Finalmente ci siamo! La conversione del Decreto Legge n. 5 del 9 febbraio 2012 (c.d. Decreto semplificazioni), avvenuta con la Legge 4 aprile 2012 n. 35, conferma definitivamente la soppressione dell’obbligo – in capo a titolari di trattamento di dati sensibili e giudiziari effettuato mediante strumenti elettronici – di redigere, e quindi di tenere aggiornato, il Documento Programmatico sulla Sicurezza (DPS). Parallelamente e conseguentemente sono state abolite anche le sue forme sostitutive, in termini di Autocertificazione e DPS semplificato.
Cosa succede alla privacy?
L’art. 45 del decreto n. 5/2012, ora convertito in legge, ha infatti soppresso, oltre la lettera g) al comma 1 dell’articolo 34 del Codice Privacy (Decreto Legislativo n. 196 del 30 giugno 2003), anche il comma 1-bis dello stesso articolo – introdotto dalla Legge 6 agosto 2008 n. 133 e successivamente modificato dalla Legge 12 luglio 2011, n. 106 – il quale, oltre a prevedere le ipotesi che permettevano di redigere una semplice Autocertificazione in luogo del DPS, reggeva il Provvedimento del Garante del 27 novembre 2008, disciplinante procedure semplificate, tra cui la stessa struttura del DPS, per i soggetti pubblici e privati che trattano dati per finalità amministrativo-contabile.
Conseguenza di tali soppressioni è stato anche il venir meno del punto 19 dell’Allegato B al Codice, riguardante il termine di redazione e il contenuto del DPS, nonché del successivo punto 26, attinente il riferimento alla redazione del documento nell’eventuale relazione accompagnatoria del bilancio.
Il Decreto “Semplifica Italia” del febbraio 2012 quindi, con un solo colpo di spugna ha rimosso tanto l’adempimento formale originario quanto i successivi provvedimenti volti a semplificarlo, lasciando sopravvivere solo la definizione di finalità amministrativo-contabile di cui al comma 1-ter del citato articolo 34 e introdotta dalla Legge 106/2011.
Definizione, peraltro, già richiamata dall’altro importante Provvedimento del Garante del 19 giugno 2008 (precedente quindi alla sopracitata Legge di agosto 2008) – contenente prescrizioni per soggetti pubblici e privati (soprattutto piccole-medie imprese, professionisti e artigiani) sull’adozione di semplificazioni in materia di informativa e consenso rispetto a trattamenti effettuati per finalità amministrativo-contabile – il quale mantiene pienamente il suo vigore.
In effetti, l’onda del cambiamento era già iniziata nel corso del 2011 con la citata Legge n. 106 di luglio che, oltre ad introdurre ulteriori norme semplificative in tema di Autocertificazione (ad oggi, come detto, abrogate perché non più necessarie), ha aggiunto altre ipotesi di esonero dal consenso, anche in tema di dati sensibili contenuti nei curriculum spontaneamente trasmessi dagli interessati per l’instaurazione di un rapporto di lavoro.
Successivamente, la Legge 22 dicembre 2011, n. 214, ha ulteriormente intaccato la normativa, togliendo spessore ad alcune definizioni che rappresentano le colonne portanti del Codice Privacy: dal concetto di “dato personale” e di “interessato al trattamento” è stato infatti rimosso ogni riferimento a persone giuridiche, enti e associazioni: l’intento è evidenziare che gli unici soggetti meritevoli di norme miranti alla protezione di dati personali, a prescindere quindi dalle finalità del trattamento, sono esclusivamente le persone fisiche.
Da ultimo, la Legge 35/2012, citata in premessa, ha concluso l’opera – non solo consentendo il trattamento dei dati giudiziari anche quando effettuato in attuazione di protocolli di intesa con il Ministero dell’Interno per ragioni di prevenzione e contrasto dei fenomeni di criminalità organizzata – ma anche, come visto all’inizio, abolendo il DPS.
Tale “pulizia” normativa, se da un lato ha risolto diverse questioni interpretative legate alle norme precedenti, dall’altro, come sottolineato anche dall’Autorità Garante, ha reso vulnerabili le categorie di soggetti, in qualità di interessati al trattamento, diverse dalle persone fisiche (persone giuridiche, enti e associazioni), dato che, ad oggi, la complessità dei trattamenti effettuati può facilmente, in determinate realtà, fare da sfondo a finalità impreviste e spesso illecite nell’utilizzo dei dati; peraltro, l’intento di alleggerire, da una parte, l’onerosità per tali soggetti in qualità di titolari del trattamento, non ripaga, dall’altra, l’incombenza sugli stessi di dover comunque rispettare la normativa quando trattano dati di persone fisiche.
