Modifiche al Codice della privacy: niente più DPS!
Con il Decreto Legge n. 5 del 9 febbraio 2012 (il c.d. Decreto “semplificazioni e sviluppo”), all’art. 45, il Governo Monti ha abrogato la lettera g) del comma 1 dell’articolo 44 del D.Lgs 196/2003 e s.m.i. (il c.d. “Codice della Privacy”), eliminando di fatto la necessità di redazione (od aggiornamento) del Documento Programmatico sulla Sicurezza (D.P.S.) da parte di tutti i tipi di imprese e liberi professionisti, indipendentemente dal tipo di dati trattati.
Premesso che si tratta di un Decreto Legge e, come tale, dovrà essere convertito in legge entro 60 giorni altrimenti decadrà automaticamente e la sua conversione in legge potrebbe avvenire con modifiche, si precisa quanto segue.
La soppressione dell’onere di redigere ed aggiornare il DPS entro il 31 marzo di ogni anno non abroga tutti gli altri adempimenti della privacy e l’applicazione stessa della legge. Ricordiamo che gli adempimenti ed il campo di applicazione della legge sulla privacy erano già stati ridotti con i provvedimenti emanati dal precedente Governo per le organizzazioni che non trattano dati sensibili eccetto i dati sensibili relativi ai propri dipendenti (e loro familiari) e trattano esclusivamente dati di persone giuridiche per scopi amministrativo-contabili.
Le statistiche, messe a disposizione dalla stessa Autorità dimostrano chiaramente che le multe per omessa redazione del DPS sono una percentuale numericamente minore rispetto alle altre casistiche rilevate nel corso delle ispezioni del nucleo Privacy della Guardia di Finanza. La sostanza della normativa privacy non è di fatto cambiata con l’abolizione del DPS e rimangono le stesse misure di sicurezza obbligatorie (ad es. attuazione delle misure minime di sicurezza, nomina incaricati e responsabili del trattamento di dati, ecc.) ed i provvedimenti del Garante che hanno effetto di legge (ad es. quello generale sulla videosorveglianza, quello sugli amministratori di sistema, le linee guida del Garante per posta elettronica e internet nei luoghi di lavoro) che, come atti di natura prescrittiva, se non rispettati espongono i contravventori a pesanti sanzioni.
In attesa del nuovo Regolamento europeo sulla protezione dei dati personali, che peraltro ci imporrà a breve di tornare a regole più rigide e sanzioni severe, la semplificazione attuata dal Governo, che risparmia alle imprese finora tenute l’incombenza del DPS, presenta però anche l’altra faccia della medaglia, cioè quello di essere indotti ad abolire completamente la gestione della privacy in azienda, con il potenziale rischio di rimanere “scottati” al primo imprevisto (verifiche del nucleo privacy della GdF, denunce al Garante da parte di potenziali soggetti danneggiati, perdita della sicurezza delle informazioni). La stesura del DPS, tra l’altro, era ritenuto erroneamente da molte organizzazioni una sorta di adeguamento normativo omnicomprensivo sul tema della privacy, mentre invece le dichiarazioni riportate nel DPS non hanno alcun valore se poi non sono messe in pratica.
Per questo, se un’azienda decide di continuare a redigere un disciplinare interno sulla privacy dove elencare le misure di sicurezza in essere, tutti gli interventi effettuati e la previsione di quelli da effettuare, farebbe una scelta opportuna per la gestione dei potenziali rischi derivanti dal trattamento dei dati personali.
Se il DPS non dava valore aggiunto a quelle organizzazioni, soprattutto di piccole dimensioni, che lo vedevano solo come un inutile costo è giusto sopprimerlo, a condizione che la privacy sia gestita correttamente in azienda. Allora piuttosto che sottostare al rigido schema del DPS sarebbe più utile spostare i contenuti importanti del DPS in altri documenti aziendali quali procedure, istruzioni, organigrammi e mansionari, piani di formazione, ecc..
Certamente gli obblighi della privacy – realmente abolita in toto dal precedente Governo per quelle organizzazioni che non trattano dati sensibili o giudiziari eccetto che quelli dei propri dipendenti e trattano unicamente dati di persone giuridiche per adempimenti amministrativo-contabili – potevano indurre alcune organizzazione a proteggere meglio tutte le informazioni gestite, non solo quelle dei propri clienti, fornitori e dipendenti o soggetti terzi. Oggi, infatti, è importante che le imprese capiscano l’importanza delle informazioni da esse memorizzate negli archivi cartacei e nei sistemi informatici.
