Cos’è la privacy? Parte seconda – il Documento Programmatico sulla Sicurezza

Cos’è il Documento Programmatico sulla Sicurezza (DPS)?

Qualunque azienda, PA, ente o associazione che sia titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici deve redigere ed aggiornare per iscritto entro il 31 marzo di ogni anno un documento che riporti le misure di sicurezza adottate o che si programma di adottare per la tutela di tali trattamenti.

Chi deve redigere in pratica il DPS?

Il DPS cade sotto la responsabilità del titolare (cioè del legale rappresentante dell’azienda o ente); questi può farsi coadiuvare nella redazione del Documento da un organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art.  34, comma 1, lett. g), del Codice;  regola 19 dell’Allegato B)).

Quando va redatto o aggiornato il DPS?

Annualmente, e non oltre il 31 marzo di ogni anno, l'azienda deve aggiornare il proprio "Documento Programmatico sulla Sicurezza"

Che contenuti deve avere il DPS?

Il DPS deve contenere, al minimo (regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza", del D. Lgs. n.196)  

  • l'elenco dei trattamenti di dati personali;
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
  • l'analisi dei rischi che incombono sui dati;
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (...);
  • la previsione di interventi formativi degli incaricati del trattamento (...);
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare.

Dove posso trovare un facsimile di DPS?

Nel giugno 2004 il Garante per la protezione dei dati personali ha pubblicato  una "Guida operativa per redigere il Documento programmatico sulla sicurezza" che può essere utilizzato come fac-simile. Il fac-simile è disponibile in formato pdf, 232 K, 17 pp.

È obbligatorio utilizzare il fac-simile di DPS del Garante?

No, l'Ufficio del Garante ha posto a disposizione degli operatori una guida per redigere e aggiornare il documento programmatico sulla sicurezza, soprattutto nelle realtà piccole e medie dimensioni. La guida è stata semplificata sulla base dei commenti pervenuti all'esito della consultazione pubblica ed è utilizzabile facoltativamente.

Posso adottare solo le misure minime di sicurezza?

Il Garante rispondendo nel marzo 2004 ad un quesito formulato da Confindustria ("Obblighi di sicurezza e documento programmatico") scrive: “In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui le "misure minime", di importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. 33 del Codice). In materia, come già previsto dalla  legge n. 675/1996, si distinguono due distinti obblighi:
a) l’obbligo più generale di ridurre al minimo determinati rischi. Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Resta in vigore, oltre alle cosiddette "misure minime", l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art. 31).
Come in passato, l’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt.  1 e  7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt.  15 e  152 del Codice);
b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le "misure minime".

Cosa si rischia nel non adottare le "misure minime"?

(Ivi) il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro, e l’eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione del reato).

Il DPS va inviato al Garante?

No, va conservato presso il Titolare (o il Responsabile se nominato).

Il DPS va timbrato da qualche ente? Cos’è la "data certa"?

Scrive il Garante: "Per quanto riguarda le modalità per far risultare una "data certa" si dovrà applicare la disciplina civilistica in materia di prova documentale (v. in particolare, gli artt. 2702-2704 del codice civile) e si potranno tenere presenti i suggerimenti formulati dal Garante in un parere del 2000 qui allegato, e redatto a proposito di un analogo documento previsto in tema di sicurezza (art. 1 l. n. 325/2000). "

Il DPS è una misura minima per chi vi è tenuto?

Sì. Scrive il Garante: "2.1 Anche la redazione del DPS è una "misura minima", prevista dall’Allegato B). Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il DPS e sia parzialmente diverso il suo necessario contenuto. 2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art.  34, comma 1, lett. g), del Codice;  regola 19 dell’Allegato B)). Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico). Inoltre, a differenza del passato, la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato (v.  art. 4 del Codice). Infine, il contenuto stesso del DPS è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Ad esempio, nel DPS occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (regole 19.8 e 24 dell’Allegato B)).

Perché va citato il DPS nella relazione accompagnatoria al bilancio d’esercizio?

Scrive il Garante: "Premesso che le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice), il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato (regola 26 Allegato B)). Anche questa menzione rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia" (regole 25 e 26)."

Ci sono state nel corso del 2007 e 2008 novità normative o provvedimenti del Garante di cui bisogna tener conto nella redazione del DPS?

