Abolizione del DPS ? Attenzione alle notizie fuorvianti.

Come noto il D.l 5/2012 “Semplifica Italia” ha abolito l’obbligo della redazione del DPS.

In realtà quest’eliminazione era già nota, vediamo perchè:

– In GURI il 27/12/2011 viene pubblicata una circolare della DigitPA che sancisce l’obbligo di rendere operativa la verifica dei piani di “Disaster Recovery” dell’art 50 bis del D.Lgs 82/05 (modificato ed integrato dal D.Lgs 235/10).

Questa norma in estrema sintesi dice che fino al 31/03/2011 il DPSS doveva essere redatto e solo “eccezionalmente” sarebbe stato ispezionato, ora invece tutte le PP.AA. entro il 31/12 di ogni anno devono compilare l’autovalutazione ed utilizzare lo strumento dell’art 17 della L. 241/90 per farsi rilasciare un parere tecnico dal DigitPA ( vecchio CNIPA per intenderci).

Quanto sopra solo per le PP.AA dell’art 1 comma 2 del D.lgs 165/01, per le imprese le cose invece non vanno verso una sostituzione di adempimenti, ma verso una complicazione vera e propria.

Non solo il DPS, ma tutto il D.Lgs 196/03 a breve sarebbe stato abrogato e sostituito dalla normativa comunitaria con particolari novità:

– per le aziende con più di 249 dipendenti” l’obbligo” di istituire un ufficio interno indipendente con autonomia finanziaria per il controllo del documento che dovrà sostituire il DPSS.

– per le altre aziende invece la “possibilità” di istituire l’organo indipendente per il controllo e l’attuazione del documento già noto come DPSS.

Inoltre un sistema sanzionatorio non solo tabellato agli importi ma parametrizzato a quote.

I lettori più attenti possono intravedere quindi, sopratutto per l’ipotesi di aziende fino a 250 dipendenti , un sitema normativo e di “autocontrollo” non dissimile dalle imposizioni del D.lgs 231/01.

Tralasciando comunque che i reati informatici della 231/01 (art 24 bis) possono essere esenti da sanzioni penali solo con la predisposizione di un modello di gestione e  controllo che incorpori il DPSS analizziamo bene la norma di abolizione del DPSS riportando il nuovo art. 34 del D.Lgs 196/03.

Art. 34
                Trattamenti con strumenti elettronici

  1. Il  trattamento  di  dati  personali  effettuato  con  strumenti
elettronici e’ consentito solo se sono adottate,  nei  modi  previsti
dal disciplinare tecnico  contenuto  nell’allegato  B),  le  seguenti
misure minime:
    a) autenticazione informatica;
    b)  adozione  di  procedure  di  gestione  delle  credenziali  di
autenticazione;
    c) utilizzazione di un sistema di autorizzazione;
    d) aggiornamento periodico  dell’individuazione  dell’ambito  del
trattamento consentito ai singoli incaricati e addetti alla  gestione
o alla manutenzione degli strumenti elettronici;
    e) protezione degli strumenti elettronici e dei dati  rispetto  a
trattamenti  illeciti  di  dati,  ad  accessi  non  consentiti  e   a
determinati programmi informatici;
    f) adozione di procedure per la custodia di copie  di  sicurezza,
il ripristino della disponibilita’ dei dati e dei sistemi;
    g) ((LETTERA SOPPRESSA DAL D.L. 9 FEBBRAIO 2012, N. 5));
    h) adozione di tecniche di cifratura o di  codici  identificativi
per determinati trattamenti di dati idonei a  rivelare  lo  stato  di
salute o la vita sessuale effettuati da organismi sanitart.
  1-bis. ((COMMA ABROGATO DAL D.L. 9 FEBBRAIO 2012, N. 5)).
  1-ter. Ai fini dell’applicazione delle disposizioni in  materia  di
protezione dei dati personali, i trattamenti effettuati per finalita’
amministrativo – contabili  sono  quelli  connessi  allo  svolgimento
delle attivita’ di natura organizzativa, amministrativa,  finanziaria
e contabile,  a  prescindere  dalla  natura  dei  dati  trattati.  In
particolare, perseguono tali  finalita’  le  attivita’  organizzative
interne, quelle funzionali all’adempimento di obblighi contrattuali e
precontrattuali, alla gestione del rapporto di lavoro in tutte le sue
fasi, alla tenuta della contabilita’ e all’applicazione  delle  norme
in materia fiscale,  sindacale,  previdenziale  –  assistenziale,  di
salute, igiene e sicurezza sul lavoro.

In particolare pur essendo soppressa la lettera g ” tenuta di un aggiornato documento programmatico sulla sicurezza” resta l’obbligo strutturale ed organizzativo di dover documentare l’adeguatezza del trattamento dei dati con strumenti informatici, tale obbligo è dato dall’art 50 bis del D.Lgs 82/05 per le PP.AA e dall’adozione di un modello esimente per le imprese, che converrà continuare a chiamare DPSS almeno fino all’entrata in vigore del nuovo regolamento europeo, e questi documenti saranno esibiti agli organi ispettivi.