Il DPS è abolito ma restano le incombenze

di Valentina Frediani, Studio legale Frediani

A distanza di qualche mese dalla soppressione degli obblighi legati all’adozione del documento programmatico di sicurezza, approvata dal Parlamento con il D.L. n.5 del 09.02.2012, sono in molti coloro che si domandano se il tanto discusso DPS avesse o meno una qualche ragion d’essere. In verità, in un periodo in cui il progresso in campo informatico ha compiuto passi da giganti, il DPS ha giocato un ruolo preziosissimo, almeno fino a quando non si è trasformato in un documento ingestibile e, snaturato nella sua essenza, non è stato considerato un ingombrante faldone di centinaia di pagine, a discapito dei suoi contenuti.

È comunque innegabile che il DPS abbia rappresentato un valido strumento in mano al Titolare per dimostrare alle Autorità, in caso di controlli, impegno e sensibilità all’applicazione delle misure previste dalla normativa. Con la sua abolizione aziende e professionisti – tutt’altro che esenti da ulteriori controlli - sono infatti obbligati a prestare ancora più attenzione all’effettiva applicazione dell’art. 34, ormai orfano del documento programmatico di sicurezza. Nonostante venga meno una delle incombenze, l’art. 34 resta integralmente applicabile e i titolari del trattamento dovranno provvedere a predisporre una serie di dati e procedure secondo quanto previsto dal testo del cosiddetto Decreto Monti, a partire dall’autenticazione informatica. Fondamentali anche l’adozione di procedure di gestione delle credenziali di autenticazione e l’utilizzazione di un sistema di autorizzazione, oltre all’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici. I titolari del trattamento, inoltre, dovranno garantire la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici, e l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Compito del Responsabile sarà, infine, la redazione di un documento che attesti al Titolare l’adempimento corretto e coerente delle misure adottate.

Il Responsabile sicurezza informatica

Alla luce di quanto appena detto, dunque, si intuisce il ruolo centrale ricoperto dal Responsabile della sicurezza informatica. Se in passato, infatti, il documento programmatico di sicurezza era un testo che tutti i Responsabili o direttamente il Titolare dovevano sottoscrivere unitamente, secondo la nuova normativa è invece compito del Responsabile della sicurezza informatica attestare la sussistenza delle misure di cui all’art. 34 ed all’Allegato B. In questo quadro si rivela fondamentale il lavoro dei consulenti informatici, figure professionali in grado di offrire soluzioni adeguate e risposte concrete all’esigenza di Titolari o Responsabili di adeguare le misure all’interno dei loro contratti. L’eccessiva valorizzazione del DPS ha avuto come diretta conseguenza l’abbandono di diverse misure imposte dal Codice privacy e dall’Allegato B. A conferma di quanto detto, basti pensare a quanto disposto al punto 25: “Il Titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico”. Praticamente impossibile riscontrare la predetta descrizione all’interno di un’azienda o di uno studio. Senza contare il fatto che essa riveste un ruolo di relazione di conformità dal punto di vista giuridico, dal momento che il Titolare non possiede le conoscenze informatiche del soggetto di cui si avvale.

Svincolate dal DPS, nomine e informative riacquistano una propria identità. Secondo quanto stabilito dal Codice sussiste l’obbligo di aggiornamento in merito a questi documenti in caso di modifiche normative o provvedimenti. Ciò significa che l’analisi in materia di privacy rende necessaria la definizione dei ruoli e dei rispettivi trattamenti: rispetto al passato, tuttavia, essi sono incentrati sulla redazione di atti formalizzanti l’autorizzazione alla gestione dei dati – con indicazione delle modalità da adottare – nonché sulla redazione delle informative da rilasciare ex art.13 agli interessati. Alla luce di quanto detto, è chiaro dunque che sono le nomine gli aspetti di maggior interesse, vale a dire quelli che acquisiscono un valore quasi “contrattuale” se paragonati all’effettiva tutela dei dati. La formazione, nonostante sia stata depennata dal punto 19 dell’Allegato B, continua a rivestire un ruolo centrale, unico strumento che il Titolare possiede per dimostrare di aver messo concretamente in condizione l’incaricato di adempiere ai doveri previsti dalla nomina anche attraverso una formazione effettiva. La domanda che viene da porsi è se il DPS sia stato effettivamente abolito. In realtà è risaputo che strutture particolarmente articolate difficilmente possono farne a meno, essendo la stessa vastità dei trattamenti effettuati ad esigere la redazione di un documento organizzativo. Per quanto riguarda la normativa 231 ad esempio, il DPS può infatti essere interpretato come uno strumento in grado di contribuire alla prevenzione dei reati di trattamento illecito dati.