Abrogazione del DPS: obblighi ancora vigenti in materia di privacy

Il testo definitivo del Decreto Monti, in fase di approvazione definitiva da parte del Parlamento, prevede alcune misure di “semplificazione in materia di dati personali” ed in particolare prevede l’eliminazione dell’obbligo di predisporre ed aggiornare il Documento Programmatico sulla Sicurezza (DPS).

Tuttavia ciò non significa cancellare di colpo tutti gli adempimenti finora obbligatori in materia di privacy e tutela dei dati personali, ma solo alleggerire le modalità di osservanza di tali obblighi.

Resteranno infatti in vigore tutte le disposizioni previste dall’art. 34 del Decreto legislativo 30 giugno 2003, n. 196 ovvero:

  • l’autenticazione informatica e l’adozione di procedure di gestione delle credenziali di autenticazione;
  • l’utilizzazione di un sistema di autorizzazione;
  • l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
  • l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Le nomine e le informative acquistano in questa nuova ottica un ruolo ancora più importante in quanto diventano documenti indipendenti fini a se stessi e rappresentano, insieme alla formazione ai Responsabili, la dimostrazione che il Titolare del trattamento  ha individuato le figure addette alla gestione dei dati e ha fornito loro le informazioni indispensabili per adempiere ai doveri indicati nella nomina.

Resta inoltre invariata ad esempio la necessità di prevedere password per l’accesso ai singoli pc e/o al sistema informatico aziendale, la periodica sostituzione di tali credenziali con la relativa procedura di conservazione presso il custode delle parole chiave, l’obbligo di definizione di una procedura di back up dei dati, la definizione di un sistema di ripristino di dati ed informazioni, la nomina di un Amministratore di sistema.

L’abrogazione del DPS quindi non comporta meno obblighi in materia di privacy da parte di un Responsabile: semplicemente limita le “carte” da produrre per dimostrare ciò che comunque si deve continuare a fare.

E’ fondamentale quindi che tale concetto sia efficacemente trasmesso poiché il rischio di tale semplificazione è quello di far credere che non sia più necessario far nulla in tema di protezione dei dati personali. Considerato che poi spesso era proprio la redazione del DPS che metteva in evidenza le carenze e le azioni mai messe effettivamente in atto e che costituiva uno spunto per migliorare il livello di protezione!

Sia chiaro che le semplificazioni documentali sono sempre positive: a patto che si sensibilizzino in modo netto i Titolari del trattamento sui doveri concreti da mettere ancora in atto.

Federica Magnani

Scrivi un commento

Accedi per poter inserire un commento