Basta DPS privacy? Non è proprio così…

24/10/2011
di Valentina Frediani

BASTA DPS PRIVACY? Veramente non sarebbe proprio così. Ho letto in questi giorni in particolare su un quotidiano nazionale, un “rilassante” articolo circa l’adeguamento della nostra normativa interna a quella europea con abbattimento totale degli obblighi in caso di trattamento dati persone giuridiche, enti ed associazioni, nonché totale decadimento dell’obbligo di redazione del documento programmatico di sicurezza. Ma non è così. Per lo meno non sulla base del testo in bozza attualmente al vaglio. Difatti, il medesimo testo innanzi tutto ridefinisce il dato personale quale dato atto ad individuare la persona fisica, andandosi così ad escludere quanto precedentemente indicato dal Codice privacy che considerava tale anche il dato inerente la persona giuridica, l’ente o l’associazione. A questi ultimi quindi non si applica il Codice privacy. Ok. E quindi? Mi dite qual è un gestionale aziendale nel quale all’interno non si trovino dati personali??? Secondo la nuova definizione intendo … Ditta Alfa, con sede in Teneropoli, n. 777, referente interno Mister Alfa. Dato personale. Signor Capriccio, assunto il 10 ottobre 1975. Dato personale. Prospect: azienda interessante, parlare con Pinco Pallo, responsabile investimenti. Dato personale.  Quello che esce dalla porta rientra dalla finestra. O dalla porta secondaria. Ma rientra. Quindi, ridefiniamo pure il concetto di dato personale. Condivido.

security_10326797_xxlQuando faccio formazione devo spiegare che dato personale non vuol dire solo dato riferito a persona fisica, ma anche ente. E si aprono le nebbie … quindi va benissimo, appoggio la scelta. Poi mi si dice in bozza che viene abolito il DPS. E qui è come andar di notte… non si sa  cosa si trova. Ho il sospetto che il DPS sia stato per anni l’incubo degli italiani da tanto che lo vogliono cassare ad ogni decreto sviluppo. La bozza infatti indica l’abolizione della lettera h) comma 1 art. 43. Già, ma dell’Allegato B non se ne parla. Quindi? Lecito pensare che in caso di dati sensibili comunque permanga l’obbligo. Ma se viene soppresso il concetto di DPS richiamato anche nelle semplificazioni emanate dal Garante insieme all’autocertificazione e quindi all’impianto della semplificazione stessa, come si considera di dover gestire i dati sensibili dei dipendenti? Rimettendo in carreggiata il DPS? Non è dato sapere. Ma non è tanto questo il problema. Qui si sta parlando di sopprimere l’unico strumento di auto-analisi inerente la sicurezza informatica aziendale. Lo stesso strumento che seppur tanto odiato, ha consentito ad aziende anche di un certo livello, di mantenere nel tempo la propria sicurezza informatica stimolando investimenti che i titolari aziendali – spesso ignari del fatto che l’IT è il fulcro della vita aziendale –  hanno accettato solo grazie al pungolo normativo.

Un DPS che – spina nel fianco dei responsabili – ha costretto alla razionalizzazione dei criteri di assegnazione di credenziali piuttosto che alla ristabilizzazione degli idonei livelli di autenticazione secondo il ruolo aziendale, impedendo accessi non dovuti e circolazione di informazioni aziendali non opportune. Tutti valori scontati oggi, ma assolutamente sottovalutati prima del 2004. DPS che troppi hanno bollato come “quel documento terribile e dispersivo” che in realtà se ben fatto ha consentito negli anni di programmare investimenti informatici e far crescere nella mentalità aziende e professionisti. Adesso si toglie quel documento. O per lo meno, lo si riduce solo ai casi di dati sensibili (resterebbe vigente infatti l’Allegato B). Sono d’accordo sulle realtà minime (artigiani, aziende di produzione) rabbrividisco su soggetti che fanno una ampia gestione anche solo di dati contabili (un’azienda con un milione di dati su persone giuridiche non deve fare il DPS?). I commenti nella bozza del testo sono: ci dobbiamo uniformare alla normativa europea. Ok, ma la mentalità italiana in merito al dato trattato, non è quella europea. L’italiano parla in ambito aziendale del “suo pc”, non del “pc aziendale”. Dei “suoi clienti” non dei “clienti della mia azienda”. La nostra mentalità non è quella europea, per lo meno non ancora.

Ci sono aziende dove l’obbligo del DPS ha costretto alla mappatura di server, di trattamenti, di soggetti autorizzati ad accedere ai dati ed ai relativi livelli di visualizzazione. Certo, a fronte di consulenti che hanno predisposto 500 pagine di DPS forse a qualcuno non è sembrata proprio una incombenza intelligente … ma non era questo il DPS. Il DPS era – è – un documento di programmazione ed autoanalisi atto a far rilevare vulnerabilità ed a programmare miglioramenti. Il DPS è uno degli strumenti che consolidano le procedure nell’applicazione della 231 in azienda. Ora sono proprio curiosa di sapere l’Autorità Garante che cosa ne pensa di questa bozza. Anche se è pur vero che tanto il Garante ha sempre sostenuto – al contrario della sottoscritta – che il DPS si sarebbe dovuto fare solo sulla base dell’Allegato B, che comunque rimarrà vigente qualora non cambino la bozza del Decreto Sviluppo. E sempre che questo decreto sia approvato nei termini indicati.

Riproduzione riservata ©

ALTRE NEWS

Contratti IoT: tra titolare e responsabile nuove clausole contrattuali tipo

Il 4 giugno scorso la Commissione Europea, con Decisione di Esecuzione (UE) 2021/915, ha introdotto un modello di Clausole Contrattuali Tipo da utilizzare nei rapporti… Leggi Tutto

Data Lineage ovvero tracking data from source to target

Una tra le principali novità introdotte dal Regolamento Europeo 2016/679 (Regolamento generale sulla protezione dei dati), divenuto applicabile in maniera effettiva dal 25 maggio dello… Leggi Tutto

Servizi online e contratti: le implicazioni per la privacy

Il tema privacy riguarda anche i servizi online e i contratti con i consumatori. Di conseguenza la portata trasversale della data protection trova concreta traduzione… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.