23 marzo 2012
Il 31 marzo è vicinissimo ma non c’è più il DPS. Che fare?
L’art. 45 del D.L. n. 5 del 9 febbraio 2012 (il cosiddetto decreto “semplificazioni” del governo Monti) ha abolito il DPS perciò non c’è più la scadenza del 31 marzo entro la quale ogni anno era necessario rivedere il proprio sistema di sicurezza per il trattamento dei dati personali per aggiornare il DPS.
Ma allora le imprese possono “dormire sonni tranquilli”? Assolutamente no! Anzi, non dover più prendere in mano un documento che descrive la situazione aziendale per quanto riguarda la privacy, a mio parere può creare qualche problema.
Infatti, l’abolizione del DPS non ha cambiato la sostanza della normativa sulla privacy e sono rimaste in vigore tutte le misure di sicurezza obbligatorie e i provvedimenti del Garante che hanno effetto di legge (come ad es. quello generale sulla videosorveglianza, quello sugli amministratori di sistema, le linee guida del Garante per la posta elettronica e Internet nei luoghi di lavoro, ecc.), che se non rispettati espongono i contravventori a pesanti sanzioni.
Il decreto 5/2012 ha ritenuto superfluo il DPS -considerato un adempimento solamente formale alla normativa sulla privacy- perciò adesso quello che conta è la “sostanza” della tutela della privacy, cioè l’esistenza di effettive misure di sicurezza per proteggere i dati, e non la loro descrizione in un documento formale. Si deve pertanto evitare di confondere l’obbligo di adottare le misure di sicurezza con quello di scriverle in un documento cartaceo, facendo magari prevalere questo su quello.
Ogni impresa “titolare del trattamento” di dati personali deve innanzitutto rispettare tutti i principi fondamentali stabiliti dal D.Lgs. 196/03 per il trattamento dei dati (esattezza dei dati, pertinenza, non eccedenza, necessità del trattamento e conservazione solo per il tempo necessario). Il titolare poi, deve nominare gli incaricati del trattamento e gli eventuali responsabili, dare l’informativa alle persone fisiche interessate, ottenere il loro consenso se necessario e, soprattutto, rispettare (almeno) tutte le misure minime di sicurezza stabilite dal Codice della privacy e controllare periodicamente la loro applicazione.
Perciò, nonostante l’abolizione del DPS, le cose da tenere sotto controllo per la gestione dei potenziali rischi derivanti dal trattamento dei dati personali sono parecchie. A mio avviso, perciò, sarebbe opportuno che le imprese che in passato hanno investito tempo e denaro per la redazione del DPS e per la formazione del personale non si “dimenticassero” completamente della privacy, ma continuassero a monitorare la situazione attraverso un documento interno (un verbale, un promemoria, o un qualsiasi altro scritto) che permetta loro di tenere sotto controllo le misure di sicurezza e gli altri adempimenti privacy rimasti in vigore. Questo documento permetterebbe al titolare di ricordare quello che ha fatto e potrebbe tornare utile in caso di contestazioni della Guardia di Finanza. Senza il DPS, infatti, i controlli sulle misure di sicurezza saranno più complessi e d’ora in poi si concentreranno sull’effettiva applicazione delle misure di sicurezza. Inoltre, va anche considerato che tenere sotto controllo le misure di sicurezza e gli altri adempimenti privacy rimasti in vigore consentirà all’impresa di essere pronta all’avvento del nuovo Regolamento UE che stabilisce regole ancora più stringenti per la privacy, senza dovere ricominciare tutto da capo quando entrerà in vigore e, come tutti i regolamenti comunitari, sarà immediatamente applicabile anche nel nostro Paese.
Di tutto questo parlo diffusamente in un articolo pubblicato sul n. 12/2012 della rivista Diritto e Pratica del Lavoro.
Scritto il 28-3-2012 alle ore 06:58
Sottoscrivo in toto le tue riflessioni egregio Polacchini, lo Studio infatti sta avvisando i titolari delle società assistite anche in tema di privacy sulla necessità di non abbassare la guardia vista l’attuale normativa ex D.Lgs. 196 del 2003 sulla privacy che si applica anche in azienda… e che il famigerato decreto Monti non ha scalfito.
Avv. Luigi De Valeri Roma
Scritto il 28-3-2012 alle ore 10:12
Caro De Valeri… io ho persino cessato di fare questo appello ai miei clienti.
