DPS - Diem Proferre Semper

Non capite il latino? Non importa basta dire "Dps" e chiunque capirebbe che stiamo parlando di "prorogare i temini". In effetti ora che ci penso DPS sta per:

• Documento Programmatico sulla Sicurezza,
• oppure Diem Proferre Semper?

io, mi sto sempre più convincendo che i latini abbiano ragione, specialmente questa volta.

E' l'ennesima proroga che il Consiglio dei Ministri concede ad una legge che partita male, stenta ad avviarsi. Naturalmente le risate di coloro che non hanno ottemperato ai requisiti richiesti dal D.Lgs. 196/03 si sentono ovunque, tanto da coprire i nascenti fuochi di artificio natalizi. L'avevano definito "l'odiato DPS", ma come si fa ad odiare qualcosa che ti fa sorridere spesso e volentieri?

Armiamoci di santa pazienza e cerchiamo di resistere ancora qualche mese alle e-mail di coloro che vogliono fare business di massa su questo argomento. Se mi permettete, vorrei darvi un consiglio, quello di non cadere nel solito errore, e cioè di occuparvi del fantomatico DPS nell'ultima settimana della prossima scadenza del 31.03.2006. Provate a redigerlo sin da dopo le festività natalizie; esercitatevi ad identificare i probabili rischi che incombono sui vostri dati. Fatelo da soli o in compagnia di qualche consulente, ma l'importante è che vi concentriate sulle cose veramente importanti, non solo sugli aspetti esteriori.Così facendo alzerete la vostra cultura in merito e deciderete da soli se al tavolo della privacy volete fare un pranzo completo oppure assaggiare solo qualche stuzzichino.

Soprattutto ricordate sempre che la tutela dei dati personali in azienda, non è una legge che fa vendere Windows a Bill Gates, ma è un progetto che rientra nella sfera organizzativa e riguarda l'azienda nella sua totalità; cercate di non cascare in questo tranello.

DPS e concetto di "data certa"

Premessa: Non è scritto da nessuna parte che il DPS deve essere redatto con data certa. Il concetto di "data certa", il D.Lgs. 196/03 lo cita solo per alcune misure minime di sicurezza e non certamente per il Dps. Però se avete provato a leggere un pò di newsletter sull'argomento, l'Italia che parla su Internet, si è divisa a seguito della poca chiarezza del famoso decreto in questione. Qualcuno asserisce che il DPS va redatto con data certa, altri che non serve affatto. Voi cosa volete fare? Nel caso che scegliate la seconda corrente di pensiero, non dovete fare niente; invece per dare al vostro DPS una data certa, occorre seguire le indicazioni che il Garante ha utilizzato in alcuni casi simili, e cioè il ricorso all'art. 2704 del codice civile che prevede: il ricorso alla "autoprestazione" presso gli uffici postali " (cioè auto-spedizione al proprio indirizzo) prevista dall'art. 8 del dlg. 22 luglio 1999, n. 261, con apposizione del timbro postale direttamente sul documento DPS che deve essere presentato come corpo unico, anziché essere apposto sull'involucro esterno (o busta) che lo contiene.

Rilascio attestato agli incaricati del trattamento

In base a quanto richiesto nell'art 19.6 dell' allegato B: gli incaricati al trattamento dei dati devono essere edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Per dimostrare che questa attività è stata svolta effettivamente ed efficacemente, la Cedam srl, ha pensato di rilasciare un' attestato ai diretti interessati, previo superamento di un test, messo online sul sito al seguente indirizzo: http://www.cedamweb.it/rcristallo/test/privacy1.htm

Hai ricevuto via email i costi della nostra soluzione?

Ti abbiamo inviato via email l'offerta dei nostri servizi relativamente agli adempimenti del D.Lgs.196/03. Era evidenziato il costo della soluzione una tantum, il canone di manutenzione annuale. In piu', per solo i clienti che utilizzano software applicativo Cedam di Contabilità, o fatturazione, o magazzino, era evidenziato un costo aggiuntivo per l'autenticazione degli utenti che possono accedere agli archivi. Quest'ultimo costo, non riguarda i clienti che utilizzano il pacchetto Esatto della Esa Software.

