DPS

DPS: onere burocratico o opportunità di sviluppo?

Entro il 31 marzo di ogni anno, imprese, professionisti e istituzioni, sulla base di quanto disposto dal D.Lgs. n°196 del 30/06/2003, devono redarre il proprio "Documento Programmatico sulla Sicurezza" (DPS) che attesta e certifica il rispetto delle norme sul trattamento dei dati.
Secondo tali norme, i dati personali posseduti dalle suddette organizzazioni, e che sono oggetto di trattamento, devono essere adeguatamente custoditi e controllati in modo da ridurre al minimo il rischio di una loro perdita o distruzione. Inoltre, attraverso l’adozione di adeguate misure di sicurezza, occorre limitare il pericolo di accessi non autorizzati, e quindi di un trattamento dei dati che esuli dalle finalità per cui essi sono stati originariamente raccolti.
Entro la data del 31 marzo, inoltre, è fatto l’obbligo di aggiornare Il DPS, vale a dire di integrarlo con eventuali modifiche che siano intervenute nella composizione qualitativa o quantitativa dei dati trattati oppure nella natura del soggetto (titolare o responsabile) e/o dello strumento (sistemi informativi, hardware e software) trattante.
Bisogna inoltre recepire i vari aggiornamenti che intervengono immancabilmente in materia. Solo per citarne alcuni tra i più recenti, entro il 31 marzo appena trascorso andavano recepiti: il provvedimento relativo alle “Linee guida in materia di lavoro per posta elettronica e Internet” (Gazzetta Ufficiale 10 marzo 2007, n. 58), quello relativo ai “Rifiuti di apparecchiature elettriche ed elettroniche (RAEE) e misure di sicurezza dei dati personali” (Gazzetta Ufficiale 9 dicembre 2008, n. 287), e quello poi di fatto prorogato dal Garante della Privacy al 30 Giugno 2009 relativo alle “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (Gazzetta Ufficiale del 24 dicembre 2008, n. 300).
Come si vede, la legislazione sulla sicurezza dei dati informatici prevede un quadro normativo in continua evoluzione. Sommando questo problema al fatto che non tutti hanno adeguate conoscenze in ambito informatico, e soprattutto di privacy informatica, ecco che per molte organizzazioni la compilazione del DPS e il relativo aggiornamento possono apparire operazioni estremamente difficoltose e onerose. Tanto più se si mette in conto anche il rischio, in caso di violazione accertata delle norme, di sanzioni di tipo amministrativo fino a € 124.000, e la reclusione fino a 3 anni, con esclusione dalle gare di appalto e il risarcimento di danni (ai sensi dell'art. 2050 C.C.). È per questo che molte aziende, enti e studi professionali si rivolgono sempre più spesso a un consulente informatico esterno, sfruttando così l’occasione per ottimizzare il proprio sistema informativo sia dal punto di vista della sicurezza che da quello dell’efficacia. La redazione del DPS è, infatti, soltanto il passo conclusivo di una serie di operazioni volte non solo a un semplice Check Up (di norma gratuito), ma pure al miglioramento di tutto l’assetto informatico di un’azienda. Solo un consulente informatico specializzato è infatti in grado di compiere una mappatura completa dell’hardware e dell’intera infrastruttura telematica aziendale, così da individuare le vulnerabilità della rete informatica e giungere a una corretta valutazione del rischio cui i dati aziendali sono soggetti. E quindi, quando è il caso, intervenire con operazioni di natura tecnica in modo da ottimizzare la protezione dei dati. Da qui a una predisposizione documentale adeguata o a una vera e propria redazione del DPS il passo è breve, con la differenza di aver trasformato un onere burocratico in un’occasione per massimizzare l'efficienza dell'apparato amministrativo e logistico aziendale. Se desiderate ulteriori informazioni  o volete richiedere una consulenza informatica integrata con la redazione del DPS, inviateci una e-mail.