obbligo dell’assicurazione per le auto ci sarebbe un bel risparmio per gli automobilisti, senza però considerare le altre gravissime conseguenze sociali che vanificherebbero ogni buona intenzione di alleggerire il cittadino dal carico dei costi della polizza RCA.
Sembra che il provvedimento governativo di semplificazione voglia evitare solamente la redazione del DPS, ritenendolo probabilmente un adempimento inutile che produce costi superflui. In realtà, in un’ottica di semplificazione, si potrebbe “semplificare” la redazione del DPS, piuttosto che eliminarlo del tutto. Del resto, questo è il proposito dichiarato nel Decreto Sviluppo del maggio scorso che ha introdotto il comma 1-bis all’art. 34 (che nella bozza del nuovo decreto viene soppresso) con il quale viene prevista la sostituzione del DPS con l’autocertificazione soltanto “per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti”.
Forse sarebbe meglio che l’intero Codice della privacy fosse realmente semplificato, rivisitandolo completamente in maniera coordinata e mitigando la rigidità di alcune norme, adattandole alle contrapposte esigenze di tutti gli attori che si muovono intorno alla tutela dei dati personali. Non si può assolutamente continuare a procedere con interventi spot che provocano una disordinata stratificazione normativa e non si può continuare a introdurre modifiche a seconda delle pressioni esercitate dalle associazioni di categoria e dalle grandi società che operano nei settori delle telecomunicazioni, del telemarketing e del commercio dei beni e servizi.
A mio avviso, le modifiche che la bozza del nuovo Decreto Sviluppo vorrebbe introdurre, piuttosto che ridurre i costi in un’ottica di semplificazione, li aumenteranno, perché le imprese dovranno affidarsi a professionisti preparati in questa materia, capaci di muoversi agevolmente tra le pieghe della legge.
A questo punto, trattandosi di una bozza di provvedimento ancora in discussione, è auspicabile che le modifiche al Codice della privacy siano perlomeno compatibili con la emananda revisione della normativa europea sulla protezione dei dati personali, della quale si attende a breve la prima bozza.
Scritto il 28-11-2011 alle ore 14:07
A che serve questa privacy,quando sanno tutto di noi;se vuoi un finanziamento,devi vuotare tutto il sacco…..
La giusta moderazione,nel senso che non si devono diramare notizie riguardanti lo stato di salute.l’appartenenza religiosa,le simpatie politiche e/o sindacali.
Diamo una bella semplificata !!!!!! e togliamo tanta carta in giro,veramente inutile.
Scritto il 28-11-2011 alle ore 17:48
Togliamo pure questa “carta inutile” Franco, e togliamo anche le sanzioni (sicuramente oggi troppo alte) e poi vedremo chi tutelerà la riservatezza delle informazioni di carattere personale che la riguardano…
E guardi che questo glielo dice una persona che… non “vive di privacy”.
Scritto il 30-11-2011 alle ore 13:49
da quando esiste la normativa privacy non ho avuto alcun beneficio.
anzi troppe sono state le volte che sono stato respinto dalla pubblica amministrazione perchè non avevo la delega di mia madre o di mia moglie per chiedere informazioni su una bolletta che stavo esibendo. non basta l’esibizione bisogna avere anche la delega.
poi vedo che le agenzie specializzate possono sapere dove tieni i soldi e quanti sono.
per non parlare di internet che memorizza ogni visita e di certo anche questo intervento e domani mi manda la pubblicità dei prodotti che mi possono interessare.
insomma dico che bisogna tutelare solo i dati sulla salute e vicende giudiziarie. gli altri devono essere liberati da oneri inutili. costano e non ce lo possiamo permettere.
Scritto il 30-11-2011 alle ore 16:41
Premesso che in questo mio post parlavo solamente del DPS e non degli obblighi generali di tutela dei dati personali stabiliti dal Codice della privacy, se non ho capito male Paolo, lei sarebbe favorevole all’eliminazione dell’obbligo di redazione e aggiornamento annuale del DPS, in quanto per lei si tratta di… un “onere inutile”.
