02 Nov Istituto Italiano Privacy: col DL Sviluppo si può abolire il DPS, ma non la sua “sostanza”
La bozza di Decreto Sviluppo circolata nei giorni scorsi contiene un articolo, per cui verrebbe abrogato l’obbligo – oggi in vigore per le organizzazioni che trattano dati sensibili con strumenti elettronici – di redigere e aggiornare ogni anno il Documento Programmatico della Sicurezza (nel gergo aziendale, DPS). Negli ultimi 10 anni moltissime aziende italiane hanno impiegato risorse e tempo per dotarsi del DPS e per aggiornarlo. Adesso siamo di fronte all’eliminazione di un costo per le aziende, o a un passo indietro nella sicurezza dei dati?
Luca Bolognini, avvocato e Presidente dell’Istituto Italiano per la Privacy commenta così la notizia: “Il DPS è una particolarità italiana, non imposta dalla normativa comunitaria, dunque il legislatore, se vuole, può abrogarlo: ma rischia di rivelarsi un boomerang e un messaggio equivocabile dalle imprese, perché rimangono intatti i parametri di data security definiti dalla direttiva privacy del 1995 oggi in vigore in tutta Europa, e cioè l’obbligo per tutte le organizzazioni che trattano dati personali di garantire integrità, riservatezza e disponibilità dei dati, nonché possibilità di ricostruire “chi” ha fatto “cosa” nel trattamento dei dati stessi. Inoltre, qualunque cosa accadrà al DPS, ormai si va verso Valutazioni d’impatto privacy riferite a singole problematiche, come la UE ha iniziato a promuovere, per esempio, con le etichette intelligenti (RFID). Dunque alle aziende è richiesta la massima diligenza nella protezione dei dati personali, e in caso di controlli tutto deve risultare a posto, DPS o non DPS”.
“L’informazione è valore”, sostiene l’avv. Diego Fulco, Direttore Scientifico dell’Istituto Italiano per la Privacy, “e anche se questa norma passasse, un’azienda che vuole tutelare le proprie informazioni avrebbe per innumerevoli motivi tutta la convenienza a raccogliere in un documento, che si chiami DPS o Policy di sicurezza, le procedure che ha adottato a protezione delle informazioni. La mancanza di un documento simile renderebbe più difficile per l‘azienda la difesa in giudizio qualora un interessato chiedesse il risarcimento di danni privacy o qualora l’azienda volesse proteggere informazioni aziendali riservate. Quindi: è comprensibile che si vogliano sgravare le piccole imprese dallo stress di un adempimento complesso presidiato da sanzioni, ma non illudiamoci, nell’epoca degli hacker e delle intrusioni nei sistemi e dei furti d’identità di potere abbassare la guardia sulla sicurezza sostanziale dei dati, specie nelle aziende che trattano dati sensibili o che hanno banche dati di rilevante valore economico (come il CRM)”.