Iscrizione
Servizi
- Visibilità (reti on line)
- Aggiornamento (ECM)
- Consulenza
- Riconoscimento titoli
- Servizi informativi
- Mailing list
Archivio
Convenzioni
E' morto il DPS... viva (dove è il caso) il DPS!
Paolo Marini, Altalex, 20/02/2012
tag: DPS, obbligo, abrogazione, privacy, d. lgs. 196/2003
L’art. 45 del D.L. 9 febbraio 2012, n. 5 (“Disposizioni urgenti in materia di semplificazione e sviluppo”, altrimenti noto come “Decreto semplificazioni”) cancella l’obbligo di redazione a aggiornamento del Documento programmatico sulla sicurezza (DPS) ed elimina anche l’obbligo collaterale di dare atto della sua approvazione/aggiornamento nella relazione accompagnatoria al bilancio di esercizio.
Si tratta sicuramente di una buona notizia per tutti coloro (imprese, associazioni, enti pubblici, studi professionali) che non hanno mai ottemperato a quest’obbligo di legge - laddove sussistente (si rammenta solo per opportunità che esso scattava con il trattamento di dati sensibili e giudiziari mediante elaboratori elettronici) – ovvero che hanno interpretato la soggezione a questa misura minima di sicurezza come un adempimento meramente formale, senza coglierne e sfruttarne, cioè, le pur innegabili potenzialità.
Si tratta, peraltro, di una abrogazione presumibilmente intangibile: non avendo il DPS lobbies o fazioni di sorta a sostenerne a gran voce la riesumazione, si scommette sin d’ora che rimarrà abrogato anche in sede di conversione del decreto.
Ciò premesso, si può insospettatamente porre un problema per tutti quei soggetti che, a differenza di quanti hanno attuato la previsione dell’art. 34, comma 1), comma g del D.Lgs. 196/2003 (Testo unico in materia di protezione dei dati personali) in modo burocratico, si trovino oggi dinanzi al bivio se distruggere questo documento – e con esso tutti gli investimenti e gli sforzi applicati per tenerlo autenticamente ed efficacemente in vita - ovvero perpetuarlo oltre la scomparsa dell’obbligo giuridico.
Avendo per anni assistito decine di enti ed imprese nella implementazione di questa misura, mi permetto di suggerire, sul punto, alcune riflessioni:
1) il DPS non è un ‘documento’ qualunque, ma – ove redatto in esattezza e completezza -, costituisce una immagine fedele, circostanziata ed attuale dell’organizzazione sotto il profilo del trattamento di una risorsa strategica quale è, a tutti gli effetti, il patrimonio di informazioni che quotidianamente sono raccolte, organizzate, sviluppate e gestite; non si può nascondere che l’appuntamento con la sua redazione/aggiornamento ha talvolta costituito un’occasione imperdibile, preziosa, per affrontare e risolvere alcuni problemi di impostazione della gestione delle informazioni in sicurezza e in trasparenza, come si conviene a imprese o istituzioni che desiderano riversare compiutamente questi valori nelle loro relazioni con i vari stakeholders;
2) né va sottaciuto che, oltre ad essere ‘fotografia’ dell’esistente, esso ha anche doverosamente rappresentato il motivo e il contesto di una pianificazione della sicurezza, nel senso del suo miglioramento continuo, in ciò straordinariamente in linea con la filosofia della Qualità; l’impresa (o comunque l’ente) così si adegua e coglie il meglio delle proposte offerte dall’innovazione tecnologica (e dal cambiamento organizzativo) e scopre che il must normativo a tutela di integrità, disponibilità e sicurezza dei trattamenti dei dati personali può essere trasformato in una opportunità di crescita culturale ed economica;
3) la redazione e l’aggiornamento del DPS hanno rappresentato, talvolta, un’occasione unica - nell’anno lavorativo, ovvero nell’esercizio - per fermarsi a riflettere sulla adeguatezza dell’architettura e dotazione informatica, delle misure tecnologiche e fisiche di “difesa” da intrusioni di ogni genere ma anche sulla coerenza delle regole e procedure interne, del sistema delle responsabilità e degli incarichi, sulla validità dei sistemi di monitoraggio e l’efficienza di uffici e unità lavorative;
4) ciò premesso, se il DPS ha potuto rappresentare tutto, o anche parte di questo, è forse doveroso premettere, alla decisione o meno di disfarsene, un bilancio non solo consuntivo del rapporto costi/benefici: dove per “costi” si intendano le spese di impianto e di manutenzione, tanto di personale interno che esterno (consulenze), oltre agli eventuali costi organizzativi; e per “benefici” si valutino tutte le positività che i processi deputati alla valorizzazione di questa misura hanno iniettato e producono, anche in termini culturali, nella dinamica organizzativa.
Solo dopo una attenta ponderazione di questi aspetti sarà opportuno tirare le somme e decidere se, una volta abrogato l’obbligo giuridico, debba dichiararsi la fine effettiva del DPS, ovvero la sua ulteriore vita; nel primo caso, una volta che vadano perduti i benefici prodotti dalla sua implementazione e manutenzione, si dovrà inserirlo nella voce “costi”; nel secondo caso, magari alleggerendo la parte documentale che potrà concentrarsi più efficacemente sugli aspetti programmatici della sicurezza, vi sarà la fiducia di poterlo mantenere nella voce “investimenti”.