Ci stiamo avvicinando alla data in cui tipicamente le aziende dovevano redigere il DPS, quindi come tutti gli anni se ne parla, quest’anno la novità più interessante è che il decreto sulle semplificazioni lo ha abolito, creando molto sollievo ed evitandoci questo ulteriore “balzello” annuale diventato ormai per molti un “Copia & Incolla”.

Però è utile fare chiarezza che l’abolizione del DPS NON è l’abolizione delle norme minime di sicurezza previste dal DPS, è importante fare attenzione a questo aspetto in quanto rimangono in essere tutti i requisiti minimi che questa normativa prevede con le relative conseguenze civili e penali in caso di mancato adeguamento.

Tanti sono gli aspetti dei requisiti minimi, tra cui:

  1. L’accesso ai dati personali deve essere fatto con il superamento di procedure di autenticazione
  2. Le credenziali devono essere conosciute solo dall’incaricato che accede
  3. La parola chiave deve avere almeno 8 caratteri ed essere cambiata ogni 3/6 mesi a seconda della tipologia dei dati trattati
  4. Il codice di autenticazione è personale ed univoco non può essere assegnato a più incaricati neanche in tempi diversi
  5. È necessario effettuare verifiche periodiche sull’adeguatezza dei requisiti minimi
  6. È necessario effettuare aggiornamenti periodici dei sistemi informatici
  7. È necessario prevedere Backup almeno settimanali
  8. È necessario prevedere idonee misure per il ripristino dell’accesso ai dati in caso di danneggiamento
  9. E’ necessario prevedere programmi antivirus aggiornati
  10. E’ necessario prevedere Firewall, ed anche in questo caso aggiornarli periodicamente

molto più severe le norme quando il problema è affrontato da Enti pubblici o dove il trattamento dei dati tocca i dati sensibili

Qui poi non si parla ovviamente di tutti i rischi che riguardano l’adozione di software non adeguato come ad esempio, l’uso di licenze non corrette se non software contraffatto, l’uso di antivirus “free” in azienda, ecc. in quanto si ricade su norme che tutelano i diritti d’autore, ma anche su questo aspetto consiglio di fare sempre molta attenzione sulle responsabilità derivate.

Non vorrei fare dell’inutile terrorismo, ma è importante che le figure IT all’interno delle aziende siano consapevoli che è loro compito far si che ci si attenga a quanto previsto o quantomeno far presente a chi decide che esiste una normativa, diversamente sono corresponsabili per quanto possa accadere. Consiglio sempre dove l’azienda “non ci sente” di far firmare una “manleva” che Vi tuteli in caso di problemi. Credo che nessuno voglia rischiare una causa penale per una colpa non sua.

Ci sono norme che se non seguite hanno conseguenze penali, è facile pensare che “tanto i controlli non li fanno” ma il problema si può presentare in caso di problemi (virus, uscita di dati non autorizzata, blocco dei sistemi informatici, perdita dei dati, sabotaggio da parte di dipendenti, ecc), dove a quel punto è palese la mancata applicazione delle norme minime di sicurezza.

È compito dell’IT aziendale far si che l’azienda sia adeguata alla normativa e che comunque sia informata dei rischi che si corrono.

ILLECITO

SANZIONI AMMINISTRATIVE

SANZIONE PENALE

Omessa o inidonea informativa all’interessato

da 3.000 a 18.000 euro per violazione dei dati ex art.13; per violazione dei dati sensibili o giudiziari, – da 5.000 a 30.000 e fino al triplo se risulta inefficace x le condizioni economiche del contravventore

Altre fattispecie (violazione art.16, 1° comma lett. B); art.84 1° comma)

da 5.000 a 30.000 euro

Omessa o incompleta notificazione

da 10.000 a 60.000 euro Sanzione accessoria: pubblicazione ordinanza – ingiunzione.

Omessa informazione o esibizione al Garante

da 4.000 a 24.000 euro

Trattamento illecito di dati

Reclusione da 6 a 18 mesi (se dal fatto deriva nocumento); Reclusione da 6 a 24 mesi (se il fatto consiste nella comunicazione e/o diffusione). Reclusione da 1 a 3 anni (se il fatto costituisce reato più grave: al fine di trarre profitto per se o altri o per arrecare danno).

Falsità nelle dichiarazioni e notificazioni al Garante

Reclusione da 6 mesi a 3 anni.

Inadeguatezza delle Misure minime di sicurezza

da 10.000 a 50.000 euro

Reclusione fino a 2 anni

Inosservanza di provvedimenti del Garante

Reclusione da 3 mesi a 2 anni.

E’ poi importante sapere che l’abolizione del DPS è solo un passaggio ad una normativa Europea in fase di approvazione che dovrà essere recepita da tutti i paesi, quindi di fatto mantenere delle adeguate regole interne non farà altro che preparare le aziende oltre che dare adeguata disciplina al trattamento delle informazioni.

Cosa consiglio ?

Aldilà di quanto prevede la normativa ritegno sia importante garantire la giusta conservazione dei dati, dovrebbe essere regola a prescindere da quanto dice la legge. Ritengo sia utile seguire quanto previsto dal vecchio DPS e magari metterle per iscritto un po’ sulla falsa riga del DPS anche se magari in modo più blando.

Per le aziende dove questo tipo di aspetto non viene considerato o ignorato, Vi consiglio di far firmare una manleva dove fate presente ciò che è previsto per legge e le eventuali inadeguatezze aziendali. Così da tutelarVi in caso di problemi, non so quanto questo possa garantirVi in sede di giudizio, qualcuno osserverà che avreste dovuto fare denuncia della situazione, ma è anche vero che bisogna pur lavorare.

Infine adeguarsi al “minimo previsto” ritengo non sia un’operazione ne particolarmente costosa ne inutile, è solo un fattore mentale e scusatemi una “ignoranza informatica” che porta spesso le aziende a non rendersi conto dei rischi che si corrono, non si capisce quanto il valore delle aziende spesso si trova proprio in quelle informazioni, la perdita o la loro diffusione hanno un valore decisamente più alto del costo necessario a proteggerle.

Consiglio inoltre un occhio di riguardo anche a chi il nostro mestiere lo fa come consulente esterno, in caso di problemi è facile poter girare sul professionista di turno le responsabilità in quanto non ci aveva informato dei rischi che si correvano, Vi assicuro che non mi è raro sentirlo, soprattutto a riguardo di software contraffatto o licenze non adeguate.

Ed i controlli in tal caso sono più comuni di quanto si pensi, solo negli ultimi mesi:

https://www.irpiniareport.it/articolo/cronaca/3/pirateria-informatica-studi-professionali-nel-mirino-della-gdf/4370

https://www.agi.it/bologna/notizie/201112211211-cro-rt10100-pirateria_informatica_forli_controlli_e_sequestri_in_aziende

Per qualsiasi domanda o dubbi non esitate a contattarmi, sono sempre a Vostra disposizione.