Non chiamiamolo più DPS, ma magari Manuale del Responsabile del trattamento dei dati!

News 02/02/2012

di avv. Graziano Garrisi, Vicecoordinatore ABIRT - Digital & Law Department, Studio legale Lisi

La notizia era nell'aria e puntualmente si è concretizzata quando la manovra Monti ha posto in essere l'ultimo atto delle semplificazioni anche in materia di privacy. Con l'ultimo D.L. contenente il pacchetto sulle semplificazioni, infatti, viene meno oramai definitivamente l'adempimento tanto odiato dalle imprese ovvero quello relativo alla predisposizione e all'aggiornamento del Documento Programmatico sulla Sicurezza (art. 34, comma 1, lett. g).
Da gran parte delle piccole e medie imprese tale adempimento era considerato come una mera formalità e, soprattutto, come un onere burocratico che secondo molti non si rifletteva in alcun vantaggio per la stessa impresa. D'altronde - e giustamente - chi non trattava dati particolarmente delicati e aveva un'organizzazione di ridotte dimensioni non avvertiva la necessità di adempiere a questo obbligo normativo che, è giusto ricordarlo, poteva essere fonte di pesanti responsabilità penali e amministrative in capo al titolare del trattamento.
Ciò che lascia veramente di stucco, tuttavia, è l'intenzione proclamata dal Governo di abolire e mandare in pensione il DPS solo per risparmiare sui costi della carta. Ha un senso, infatti, parlare di risparmio economico eliminando questo documento cartaceo? D'altronde, se la spinta del Governo in questi ultimi anni è stata indirizzata verso la completa digitalizzazione dell'agire pubblico e privato e dal momento che esistono e hanno piena efficacia giuridica i documenti informatici creati e conservati secondo precise accortezze tecniche, ci si chiede perché non decidere semplicemente di dematerializzare anche il DPS così come si è già fatto, per esempio, per i certificati on line o per le istanze alla PA. Non sarebbe stato sufficiente riferire ex lege che il DPS dovesse essere un documento informatico con firma digitale?
A prescindere da queste prime considerazioni, è importante valutare le conseguenze a livello organizzativo che tutti i titolari del trattamento dovranno affrontare nel corso dei prossimi mesi, se questo articolo verrà davvero confermato nella legge di conversione del DL.
Nonostante questa riforma, infatti, molto probabilmente il DPS non scomparirà del tutto da quelle aziende che sono molto attente alla sicurezza e alla tutela dei propri dati personali: a ben guardare, infatti, l'adempimento a tutte le prescrizioni contenute nell'art. 34 del d.lgs. 196/2003 e del relativo Allegato B rimane ancora obbligatorio. Si tratta, in particolare, delle seguenti misure minime di sicurezza:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti e determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Ognuna di queste misure, non più descritta all'interno di un documento unico che le racchiuda, dovrà essere regolata con una specifica policy interna, potenziando tutti quegli adempimenti come informative, nomine di incaricati e responsabili interni o esterni (anche contrattualizzate con clausole privacy ad hoc), regolamenti privacy su posta elettronica e internet, nonché tutta l'attività di information security svolta dalla funzione IT aziendale che si occupa dei piani di sicurezza informatica, e che dovrà attestare e documentare di aver adottato tutte le procedure di sicurezza idonee per prevenire il rischio che incombe sui dati trattati.
Resta ferma l'opportunità, in determinati casi e per chi è particolarmente attento alla gestione della sicurezza aziendale, di adottare un modello organizzativo 231 (anch'esso facoltativo, ma assolutamente opportuno) per prevenire non solo il rischio del reato di trattamento illecito dei dati personali ma, in verità, per prevenire il compimento di tutti i crimini informatici, proprio attraverso una accurata e documentata politica di sicurezza informatica e, più in particolare, attraverso l'adozione di un Manuale sulla Sicurezza (in sostituzione del DPS) a disposizione del responsabile del trattamento o IT. La redazione di tale documento, quindi, diventerà un adempimento non più formale e poco concreto ma, insieme alle altre policy sulla sicurezza, potrà da un lato esentare l'azienda o l'ente pubblico da eventuali responsabilità in caso di evento dannoso (es. per l'applicazione del famoso art. 2050 c.c.) e, dall'altro, potrà essere di aiuto all'organizzazione per gestire meglio i processi di sicurezza interna e preservare il dato e l'informazione da perdita, distruzione, accessi non autorizzati, etc.
Pertanto, nel caso di trattamento di dati particolarmente delicati e di strutture organizzative complesse difficilmente si potrà prescindere dall'adottare un documento molto simile al vecchio DPS, ma più concreto e puntuale dello stesso.
Un documento di sintesi e allo stesso tempo modello organizzativo che pianifichi anche il monitoraggio e la verifica delle misure di sicurezza adottate è, infatti, fortemente consigliato così come lo è stato il Manuale della Conservazione (prima che diventasse obbligatorio) nel documentare i processi di conservazione digitale e le relative politiche organizzative e di sicurezza. D'altronde, è oramai pacifico che non ci può essere digitalizzazione documentale senza privacy.
