Attenzione, è stato abolito il Dps, non il codice della Privacy!

 

L’errore commesso in questi anni è stato quello di adottare tout court l’equazione PRIVACY=DPS come se bastasse adempiere all’obbligo di redigere e aggiornare il documento programmatico sulla sicurezza dei dati personali - giusto una volta l’anno - per poter pensare di avere il benestare per la gestione dei dati personali e sensibili in azienda.
 
Il DPS era comunque uno strumento che consentiva di dare evidenza, in caso di controllo, a un approccio positivo all’applicazione della normativa. All’arrivo della Guardia di Finanza o in occasione di richieste specifiche dell’Autorità Garante, esibire il DPS costituiva un presupposto fondamentale per dimostrare l’attenzione del titolare nell’applicare le misure previste.
 

Cosa succederà adesso?

Nella sostanza nulla: l’art. 34 resta integralmente applicabile, anche se rimasto orfano del DPS; i titolari del trattamento dovranno quindi provvedere a predisporre:
  • a) Autenticazione informatica
  • b) Adozione di procedure per la custodia delle credenziali
  • c) Definizione dei profili di autorizzazione
  • d) L’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici;
  • e) La protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati;
  • f)  L’adozione di procedure per la custodia delle copie di backup e del ripristino dei dati.
 
Si sganciano dall’articolo 34 le nomine di responsabili e incaricati e le informative, per le quali sussiste da sempre l’obbligatorietà della redazione e dell’aggiornamento qualora i trattamenti dovessero subire variazioni.
 

E' necessaria maggiore attenzione e preparazione per rispondere ai controlli?

Certamente. Alla luce di quanto detto, ne consegue che ora l’art. 34 è tutto a carico del responsabile della sicurezza dei dati. Ciò vuol dire che senza nessun documento a supporto, sarà proprio questa figura preposta a dover illustrare e dimostrare nel dettaglio, agli enti preposti ai controlli, di aver ottemperato agli obblighi della legge e implementato le misure minime e idonee di sicurezza nel rispetto dei dati personali gestiti in azienda. Non solo, ma in caso di trattamenti illeciti, o di attività lesiva a danno di terzi, avrà l’onere della prova: dovrà dimostrare di aver messo in campo tutte le misure di sicurezza utili affinché la situazione dannosa non si verificasse.
 

Ma sarà davvero abbandonato il DPS?

L’intervento del Governo ha liberato le organizzazioni da una visione sbagliata della legge sulla privacy, considerata dai molti come inutile formalismo. Alla luce della semplificazione, la Privacy è diventata sostanza
 
Le organizzazioni e i relativi responsabili sono chiamati ad abbandonare l’idea del puro formalismo. Se prima si riteneva sufficiente registrare su un documento che le procedure venivano eseguite e si dormivano sonni tranquilli, oggi non è più così: soprattutto dal momento in cui non si pongono più nero su bianco le azioni messe in campo, il decreto ha assunto un peso sostanziale tutto a carico del responsabile.
 
Pertanto, aziende, professionisti ed enti dovranno comunque avere sempre un documento redatto dal responsabile della sicurezza (chiamato verbale, documento privacy, policy sulle misure minime, etc.), che attesti al titolare del trattamento le misure privacy applicate, con il vantaggio che l’attenzione si concentrerà sul contenuto e non su adempimenti formali.
 

Ma allora in cosa consiste la semplificazione?

In realtà non si tratta di una vera e propria semplificazione se non nella forma. E’, nei fatti, un richiamo alla sostanza dell’adempimento e un modo per prepararsi efficacemente alla rivoluzione che ci attende con l’entrata in vigore del regolamento europeo che prevede inasprimenti delle misure  in materia di privacy.
 
Katia Natella
Axential Consulting

Per ulteriori info sul tema, contatta i nostri partner: clicca qui!

About the Author

studio-acerbi

Leave a Comment