Lart. 45 del D.L. 9/2/2012 n.5 Disposizioni urgenti in materia di semplificazione e di sviluppo ha abrogato il Documento Programmatico sulla Sicurezza (DPS). È difficile per un consulente affrontare questo argomento senza apparire come colui che vuole mantenersi il lavoro, di conseguenza, prima di ricordare le cose che dovranno ancora essere fatte, farò qualche accenno circa la tormentata storia del DPS e spiegherò perché era necessario un intervento radicale su questobbligo, non per la sua inutilità, come rappresentato dal Governo, ma per linvoluzione che aveva subito e che lo aveva ridotto ad un adempimento mal imposto e, nella maggior parte dei casi, mal interpretato e mal applicato.
Il documento programmatico sulla sicurezza appare per la prima volta nel D.P.R. 318/99, secondo il quale il Titolare che trattava dati personali sensibili o giudiziari su elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico doveva redigere un documento programmatico sulla sicurezza. La prima scadenza per tale adempimento fu il 31 marzo 2000 (entrata in vigore del citato D.P.R.), data che per continuità è rimasta fino ad ora lo spauracchio di molte Aziende.
Nella sua prima forma il DPS costituiva un documento estremamente utile poiché era imposto dichiaratamente per definire, sulla base dell’analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento [Art. 6. D.P.R. 318/99] misure di sicurezza e programmi di formazione appropriati. Il primo colpo al senso del DPS fu dato dal D. Lgs. 196/2003 che ne snaturò lo scopo principale (definire le misure di sicurezza) ed aggiunse dei contenuti, conferendo al D.P.S. il taglio di un documento più probatorio che programmatico: il DPS non era più redatto per definire ma doveva contenere idonee informazioni , inoltre lobbligo scattava nel caso di trattamenti di dati sensibili o giudiziari effettuati su qualsiasi strumento elettronico.
Sempre il disciplinare tecnico in All. B al D. lgs. 196/2003 introdusse unaltra misura di garanzia consistente nellobbligo di riferire nella relazione accompagnatoria al bilancio desercizio dellavvenuta redazione o aggiornamento del DPS, così i sindaci revisori iniziarono a chiedere in visione il famigerato documento e molte Aziende improvvisamente scoprirono che esisteva una normativa sulla tutela dei dati personali, purtroppo identificandola frequentemente solo con il DPS, cosa che avviene ancora oggi. Poiché troppo spesso le normative vengono interpretate ed applicate non in ragione del loro scopo, ma solo in proporzione al rischio di controllo/sanzione, dando conseguentemente preminenza agli aspetti più burocratici, il mercato ha generato le più disparate soluzioni: da documenti barocchi, ingestibili ed estremamente onerosi, a soluzioni al limite dellinsufficiente, il tutto condito con elementi inventati, come linesistente obbligo della data certa; tutto questo nonostante il Garante avesse pubblicato nel giugno 2004 una guida anche troppo semplice.
Così il D.P.S. è stato percepito nella stragrande maggioranza dei casi come lennesimo documento oneroso ed inutile, redatto solamente allo scopo di evitare sanzioni. Essenzialmente per questo motivo, passato qualche anno, lambiente politico ha recepito i malumori dellambiente imprenditoriale ed è intervenuto a più riprese:
1. la prima volta con lart. 29 del D.L. 25/06/2008, n. 112, (conv., con mod., con l. 6 agosto 2008) che abolì lobbligo in parola per soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale [art. 34 comma 1bis], sostituendolo però con l’obbligo di una autocertificazione redatta dal Titolare; peccato che si trattasse di una autocertificazione particolarmente pesante, penalmente rilevante e sostenibile solo a seguito di una attenta e dettagliata indagine interna e mantenendo un elevatissimo livello di attenzione;
2. Ottemperando a quanto previsto dal 34-comma 1bis introdotto dal citato D.L., il Garante con proprio provvedimento del 27/11/2008, instaurò una modalità semplificata di compilazione del DPS riducendone i contenuti ed annullandone lobbligo di periodico aggiornamento entro il 31/03 (che doveva essere effettuato solo in caso di variazioni); questa possibilità era offerta ai soggetti indicati nel comma 1bis dellart.34 ed ai titolari che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare liberi professionisti, artigiani e piccole e medie imprese; per inciso le modalità semplificate per adottare le misure minime di sicurezza previste da questo provvedimento non riguardano solamente il D.P.S. e, a rigor di logica, dovrebbero restare applicabili nonostante esse siano individuate ai sensi dell’art. 34, comma 1-bis, del Codice ora abrogato, che conferiva al Garante anche il compito di aggiornarle periodicamente; sarebbe auspicabile un chiarimento che metta al sicuro da contestazioni basate su questa plausibile incertezza;
3. infine il Decreto del 13 /05/ 2011, n. 70 recante “Semestre Europeo. Prime disposizioni urgenti per l’economia” è tornato sullargomento perfezionando alcuni elementi dellart. 34 ed aggiungendo una definizione di correnti finalità amministrativo-contabili che indica meglio, ma non ancora nettamente, i casi in cui sia possibile avvalersi delle modalità semplificate previste dal Provvedimento del Garante del 27/11/2008.
