Non ci saranno più questioni interpretative né discriminazioni tra titolari di dati amministrativi e dati sensibili, tra piccole e grandi aziende, tra professionisti o altro. In una situazione particolarmente grave sotto il profilo economico, non poteva che rispondere con questa abrogazione il Governo, recependo peraltro gli umori manifestati da aziende ed operatori del settore, nonché in prospettiva dell'ormai prossima Direttiva Europea che metterà mano all'argomento. Il DPS aveva un senso? Certo, lo aveva in un momento storico di sviluppo dell'informatizzazione, lo ha avuto fino a quando non è stato snaturato diventando un ingestibile documento spesso promosso dai consulenti come un documento da valutare più per il peso e numero di pagine, che rispetto ai contenuti!

I controlli sulle misure di sicurezza
Il DPS era comunque uno strumento che consentiva di dare evidenza, in caso di controllo, di un approccio positivo all'applicazione normativa. All'arrivo della Guardia di Finanza o in occasione di richieste specifiche dell'Autorità Garante, esibire il DPS costituiva un presupposto fondamentale per dimostrare l'attenzione del Titolare sull'applicazione delle misure. Cosa succederà adesso? Che i controlli - non certo destinati a scemare - si concentreranno in modo più approfondito su ben altri elementi. In particolare ora le aziende ed i professionisti dovranno concentrarsi sulla verifica effettiva dell'applicazione dell'art. 34 orfano del DPS. Da sempre ho definito il DPS una "ciliegina sulla torta" al termine dell'adeguamento normativo della struttura, non comprendendo né il terrore avvertito dalle aziende nel doverlo applicare, né il terrorismo dilagante tra i consulenti nel farlo redigere.

Dunque viene meno una delle incombenze, ma l'art. 34 resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre: a) l'autenticazione informatica; b)l' adozione di procedure di gestione delle credenziali di autenticazione; c) l'utilizzazione di un sistema di autorizzazione; d) l'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici - dovendo fornire istruzioni chiare e formarli laddove necessario per l'effettiva protezione dei dati-; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l'adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all'adozione delle misure di cui all'art. 34 ed all'Allegato B. questo aspetto assumerà particolare importanza.

Ora l'art. 34 a totale carico del Responsabile
Si valorizza dunque con questa abrogazione il ruolo del Responsabile della sicurezza informatica. Se sino ad ieri il DPS era un documento da sottoscrivere unitamente da parte di tutti i Responsabili o direttamente dal Titolare del trattamento, con l'abrogazione ormai prossima sarà il Responsabile della sicurezza informatica a dover attestare la sussistenza delle misure di cui all'art. 34 ed all'Allegato B. Si ridarà così un senso più stretto al concetto di sicurezza informatica sui dati gestiti; saranno quindi valorizzati ulteriormente i consulenti informatici e necessiteranno di maggior attenzione i contratti mediante i quali il Titolare o i Responsabili si affideranno a soggetti terzi, parzialmente o totalmente, per adeguare le misure.

Per maggiori informazioni: Articolo completo su PuntoInformatico