Obbligo di redazione del Manuale Privacy(ex DPS) vero o falso?

Permane ancora l’obbligo del Documento Programmatico sulla Sicurezza (DPS) ex D.Lgs. 196/03? È una domanda che tanti professionisti si pongono.

Prima di vedere se è ancora obbligatorio, bisogna chiarire innanzitutto che cosa è, o è stato, tale documento.

Sulla base di “tutelare” gli interessati – cioè i proprietari dei dati, noi – è stato ideato a livello europeo la redazione di un documento in cui venissero riportate le “policy aziendali in campo privacy” col fine di analizzare tali rischi e definire / programmare tutte le misure minime o necessarie per migliorare la sicurezza del trattamento dei dati personali; in altre parole, si “fotografava” il trattamento interno dei dati personali con i quali queste strutture venivano in contatto.

La conversione dal noto D.L. n.5 del 9 febbraio 2012 (c.d. Decreto semplificazioni), nato dalla penna dell’allora Governo Monti, ha scatenato inizialmente un plauso generale da parte di tutti coloro che erano obbligati a districarsi “in proprio” nella redazione del DPS … trasformandosi ben presto – anche a causa delle molteplici informazioni false circolate sul Web o sui giornali – per coloro che ricevevano una visita da parte della GdF o dell’Autorità del Garante, in un danno giuridico e – soprattutto – economico.

Infatti, è importantissimo sapere, che l’abolizione del DPS non ha cambiato la sostanza della normativa. Sono rimaste in vigore tutte le misure di sicurezza obbligatorie e i provvedimenti stabiliti del Garante sulla Privacy che continuano ad avere effetto di legge.
A ciò va aggiunto che in mancanza del “noto” supporto documentale costituito dal ex-DPS, le attività ispettive dovranno verificare in maniera più diretta, cioè fisicamente, l’effettiva applicazione delle misure minime di sicurezza previste.
Predisporre dunque un documento interno che riepiloghi tutti gli aspetti illustrati in modo da attestare il rispetto da parte del Titolare del trattamento di quanto stabilito dal D.Lgs. 196/2003 (Codice Privacy) per prevenire i reati di trattamento illecito dei dati personali, rimane di fondamentale importanza.
Concludiamo, elencando proprio gli obblighi che fanno capo ai Titolari del trattamento, per mostravi la complessità che si creerebbe a mostrare agli enti preposti al controllo le singole procedure interne adottate, piuttosto che avere un unico documento che analizzi e dimostri i metodi adottati internamente all’azienda:

adozione di altre misure finalizzate alla protezione e conservazione dei dati, in caso di utilizzo di strumenti diversi da quelli elettronici;
adozione di misure di protezione e ripristino specifiche per i dati sensibili e giudiziari rispetto ad accessi abusivi e fornitura di istruzioni tecniche e organizzative per la custodia e l’uso dei supporti rimovibili contenenti tale tipologia di dati;
adozione di procedure e fornitura di istruzioni per la custodia di copie di sicurezza, backup completi dei dati e dei sistemi e ripristino della disponibilità dei dati e dei sistemi;
aggiornamento degli strumenti elettronici al fine di prevenirne la loro vulnerabilità e correggerne i difetti;
aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, fornendo opportune e chiare istruzioni per l’effettiva protezione dei dati;

  • autenticazione informatica e adozione di procedure di gestione delle credenziali di autenticazione;
  • definizione dei ruoli di responsabilità e nomine dei responsabili del trattamento come quello del responsabile della sicurezza informatica avente la qualifica di “amministratore di sistema” e quindi soggetto anche dopo l’abolizione del DPS a tutte le prescrizioni contenute nel Provvedimento generale del Garante del 27 novembre 2008 oppure le attestazioni di conformità, anche su base contrattuale, sul rispetto delle regole in tema di privacy rilasciate da incaricati che effettuano interventi di manutenzione sui sistemi elettronici.
  • formazione cui devono sottoporsi gli incaricati al trattamento, tanto sotto l’aspetto normativo, quanto sotto l’aspetto tecnico-organizzativo
  • implementazione, presso la struttura del titolare, di sistemi informatici che forniscono traccia di tutte le operazioni (access log) effettuate dagli amministratori di sistema nell’espletare la propria attività.
  • predisposizione e sottoscrizione di attestazioni di conformità da parte di soggetti esterni, rispetto alla struttura del titolare, riguardanti il rispetto delle disposizioni privacy nell’ambito dei loro interventi e/o trattamenti;
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a programmi informatici dannosi;
  • utilizzo di un sistema di autorizzazione.