Si è sempre trattato di interventi di semplificazione imperfetti poiché, non tenendo conto della ampiezza della definizione di dato sensibile trattato con uno strumento elettronico, sono legati a fattori che impongono al Titolare che vuole avvalersi delle semplificazioni un elevatissimo livello di attenzione ed un monitoraggio continuo e capillare dei trattamenti per evitare di vedersi contestare la veridicità delle autocertificazioni o la sussistenza dei requisiti che consentono di avvalersi delle misure minime semplificate: basterebbe archiviare una e-mail contenente un dato personale sensibile relativo ad un candidato o ricevere ed archiviare in formato elettronico un certificato medico contenente una diagnosi (mi riferisco a quelli rilasciati dal pronto soccorso).
Di conseguenza, era sicuramente necessario un intervento risolutivo su un adempimento soggetto a semplificazioni che, se mal interpretate, potevano generare il rischio di pesanti sanzioni, ormai snaturato rispetto al suo reale e condivisibile scopo: – documentare e motivare le scelte operate dal Titolare per garantire la sicurezza del dato, – “costringere” il Titolare ad una attività di miglioramento/mantenimento dei livelli di tutela, imponendo una revisione almeno annuale con una analisi del rischio attraverso la quale individuare e definire, ove necessario, di una serie di interventi utili o necessari (da qui il termine “programmatico”).
Quello che mi sento di contestare sono, invece, la natura dellintervento (abolizione secca del DPS, messo al rogo con tutto ciò che lo riguarda), la sede dellintervento e lemotività dimostrata dal legislatore, che sembra non rendersi conto di ridurre con i suoi continui e scoordinati interventi la già scarsa sensibilità verso certi argomenti e, con essa, le tutele riservate al cittadino. Sarebbe bastato, ad esempio, maggiore attenzione nella modifica dellart. 34 e limitarsi a sostituire i punti 19 e 26 rispettivamente con:
– la definizione di un circostanziato obbligo di formazione per gli incaricati,
– lobbligo per tutti i titolari di riferire nella relazione accompagnatoria al bilancio (se dovuta) dellavvenuta adozione/mantenimento delle misure minime di sicurezza previste dal Disciplinare tecnico in allegato B al D. Lgs. 196/2003.
Da cittadino, interessato e security manager mi chiedo secondo quali logiche il livello minimo di sicurezza richiesto dalla normativa venga costantemente abbassato nonostante il moltiplicarsi e levoluzione delle minacce e degli attacchi a cui i nostri dati sono costantemente esposti. Tutto questo quando è già pubblicata allindirizzo http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf la proposta di testo del nuovo Regolamento Ue che a breve andrà a sostituire la Direttiva 95/46/CE modificando la normativa e che, tra i molti nuovi elementi che introduce: – al comma 1 dellArt. 22 recita [traduzione non ufficiale del testo pubblicato] – allart. 28 Documentation impone solo ad alcuni titolari, che individua in base a fattori dimensionali (più di 250 dipendenti) tra cui sono compresi coloro che erano sicuramente tenuti sino a ieri a redigere il DPS, la tenuta di precisa documentazione che, per dare unidea, comprende contenuti ora previsti per la notificazione ex art. 37 D. Lgs. 196/2003 e per il D.P.S. appena abrogato. (che beffa)
N.B.: Secondo il testo dellart. 91 del nuovo regolamento UE ad ora disponibile al link sopra riportato, che potrebbe essere modificato, il regolamento sarà immediatamente esecutivo, non necessitando di recepimento da parte degli Stati membri, 20 giorni dopo la sua pubblicazione sul Official Journal of the European Union e dovrà essere applicato entro i successivi due anni. Detto ciò per ora cambia veramente poco: Il Documento Programmatico sulla Sicurezza è stato abolito, ma tutto il resto
resta (perdonatemi il gioco di parole), tra cui:
– le altre misure minime di sicurezza, che a titolo meramente esplicativo ricordo in una tabella allegata al presente articolo
– lart. 31 (le misure idonee a proteggere il dato, in assenza delle quali si rischia di dover risarcire un danno anche morale agli interessati)
– informativa, consenso, rispetto dei diritti dellinteressato e pronto riscontro alle sue richieste
– notificazione al Garante ex art. 37 D. Lgs. 196/2003
– rispondere alle richieste del Garante
– i provvedimenti a carattere generale del Garante in tema di amministratori di sistema, sistemi di videosorveglianza, non recuperabilità dei dati da supporti per la memorizzazione, etc.