Senza avere la sicurezza dei dati le organizzazioni di tutti i tipi possono subire gravi danni, sia intermini economici, sia di immagine nei confronti dei clienti e della collettività. Dove per sicurezza dei dati intendo essere adeguatamente garantiti che:
- I dati sono mantenuti adeguatamente riservati, cioè non sono conosciuti da chi, se li sapesse, potrebbe crearci qualche problema (ad es. dati commerciali, offerte, progetti di prodotti noti a concorrenti);
- I dati sono integri, ovvero i dati che noi leggiamo nei sistemi informatici e nei documenti sono aggiornati, corretti e non sono stati alterati (ad es. dati di produzione o di vendita inesatti), dunque non possono portare a decisioni sbagliate);
- I dati sono disponibili, cioè li possiamo consultare ed utilizzare quando ne abbiamo bisogno per lavorare (ad es. documenti e dati necessari per preparare un’offerta quando sta per scadere il termine, dati in input a processi produttivi interni o necessari per svolgere un servizio).
Poiché la privacy e la sicurezza delle informazioni prevede regole che servono a minimizzare i rischi potenziali di subire danni (incorrere in sanzioni, perdere dati, far conoscere dati riservati a chi non li dovrebbe conoscere, ecc.) occorre anzitutto effettuare un’adeguata valutazione dei rischi, cosa che – in generale – ben poche imprese fanno, anche su altre tematiche.
Poi si può discutere se sia giusto abolire il DPS per “semplificare” la vita delle imprese, molte delle quali se la sono già abbastanza semplificata non curandosi di tante regole. Per quelli che sono stati finora scrupolosi ed osservanti delle leggi e lo hanno sempre redatto ed aggiornato è un po’ una beffa favorire tutte quelle imprese che hanno finora trascurato la redazione del DPS in questi anni. Assomiglia un po’ ad un condono fiscale o edilizio. Visto, però, che coloro che non hanno redatto il DPS finora probabilmente hanno trascurato anche altri adempimenti della privacy, il loro profilo di rischio non cambia. In sostanza non è il DPS che fa la privacy.
Non essendo più necessario redigere e, soprattutto, aggiornare il DPS a cadenza annuale, le organizzazioni che trattano dati sensibili o giudiziari di persone fisiche (clienti e fornitori) dovranno comunque continuare ad osservare alcune regole che non dovranno più essere documentate nel DPS, tra cui:
- Nominare gli incaricati al trattamento dei dati personali (dipendenti o collaboratori);
- Nominare i responsabili esterni al trattamento di dati personali (ad es. consulenti del lavoro, commercialisti, avvocati, tecnici incaricati dell’assistenza sui sistemi informatici,…);
- Nominare gli Amministratori di Sistema e verificarne periodicamente l’operato;
- Attuare idonee misure di sicurezza per la protezione dei dati (controllo degli accessi ai sistemi informatici, impiego di antimalware e firewall, effettuazione di backup dei dati informatici, ecc.);
- Rispettare le regole per la videosorveglianza;
- Verificare almeno annualmente la sussistenza dei profili di autenticazione;
- Ecc.
In questo nuovo scenario chi farà la verifica dell’osservanza delle prescrizioni stabilite dal Garante della Privacy e dalle procedure interne che la legge pone in capo al Titolare del Trattamento o al Responsabile del Trattamento dei dati? E la verifica del comportamento degli Amministratori di Sistema?
Tali verifiche possono avvenire, in modo ottimale, attraverso un vero e proprio audit indipendente di un soggetto esterno – e quindi non coinvolto nella realtà aziendale – competente in materia.
L’audit sulla privacy dovrebbe basarsi sul controllo di informazioni contenute nel DPS e documenti interni che finora erano raccolti insieme al DPS stesso (elenco trattamenti dati personali, elenco incaricati al trattamento con relativi compiti e responsabilità, lettere di nomina incaricati e responsabili al trattamento, descrizione delle misure di protezione dei sistemi informatici, istruzioni al personale, ecc..), interviste al personale e verifica di attuazione delle misure di sicurezza delle informazioni, sia fisiche che logiche. Tale verifica deve per forza di cosa svolgersi attraverso un sopralluogo presso i luoghi dove vengono trattati dati personali (visione dei sistemi informatici e della loro ubicazione, verifica della disposizione di eventuali telecamere di videosorveglianza, archiviazione sicura dei documenti, ecc.).
Il risultato della verifica, per essere efficacemente preso in carico dai responsabili dell’organizzazione titolare del trattamento, deve essere documentato in un idoneo rapporto di audit che evidenzi le e ventuali carenze (vere e proprie non conformità rispetto alla legge), le osservazioni od opportunità di miglioramento dell’approccio alla sicurezza dei dati e le azioni correttive da intraprendere per soddisfare tutte le prescrizioni vigenti per la privacy. Tale rapporto potrà poi essere utilizzato nella verifica successiva per valutare l’efficacia delle azioni intraprese.