Non resta che attendere i cambiamenti in materia di privacy che si stanno profilando a livello internazionale ed europeo, in prospettiva del prossimo Regolamento e della prossima Direttiva cui ogni paese dell’Unione sarà tenuto ad adeguarsi.
Certo, se pensiamo al solo DPS – al di la degli aspetti formali legati alla sua redazione, ai relativi termini, ai contenuti prescritti dall’Allegato B al Codice, al di là del peso burocratico presentato a chi era tenuto a redigerlo e quindi dell’ulteriore opportunità offerta a consulenti attenti, forse e più che altro, agli aspetti di lucro che non al significato vero dell’adempimento – potremmo riconoscere che si trattava di un documento che aveva la sua pratica importanza, una misura di sicurezza utile, solo per il fatto di raccogliere insieme diversi aspetti legati alla protezione dei dati personali, diventando per molti titolari di trattamento un vero e proprio riferimento, soprattutto in un mondo sempre più orientato all’informatizzazione.
Peraltro, a dispetto di quanto indicato nella relazione al Decreto Legge 5/2012, che definisce “meramente superfluo” l’adempimento del DPS in quanto “non realizza un’effettiva tutela della sicurezza dei dati e dei sistemi informatici“, l’Autorità Garante, in occasione del discorso di fine mandato tenuto dal presidente F. Pizzetti, non ha propriamente condiviso la decisione di abolirlo, ritenendo invece che tale documento era “utile a limitare in parte l’eventuale responsabilità per la perdita, la cancellazione o il furto dei dati, consentendo di provare che si era fatto almeno quanto richiesto come misura minima per evitare il verificarsi dell’evento”.
PIU’ SOSTANZA AI CONTROLLI
Cosa succederà ora in sede di controllo da parte delle autorità preposte?
Il DPS, effettivamente, aveva senz’altro lo scopo di illustrare una situazione, in capo al titolare del trattamento obbligato a redigerlo, riguardante la tipologia di dati trattati, gli strumenti utilizzati, le finalità del trattamento nonché l’applicazione delle misure di sicurezza e protezione in relazione a determinati rischi; dava un’idea dell’organigramma e della distribuzione dei compiti fra i soggetti coinvolti, forniva informazioni sui trattamenti affidati a soggetti esterni e sulla formazione data agli incaricati.
Il tutto anche in prospettiva futura (da cui deriva la parola “programmatico”), in un’ottica di miglioramento delle varie situazioni e al fine di rafforzare lo stato di applicazione delle regole da parte del titolare.
E se quanto contenuto nel DPS non avesse corrisposto alla realtà effettiva ?
Vorrà dire che i “controllori” saranno indotti, d’ora in avanti, a mettere da parte le rappresentazioni e i propositi risultanti da un semplice documento e si orienteranno direttamente sugli aspetti concreti, cioè sull’effettiva applicazione delle misure di cui agli articoli 31 e seguenti del Codice Privacy nonché del relativo Allegato B, che descrive la modalità pratica di tale applicazione.
I titolari del trattamento devono quindi ora concentrare maggiormente la loro attenzione sulle seguenti tematiche:
- autenticazione informatica e adozione di procedure di gestione delle credenziali di autenticazione;
- utilizzo di un sistema di autorizzazione;
- aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, fornendo opportune e chiare istruzioni per l’effettiva protezione dei dati;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a programmi informatici dannosi;
- aggiornamento degli strumenti elettronici al fine di prevenirne la loro vulnerabilità e correggerne i difetti;
- adozione di procedure e fornitura di istruzioni per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
- adozione di misure di protezione e ripristino specifiche per i dati sensibili e giudiziari rispetto ad accessi abusivi e fornitura di istruzioni tecniche e organizzative per la custodia e l’uso dei supporti rimovibili contenenti tale tipologia di dati;
- predisposizione e sottoscrizione di attestazioni di conformità da parte di soggetti esterni, rispetto alla struttura del titolare, riguardanti il rispetto delle disposizioni privacy nell’ambito dei loro interventi e/o trattamenti;
- adozione di altre misure finalizzate alla protezione e conservazione dei dati, in caso di utilizzo di strumenti diversi da quelli elettronici.
Da questo elenco si comprende bene che sarebbe comunque utile e opportuno predisporre un documento interno (possiamo anche non chiamarlo più DPS…) che riepiloghi tutti gli aspetti illustrati in modo da attestare che viene rispettato da parte del titolare del trattamento quanto stabilito dal Codice Privacy; chiaro poi, ovviamente, che questi dovrà anche dimostrare di aver messo in pratica ciò che risulta sulla carta.