Anche in assenza del D.P.S. resterà ancora lesigenza di documentare lavvenuto adempimento agli obblighi imposti dalla normativa e tale esigenza sarà più o meno sentita in funzione delle dimensioni dellAzienda, della complessità della sua struttura organizzativa, della natura delle sue attività e, soprattutto, dei trattamenti di dati personali di cui è Titolare. A tal proposito Ritengo che:
1. le Aziende che “delegano” a soggetti esterni fasi del trattamento di cui sono Titolari, continueranno a chiedere garanzie circa l’adempimento agli obblighi, se non altro per una corretta gestione delle responsabilità;
2. le aziende che erogano servizi che comportano lo svolgimento di trattamenti di dati personali per conto terzi e che vengono nominate Responsabili ex art. 29 avranno la necessità di effettuare e sostenere dichiarazioni di avvenuto adempimento;
3. una analisi dei rischi ben fatta e periodicamente aggiornata resta lunico elemento utile per dimostrare di aver adottato misure di sicurezza idonee nel tentativo di rispondere ad eventuali richieste di risarcimento danni.
4. tranne che per alcune micro aziende, il corretto adempimento a certi obblighi (informativa, rispetto dei principi di pertinenza e non eccedenza, anche nellassegnazione degli incarichi, individuazione e designazione degli incaricati, etc.) non potrà prescindere dallesistenza di specifiche procedure e documentazione che consentano di tracciare e controllare i trattamenti effettuati ed i conseguenti obblighi.
Infine non scordiamo che esistono ancora molti adempimenti che devono obbligatoriamente trovare traccia scritta e che sino a ieri venivano abitualmente (a volte senza la dovuta attenzione) inquadrati nel D.P.S., come ad esempio lelenco degli amministratori di sistema previsto dal Provvedimento a carattere generale del 27/11/2008 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema o le istruzioni scritte e la lista degli incaricati previste dal punto 27 del Disciplinare tecnico (obblighi a cui, per completezza di informazione non sono soggetti, i titolari che possono avvalersi delle misure minime semplificate) Concludo larticolo esponendo ciò che farò io dopo labrogazione del D.P.S.:
– eliminerò la scadenza del 31/03 ma manterrò gli aggiornamenti (che devono essere effettuati sempre anticipatamente rispetto ad ogni variazione determinante) a documentazione e procedure contenute in un documento che non si chiamerà più Documento programmatico sulla sicurezza, anche in considerazione di quanto sopra anticipato circa il nuovo Regolamento UE;
– ovviamente eliminerò la dichiarazione dalla relazione accompagnatoria al Bilancio, considerando, però, che i sindaci revisori potrebbero ancora fare qualche richiesta nellambito delle attività di controllo di loro competenza;
– conserverò i vecchi D.P.S. per pormi in condizioni di dimostrare la veridicità delle dichiarazioni già inserite nelle relazioni accompagnatorie al bilancio desercizio;
– continuerò a prevedere programmi di formazione degli incaricati trattandosi di una attività NECESSARIA a garantire correttezza del trattamento, applicazione delle misure di sicurezza ed un corretto processo di gestione/delega verso gli incaricati delle responsabilità relative alla tutela del dato e considerando che sussiste ancora lobbligo di rendere istruzioni agli incaricati su vari argomenti; – continuerò a redigere una particolareggiata analisi dei rischi, soprattutto per quei contesti in cui sia necessario dimostrare l’idoneità delle misure di sicurezza.
