ADEMPIMENTI PRIVACY 2011
Documento programmatico della sicurezza entro il 31 marzo
Uno degli adempimenti di difficile gestione organizzativa ed amministrativa per imprese e professionisti è senz’altro quello relativo alle disposizioni in tema di sicurezza nel trattamento dei dati, dal momento che il Codice della Privacy (D.Lgs. n.196/03) ha riscritto integralmente le disposizioni in tema di sicurezza.
L’articolo 31 del D.Lgs. n. 196/03 stabilisce che i dati personali devono essere “custoditi e controllati … in modo da ridurre al minimo … i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” e all’art. 34 prevede espressamente l’obbligo di redigere annualmente il “documento programmatico sulla sicurezza” entro il 31 marzo di ogni anno.
La normativa
Il Codice delle Privacy (D.Lgs. n. 196/03) impone a tutti coloro che trattano dati personali la predisposizione di adeguati controlli in materia di sicurezza, sulla base di uno specifico protocollo previsto dal c.d. Disciplinare Tecnico della norma (allegato B del citato D.Lgs. n. 196/03).
La norma obbliga alla realizzazione di diversi adempimenti, tra cui:
Ü la nomina del titolare del trattamento dei dati, che generalmente coincide con la società, nella persona del suo legale rappresentante;
Ü la nomina del/dei responsabile/i del trattamento dei dati;
Ü la nomina del/degli incaricato/i al trattamento dei dati;
Ü il rilascio di apposita informativa;
Ü la preventiva richiesta del consenso al trattamento dei dati;
Ü la notificazione al Garante della Privacy, quando ne ricorre l’obbligo;
Ü l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine, il rischio di:
4 sottrazione, alterazione, perdita degli stessi,
4 accesso non autorizzato da parte di terzi,
4 trattamento di dati non consentito e non conforme a quanto normativamente previsto.
Misure minime di sicurezza
Il Legislatore, in relazione all’obbligo generale di protezione dei dati personali, ha previsto un livello minimo di sicurezza cui corrispondono le c.d. misure minime, tra le quali vi è anche la redazione del D.P.S. (Documento Programmatico sulla Sicurezza) quando il trattamento dei dati viene effettuato con strumenti elettronici e riguarda dati “sensibili” (ossia idonei a rivelare l’origine etnica e razziale, le convinzioni religiose, politiche, filosofiche, l’appartenenza a partiti e sindacati, nonché quelli idonei a rivelare lo stato di salute e la vita sessuale), o “giudiziari”.
Il D.P.S. deve essere aggiornato e rivisto ogni anno entro il 31 marzo; periodicamente è necessario verificare il rispetto delle prescrizioni normative, e annualmente corre l’obbligo di effettuare un percorso formativo specifico da parte del titolare, dei responsabili e degli incaricati al trattamento dei dati.
Novità dal 2008
Nel corso del 2008 sono intervenute significative semplificazioni al Codice della Privacy, che hanno mutato alcuni obblighi in materia di “misure minime di sicurezza” per determinate categorie di trattamento dei dati.
Con il provvedimento del Garante del 19/06/08 le piccole e medie imprese, professionisti e artigiani possono godere di semplificazioni su alcuni adempimenti previsti dal D.Lgs. n. 196/03, quali informativa, esonero dal consenso, incaricati del trattamento dei dati personali.
Con il D.L. n. 112/08 (c.d. “Manovra estiva”) sono state introdotte ulteriori semplificazioni in materia di D.P.S.: è possibile evitare di redigere il documento programmatico sulla sicurezza quando i soggetti trattano soltanto dati non sensibili, ovvero, in presenza di dati sensibili, questi siano costituiti unicamente dallo stato di salute o malattia dei propri dipendenti e collaboratori a progetto, senza indicazione della relativa diagnosi o dall’adesione a organizzazioni sindacali o a carattere sindacale.
