30 gennaio 2012
E’ morto il DPS!
Roma, 27 gennaio 2012
Dopo anni di travagliata esistenza è venuto a mancare il
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Ne danno il triste annuncio il Garante per la protezione dei dati personali, i Consulenti privacy, i cittadini interessati alla protezione e alla riservatezza dei loro dati personali.
I funerali si svolgeranno a Roma in Parlamento, non appena il decreto approvato dal Consiglio dei Ministri il 27 gennaio 2012 sarà convertito in legge.
Non fiori, ma applicazione di tutte le misure di sicurezza necessarie per il trattamento dei dati e rispetto per la privacy dei cittadini.
————————————————————————————————————————
Al di là della triste ironia di questo necrologio, è proprio così: per effetto dell’art. 47 del decreto legge sulle semplificazioni approvato venerdì scorso dal Consiglio dei Ministri sono state abrogate tutte le previsioni contenute nel Codice della privacy e nel Disciplinare tecnico sulle misure di sicurezza che si riferivano al Documento Programmatico sulla Sicurezza per il trattamento dei dati personali. Niente più DPS quindi, niente più modalità semplificate per la tenuta del DPS e, naturalmente, niente più dichiarazione nelle relazioni accompagnatorie del bilancio sull’avvenuta redazione o aggiornamento del DPS.
Davvero una bella “semplificazione”!
Quello che ha sin qui rappresentato l’adempimento più complesso, oneroso – ed evidentemente inutile secondo il Governo – tra i tanti previsti dalla disciplina sulla protezione dei dati personali è stato definitivamente cancellato con due commi di un articoletto del decreto legge.
E adesso che cosa succederà?
Oltre all’esultanza di molti imprenditori, contenti che sia stato finalmente eliminato un adempimento considerato inutile, che effetti avrà questa soppressione e come si ripercuoterà sul cittadino?
Come sostenevo tempo fa nella premessa al mio libro intitolato “La tutela della privacy in azienda”, un’impresa dovrebbe cercare sempre di applicare il Codice della privacy non in maniera formale, ma traendone un’effettiva utilità. Pertanto, a mio avviso il DPS, al di là dell’obbligo o no di redigerlo, avrebbe dovuto essere considerato come uno strumento del titolare del trattamento utile per poter tenere costantemente sotto controllo il proprio sistema di sicurezza per il trattamento delle informazioni. In pratica, il documento serviva a fotografare la privacy policy aziendale e a definire e programmare (sulla base di un’attenta analisi dei rischi) le misure necessarie per migliorare la sicurezza del trattamento dei dati personali. Perciò – a parere mio – era la misura di sicurezza più utile, perchè conteneva la descrizione di tutte le altre misure di sicurezza obbligatorie.
L’eliminazione del DPS crea un vuoto nel sistema di sicurezza per il trattamento dei dati posto in essere dall’impresa titolare del trattamento e rende molto più difficoltosi – non solo per il titolare ma anche per gli organi di vigilanza – i controlli sul rispetto delle norme del Codice della privacy, in particolare per quanto riguarda l’allegato B sulle misure di sicurezza.
Infatti, mancando il DPS d’ora in poi gli organi preposti ai controlli (Guardia di Finanza o ispettori dell’Autorità Garante) non potranno più verificare un documento, ma dovranno fare accertamenti approfonditi sul rispetto di tutte le misure indicate nel Disciplinare tecnico allegato al decreto 196/03. Non dimentichiamo infatti che, nonostante la soppressione del DPS, ogni impresa ha comunque l’obbligo di applicare almeno tutte le misure minime di sicurezza previste dal Codice della privacy.
A questo punto una domanda mi sorge spontanea: gli estensori del provvedimento appena approvato dal Governo Monti erano a conoscenza dei contenuti e del significato intrinseco del DPS ? E prima di cancellare il DPS dal nostro ordinamento giuridico si sono consultati con il Garante della privacy? Probabilmente no.
Non si spiegherebbe altrimenti perché, presi dalla “smania di sburocratizzazione” del Paese, abbiano soppresso il documento con il quale si pianificava la gestione di un’attività – il trattamento dei dati sensibili – che l’art. 15 del Codice definisce “pericolosa” (art. 2050 c.c.) e che ha gravi conseguenze risarcitorie nel caso di danni.
L’aggiornamento annuale del DPS a mio avviso era una delle condizioni cardine per un costante monitoraggio della correttezza dei trattamenti di dati effettuati dal titolare. Averlo cancellato avrà anche semplificato la vita delle imprese, ma non ha certamente aumentato la sicurezza del trattamento delle informazioni di carattere personale!
Ma tant’è. Così ha voluto il Governo, ed ora sono molti gli interrogativi che l’eliminazione del DPS pone alla mente di un osservatore attento.
Come saranno tutelati i cittadini?
Chi li garantirà che le imprese impiegheranno ugualmente tempo e risorse per tutelare la loro privacy?