Rispetto il suo punto di vista, ma non sono molto d’accordo con questa affermazione. Inoltre, le ricordo che la redazione del DPS non è una misura di sicurezza che riguarda tutti i soggetti che trattano dati personali in qualunque modo. Il DPS è obbligatorio soltanto per chi, con l’ausilio di strumenti elettronici, tratta dati “sensibili” (cioè informazioni relative a salute, religione, sessualità, politica, etnia, eccetera), esclusi quelli dei propri dipendenti. In sostanza, il DPS riguarda solo i soggetti che, a causa dell’attività che svolgono, gestiscono le informazioni più delicate dei cittadini. Francamente a me non sembra che per questi soggetti una misura di sicurezza di questo tipo possa essere considerata inutile e troppo costosa.
Scritto il 30-11-2011 alle ore 23:20
il dps e tutto quanto legato alla privacy è una grande scocciatura per tutti. i clienti in oltre il 90% si lamentano per le firme, le controfirme, la presentazione di documenti, il ritiro ecc.ecc.
sta alla deontologia professionale di chi riceve le informazioni e i documenti segretarli nei modi giusti e più opportuni.
se il cliente viene in studio per una dichiarazione dei redditi, o pratiche similari, è chiaro che ti mette a disposizione tutti i suoi dati, le sue situazioni personali e private. sta al professionista, ed ai suoi collaboratori, assumere la riservatezza che si deve. tutto, ripeto, rientra nell’ambito della deontologia dovuta da chi è iscritto ad un albo professionale. da considerare altresì che il cliente è ben conscio del fatto che portandoti in ufficio i suoi documenti personali e privati, visto che nessuno lo obbliga a venire da te, comporta un implicita autorizzazione ad utilizzarli allo scopo per cui servono, comprese le tendenze sessuali…… certo con le annunciate liberalizzazioni, che permetteranno alle multinazionali e non, bancarie e finanziarie, di fare della
“libera professione” i dati potranno essere sbattuti ai quattro venti ed utilizzati ai fini pubblicitrari come meglio si crede, privacy o non privacy. d’altro canto le banche conoscono tutto dei loro clienti, anche cose mai esibite o richieste.
Scritto il 1-12-2011 alle ore 20:26
Siamo d’accordo sulla riservatezza naturalmente dovuta dai liberi professionisti (seri) secondo i rispettivi codici deontologici, ma tutti gli altri soggetti pubblici e privati che trattano “dati personali” di soggetti terzi, se non ci fosse il Codice della privacy cosa potrebbero farne dei dati… oltre a quello che già ci fanno in violazione palese della privacy?!
Scritto il 5-12-2011 alle ore 10:44
BUONGIORNO SIG.MARCELLO,
PER L’AUTOCERTIFICAZIONE E’ PREVISTO L’OBBLIGO DELL’AGGIORNAMENTO ANNUALE COME PER IL D.P.S.?
mi è stato mandato l’invito a partecipare ad un corso, con il quale mi verrà rilasciato “un
attestato di partecipazione che avrà validità ai fini della formazione annuale di aggiornamento prevista dall’attuale normativa in materia di Privacy.”
cordiali Saluti
Scritto il 5-12-2011 alle ore 11:17
Buongiorno Vanessa.
– l’autocertificazione con la qualeil titolare del trattamento dei dati dichiara di essere esentato dalla redazione del DPS, ferma restando l’applicazione di tutte le altre misure minime di sicurezza obbligatorie (v. allegato B al D.Lgs. n. 196/03)NON deve essere rinnovata.
– la formazione sulla tutela del trattamento dei dati è una misura minima di sicurezza prevista dal punto 19.6 del Disciplinare Tecnico, allegato B) al D.Lgs. n. 196/03 che è obbligatoria SOLO per i gli incaricati dfel trattamento di dati sensibili o giudiziari con l’ausilio di strumenti elettronici. La formazione NON deve essere ripetuta annualmente dal singolo incaricato che l’abbia già fatta.
Scritto il 10-1-2012 alle ore 15:18
Buonasera Signor Polacchini, sono entrata per caso in questo blog. Posso rivolgerle due domande? Ho un negozio di ottica e i dati più sensibili dei clienti sono quelli relativi al “grado” degli occhiali e quanti occhiali e quando sono stati acquistati. Il DPS è obbligatorio? Va “rinnovato” entro il 31/3 di ogni anno? Grazie. Cordiali saluti. Patrizia
Scritto il 10-1-2012 alle ore 18:28
Buonasera Patrizia.
