Sole Consulting

 
Sei qui: Privacy Notizie Abolito il Documento programmatico sulla Sicurezza
Notice
  • Direttiva europea e-Privacy

    Questo sito web utilizza alcuni cooky per gestire autenticazione, navigazione e altre funzioni. L'utilizzo di questo sito comporta il consenso al loro utilizzo e l'accettazione del loro inserimento sul dispositivo utilizzato per la navigazione.

    Vedi la Privacy Policy del sito

    Vedi la Direttiva europea e-Privacy

Abolito il Documento programmatico sulla Sicurezza

E-mail Stampa PDF

Il Documento programmatico sulla Sicurezza, considerato da sempre l'adempimento fondamentale tra quelli richiesti dal Codice di protezione dei dati personali e storico spauracchio di aziende ed enti pubblici, scompare dalla scena normativa.

Con l’introduzione del Decreto-legge 9 febbraio 2012, n. 5, Disposizioni urgenti in materia di semplificazione e di sviluppo, pubblicato nella GU 9 febbraio 2012, n. 33 all’art. 45, è infatti abrogato il punto 19 dell’Allegato B, nonché “la lettera g) del comma 1 e il comma 1-bis dell’art. 34” che comporta l’abolizione dell’obbligo di adozione, entro il 31 marzo di ogni anno, del Documento Programmatico Sicurezza.

Comparso nell'ormai lontano 1999, grazie al  DPR n. 318  del 28 luglio 1999 "Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, comma 2, della legge n. 675 del 31 dicembre 1996", il famigerato DPS è stato da alcuni considerato un adempimento burocratico inutile (evidentemente anche da chi lo ha abrogato), da altri un terribile dramma da affrontare ogni anno ad inizio primavera.

Chi ha saputo approfittare, invece, delle opportunità di analisi della situazione informatica e di sintesi delle regole dettate dalla privacy che questo adempimento, pur con i suoi tanti difetti, ha saputo offrire alle diverse organizzazione,  ora probabilmente rimpiangerà i tempi in cui l'obbligatorietà del documento e la sua scadenza temporale fissa permetteva annualmente una attenta analisi della situazione.

Ricordiamoci infatti che il Decreto Semplifica-Italia non determina in alcun modo l’esonero ad adempiere all’obbligo di osservare le misure minime di sicurezza previste dall’art. 34 del d.lgs. 196/03, trattamento dei dati con strumenti elettronici:

  • l’autenticazione informatica;
  • l’ adozione di procedure di gestione delle credenziali di autenticazione;
  • l’utilizzazione di un sistema di autorizzazione;
  • l’aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – provvedendo anche alla formazione degli stessi al fine di garantire l’effettiva protezione dei dati, nonché l’efficacia delle misure minime adottate;
  • la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

solo per citare quelle misure che riguardano trasversalmente tutti i settori, né da quello di predisporre le misure di sicurezza che l'organizzazione ritiene idonee in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, per ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, come previsto dall’art. 31.

Per questo è auspicabile che si raccolgano le analisi, le informazioni e le regole finora gestite dal DPS in uno o più documenti interni che descrivano dettagliatamente l’organizzazione e le policy in materia di privacy adottate, ovvero l’effettiva attuazione delle misure minime di cui all'art. 34 ed all'Allegato B nonché le altre misure che l'organizzazione ritiene idonee ai sensi dell’art. 31.