E’ STATO ABOLITO IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Questa una delle affermazioni più pericolose e che sento fare con più convinzione dai vari consulenti e addetti alla gestione della privacy aziendale; in un certo senso sono d’accordo con loro, tuttavia ritengo che, con le variazioni apportate alla normativa italiana, si sia solo cambiato il nome al documento da fare, ma sostanzialmente gli obblighi del titolare restano sempre gli stessi.
Per spiegare meglio cosa intendo dobbiamo innanzitutto capire cosa rappresentasse esattamente il DPSS: detto in parole semplici, era il documento in cui venivano identificate tutte le policy e le strategie aziendali messe in atto per tutelare i dati degli interessati in possesso dell’azienda.
Con il governo Monti, nel 2012 viene emanato il “Decreto semplificazioni”, in cui viene abrogato l’obbligo di manutenzione del documento programmatico sulla sicurezza ma vengono mantenute tutte le misure di sicurezza obbligatorie e i provvedimenti stabiliti dal Garante della Privacy .
Va anche detto che in mancanza di stesura di tale documento, le azioni ispettive per la VERIFICA DELL’APPLICAZIONE DELLE MISURE MINIME DI SICUREZZA, dovranno essere effettuate in maniera più diretta, cioè con procedure pratiche di controllo.
Detto questo potete capire come mantenere un documento sulla sicurezza informatica, rimane il metodo più semplice per sopperire a tutti gli obblighi a carico del titolare e diventa quindi l’indispensabile strumento per la tutela dell’azienda.
Le procedure di controllo in altra modalità richiederebbero una verifica molto complessa e inoltre si dovrebbe prevedere il controllo pratico di ogni singola procedura volta a tutelare eventuali illeciti.
Riporto di seguito quelli che sarebbero gli obblighi del titolare del trattamento per meglio sottolineare quanto sarebbe complesso mostrare e controllare le singole procedure interne adottate, piuttosto che avere un documento unico che le descriva tutte, che guarda caso è proprio il DPSS:
· adozione di altre misure finalizzate alla protezione e conservazione dei dati, in caso di utilizzo di strumenti diversi da quelli elettronici;
· adozione di misure di protezione e ripristino specifiche per i dati sensibili e giudiziari rispetto ad accessi abusivi e fornitura di istruzioni tecniche e organizzative per la custodia e l’uso dei supporti rimovibili contenenti tale tipologia di dati;
· adozione di procedure e fornitura di istruzioni per la custodia di copie di sicurezza, backup completi dei dati, dei sistemi e ripristino della disponibilità dei dati e dei sistemi;
· aggiornamento degli strumenti elettronici al fine di prevenirne la loro vulnerabilità e correggerne i difetti;
· verifica periodica dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, fornendo opportune e chiare istruzioni per l’effettiva protezione dei dati;
- autenticazione informatica e adozione di procedure di gestione delle credenziali di autenticazione;
- definizione dei ruoli di responsabilità e nomine dei responsabili del trattamento, come quello del responsabile della sicurezza informatica, avente la qualifica di “amministratore di sistema” e quindi soggetto, anche dopo l’abolizione del DPSS, a tutte le prescrizioni contenute nel Provvedimento generale del Garante del 27 novembre 2008 (rif. Adempimento nomina amministratore di sistema) oppure le attestazioni di conformità, anche su base contrattuale, sul rispetto delle regole in tema di privacy, rilasciate da incaricati che effettuano interventi di manutenzione sui sistemi elettronici;
- formazione cui devono sottoporsi gli incaricati al trattamento, tanto sotto l’aspetto normativo, quanto sotto l’aspetto tecnico-organizzativo;
- implementazione, presso la struttura del titolare, di sistemi informatici che forniscono traccia di tutte le operazioni (access log) effettuate dagli amministratori di sistema nell’espletare la propria attività;
- predisposizione e sottoscrizione di attestazioni di conformità da parte di soggetti esterni, rispetto alla struttura del titolare, riguardanti il rispetto delle disposizioni privacy nell’ambito dei loro interventi e/o trattamenti (clausole di affidamento dati esterni);
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a programmi informatici dannosi;
Concludo dicendo che il DPSS non è altro che l’insieme dei documenti che servono per gestire correttamente la privacy in azienda e che, anche se è stato abrogato, vi ho dimostrato che permane l’obbligo di averlo; per sopperire a tali obblighi il modo migliore è proprio stendere un DOCUMENTO SULLA SICUREZZA INFORMATICA.
Esemplare articolo. Chiarissimo
CEO - Consulente Privacylab Certificato - DPO certificato (UNI 11697:2017 e ISO/IEC 17024:2012) - IT e Telecomunicazioni - Consulente mediatore esperto in cyberbullismo - Iniz. form. ID: 7109 – Ed. ID: 36513
7 anniio confido sul fatto che i miei clienti lo hanno sempre tenuto aggiornato il DPS ;-)
Data protection Referent for Italian market & branch presso FCA BANK Executive Member presso Privacy Network
7 anniCondivido in pieno. Io confido nel Registro dei trattamenti previsto dal Regolamento Europeo e nella sua funzione " cabina di controllo" della implementazione di procedure, misura di sicurezza, nomine....