I dati relativi agli occhiali dei clienti sono dati che danno informazioni sulla salute, perciò ai sensi dell’art. 4 D.Lgs. 196/03 sono dati “sensibili”. Se lei tratta questi dati con l’ausilio di strumenti eletronici purtroppo, oltre a dover applicare tutte le altre misure minime di sicurezza obbligatorie (fisiche, logiche e organizzative), è tenuta anche a redigere un (sia pur semplice)DPS e ad aggiornarlo entro il 31 marzo di ogni anno.
I’m sorry…
Scritto il 11-1-2012 alle ore 14:11
Grazie. Patrizia
Scritto il 15-1-2012 alle ore 22:11
Buonasera Dott.Polacchini,
sono un Sovrintendente del Corpo di Polizia Penitenziaria, come Le è certamente noto, lavoriamo all’interno delle carceri italiani, ambiente lavorativo dotata di un sistema di video sorveglianza interno a circuito chiuso, che nell’arco delle 24 ore, riprende le attività interne allo stesso Istituto, e che riprende tutti gli spostamenti effettuati dalle persone che vi accedono.
La mia domanda è semplice, vorrei sapere se vi è la necessità preventiva di acquisire necessariamente l’autorizzazione dell’Autorità Giudiziaria qualora: nel ricevere una informativa di servizio di un dipendente che accusa un altro dipendente di furto, il Comandante di Reparto in qualità di Ufficiale di Polizia Giudiziaria con relativa autorizzazione del Dirigente dell’Istituto di Pena, visiona e estrapola dei filmati e/o immagini del dipendente che avrebbe rubato, ciò finalizzato a effettuare il relativo controllo al fine di compiere indagini sull’ eventuale reato commesso.
Quanto alla procedura seguita, se si riscontra che il dipendente non ha commesso alcun illecito giacché dalle immagini videoregistrate è risultato la sua totale estraneità ai fatti che gli erano stati contestati, il dipendente al di là di un’eventuale denuncia per diffamazione contro colui il quale lo ha accuso ingiustamente, potrebbe anche denunciare il Comandante di Reparto per aver visionato ed estrapolato immagini e fatto delle indagini senza la relativa autorizzazione dell’Autorità Giudiziaria.
La Ringrazio e porgo cordiali saluti.
Di Sciacca Michele
Scritto il 16-1-2012 alle ore 10:29
Buongiorno Sig. Di Sciacca.
Lei mi fa più “esperto” di quanto io non sia…
La materia della “privacy” è vastissima ed io sono specializzato in ciò che riguarda le imprese (in particolare quelle private). La sua domanda esula dalle mie competenze specifiche.
Nell’ambito del rapporto di lavoro privato il datore di lavoro (o un dirigente o un preposto da lui formalmente delegato) a determinate condizioni stabilite dal’art. 4 della legge n. 300/70 può legittimamente videosorvegliare i propri dipendenti al fine di tutelare il proprio patrimonio o di prevenire o reprimere azioni illecite. Non conoscendo però le regole che disciplinano il rapporto di lavoro nell’ambito dell’amministrazione penitenziaria, purtroppo non sono in grado di rispondere con certezza alla sua domanda.
Un cordiale saluto.
Scritto il 22-1-2012 alle ore 18:28
Per rispondere al Sovraintendente Di Sciacca; cosa si può “fare” e “non fare” con le videoregistrazioni dipende in gran parte dalla “finalità dichiarata” del trattamento delle immagini. Faccio un esempio: se all’ingresso del Comune il cartello mi dice “Area video-sorvegliata per finalità di Ordine Pubblico”, il Corpo di Polizia Municipale potrà usare quelle immagini solo a tale scopo. Per farmi una multa perché brucio un semaforo dovrà ricorrere ad altri mezzi. Viceversa se la finalità fosse “Rispetto del Codice della Strada”, la Polizia Municipale dovrà procurarsi un mandato per usare le videoregistrazioni per identificare un rapinatore. Cosa dice il cartello all’ingresso del Penitenziario?