Con il decreto del governo Monti e la campagna denigratoria e mistificatoria portata avanti dai media nei confronti del DPS, solo un’esigua minoranza dei titolari del trattamento di dati si è resa conto che nella sostanza non è cambiato niente.
L’equazione PRIVACY = DPS è stata portata alle sue estreme conseguenze!
A me non resta che attendere… e nel frattempo dedicarmi alla mia attività preferita: immergermi lontano dai clamori della superficie.
Scritto il 30-3-2012 alle ore 09:45
Egregio Polacchini, l’abolizione del Dps è sicuramente un errore, visto che gli adempimenti sottostanti sono rimasti, ma l’errore più grande è mantenere in piedi questa tutela inutile e costosa, non me ne voglia per quesa mia affermazione, so che lei vive di questa attività. Il nostro ordinamento giuridico tutela già ampiamente la cosidetta “privacy”, se non altro tramite l’ art. 2043 del c.c., tanto è vero che la stessa normativa sulla privacy richiama il seguente art. 2050.
Il punto è che chi ha veri vantaggi da questa normativa sono i destinatari delle spropositate sanzioni (lo Stato, che poi è spesso il primo a violare, quasi sempre impunemente le sue stesse leggi), i venditori di software, i consulenti o pseudo tali, ecc. ecc., ma, che mi risulti, molto raramente il danneggiato (mai visto uno che uno!!).
Ma, poi, mi spiega come mai tali obblighi sono a carico degli enti commerciali e non, e niente devono fare i privati che a volte, anche solo per organizzare una gita, sono in possesso di dati a volte anche sensibili (condizioni di salute e altri dati), senza che abbiano alcun obbligo, oppure vogliamo affermare che i dati sono tutelati se ci sono attività imprenditoriali (che hanno i soldi!!), altrimenti non sono degni di tutela. Guardi si risolverebbe tutto molto semplicemente, senza opprimere le organizzazioni formali con ulteriore burocrazia, ormai insostenibile, non solo psicologicamente ma anche economicamente, che è la vera peste della nostra “civiltà”, checche’ se ne voglia dire, dicendo, “badate se nell’utilizzo dei dati di terze persone causate danni, e questi vengono richiesti (e provati?), sarete tenuti a risarcire il danno, per il resto fate voi.” fine della legge. Tanto ormai, chi si può permettere avvocati a gogo’ (non certo il popolo), non paga mai, anche perchè, tramite il consenso dei dati fai di tutto e di piu’, e… peggio di prima. Avrei tanto da raccontarle ma, ho “cose” burocratiche da fare che premono, tanti saluti.
P.S. a proposito io sono Dottore Commercialista, non so lei se conosce le attività economiche e i loro “veri” problemi, io purtroppo sì.
Scritto il 30-3-2012 alle ore 17:15
Egregio Danny non sono assolutamente d’accordo con ciò che lei scrive.
Le premetto, e ci tengo a precisare, che io non vivo assolutamente dell’attività di consulente privacy. Ho ben altri interessi nella vita e questa attività la esercito per pura passione, come pure il tenere in vita questo blog, nel quale rispondo gratuitamente a centinaia di quesiti che mi arrivano da ogni parte d’Italia.
Detto questo, ritengo che la tutela offerta al cittadino dal D.Lgs. 196/03 non sia assolutamente “inutile e costosa” come lei sostiene, e che senza una normativa specifica nell’ordinamento giuridico italiano la tutela della privacy non esisterebbe affatto. E’ sotto gli occhi di tutti quanto poco la privacy fosse rispettata prima dell’avvento del nuovo Codice della privacy (D.Lgs. 196/03), anche quando era in vigore l’orribile (giuridicamente parlando) legge 675/96.
Purtroppo, senza la minaccia di pesanti sanzioni nel nostro Paese non si fa nulla. E non si può certo dire che in Italia esista una “cultura della privacy”. Tutt’altro! Basta vedere come si comportano quotidianamente i media, per rendersi conto che per i giornali e le televisioni la privacy dei cittadini non è certo la cosa principale da rispettare. Si figuri che cosa accadrebbe se non ci fosse una legge specifica e un’Autorità di vigilanza!
