 |
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Entro il 31 marzo la redazione del D.P.S. sulla privacy
Il D.Lgs. 196/03, meglio conosciuto come il Codice della Privacy, prevede espressamente all’art. 34, l’obbligo di redigere annualmente il “documento programmatico sulla sicurezza” entro il 31 marzo di ogni anno.
La platea degli interessati è vastissima e rimane uno degli ambiti di forte
impatto organizzativo e amministrativo per imprese e professionisti, quello
relativo alle disposizioni in tema di sicurezza nel trattamento dei dati, dal
momento che il Codice della Privacy ha riscritto integralmente le
disposizioni in tema di sicurezza.
La normativa
Il Codice delle Privacy (D.Lgs. n. 196/03) impone a tutti coloro che trattano dati personali la predisposizione di adeguati controlli in materia di sicurezza, sulla base di uno specifico protocollo previsto dal c.d. Disciplinare Tecnico della norma (allegato B del citato D.Lgs. n. 196/03).
La norma obbliga alla realizzazione di diversi adempimenti, tra cui:
Ü la nomina del titolare del trattamento dei dati, che generalmente coincide con la società, nella persona del suo legale rappresentante;
Ü la nomina del/dei responsabile/i del trattamento dei dati;
Ü la nomina del/degli incaricato/i al trattamento dei dati;
Ü il rilascio di apposita informativa;
Ü la preventiva richiesta del consenso al trattamento dei dati;
Ü la notificazione al Garante della Privacy, quando ne ricorre l’obbligo;
Ü l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine, il rischio di:
4 sottrazione, alterazione, perdita degli stessi,
4 accesso non autorizzato da parte di terzi,
4 trattamento di dati non consentito e non conforme a quanto normativamente previsto.
Misure minime di sicurezza
Il Legislatore, in relazione all’obbligo generale di protezione dei dati personali, ha previsto un livello minimo di sicurezza cui corrispondono le c.d. misure minime, tra le quali vi è anche la redazione del D.P.S. (Documento Programmatico sulla Sicurezza) quando il trattamento dei dati viene effettuato con strumenti elettronici e riguarda dati “sensibili” (ossia idonei a rivelare l’origine etnica e razziale, le convinzioni religiose, politiche, filosofiche, l’appartenenza a partiti e sindacati, nonché quelli idonei a rivelare lo stato di salute e la vita sessuale), o “giudiziari”.
Il D.P.S. deve essere aggiornato e rivisto ogni anno entro il 31 marzo; periodicamente è necessario verificare il rispetto delle prescrizioni normative, e annualmente corre l’obbligo di effettuare un percorso formativo specifico da parte del titolare, dei responsabili e degli incaricati al trattamento dei dati.
Novità dal 2008
Nel corso del 2008 sono state apportate importanti modifiche al Codice della Privacy, che hanno semplificato alcuni obblighi in materia di “misure minime di sicurezza” per determinate categorie di trattamento dei dati.
Con il provvedimento del Garante del 19/06/08 le piccole e medie imprese, professionisti e artigiani possono godere di semplificazioni su alcuni adempimenti previsti dal D.Lgs. n. 196/03, quali informativa, esonero dal consenso, incaricati del trattamento dei dati personali.
Con il D.L. n. 112/08 (c.d. “Manovra estiva”) sono state introdotte ulteriori semplificazioni in materia di D.P.S. (dettagliate in altra informativa di questo speciale Privacy); in pratica ora è possibile evitare di redigere il documento programmatico sulla sicurezza quando i soggetti trattano soltanto dati non sensibili, ovvero, in presenza di dati sensibili, questi siano costituiti unicamente dallo stato di salute o malattia dei propri dipendenti e collaboratori a progetto, senza indicazione della relativa diagnosi o dall’adesione a organizzazioni sindacali o a carattere sindacale.
Esonero dal D.P.S.
A seguito delle modifiche introdotte dalla manovra estiva del 2008, il Documento Programmatico sulla Sicurezza (D.P.S.) in molti casi è possibile che possa essere sostituito da una “autocertificazione”, e in molti degli altri casi è possibile che possa essere redatto in modo “semplificato” rispetto ai requisiti minimi.