E questo si collega direttamente alla questione “DPS si” o “DPS no”. Mi sembra che si dia troppa importanza alla cosa. Se devo sapere _perché_ faccio qualcosa, con quali mezzi la faccio e chi ne è responsabile… va bene non farò più un DPS, ma anche l’autocertificazione o come la si vuole chiamare dovrà basarsi su una analisi professionale del chi, fa cosa, come e perché. Altrimenti il Direttore del Carcere (o chi altro deve) firma una autocertificazione “al buio” e poi in caso di guai deve anche rispondere di “falso”
Dimenticate pure il DPS, questo non significa che non si debba essere comunque conformi. E, come già detto, questo adesso potrebbe diventare più difficile.
Cordialmente,
Scritto il 22-1-2012 alle ore 19:06
Ringrazio il Sig. Botonelli per il suo intervento.
Quanto al DPS… sono sostanzialmente d’accordo. Si è data effettivamente troppa importanza a questo documento, dimenticandosi che l’importante non è redigere un DPS più o meno ben scritto, quanto piuttosto applicare (almeno) tutte le misure minime di sicurezza e “fare” quello che viene scritto nel DPS. Se viene inteso nel suo giusto significato, questo documento diventa uno strumento utile per il titolare del trattamento e non… carta inutile.
Scritto il 23-1-2012 alle ore 14:32
Buongiorno,
vorrei ringraziare il Signor Bottonelli Alessandro per il suo commento in merito alle mie perplessità circa l’utilizzo del sistema di video sorveglianza all’interno del carcere.
Rispondendo sull’utilizzo del sistema di video sorveglianza all’interno del carcere, tale sistema ha la finalità di garantire ordine, disciplina e sicurezza.
In merito al quesito posto, sono della convinzione che l’Ufficiale di Polizia Giudiziaria che espleta la propria attività lavorativa anche all’interno del carcere abbia comunque la necessità preventiva di acquisire necessariamente l’autorizzazione dall’Autorità Giudiziaria, in particolar modo quando si ricevere una informativa di servizio ove si potrebbe ipotizzare un reato.
Trattandosi quindi di attività giudiziaria, il Comandante di Reparto in qualità di Ufficiale di Polizia Giudiziaria anche in presenza di relativa autorizzazione del Dirigente dell’Istituto di Pena, aveva l’obbligo di chiedere l’autorizzazione preventiva all’Autorità Giudiziaria al fine di compiere delle indagini e poter visionare e/o estrapola dei filmati e/o immagini del dipendente che avrebbe rubato.
Grazie, cordialmente Di Sciacca Michele
Scritto il 28-1-2012 alle ore 21:48
Pur essendo il frutto delle migliori intenzioni, il DPS si è rivelato uno strumento incapace di perseguire i suoi scopi come dimostra la quantità di imprese che nemmeno lo hanno adottato o che si sono limitate a redigere un DPS ampiamente non corrispondente alla realtà aziendale.
Personalmente ritengo che i comportamenti scorretti vadano puniti severamente sopratutto quando ledono i diritti dei singoli ma non ė punendo chi non adempie obblighi burocratici impraticabili che si tutelano realmente i cittadini.
Scritto il 29-1-2012 alle ore 13:47
Massimo, un punto di vista come tanti altri il suo.
Non sono assolutamente d’accordo con lei nel definire il DPS un “obbligo burocratico impraticabile” (ma io, come “esperto”, rischio di non essere completamente obiettivo nel mio giudizio…). Questo, purtroppo, è il modo in cui il DPS è stato concepito dalla stragrande maggioranza degli italiani… ma non è così!
Come ho già scritto sopra, il DPS non è stato concepito dal legislatore come un insieme di inutili fogli, ma come un importante documento (utile in primo luogo al titolare del trattamento) con il quale si monitorizza la gestione del trattamento dei dati sensibili e le misure di sicurezza applicate. Purtroppo, quasi nessuno in Italia lo ha capito e allora arrivo a dire che… ha fatto bene il Governo Monti venerdì 27 gennaio scorso ad ABOLIRE COMPLETAMENTE il DPS.
Adesso però vedremo le conseguenze. E’ solo questione di un po’ di tempo…
Scritto il 30-1-2012 alle ore 11:19
Concordo con Marcello. Il DPS è stato incompreso dalla grande maggioranza delle aziende e PA italiane. Pazienza. Il DPS è morto, evviva il DPS!
Rimangono tutti gli altri adempimenti. E per adempiere occorre che l’organizzazione sappia chi, fa, cosa, come e soprattutto perché! La vogliamo chiamare “Analisi di Sicurezza e Conformità alla Privacy”, oppure in qualunque altro modo? Non importa.