Hai ricevuto via email le tabelle da riempire?

Abbiamo provveduto ad inviare a tutti i nostri clienti, via email, 10 tabelle da compilare a cura del cliente. Esse sono: tab 1 - il titolare del trattamento tab 2 - le sedi tab 3 - i locali tab 4 - le ubicazioni tab 5 - i soggetti incaricati del trattamento tab 6 - le applicazioni tab 7 - gli strumenti tab 8 - installazione delle applicazioni tab 9 - gli archivi tab 10 - supporti Cominciate a compilare questi dati e subito dopo inviateceli, li esamineremo in ufficio e se saranno ok, verremo da voi in ufficio per stampare il DPS da far timbrare all'ufficio postale entro il 31.12.2005. Inutile sottolineare, che prima ce li invierete e prima verremo a trovarvi in azienda per il resto degli adempimenti

Considerazioni personali

Consapevole che il D.Lgs. 196/2003 ha coinvolto le imprese a livello di responsabilità addirittura penale, la C.E.D.AM. per ulteriore tranquillità dei Titolari e Responsabili dei vari trattamenti pensa di fare cosa gradita, sottoponendo all’attenzione di tutti i propri clienti e non, alcune disposizioni del testo unico in questione, che più delle altre meritano una riflessione: Il D.Lgs. 196/2003, a tutti noto come “Codice della Privacy” cita in materia : • MISURE MINIME • obbligo di adottare e descrivere le misure di sicurezza per la protezione "delle aree e dei locali, rilevanti ai fini della custodia dei dati ed accessibilità" (punto 19.4 All. B) • MISURE IDONEE • il codice non dice di fatto che devono essere adottate le misure minime (sanziona l'omessa adozione art. 169), ma obbliga ad adottare misure idonee (art.31). Ne discende che l’adozione di tali misure non può essere considerato un obiettivo da raggiungere, ma, piuttosto, un punto di partenza. · L’art. 15 del D.L.vo 196/2003 prevede espressamente che chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del Codice Civile. · L’art.2050 del Codice Civile richiamato dal primo comma prevede che chiunque cagiona danno ad altri… …è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno. In pratica il legislatore ha esteso a chi tratta dati personali (indipendentemente dalle modalità di trattamento) la responsabilità aggravata prevista per coloro che esercitano attività pericolose. Si tratta dell’inversione dell’onere della prova, in altri termini non è chi lamenta un danno che deve fornire la prova della responsabilità, ma è colui il quale è chiamato a risarcire il danno che deve fornire la prova liberatoria. Secondo la prevalente interpretazione la prova liberatoria consiste nella prova di aver adottato tutte le misure offerte dalla tecnica a propria disposizione secondo le circostanze del caso. Secondo la Corte di Cassazione la responsabilità per il danno si ha sia che il soggetto svolga personalmente l’attività pericolosa (nel caso specifico il trattamento di dati) sia che questa venga fatta svolgere da altre persone sotto il suo controllo. Ciò significa che il Titolare o, se nominato, il Responsabile, risponde comunque dei danni prodotti dagli incaricati che operano sotto il proprio controllo. Dall’esame di tutto ciò, emerge quanto grave sia la responsabilità civile e come la prova liberatoria sia legata esclusivamente all’adozione di idonee misure di sicurezza e non alle misure minime di sicurezza. Quindi, con l’intendo di fornire al futuro verificatore (sperando che non venga mai) una testimonianza più che credibile, che scagioni il Titolare del Trattamento da ogni eventuale accusa, la Cedam srl, ha pensato di realizzare una serie di Moduli aggiuntivi, non previsti nelle misure Minime del D.Lgs. 196/2003, per supportare e monitorare alcune attività strategiche ai fini della sicurezza. Con la opportuna compilazione di questi Moduli, sarà più facile dimostrare, ai sensi dell’inversione della prova, di non aver recato danno ad alcuno. Non mettetevi "sotto scopa", non vale la pena rischiare euro 30.000 o 2 anni di galera. Adeguarsi costa molto ma molto meno.