Se sino ad oggi il diritto fondamentale alla protezione dei dati personali (sancito dall’art. 8 della Carta dei diritti fondamentali dell’UE) è stato rispettato a fatica, chi li assicurerà che senza il DPS potranno continuare ad avere la garanzia di un minimo di tutela dei propri dati sensibili?
E poi – come ho già scritto – paradossalmente, con l’abolizione del DPS non diminuirà il rischio delle sanzioni per le violazioni del Codice della privacy, ma aumenterà, perché il documento era lo strumento interno di autoverifica che permetteva al titolare di capire immediatamente se era in linea oppure no con tutte le prescrizioni della legge sulla privacy.
Ad ogni modo la normativa sulla privacy, in Italia come negli altri Paesi dell’Unione Europea, si può dire che si trovi in una fase transitoria, essendo ormai imminente l’emanazione di un regolamento comunitario che andrà a sostituire la normativa europea di riferimento (la direttiva 95/46 CE del 1995). E come è noto, i regolamenti emanati dall’UE godono di un’applicazione diretta negli Stati membri, a differenza delle direttive che, definiscono le linee guida, ma lasciano agli Stati la facoltà di provvedere con legislazione propria.
Questo regolamento comunitario è molto importante, perché oltre ad uniformare le regole a livello europeo, stando alla bozza che circola renderà molto più incisive le regole in materia di tutela dei dati personali. I commentatori della bozza del regolamento si sono, infatti, già detti molto preoccupati per alcune norme che renderanno veramente pesanti e onerosi gli adempimenti per le imprese e gli enti.
In sostanza, con i nuovi obblighi introdotti dal regolamento saranno richiesti sforzi di compliance e di documentazione molto superiori rispetto al DPS. Inoltre, sarà imposta alle imprese e agli enti l’adozione di un vero modello organizzativo per la tutela dei dati, introducendo il principio di responsabilità (accountability), per cui nel caso di controlli saranno loro a dover dimostrare la conformità del proprio operato alle regole comunitarie. Anche l’impianto sanzionatorio sarà di fonte comunitaria, a garanzia dell’efficacia di quanto prescritto, e le sanzioni massime previste saranno molto elevate e parametrate al fatturato dell’impresa sanzionata.
Francamente, a leggere questo testo di origine comunitaria sembra quasi che il nostro Governo eliminando il DPS abbia voluto dare alle imprese una sorta di respiro per superare il momento di crisi attuale, in vista dei ben più gravi adempimenti cui saranno soggette quando il regolamento UE sulla protezione dei dati personali sarà applicabile in Italia.
Scritto il 30-1-2012 alle ore 14:47
In attesa di leggere il testo del nuovo regolamento comunitario in materia di privacy e di trattamento dei dati sensibili, una prece x il (poco rimpianto…) DPS
Scritto il 30-1-2012 alle ore 15:07
In attesa di leggere il testo del nuovo Regolamento comunitario in materia di privacy io consiglieri di… non dormire sugli allori.
Ricordando che restano comunque obbligatorie tutte le altre misure di sicurezza previste dalla normativa vigente (D.Lgs. 196/03, Disciplinare Tecnico allegato B e provvedimenti generali del Garante) e le sanzioni penali e amministrative per chi non le rispetta, secondo me le imprese che in passato hanno investito sul DPS e sulla formazione non dovrebbero abbandonare questo documento, ma dovrebbero continuare a monitorare senza più l’assillo della scadenza annuale del 31 marzo la loro situazione interna, attraverso uno strumento snello (una sorta di “disciplinare interno”) che permetta loro di tenere sotto controllo le misure di sicurezza e gli altri adempimenti previsti dalla normativa privacy che sono rimasti in vigore.
Questo permetterebbe alle imprese di “prepararsi” all’avvento del nuovo Regolamento comunitario, senza dovere ricominciare tutto da capo quando sarà applicabile in Italia.
Scritto il 31-1-2012 alle ore 19:36
Pienamente daccordo con l’Autore: senza assilli di scdenze imminenti e con maggior snellezza di adempimenti, risulterà molto più agevole – x i soggetti interessati – monitorare le singole situazioni aziendali Eppoi….quante cartacce di meno x gli addetti interni alla sicurezza:)
Scritto il 1-2-2012 alle ore 15:14
Buongiorno, condivido le sue perplessità.
Dato che il suo articolo lo trovo molto istruttivo, le chiedo il permesso di citarlo in una e-mail che ho intenzione di girare ai clienti che seguo per il dlgs 196/03.
Con l’occasione cordiali saluti
Scritto il 1-2-2012 alle ore 15:32
Faccia pure Claudio.
Magari citi anche l’autore…
Scritto il 1-2-2012 alle ore 15:52
Mi scuso per non averlo precisato.
Ovviamente oltre che a citare il testo nomimerò l’autore e inserirò il link per la lettura dell’articolo.