Certo, le PMI e le piccole organizzazioni non possono permettersi analisti o piattaforme tecnologiche per governare questa ed altre conformità. Ma tanto la “Pizza & Fichi Snc” già prima non faceva il DPS (e nient’altro se è per questo…) e continua a non farlo.
I “grandi” o lo fanno perché si rendono conto che è utile a loro adempiere alla Privacy (e non scrivere un DPS formalmente bello, ma totalmente falso) o non faranno niente salvo non sapere come difendersi alla prima denuncia di parte e/o visita ispettiva…
E nonostante il mestiere che faccio, lo dico in totale onestà intellettuale. Tanto già prima certi servizi tecnologici o di consulenza si facevano alla prima categoria di organizzazioni (quelle che in primis lo fanno per loro stesse). Alle seconde non si vendeva un giorno di consulenza prima e così continuerà.
Tutto è cambiato perché nulla cambiasse…
Scritto il 30-1-2012 alle ore 11:53
Io non sono assolutamente di parte, in quanto il mio lavoro di “consulente privacy” è quasi un hobby, come testimonia il tanto tempo che dedico gratuitamente a scrivere in questo blog…
Ad ogni modo Alessandro, lei ha perfettamente ragione.
A mio avviso l’eliminazione del DPS ha creato un vulnus nel sistema di sicurezza per il trattamento dei dati e renderà molto più difficoltosi i controlli sul rispetto del Codice della privacy, non solo per il titolare del trattamento ma anche per gli organi di vigilanza. Non dimentichiamo, infatti, che, nonostante la soppressione del DPS, ogni titolare ha lo stesso l’obbligo di applicare almeno tutte le misure minime di sicurezza previste dal D.Lgs. 196/03.
L’aggiornamento annuale del DPS secondo me era la condizione essenziale per un costante monitoraggio della correttezza e della sicurezza dei trattamenti di dati. Averlo cancellato avrà anche semplificato la vita delle imprese, ma non ha certamente aumentato la sicurezza del trattamento delle informazioni di carattere personale!
Ma tant’è. Così ha voluto il Governo e non resta che prenderne atto.
Attenzione però! Infatti, la normativa sulla privacy, in Italia come negli altri Paesi UE, è in una fase transitoria, perchè ormai è imminente l’emanazione di un Regolamento comunitario che andrà a sostituire la normativa europea di riferimento (la Direttiva 95/46 CE del 1995). Questo Regolamento (che a differenza delle Direttive comunitarie sarà direttamente applicabile negli Stati membri appena emanato) è molto importante, perché oltre ad uniformare le regole a livello europeo, stando alla bozza che circola in rete, renderà molto ma molto più incisive le regole in materia di tutela dei dati personali.
I commentatori della bozza del Regolamento si sono detti molto preoccupati per alcune norme che renderanno veramente pesanti e onerosi gli adempimenti per le imprese e gli enti, perché saranno richiesti degli sforzi di documentazione molto superiori rispetto al DPS… altro che “sburocratizzazione”!
Inoltre, sarà imposta alle imprese e agli enti l’adozione di un vero modello organizzativo per la tutela dei dati, introducendo il principio di responsabilità (accountability), per cui in caso di controlli saranno loro a dover dimostrare la conformità del proprio operato alle nuove regole comunitarie.
Anche l’impianto sanzionatorio sarà di fonte comunitaria, a garanzia dell’efficacia di quanto prescritto, e le sanzioni massime previste saranno molto elevate e parametrate al fatturato dell’impresa sanzionata.
Francamente, leggendo questo testo di origine comunitaria, a me sembra che il Governo Monti eliminando il DPS abbia voluto dare alle imprese una sorta di respiro per superare il momento di crisi attuale dell’Italia, in vista dei ben più gravi adempimenti cui saranno soggette quando il regolamento UE sulla protezione dei dati personali sarà applicabile. Aspettiamo fiduciosi Alessandro…
Scritto il 30-1-2012 alle ore 14:26
Marcello ha scritto:
<>
Mai scritto, sottinteso o neanche pensato ciò! Quello che intendevo è che IO sono di parte. E nonostante questo ho espresso una opinione che ritengo intellettualmente onesta.
