Come ha scritto molto chiaramente Kadosh, il DPS 2004 deve essere predisposto OBBLIGATORIAMENTE (misure minime) solo da chi tratta dati sensibili o giudiziari (in breve: sanità, notai, commercialisti ed avvocati).
SICURAMENTE è CONSIGLIABILE (misure idonee) predisporlo anche nel caso di semplice trattamento di dati personali (fornitori, impiegati, clienti) per evitare eventuali richieste di risarcimento danni.
Dal momento che non va inviato al Garante, ma semplicemente conservato, si consiglia ai fini probatori di dare al documento data certa (autoprestazione in posta)
Dati questi due punti la materia rimane -al solito- nebulosa. Per quel che concerne l'interpretazione della terminologia, come gli ampi concetti di "dato personale" o "misura idonea" il garante (
http://www.garanteprivacy.it) aveva dichiarato che entro il 1 giugno avrebbe emesso delle "riflessioni" di concerto con esperti del settore. Ovviamente la cosa non è avvenuta.
In data 11 giugno ha però emesso una breve, aleatoria e "non obbligatoria per l'adempimento dell'obbligo" guida ("Guida operativa per redigere il Documento programmatico sulla sicurezza.pdf") della quale riporto solo la premessa:
QUOTE
La presente guida mira a facilitare l’adempimento dell’obbligo di redazione del
documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e
medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche.
La guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio
utilizzarla per adempiere all’obbligo.
La guida è strutturata in due parti: la prima contiene istruzioni per sviluppare il
DPS negli aspetti descrittivi oppure nella compilazione di alcune tabelle riportate nella
seconda parte.
Nella guida sono anche evidenziati altri elementi utilizzabili facoltativamente -comprese
alcune tabelle-, che si ritengono utili per una più approfondita definizione
del DPS.
UNQUOTE
Da notare quindi che si profila chiaramente l'ipotesi che qualsiasi persona giuridica sia compresa tra coloro che dovranno predisporre -nella parte di loro competenza- il DPS.
Recentemente la CEDCAMERA della Camera di Commercio di Milano ha messo a disposizione sia un corso on-line (a 150 euro) di tre ore per la comprensione della legge e del DPS ed un software per la sua compilazione (a xxxyyy euro, solo dopo averlo provato). Prima di sborsare tali cifre ci penserei due volte.
Ieri (giugno 16) era girata voce di una proroga ulteriore ma la questione risulta del tutto inestente dal momento che dovrebbe essere emanata con Decreto Legislativo.
Vi consiglio di dare un'occhiata ad Interlex (
http://www.interlex.it) per i commenti in proposito.
Ricordarsi che un "canovaccio" non esiste, salvo per quelle figure giuridiche che già dal 2000 avevano l'obbligo di compilare il DPS le quali, ora, si trovano solo a dover "aggiornare secondo la nuova normativa" il nuovo DPS invece di "predisporlo" ex novo.
La gran confusione è data dal fatto che il garante ha ridotto le guide ad un mero upgrade delle incombenze già predisposte della legge 675/96 -ora abrogata dal TU/DL 196/03- invece di emanare linee precise e, susseguentemente, dal fatto che tutti cercano di dare interpretazione propria al nuovo Testo Unico.
Io sto seguendo tre Aziende in questo momento ed i problemi interni sono parecchi. A ciò si aggiunga che la Guardia di Finanza ha già effetuato circa 6000 controlli in
Milano e Provincia a che la "notifica" al garante -da inviarsi non oltre il 30 aprile solo in via telematica- fosse stata effettuata.
Non contate su proroghe, quindi, ma al massimo che la Guardia di Finanza possa essere meno restrittiva in questo primo periodo (ricordarsi che il DPS ha come data certa per la compilazione completa il 31 dicembre 2004 -per eventuali adeguamenti informatici -ad esempio-; ad ora sono richieste le "misure minime di sicurezza -> vedi l'allegato B punto 19 ed artt. da 33 a 36 del Testo unico").
Sulla questione monetaria, Sempre come ha scritto Kadosh, l'eventuale ausilio di risorse esterne è variabile a seconda della figura giuridica, dimensioni di essa ed servizi richiesti. MOlte aziende si affidano ad esterni anche per la compilazione del DPS, che comporta un notevole dispendio di tempo. Così come per il coordinamento delle risorse interne atte al reperimento delle informazioni necessarie.
Sembrerebbe assurdo ma in tutte le Aziende presso le quali mi trovo io devo "ficcare" il naso nei dati aziendali perché i/l responsabili/e (persone fisiche -ie Direttore del personale o Dei Sistemi Informativi- all'interno della struttura nominate dal Titolare (persona giuridica -l'Amministratore Delegato, in breve, che è colui ad essere soggeto alle sanzioni civili e penali) "non ha/nno tempo". Da questo una tariffazione molto alta, a fronte di lavoro imbrobo.
Chiudo con la semplice constatazione che a fronte di chi ha interpretato in modo corretto il concetto di deroga/proroga teporale -alias ulteriore tempo per meglio definire e completare il DPS- la maggior parte ne ha solo preso atto rinviando il problema sull'agenda. Solo quando si è letto che il DPS dovrà essere pienamente completato entro il 31 mazo 2005, in coincidenza all'emanazione della "relazione accompagnatoria del bilancio di esercizio", si sono improvvisamente tutti svegliati (il portafoglio fa da padrone).
Infine, i casini del signor Urbani hanno distolto molti da scadenze, come quella in essere, che sono tutt'altro che da sottovalutare.
Registrazione
il Garante nulla dice o menziona.