Chissà… forse tra qualche decennio si sarà instaurata questa “cultura” anche nel nostro Paese, ma bisognerà vedere nel frattempo quali saranno stati i danni che si sono prodotti. Pensi soltanto alla sempre maggiore diffusione del fenomeno del furto d’identità, che la moderna società telematica ha ormai reso molto frequente.
Da quello che lei scrive dimostra una modestissima e superficiale conoscenza dei contenuti del Codice della privacy. Non è assolutamente vero, infatti, che il D.Lgs. 196/03 non riguardi i privati cittadini e le persone fisiche. Legga attentamente l’art. 5 (“Il presente codice disciplina il trattamento di dati personali… effettuato da chiunque…”).
Per sapere invece chi sono i danneggiati (dato che lei dice di non averne mai visto uno…) legga le numerose decisioni del Garante sui ricorsi che gli sono stati presentati, oppure le molte pronunce giurisprudenziali che prevedono anche sostanziosi risarcimenti di danni morali e patrimoniali.
Sul fatto che lo Stato si avvantaggi dall’applicazione della normativa sulla privacy nutro forti perplessità.
In base all’art. 166 del Codice, infatti, il 50% del totale annuo dei proventi delle sanzioni irrogate dal Garante è riassegnato al fondo di cui all’art. 156, comma 10 del Codice, che serve a coprire le spese di funzionamento del Garante (si tratta di un fondo stanziato a tale scopo nel bilancio dello Stato e iscritto in apposito capitolo dello stato di previsione del Ministero dell’economia e delle finanze). Tali proventi delle sanzioni sono utilizzati unicamente per l’esercizio dei compiti del Garante di cui agli articoli 154, comma 1, lettera h (cioè “curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati”) e 158 del Codice (Accertamenti disposti dal Garante, accessi a banche dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali).
L’art. 2043 c.c. da solo non potrebbe in alcun modo tutelare la privacy di nessuno; mentre il richiamo fatto dall’art. 15 del Codice all’art. 2050 c.c. serve unicamente ad applicare il regime dell’inversione dell’onere della prova in capo al danneggiante (titolare del trattamento dei dati); regime tipico dell’esercizio di un’attività pericolosa (quale è considerato qualunque trattamento di dati personali). Mentre la sua “semplificazione” (…”si risolverebbe tutto molto semplicemente… dicendo, “badate se nell’utilizzo dei dati di terze persone causate danni, e questi vengono richiesti, sarete tenuti a risarcire il danno, per il resto fate voi” fine della legge) mi fa davvero sorridere.
Avrei tante altre cose da spiegarle ma preferisco lasciarla alle sue “cose burocratiche che premono”.
Tanti saluti.
P.S. A proposito io sono laureato in Giurisprudenza e prima di fare il libero professionista ho lavorato per 25 anni nelle imprese e con le imprese. Non so lei se conosce le imprese e i loro “veri” problemi dal di dentro… io purtroppo sì.
Scritto il 16-5-2012 alle ore 11:01
Egregio Dottor Polacchini.
A fine Marzo 2012, al momento dell’approvazione del progetto di bilancio di esercizio riferito al 2011, mi sono posto il problema se aggiornare o meno il DPS e se darne informazione nella relazione al bilancio stesso. In realtà il D.L. del 9 Febbraio 2012 n. 5, con effetto immediato, aveva soppresso l’obbligo alla redazione/aggiornamento del DPS e di fatto aveva rimosso la necessità di indicare nei documenti di bilancio l’avvenuta redazione/aggiornamento.
Però al 31 Marzo scorso (data in cui la maggior parte dei CDA delle società hanno approvato il progetto di bilancio) il suddetto decreto non era stato ancora convertito in Legge. Infatti, la conversione è avvenuta il 4 Aprile 2012 (Legge n. 35) e cioè qualche giorno l’approvazione dei bilanci.
Per ovviare al rischio della mancata conversione (il citato decreto avrebbe perso efficacia dall’inizio!!) ho ritenuto opportuno (oltre che conveniente per aspetti pratici ed organizzativi) aggiornare comunque il DPS e darne menzione in bilancio.
Ora, alla luce dell’avvenuta conversione, ritiene corretto il comportamento da me adottato o lo considera superfluo? Cordiali saluti
Scritto il 16-5-2012 alle ore 17:33
Giuseppe secondo me lei si è comportato prudentemente.