Chi ha approcciato il TU sulla Privacy con spirito di “opportunità” invece che di “altra scocciatura burocratica” ha ottenuto grandi vantaggi interni e di immagine.
Chi vuole guardi il portale della Provincia Autonoma di Bolzano:
E in basso a sinistra clicchi su “Pubblicazione Schede Privacy”. Per i pigri il link diretto:
Ottimo esempio di efficienza e trasparenza della P.A.
Scritto il 30-1-2012 alle ore 14:29
vedo che i link sono stati cancellati; probabilmente per evitare auto-referenze (ma questo non la era). Ma si mi sembra giusto. E’
Comunque facile trovare il portale della Prov. Autonoma di Bolzano (google is your friend…).
Scritto il 30-1-2012 alle ore 15:18
Avevo capito il senso della sua affermazione Alessandro, e avevo anche detto che condivido in pieno quello che lei ha scritto. Ho precisato di non essere di parte, perchè in fondo a me poco interessa fare i DPS, ma ritengo che la sua soppressione non sia stata una “semplificazione” utile. Staremo a vedere le conseguenze…
Scritto il 1-2-2012 alle ore 08:57
Purtroppo il tema ė troppo complesso per essere affrontato nelle poche righe di un bllog. Vorrei solo sottolineare che il DPS è il frutto della politica che ha ingessato l’economia italiana e minato la sua principale fonte di ricchezza: le PMI.
La cancellazione del DPS ė invece una decisione di un governo tecnico, nel cui pensiero mi riconosco, che ha come obiettivo quello di aiutare il Paese a uscire dai lacci e lacciuoli creati dai burocrati.
In un mondo dove i dati si muovono istantaneamente da una parte all’altra del pianeta, nel quale i dati risiedono simultaneamente in uno smartphone e in una “nuvola” sparsa per il globo, un DPS italiano serve davvero a poco. Probabilmente, anche la dimensione europea non è sufficiente per affrontare la questione.
Scritto il 1-2-2012 alle ore 10:54
Massimo, come le ho già scritto qualche giorno fa, il suo è un punto di vista, rispettabile come qualunque altro, ma a questo punto le faccio una domanda: a lei come cittadino o come piccolo imprenditore interessa la sua privacy? E fino a che punto le interessa? Che cosa la disturba o non tollererebbe rispetto al trattamento da parte di terzi dei suoi dati personali e, in generale, delle informazioni che la riguardano?
Mille sono gli adempimenti burocratici inutili in Italia (come non essere d’accordo?), ma il DPS – secondo la mia modesta opinione – non era certo uno di quelli, né tantomeno un “obbligo impraticabile” come lei lo ha definito. Se è diventato solo un “pacco di fogli di carta inutili” (così l’ho spesso sentito definire…) per una volta non è certamente colpa del legislatore, ma degli italiani, che non ne hanno mai compreso il significato e l’utilità.
Da sempre ho definito il DPS un documento interno utile in primo luogo al titolare del trattamento, da redigere solo al termine dell’adeguamento della propria struttura organizzativa al Codice della privacy, e non ho mai compreso né il terrore delle imprese nel doverlo fare, né il terrorismo dilagante tra certi consulenti privi di scrupolo nel farlo redigere. Ma anche questo, ovviamente, è solo un punto di vista…
Concludo facendole un’altra domanda Massimo:in questa “società dell’informazione”, nella quale le informazioni hanno un’importanza e un valore economico fondamentale, lei come proteggerebbe i suoi dati?
Probabilmente neppure la dimensione europea sarà sufficiente a proteggere adeguatamente la propria privacy, di certo però, il Regolamento comunitario sulla protezione dei dati personali in corso di emanazione stringerà ancora di più le maglie, per cercare di evitare (almeno a livello UE) quello che vediamo accadere ogni giorno. A quel punto, anche in Italia tutti i titolari di trattamenti di dati personali saranno soggetti ad adempimenti ben più onerosi rispetto alla redazione di un semplice DPS, e le sanzioni in caso di infrazioni saranno veramente pesanti.
Scritto il 3-2-2012 alle ore 00:55
Marcello, apprezzo il suo punto di vista (minoritario fra i tanti che ho sentito) dal quale traspare una sincera preoccupazione per la difesa della privacy. Preoccupazione che sta impegnando non poco anche il legislatore europeo, avremo modo di esaminarne il lavoro a breve.