Grazie e buona giornata
Scritto il 8-2-2012 alle ore 10:50
E per chi in passato non ha mai fatto il DPS che ripercussioni ci sono, cioe’ sono sanzionabili penalmente se non esibiscono “vecchi” DPS oppure no?
Saluti.
Scritto il 8-2-2012 alle ore 18:35
@Matteo
Teoricamente è sanzionabile… anche se dubito che lo sarebbe.
Piuttosto che del “documento” cartaceo, si occupi di applicare almeno tutte le misure minime di sicurezza obbligatorie (artt. 34 e 35 del Codice e Disciplinare Tecnico allegato B) e si preoccupi di come poterlo “dimostrare” nel caso di un controlo della GdF… Ecco a che cosa serviva il tanto disprezzato DPs!!
Scritto il 9-2-2012 alle ore 16:34
Salve
vorrei sapere se lei tiene dei corsi per “consulenti sulla privacy” e nel caso avere le informazioni necessarie. grazie
Scritto il 9-2-2012 alle ore 18:47
Buonasera Carla.
Ho tenuto moltissimi corsi per formare gli incaricati e i responsabili del trattamento dei dati. L’ho fatto presso la Confindustria, presso l’ANCE, presso Comuni, Ordini Professionali e, soprattutto, in moltissime aziende private.
Probabilmente in futuro terrò un corso per “Consulenti privacy” per conto della Federprivacy, per la quale ho già svolto il ruolo di commissario d’esame per la certificazione TUV Italia della figura di “consulente privacy”.
Altro per il momento non le so dire….
Scritto il 11-2-2012 alle ore 09:27
complimenti per l’articolo, ma fino alla conversione del D.L. (60 gg. e quindi entro il 27/03/12) non c’è possibilità che venga fatto un emendamento su questo punto ?
Scritto il 11-2-2012 alle ore 17:21
Buonasera Matteo.
Sulla G.U. n. 33 del 9 febbraio 2012 è stato pubblicato il D.L. 9/2/2012 n. 5 (cd. decreto semplificazioni).
questo è il testo dell’art. 45 (leggermente diverso rispetto all’originario art. 47) che sancisce l’abrogazione del DPS:
“Art. 45
Semplificazioni in materia di dati personali
1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) all’articolo 21 dopo il comma 1 è inserito il seguente:
«1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.»;
b) all’articolo 27, comma 1, è aggiunto, in fine, il seguente periodo: “Si applica quanto previsto dall’articolo 21, comma 1-bis.”;
c) all’articolo 34 è soppressa la lettera g) del comma 1 ed è abrogato il comma 1-bis;
d) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.”
Teoricamente potranno essere apportate delle modifiche a questo testo in sede di conversione in legge del decreto (che dovrà avvenire entro il 9 aprile 2012), ma ritengo molto improbabile che il DPS possa… “resuscitare” !
Scritto il 13-2-2012 alle ore 11:30
sono d’accordo con lei, improbabile che venga resuscitato il DPS. Però mi sembra veramente in controtendenza con le proposte della C.E.
Non mi soprrenderebbe se fra un anno nascesse un qualcosa simile al DPS, ma con altro nome, tipo P.I.A. (privacy impact assessment) o altro. Del resto …siamo in italia !!! Saluti e grazie
Scritto il 13-2-2012 alle ore 11:38
E’ improbabile, comunque considerando che non e’ stato sentito il Garante, e memori di quello che e’ successo con il Sistri, non mi stupirei della “resurrezione” del DPS in sede di conversione del D.L. semplificazioni.
Scritto il 13-2-2012 alle ore 12:32
Francamente non so cosa pensare…
Ho parlato di “smania di sburocratizzazione”… Forse nella foga di “semplificare” il signor Primo Ministro non si è reso conto del danno che stava creando all’impianto “privacy” del nostro Paese.
A noi non resta che… stare alla finestra, in attesa del nuovo Regolamento UE che sarà ben più rigoroso.
Anche se questo continuo tira e molla del legislatore non giova alla certezza del diritto e alla credibilità della questione della privacy, perlomeno le imprese (quelle meno lungimiranti) tireranno un sospiro di sollievo e si dedicheranno più serenamente a cercare di risalire la china della crisi… senza lo spauracchio del DPS e della scadenza del 31 marzo!
Scritto il 21-2-2012 alle ore 13:34
anche il sistri era morto ed è stato resuscitato!
spero in un DPS chiaro, vivo e sostenibile!
Scritto il 21-2-2012 alle ore 16:33
Franz il DPS era “chiaro” nella misura in cui colui il quale lo redigeva evitava di fare un doocumento inutile e faragginoso, ma si concentrava sulle poche cose essenziali da descrivere e soprattutto le metteva in pratica.
Era “vivo” se il titolare del trattamento lo teneva in vita, considerandolo un documento “in progress” e uno strumento utile in primo luogo per se stesso.
Quanto alla “sostenibilità”… qual’era il problema?
Comunque non è detto che, magari in un’altra forma, il DPS prima o poi non resusciti….