In pratica ora è possibile evitare di redigere il documento programmatico sulla sicurezza quando:
Ø si trattano soltanto dati non sensibili;
Ø in presenza di dati sensibili, questi siano costituiti unicamente:
a) dallo stato di salute o malattia dei propri dipendenti e collaboratori a progetto, senza indicazione della relativa diagnosi;
b) dall’adesione a organizzazioni sindacali o a carattere sindacale.
Si tratta molto spesso degli unici dati sensibili trattati da molte piccole o medie aziende, che, prima delle modifiche, costringevano alla redazione del D.P.S. Per non redigere più il Documento Programmatico sulla Sicurezza sarà sufficiente che il titolare del trattamento dei dati renda un’autocertificazione (di cui all’art. 47 del T.U. di cui al D.P.R. n. 445/00), in cui dichiari di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
Bozza di autocertificazione
|
AUTOCERTIFICAZIONE SOSTITUTIVA D.P.S. Obbligo di cui alla lett. g) del co.1 e al punto 19 dell'allegato B Ai sensi degli artt. 34 co.1-bis D.Lgs. n. 196/03 e 47 DPR n. 445/00
Il sottoscritto ………………………., nato a …………….., in data ……………….., C.F. ………....…………, in qualità di Legale rappresentante società ………………. con sede in ……………………………….., C.F. ………………….. P. Iva …………………………, consapevole che il rilascio di false dichiarazioni ad un pubblico ufficiale o la presentazione di false documentazioni sono punibili a termine degli artt. 495 e 496 del Codice penale, DICHIARAAi sensi dell’art. 34, co.1-bis del D.Lgs. n. 196/03 ¨ di effettuare il trattamento di dati personali non sensibili; ¨ che gli unici dati sensibili trattati sono quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale; ¨ che i dati di cui sopra sono trattati in osservanza delle misure di sicurezza prescritte dal D.Lgs. n. 196/03 e dall’allegato B) allo stesso. ………………………, lì…………… Il Titolare del trattamento ………………………………. |
Tali soggetti sono esonerati dalla nomina di una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui sono effettuati trattamenti di dati personali (il c.d. “amministratore di sistema”).
Semplificazioni per il D.P.S.
Secondo il testo del nuovo co.1-bis, art. 34 del D.Lgs. n. 196/03, in relazione ai trattamenti di cui sopra, nonché a quelli comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante ha individuato con un primo provvedimento (27/11/08, in G.U. n. 287/08), da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all’allegato B), in ordine all’adozione delle misure minime di sicurezza.
Si tratta di un’ulteriore semplificazione, legata più specificatamente alle misure minime di sicurezza, in ordine al trattamento di quei dati che possiamo definire “ordinari”, come la tenuta di una contabilità piuttosto che la gestione di dati e documenti previsti per i datori di lavoro.
I soggetti interessati sono i titolari che:
Ü siano soggetti alla tenuta di un aggiornato D.P.S. (quindi non nei casi di esonero);
Ü
trattino dati personali
“unicamente per correnti finalità amministrative e contabili”
(il provvedimento parla, a titolo di esempio, di “gestione di ordinativi” e di
“ordinaria corrispondenza con clienti, fornitori e dipendenti”).
In particolare, tale agevolazione è rivolta ai piccoli imprenditori ai sensi dell’art. 2083 del codice civile
(chi esercita un’attività professionale organizzata prevalentemente con il lavoro proprio e dei componenti della famiglia) e le piccole e medie imprese (PMI) ai sensi dell’art. 2.1 del D.M. 18/04/05 (imprese che hanno meno di 250 occupati e un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro).
A differenza del D.P.S. ordinario, l’aggiornamento di quello semplificato è richiesto solo in presenza di modifiche.
Anche i predetti soggetti (come quelli che predispongono l’autocertificazione) sono esonerati dalla nomina dell’Amministratore di sistema.
15/03/2010