Autocertificazione
A seguito delle modifiche introdotte dalla manovra estiva del 2008, il Documento Programmatico sulla Sicurezza (D.P.S.) in molti casi è possibile che possa essere sostituito da una “autocertificazione”, ai sensi dell’art. 47 del T.U. di cui al D.P.R. n. 445/00, in cui il titolare del trattamento dei dati dichiari di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
E’ possibile redigere l’autocertificazione quando:
Ø si trattano soltanto dati non sensibili;
Ø in presenza di dati sensibili, questi siano costituiti unicamente:
a) dallo stato di salute o malattia dei propri dipendenti e collaboratori a progetto, senza indicazione della relativa diagnosi;
b) dall’adesione a organizzazioni sindacali o a carattere sindacale.
In questi casi si è anche esonerati dalla nomina di una
figura professionale dedicata alla gestione e alla manutenzione di impianti di
elaborazione con cui sono effettuati trattamenti di dati personali
(il c.d. “amministratore di sistema”).
Bozza di autocertificazione
|
AUTOCERTIFICAZIONE SOSTITUTIVA D.P.S. Obbligo di cui alla lett. g) del co.1 e al punto 19 dell'allegato B Ai sensi degli artt. 34 co.1-bis D.Lgs. n. 196/03 e 47 DPR n. 445/00
Il sottoscritto ………………………., nato a …………….., in data ……………….., C.F. ………....…………, in qualità di legale rappresentante società ………………. con sede in ……………………………….., C.F. ………………….. P. Iva …………………………, consapevole che il rilascio di false dichiarazioni ad un pubblico ufficiale o la presentazione di false documentazioni sono punibili a termine degli artt. 495 e 496 del codice penale, DICHIARAAi sensi dell’art. 34, co.1-bis del D.Lgs. n. 196/03 ¨ di effettuare il trattamento di dati personali non sensibili; ¨ che gli unici dati sensibili trattati sono quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale; ¨ che i dati di cui sopra sono trattati in osservanza delle misure di sicurezza prescritte dal D.Lgs. n. 196/03 e dall’allegato B) allo stesso. ………………………, lì…………… Il Titolare del trattamento ………………………………. |
D.P.S. semplificato
A seguito delle modifiche introdotte dalla manovra estiva del 2008, il Documento Programmatico sulla
particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante ha individuato con un primo provvedimento (27/11/08, in G.U. n. 287/08), da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all’allegato B), in ordine all’adozione delle misure minime di sicurezza.
Si tratta di un’ulteriore semplificazione, legata più specificatamente alle misure minime di sicurezza, in ordine al trattamento di quei dati che possiamo definire “ordinari”, come la tenuta di una contabilità piuttosto che la gestione di dati e documenti previsti per i datori di lavoro.
I soggetti interessati sono i titolari che:
Ü siano soggetti alla tenuta di un aggiornato D.P.S. (quindi non nei casi di esonero);
Ü
trattino dati personali
“unicamente per correnti finalità amministrative e contabili”
(il provvedimento parla, a titolo di esempio, di “gestione di ordinativi” e di
“ordinaria corrispondenza con clienti, fornitori e dipendenti”).
In particolare, tale agevolazione è rivolta ai piccoli imprenditori ai sensi dell’art. 2083 del codice civile
(chi esercita un’attività professionale organizzata prevalentemente con il lavoro proprio e dei componenti della famiglia) e le piccole e medie imprese (PMI) ai sensi dell’art. 2.1 del D.M. 18/04/05 (imprese che hanno meno di 250 occupati e un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro).
Anche i predetti soggetti (come quelli che predispongono l’autocertificazione) sono esonerati dalla nomina dell’amministratore di sistema.
Contenuti del D.P.S. semplificato
Imprese e professionisti ammessi al DPS semplificato:
A differenza del D.P.S. ordinario, l’aggiornamento di quello semplificato è richiesto solo in presenza di modifiche.
16/03/2011