Autore: Riccardo Martina
Lart. 45 del D.L. 9/2/2012 n.5 Disposizioni urgenti in materia di semplificazione e di sviluppo ha abrogato il Documento Programmatico sulla Sicurezza (DPS). È difficile per un consulente affrontare questo argomento senza apparire come colui che vuole mantenersi il lavoro, di conseguenza, prima di ricordare le cose che dovranno ancora essere fatte, farò qualche accenno circa la tormentata storia del DPS e spiegherò perché era necessario un intervento radicale su questobbligo, non per la sua inutilità, come rappresentato dal Governo, ma per linvoluzione che aveva subito e che lo aveva ridotto ad un adempimento mal imposto e, nella maggior parte dei casi, mal interpretato e mal applicato.
Il documento programmatico sulla sicurezza appare per la prima volta nel D.P.R. 318/99, secondo il quale il Titolare che trattava dati personali sensibili o giudiziari su elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico doveva redigere un documento programmatico sulla sicurezza. La prima scadenza per tale adempimento fu il 31 marzo 2000 (entrata in vigore del citato D.P.R.), data che per continuità è rimasta fino ad ora lo spauracchio di molte Aziende.
Nella sua prima forma il DPS costituiva un documento estremamente utile poiché era imposto dichiaratamente per definire, sulla base dell’analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento [Art. 6. D.P.R. 318/99] misure di sicurezza e programmi di formazione appropriati. Il primo colpo al senso del DPS fu dato dal D. Lgs. 196/2003 che ne snaturò lo scopo principale (definire le misure di sicurezza) ed aggiunse dei contenuti, conferendo al D.P.S. il taglio di un documento più probatorio che programmatico: il DPS non era più redatto per definire ma doveva contenere idonee informazioni , inoltre lobbligo scattava nel caso di trattamenti di dati sensibili o giudiziari effettuati su qualsiasi strumento elettronico.
Sempre il disciplinare tecnico in All. B al D. lgs. 196/2003 introdusse unaltra misura di garanzia consistente nellobbligo di riferire nella relazione accompagnatoria al bilancio desercizio dellavvenuta redazione o aggiornamento del DPS, così i sindaci revisori iniziarono a chiedere in visione il famigerato documento e molte Aziende improvvisamente scoprirono che esisteva una normativa sulla tutela dei dati personali, purtroppo identificandola frequentemente solo con il DPS, cosa che avviene ancora oggi. Poiché troppo spesso le normative vengono interpretate ed applicate non in ragione del loro scopo, ma solo in proporzione al rischio di controllo/sanzione, dando conseguentemente preminenza agli aspetti più burocratici, il mercato ha generato le più disparate soluzioni: da documenti barocchi, ingestibili ed estremamente onerosi, a soluzioni al limite dellinsufficiente, il tutto condito con elementi inventati, come linesistente obbligo della data certa; tutto questo nonostante il Garante avesse pubblicato nel giugno 2004 una guida anche troppo semplice.
Così il D.P.S. è stato percepito nella stragrande maggioranza dei casi come lennesimo documento oneroso ed inutile, redatto solamente allo scopo di evitare sanzioni. Essenzialmente per questo motivo, passato qualche anno, lambiente politico ha recepito i malumori dellambiente imprenditoriale ed è intervenuto a più riprese:
1. la prima volta con lart. 29 del D.L. 25/06/2008, n. 112, (conv., con mod., con l. 6 agosto 2008) che abolì lobbligo in parola per soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale [art. 34 comma 1bis], sostituendolo però con l’obbligo di una autocertificazione redatta dal Titolare; peccato che si trattasse di una autocertificazione particolarmente pesante, penalmente rilevante e sostenibile solo a seguito di una attenta e dettagliata indagine interna e mantenendo un elevatissimo livello di attenzione;
2. Ottemperando a quanto previsto dal 34-comma 1bis introdotto dal citato D.L., il Garante con proprio provvedimento del 27/11/2008, instaurò una modalità semplificata di compilazione del DPS riducendone i contenuti ed annullandone lobbligo di periodico aggiornamento entro il 31/03 (che doveva essere effettuato solo in caso di variazioni); questa possibilità era offerta ai soggetti indicati nel comma 1bis dellart.34 ed ai titolari che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare liberi professionisti, artigiani e piccole e medie imprese; per inciso le modalità semplificate per adottare le misure minime di sicurezza previste da questo provvedimento non riguardano solamente il D.P.S. e, a rigor di logica, dovrebbero restare applicabili nonostante esse siano individuate ai sensi dell’art. 34, comma 1-bis, del Codice ora abrogato, che conferiva al Garante anche il compito di aggiornarle periodicamente; sarebbe auspicabile un chiarimento che metta al sicuro da contestazioni basate su questa plausibile incertezza;
3. infine il Decreto del 13 /05/ 2011, n. 70 recante “Semestre Europeo. Prime disposizioni urgenti per l’economia” è tornato sullargomento perfezionando alcuni elementi dellart. 34 ed aggiungendo una definizione di correnti finalità amministrativo-contabili che indica meglio, ma non ancora nettamente, i casi in cui sia possibile avvalersi delle modalità semplificate previste dal Provvedimento del Garante del 27/11/2008.