Un elenco completo dei nuovi provvedimenti è disponibile presso il sito del Garante. In questa sede non possiamo non segnalare

Quali sono gli errori più comuni da evitare nella redazione o aggiornamento del DPS?

Ecco gli errori più comuni da evitare.

1 – Non redigere il DPS

Se in azienda non si effettuano trattamenti di dati sensibili o giudiziari è necessario redigere il "Documento Programmatico sulla Sicurezza"? . Le interpretazioni a riguardo sono varie. Personalmente consiglio a chiunque sia Titolare di un trattamento di dati personali (anche se non sensibili o giudiziari: classificazione già di per sé non sempre pacifica) di redigere il DPS anche perché la mancata adozione delle misure minime di sicurezza, ai sensi dell’art.169, comma 1, del D.Lgs. 196/2003 prevede una sanzione pecuniaria fino a 50.000 euro e l’arresto fino a 2 anni. Per chi volesse approfondire l'argomento consiglio la lettura di "DPS si o DPS no ?" (pdf) di Enrico Larocca.

2 – Non aggiornare il DPS

Sbagliato! Il DPS va redatto anche se non vi sono novità "sostanziali" da riportare rispetto alla precedente edizione.

3 – Aggiornare il DPS indicando "Nessuna variazione"

È  possibile che in azienda nei 12 mesi appena trascorsi non sia accaduto nulla degno di nota per il DPS? Si è tenuto conto delle novità normative in ambito Privacy (vedi: Le novità normative di cui tener conto nel DPS) e più in generale in ambito Compliance (vedi: Privacy e Compliance: di cosa occorre tenere conto nell'aggiornamento del DPS)? In ogni caso è obbligatorio, almeno una volta l'anno, aggiornare l'analisi dei rischi ed il censimento dei trattamenti.

4 – Non comunicare la redazione / aggiornamento al CdA

Ogni anno occorre riportare (allegato B, punto 26) nella relazione accompagnatoria del bilancio d'esercizio dell'avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza.

5 – Non controllare gli allegati

Spesso (e opportunamente) il DPS è formato da un corpus principale e da una serie, spesso voluminosa, di allegati. Ricordiamoci di verificare che anche gli allegati siano aggiornati (ovviamente dove è opportuno).

6 – Non aggiornare l'elenco dei responsabili esterni del trattamento

Occorre controllare presso l'ufficio fornitori le modifiche eventualmente intervenute relativamente ai responsabili esterni del trattamento. Opportuno coinvolgere anche l'ufficio legale e la direzione generale per verificare se sono previste nuove nomine a breve.

7 - Non riportare le variazioni all'assetto organizzativo aziendale

Nelle aziende, si sa, l'organigramma è ballerino! È necessario riportare nel DPS l'ultima release della struttura organizzativa (organigramma e funzionigramma).Si tenga presente che il DPS è
da considerarsi a consuntivo per i primi tre mesi del 2008 e previsionale per i restanti nove!

8 - Non indicare le verifiche effettuate rispetto alle misure di sicurezza

Le misure di sicurezza vanno riportate ma occorre anche che siano verificate; le verifiche sulle misure di sicurezza vanno svolte sia internamente sia nei confronti dei responsabili esterni del trattamento (in quest'ultimo caso si può chiedere copia del DPS del responsabile esterno).

9 - Non aggiornare l'analisi dei rischi

La regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza", del D. Lgs. n.196 richiede che il DPS contenga una analisi aggiornata dei rischi; l'aggiornamento può riguardare l'individuazione di nuovi eventi potenzialmente dannosi o la variazione della frequenza o probabilità di eventi già classificati.

10 - Non riportare eventuali variazioni all'informativa

Se vi sono state variazioni nelle informative (ad esempio perché sono svolti nuovo trattamenti) occorre riportarne nel DPS (ricordarsi di aggiornare, se d'uopo, i paragrafi relativi alla comunicazione dei dati a terzi con l'elenco dei responsabili esterni del trattamento).

Fine seconda parte

Leggi la prima parte

Chi è Panfilo Marcelli?

Panfilo Marcelli si occupa di compliance, privacy e sicurezza da oltre vent'anni. Ha lavorato pre primarie aziende nazionali con ruoli direttivi. Email: p.marcelli@mclink.it

Altri articoli di Panfilo Marcelli

 

ComplianceNet: