Cosa succede al DPS?
Un’analisi della situazione normativa ed un chiarimento su come ci si debba comportare per tutelarsi sia legalmente che tecnicamente. [rev. 3]
Il decreto semplificazioni di Monti
Il DL nr. 1/2012 chiamato “decreto semplificazioni” di Monti rende obsoleta la redazione del DPS come misura minima di sicurezza, e liberalizza la gestione dei dati relativi a persone giuridiche, enti pubblici ed associazioni.
La legge sulla privacy, cosa rimane
Rimane la normativa che protegge i dati delle persone fisiche, in particolare quelli sensibili.
Rimangono tutte quelle norme che regolano la videosorveglianza, il ruolo dell’amministratore di sistema, le linee guida del Garante per la posta elettronica e Internet nei luoghi di lavoro quindi il tracciamento degli accessi.
Cosa era il DPS, che effetti ha prodotto
Il DPS lo consideriamo un profondo segno di svolta, nonostante le reazioni prevalenti siano state un atteggiamento di rifiuto verso l’ennesimo motivo inconsistente di spesa, l’ennesimo balzello per rimpinguare le casse dello stato oppure una nuova modalità per far guadagnare certi professionisti. Noi invece troviamo che ha obbligato, almeno per chi ha deciso di adeguarsi, a capire l’importanza dei dati e la necessità di proteggerli con un minimo di metodologia. I sistemi informativi sono ormai talmente pervasivi ed efficienti che, se ben utilizzati, danno una grande accelerazione e riducono enormemente la ripetitività di tutte quelle pratiche, più o meno burocratiche, necessarie al corretto funzionamento di qualsiasi attività lavorativa. Non bisogna scordare che proteggere i dati altrui significa proteggere anche i propri, compresi i dati bancari o personali biometrici. Capire che virus, accessi anonimi, interruzioni di alimentazione, guasti ed errori umani possono rendere totalmente inutile l’intero sistema e provocare seri guai, persino legali non era cosa scontata. Ma la scarsa cultura c’era, e ancora c’è, determinando un grande gap sia generazionale sia a livello di concorrenza internazionale.
Misure minime di sicurezza
Proteggere i dati significa implementare delle misure, fisiche e logiche, minime di sicurezza. Significa proteggerne l’accesso da parte di persone non autorizzate capendo dove sono immagazzinati i dati e come sono protetti, se in armadi con serratura o ignifughi, se in dispositivi di memorizzazione sotto password, se salvati periodicamente o meno. Significa definire delle figure chiave con determinate responsabilità.
Amministratore di sistema
All’interno di un’azienda o ente, ma anche incaricando un consulente esterno, deve essere identificata la persona capace di svolgere le funzioni di amministratore di sistema (AdS), senza questo incarico il titolare è automaticamente investito di tale ruolo. Ecco un breve esempio di quel che viene chiesto all’AdS:
Abilitazione/disabilitazione credenziali degli incaricati al trattamento dei dati personali.
Adottare antivirus, firewall per proteggere gli accessi ai dati da proteggere.
Controllare periodicamente l’efficienza dei sistemi e delle protezioni.
Redigere un verbale dei controlli effettuati.
Vigilare, in caso di accessi di terzi, sulla correttezza del trattamento dei dati.
Vigilare sul corretto utilizzo e custodia delle password.
Redigere il DPS annuale.
Scegliere i più opportuni sistemi di memorizzazione e verificarne lo smaltimento.
Memorizzare gli accessi ai sistemi in un luogo sicuro.
Adottare misure che evitino la perdita dei dati.
Descrivere e gestire un eventuale disaster recovery.
Una nuova figura professionale: il Consulente della Privacy
E’ proprio a causa della complessità e della specificità delle azioni da attuare per il rispetto delle normative sulla privacy che è stata definita una nuova figura professionale, il Consulente della Privacy, secondo lo standard ISO 17024:2008 con relativi corsi e certificazioni, vedi ad esempio www.tuv.it/servizi/prof/personale_02.asp.
Perché è consigliabile redigere il documento?
Il documento ha due scopi principali:
- il primo, pratico, è quello di descrivere, in modo semplificato, la propria realtà informativa, che spesso è complessa anche per gli operatori del settore; quindi evidenziare i punti critici da controllare periodicamente e portare a conoscenza delle eventuali problematiche il titolare dei dati. Questo per tutelarsi dalle aziende fornitrici di prodotti utilizzati, che DEVONO garantire il giusto approccio ai vostri dati. Per esempio quando rilasciano aggiornamenti che potrebbero variare il giusto andamento delle vostre strumentazioni, quando installano programmi di accesso remoto, che possono violare la vostra sicurezza; quando installano nuovi programmi in modo scorretto (per esempio sul pc invece che sui server); quando vengono omesse, solo per risparmiare tempo, procedure essenziali come le copie di sicurezza; il tutto senza informare in modo adeguato, per iscritto, con la seguente gravità del problema del ripristino dati;
- il secondo, legale, è quello di tutelarsi da rivendicazioni da parte di terzi, che potrebbero avvalersi della dubbia e/o non momentaneamente dimostrabilità del corretto trattamento dei dati personali e sensibili, come previsto dalla normativa, fatto che precedentemente era tutelato appunto dalla redazione del Documento Programmato sulla Sicurezza e Privacy (DPS)
Le nostre considerazioni e proposte finali
Per concludere riteniamo importante non distogliere l’attenzione da quanto fatto fin’ora. Una corretta gestione dei sistemi, degli accessi delle persone, dei dati deve avere sempre maggiore importanza, soprattutto in un mondo che condivide informazioni su Internet. In definitiva non si tratta tanto di rispettare la privacy quanto di difendere la propria persona, i propri conti correnti, le informazioni strategiche ed i segreti professionali tipici di ogni attività. Come noi la pensano fonti autorevoli:
- http://www.diritto.net/diritto-delle-nuove-tecnologie/23880-dps-o-non-dps-che-fare-entro-il-31-marzo.html
- http://www.federprivacy.it/index.php?option=com_content&view=article&id=502:il-31-marzo-e-vicino-ma-non-ce-piu-il-dps-che-fare&catid=2:in-primo-piano&Itemid=8
- http://www.federprivacy.it/index.php?option=com_content&view=article&id=441&catid=4&Itemid=9
Il nostro consiglio è di continuare nella corretta inventariazione ed attuazione delle misure minime di sicurezza su tutte le banche dati che l’azienda gestisce e nel redigere annualmente, mantenendo la fine di marzo come data storica anche se non più restrittiva, un documento che invece di chiamarsi DPS sarà chiamato “Tutela della privacy e gestione dei dati”.