Si è sempre trattato di interventi di semplificazione imperfetti poiché, non tenendo conto della ampiezza della definizione di dato sensibile trattato con uno strumento elettronico, sono legati a fattori che impongono al Titolare che vuole avvalersi delle semplificazioni un elevatissimo livello di attenzione ed un monitoraggio continuo e capillare dei trattamenti per evitare di vedersi contestare la veridicità delle autocertificazioni o la sussistenza dei requisiti che consentono di avvalersi delle misure minime semplificate: basterebbe archiviare una e-mail contenente un dato personale sensibile relativo ad un candidato o ricevere ed archiviare in formato elettronico un certificato medico contenente una diagnosi (mi riferisco a quelli rilasciati dal pronto soccorso).
Di conseguenza, era sicuramente necessario un intervento risolutivo su un adempimento soggetto a semplificazioni che, se mal interpretate, potevano generare il rischio di pesanti sanzioni, ormai snaturato rispetto al suo reale e condivisibile scopo: – documentare e motivare le scelte operate dal Titolare per garantire la sicurezza del dato, – “costringere” il Titolare ad una attività di miglioramento/mantenimento dei livelli di tutela, imponendo una revisione almeno annuale con una analisi del rischio attraverso la quale individuare e definire, ove necessario, di una serie di interventi utili o necessari (da qui il termine “programmatico”).
Quello che mi sento di contestare sono, invece, la natura dellintervento (abolizione secca del DPS, messo al rogo con tutto ciò che lo riguarda), la sede dellintervento e lemotività dimostrata dal legislatore, che sembra non rendersi conto di ridurre con i suoi continui e scoordinati interventi la già scarsa sensibilità verso certi argomenti e, con essa, le tutele riservate al cittadino. Sarebbe bastato, ad esempio, maggiore attenzione nella modifica dellart. 34 e limitarsi a sostituire i punti 19 e 26 rispettivamente con:
– la definizione di un circostanziato obbligo di formazione per gli incaricati,
– lobbligo per tutti i titolari di riferire nella relazione accompagnatoria al bilancio (se dovuta) dellavvenuta adozione/mantenimento delle misure minime di sicurezza previste dal Disciplinare tecnico in allegato B al D. Lgs. 196/2003.
Da cittadino, interessato e security manager mi chiedo secondo quali logiche il livello minimo di sicurezza richiesto dalla normativa venga costantemente abbassato nonostante il moltiplicarsi e levoluzione delle minacce e degli attacchi a cui i nostri dati sono costantemente esposti. Tutto questo quando è già pubblicata allindirizzo http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf la proposta di testo del nuovo Regolamento Ueche a breve andrà a sostituire la Direttiva 95/46/CE modificando la normativa e che, tra i molti nuovi elementi che introduce: – al comma 1 dellArt. 22 re cita [traduzione non ufficiale del testo pubblicato] – allart. 28 Documentation impone solo ad alcuni titolari, che individua in base a fattori dimensionali (più di 250 dipendenti) tra cui sono compresi coloro che erano sicuramente tenuti sino a ieri a redigere il DPS, la tenuta di precisa documentazione che, per dare unidea, comprende contenuti ora previsti per la notificazione ex art. 37 D. Lgs. 196/2003 e per il D.P.S. appena abrogato. (che beffa)
Autore: Riccardo Martina