E’ pur vero che i decreti legge acquistano immediato vigore, ma debbono pur sempre essere convertiti in legge entro 60 giorni dalla pubblicazione sulla G.U.
Pertanto lei avrebbe potuto benissimo evitare di aggiornare il suo DPS e di menzionarlo nella relazione accompagnatoria del bilancio, ma l’averlo fatto ugualmente non la espone certo ad alcuna conseguenza negativa, anzi…. meglio per lei che ha aggiornato la situazione per quanto riguarda l’applicazione delle misure di sicurezza!
Scritto il 17-5-2012 alle ore 08:56
Egregio Dottor Polacchini, a fine Marzo 2012, al momento dell’approvazione del progetto di bilancio di esercizio riferito al 2011, mi sono posto il problema se aggiornare o meno il DPS e se darne informazione nella relazione al bilancio stesso. In realtà il D.L. del 9 Febbraio 2012 n. 5, con effetto immediato, aveva soppresso l’obbligo alla redazione/aggiornamento del DPS e di fatto aveva rimosso la necessità di indicare nei documenti di bilancio l’avvenuta redazione/aggiornamento.
Però al 31 Marzo scorso (data in cui la maggior parte dei CDA delle società hanno approvato il progetto di bilancio) il suddetto decreto non era stato ancora convertito in Legge. Infatti, la conversione è avvenuta il 4 Aprile 2012 (Legge n. 35) e cioè qualche giorno l’approvazione dei bilanci.
Per ovviare al rischio della mancata conversione (il citato decreto avrebbe perso efficacia dall’inizio) ho ritenuto opportuno (oltre che conveniente per aspetti pratici ed organizzativi) aggiornare comunque il DPS e darne menzione in bilancio.
Ora, alla luce dell’avvenuta conversione, ritiene corretto il comportamento da me adottato o lo considera superfluo? Cordiali saluti
Scritto il 17-5-2012 alle ore 09:01
La ringrazio per la risposta.
Mi scuso, ma per errore ho inserito nuovamente il quesito.
Cordiali saluti
Scritto il 17-1-2013 alle ore 21:47
Penso che dovremmo aspettare ancora un po ‘. Perché per noi Somes moement in un periodo di crisi.
Scritto il 19-7-2013 alle ore 10:57
buongiorno,
mi dà gentilmente conferma che qualsiasi azienda è tenuta ad adempiere alla redazione delle misure minime di sicurezza?
ringrazio.
Scritto il 19-7-2013 alle ore 18:08
Barbara?? Ma è possibile una simile domanda, dopo che la normativa sulla privacy è in vigore da dieci anni??!
Le faccio io una semplice domanda: la sua azienda tratta (utilizza) “dati personali” (dati identificativi) di persone fisiche (dipendenti, professionisti, clienti, fornitori, ditte individuali, ecc.)?
Se li tratta, mi sa dire perchè mai NON dovrebbe applicare ALMENO tutte le misure minime di sicurezza che sono OBBLIGATORIE per proteggere il trattamento dei dati personali (cioè la “privacy” dei soggetti ai quali i dati si riferiscono)?
Provi a rispondersi da sola….
Scritto il 9-2-2017 alle ore 13:33
Io faccio l’A.d.S cioè l’amministratore di sistema o il sistemista per un ente statale…il DPS me l’hanno fatto fare completamente a me nel 2008 perché il titolare dei dati cioè il presidente del tribunale e il dirigente amministrativo dell’ufficio (laureati entrambi)non erano capaci di farlo e quindi io diplomato perito elettronico con 36 all’I.P.S.I.A. (gli ultimi due anni presi al serale…) nel 1982 quando i pc non si sapeva nemmeno che erano mi sono dovuto imparare a fare sto canchero di D.P.S. e l’ho fatto ….ora sapere che è stato abolito per me è una benedizione…per me in questa nazione c’è troppa burocrazia e troppe chiacchiere di aria fritta !!! Tanti giuristi mettono le mani sull’informatica e sui sistemi operativi senza saperne una bella cippa….e senza capirne nulla …. obbligano e chiedono senza sapere che certe cose tecnicamente non sono possibili…tipo per esempio la gestione esaustiva dell’event wiever detto in italiano visualizzatore di eventi ….ecc..ecc….questi avvocati fanno TROPPE CHIACCHIERE spesso incomprensibili …ed inutili ovviamente IMHO