Saranno soprattutto le grandi realtà, come ad esempio istituti bancari, assicurativi, strutture sanitarie, aziende di telemarketing, ad avere necessità di redigere un documento che somigli sostanzialmente, da un punto di vista contenutistico, all’abolito DPS, in ragione della complessità dei trattamenti nonché della vastità dell’utenza finale, costituita soprattutto da interessati persone fisiche. Certo, non sarà più necessario attenersi ai rigidi schemi imposti dal soppresso punto 19 dell’Allegato B, essendo sufficiente che il documento in questione, eventualmente redatto, racchiuda il principio di prevenire fondamentalmente il reato di trattamento illecito dei dati (come si desume anche dalla normativa della Legge 231/01 sulla responsabilità sociale d’impresa).
MAGGIOR FOCUS PER RESPONSABILE, INFORMATIVE E NOMINE
A ben vedere, dallo stesso elenco sopra riportato risulta palesemente rivalutato il ruolo del Responsabile della sicurezza informatica, il quale, se nelle piccole realtà potrebbe anche coincidere con il titolare del trattamento, nelle realtà più complesse è sicuramente un soggetto (o anche più di uno) avente la qualifica di “amministratore di sistema” e quindi soggetto, fra l’altro, a tutte le prescrizioni contenute nel Provvedimento generale del Garante del 27 novembre 2008.
In effetti, per quanto riguarda i trattamenti di dati effettuati mediante l’utilizzo di strumenti elettronici, ciò che viene riportato nell’Allegato B al Codice Privacy costituisce, guarda caso, prerogativa dei soggetti che svolgono funzioni proprie degli amministratori di sistema e quindi in definitiva dei soggetti responsabili della sicurezza informatica; saranno proprio questi ad accollarsi l’onere di attestare l’adozione e la sussistenza delle misure previste dalla legge e risulteranno quindi più valorizzati altri documenti (ad esempio quello riportante l’elenco degli amministratori di sistema con l’indicazione delle funzioni a loro assegnate, quello relativo alla loro nomina, oppure le attestazioni di conformità, anche su base contrattuale, sul rispetto delle regole in tema di privacy rilasciate da incaricati che effettuano interventi di manutenzione sui sistemi elettronici) che, in presenza del DPS, erano a volte trascurati, altre volte proprio inesistenti.
Ricordiamo, tra l’altro, che il citato Provvedimento del Garante di novembre 2008, contiene importanti prescrizioni di carattere pratico riguardanti l’attività degli amministratori di sistema, in virtù della potenziale facoltà, per questi soggetti, di trattare molteplici dati personali: ci si riferisce, in particolare, all’implementazione, presso la struttura del titolare, di sistemi informatici che forniscono traccia di tutte le operazioni (access log) effettuate dagli amministratori di sistema nell’espletare la propria attività, al fine di consentire al titolare del trattamento un controllo ed una verifica costante sulla correttezza del loro operato.
Anche le nomine dei responsabili del trattamento, se designati, le nomine degli incaricati (a meno che tale nomina non sia inserita nel contratto generale che regola i rapporti con il titolare o derivi da un organigramma o mansionario che specifica, per ogni incaricato, “chi fa cosa”) nonché le informative – con l’eventuale richiesta di consenso all’interessato – acquisiranno, accanto ad una maggiore rilevanza in sede di controllo, una rinnovata identità; documenti, fra l’altro, soggetti ad eventuale aggiornamento derivante da interventi legislativi o nuovi provvedimenti emanati dal Garante.
A questi aspetti non può rimanere estranea la formazione cui devono sottoporsi gli incaricati al trattamento, tanto sotto l’aspetto normativo, quanto sotto l’aspetto tecnico-organizzativo: l’attestazione di aver provveduto o comunque la risultanza che effettivamente sono state attuate attività formative servirà quindi al titolare per dimostrare di aver messo gli incaricati in condizione di rispettare le istruzioni contenute nelle rispettive nomine.
VALORE STORICO DEL DPS
E il DPS redatto entro il 31 marzo 2011?
Nonostante il legislatore non si sia mai pronunciato sulla conservazione del documento in questione, prescrivendo semplicemente che doveva risultarne la predisposizione almeno entro il 31 marzo di ogni anno, possiamo, per l’anno 2012 e nel caso di eventuali controlli, ritenere opportuno conservare il DPS redatto nei termini dell’anno precedente, dimostrando così di essere stati in regola con l’adempimento all’epoca in cui l’obbligo ancora sussisteva.
La conclusione – già fatta trasparire tra le righe precedenti – è comunque che, abolendo il DPS, si è voluto evidentemente dare più risalto agli aspetti concreti riguardanti il rispetto delle misure di protezione dei dati personali, facendo passare in secondo piano i risvolti formali legati ai documenti.
Autore: Michele Viel – Centro Studi CGN