Poiché il vecchio DPS altro non era che un riassunto di tutti questi adempimenti, redigere e aggiornare un documento simile potrà essere comunque di aiuto al titolare, al responsabile o all'intero reparto IT di un'azienda (ovvero al "data protection officer", così come teorizzato a livello europeo per le realtà con più di 50 dipendenti) anche nell'eventualità di controlli da parte dell'Autorità Garante Privacy o della Guardia di Finanza sull'adeguamento alle restanti misure di sicurezza a cui il titolare è ancora tenuto.
Il rischio è che tolto il DPS, se non viene redatto un manuale sulla sicurezza che riassuma e descriva tutti gli adempimenti realizzati, si abbiano una serie di policy (sulla gestione delle procedure di autorizzazione e accesso ai dati, back up e disaster recovery, etc.) e nomine interne del tutto separate, ognuna dotata di una propria autonomia (con il rischio forse di avere anche più carta da stampare!).
Valutando l'orientamento verso cui ci si sta muovendo a livello legislativo in termini di privacy e sicurezza, sia a livello nazionale sia europeo (con un regolamento di prossima emanazione che sarà direttamente applicabile e uniformerà tutte le normative privacy in ciascuno degli stati membri), non solo emergono dubbi circa la bontà e l'opportunità di tale nuova modifica apportata al Codice Privacy in questo momento storico, ma soprattutto si profila un problema di coordinamento tra norme italiane (e relativi adempimenti) che creerebbe una discordanza, per esempio, con quanto affermato nelle nuove linee guida di DigitPA sul disaster recovery: da una parte, infatti, si indica per le P.A. l'obbligo di redigere piani di disaster recovery e business continuity (art. 50-bis del CAD) altamente sofisticati, mentre dall'altra ci si ostina a semplificare, senza rendersi conto delle necessità di quei settori della digitalizzazione potenzialmente più esposti ai rischi che tale trattamento comporta (si pensi alla digitalizzazione in sanità, al trattamento di dati sensibili, biometrici, etc.). Se vogliamo "risparmiare" digitalizzando, infatti, occorre accettare i costi che la protezione del dato e la sua corretta custodia comportano.
Si spera che il Garante intervenga presto e in maniera autorevole con un provvedimento (che sarebbe in questo momento più che giustificato) che chiarisca i contorni degli obblighi e degli adempimenti in materia di tenuta della documentazione privacy, magari individuando la redazione di un aggiornato documento (DPS o Manuale del Responsabile del trattamento a seconda di come lo si voglia chiamare) quale misura necessaria ai sensi dell'art. 154 comma 1 lett. c) e d) ad attestare le proprie politiche privacy interne (quanto meno per certe tipologie di società o per le pubbliche amministrazioni). Oppure, rimane auspicabile che il Parlamento in sede di conversione della norma specifichi le particolari tipologie di titolari per i quali rimane più che opportuna l'adozione di una aggiornata e accurata documentazione delle politiche di sicurezza informatica adottate (se proprio vogliamo eliminare il DPS). Nell'attesa, in ogni caso, poiché il 31 marzo 2012 si avvicina, si consiglia vivamente di mantenere e aggiornare il vecchio DPS redatto nello scorso marzo 2011 per non trovarsi di fronte a problematiche da gestire in fretta e con poca attenzione.
Come già specificato sopra, a nostro avviso un documento con contenuti simili al DPS verrà comunque redatto da quelle aziende virtuose che sono attente alle politiche di sicurezza del dato e hanno adottato le misure di sicurezza minime, necessarie e idonee. Inoltre, in capo al titolare del trattamento vige comunque l'obbligo di documentare le scelte fatte all'interno della propria organizzazione, e in fase di ispezione l'assenza di un documento che le possa attestare renderebbe il reperimento delle informazioni necessarie più lungo e complesso. Anche i corsi di formazione seguiti da responsabili e incaricati saranno un valido strumento/presidio per documentare che gli stessi sono in grado di mettere in pratica le istruzioni ricevute dal titolare per garantire un corretto trattamento all'interno della propria organizzazione.
Pertanto, se intendiamo l'adozione di un eventuale manuale sul corretto trattamento dei dati personali come un'applicazione dei principi stabili dall'art. 31 del Codice Privacy, secondo cui i dati personali oggetto di trattamento devono essere custoditi e controllati in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, c'è da scommettere che quest'obbligo sarà considerato non più come una mera formalità, ma come un modello documentale utile e concreto per prevenire i rischi tipici insiti in qualsiasi trattamento elettronico di dati e in qualsiasi processo di gestione elettronica di documenti.
Allora non chiamiamolo più DPS, ma piuttosto manuale sulla sicurezza o manuale del responsabile privacy, perchè gli obblighi di sicurezza rimangono e devono essere provati!