Nel frattempo non si può pensare che il governo Monti abbia tolto il DPS per ignoranza o stupidità. Se lo ha fatto ė perché ha ritenuto che i pro fossero maggiori dei contro, non crede? E stiamo parlando di un governo fatto di tecnici che dovrebbero sapere ben più dei burocrati come gestire la società e gli aspetti tecnici ad essa connessi (fra i quali la tutela dei dati svolge un ruolo non secondario).
Per quanto riguarda i miei dati:
– vorrei non essere costretto a fornirli per qualunque banale servizio;
– vorrei non essere sommerso dallo spam;
– vorrei potermi cancellare dalle newsletter indesiderate con un click che funzioni (il 20-30% riporta un link “cancellami” che non funziona, evidentemente inserito solo per dare una parvenza di legalità);
– vorrei poter telefonare con una Telecom dove i responsabili della sicurezza non si suicidano (o vengono indotti a suicidarsi, chissà);
– mi piacerebbe sapere che l’accesso alle varie centrali rischi è riservato solo a poche persone autorizzate (e non all’amico dell’amico che si vende le informazioni);
– sarei felice di sapere che con una semplice richiesta, magari via mail, i miei dati vengono immediatamente cancellati da qualunque database mi stia antipatico…
Temo che il DPS non abbia favorito la concretizzazione di nessuno di questi “desideri”
Come sempre, non esiste una bacchetta magica che dia la soluzione ideale, men che meno nel campo della sicurezza dove sappiamo bene che non esistono certezze ma solo percentuali di rischio più o meno alte. Tanto più alte quanto più l’ambito d’azione è ampio e non controllabile. Ormai dobbiamo ragionare su scala globale, i nostri dati non possono essere protetti da una norma italiana rivolta alle aziende italiane.
In questo senso, il defunto DPS non poteva essere lo strumento giusto per tutelare davvero i cittadini. Forse, basterebbe applicare le leggi esistenti che puniscono i comportamenti illeciti, di qualunque natura essi siano.
Scritto il 3-2-2012 alle ore 13:53
Massimo, innanzitutto sono contento di poter esprimere un punto di vista minoritario e assolutamente disinteressato: ne sono orgoglioso.
Condivido quasi completamente ciò che lei ha espresso.
Sono d’accordo con lei sul fatto che ormai dobbiamo ragionare su scala globale, e che i nostri dati non possono essere protetti da una legge italiana rivolta solo ai titolari del trattamento italiani. Vedremo presto che cosa partorirà il legislatore europeo, augurandoci che offra protezione maggiore ai nostri dati personali.
Sono perfettamente d’accordo con ciò che lei vorrebbe relativamente ai suoi dati personali. Oltretutto si tratta di suoi legittimi diritti! Ritengo anch’io che il DPS non abbia contribuito molto a realizzare tali desideri, ma mi domando che cosa sarebbe accaduto se non ci fosse stato un DPS.
Il problema, a mio avviso, è la pervicace “ignoranza” in materia di privacy: mancando una “cultura della privacy” nel nostro allegro Paese, è evidente che nel 99% dei casi il DPS è stato considerato una inutile scartoffia burocratica e non è servito a tutelare alcunché. Non se ne è mai compresa la vera essenza. Ma questo non dipende assolutamente dal legislatore italiano… dipende dagli italiani!
Io non ho mai insinuato che abolendo il DPS il governo sia stato stupido, ma ritengo che sia stato “ignorante” e che, preso dalla smania di semplificazione (per fare da contraltare ai sacrifici imposti alle imprese e ai cittadini con il cd. Decreto “salva Italia”), si sia “dimenticato di chiedere un parere preventivo agli unici “tecnici” della materia: quelli dell’ufficio del Garante per la privacy…
Potrò anche sbagliarmi, ma temo proprio che nella fretta sia andata così, ed è significativo l’assoluto silenzio dell’Authority al riguardo.
Anziché abrogare tout court il DPS, secondo me il governo (aiutato dai tecnici della privacy) avrebbe dovuto studiare un modo per renderlo più funzionale al suo scopo e per convincere i titolari del trattamento dei dati sulla sua utilità/necessità nel loro stesso interesse. Comunque, mi rendo conto che la mia è una “vox clamantis in deserto”…