• CATALOGO
  • LIBRI
  • CODICI
  • RIVISTE
  • SERVIZI ON LINE
  • ELEARNING
  • EBOOK
  • APP
  • BANCHE DATI
  • SCUOLA DI FORMAZIONE
  • SOFTWARE
 
Marcello Polacchini

La tutela della privacy nell'impresa

Il Blog di Marcello Polacchini

  • Home
  • Profilo
  • Pubblicazioni
  • Archivio
Postilla » Impresa » Il Blog di Marcello Polacchini » Privacy » E’ in arrivo la primavera… ed è tempo di DPS!

2 marzo 2011

E’ in arrivo la primavera… ed è tempo di DPS!

Tweet

Come ogni anno in primavera arrivano le rondini e… il Documento Programmatico sulla Sicurezza. A differenza delle rondini, però, il DPS non è molto amato, anzi… generalmente è visto come una solenne scocciatura!

Com’è noto, il DPS è una misura “minima” di sicurezza per il trattamento dei dati personali, disciplinata dall’art. 34 del D.Lgs. 196/03 e dal punto 19 dell’Allegato B) al D.Lgs. 196/03 e la legge dispone che tale misura di sicurezza deve essere adottata dai titolari del trattamento entro il 31 marzo di ogni anno.

Bisogna prestare attenzione al fatto che, essendo una misura “minima” di sicurezza [cioè una misura organizzativa che ha lo scopo di “ridurre al minimo i rischi di distruzione o perdita (dei dati), di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”], la mancata redazione o l’inadeguato aggiornamento del DPS impedisce al titolare qualsiasi trattamento dei dati personali. In sostanza, ciò significa che senza un adeguato DPS il trattamento dei dati personali non è lecito e quindi è sanzionabile.

Le sanzioni per la mancata redazione/aggiornamento del DPS sono quelle applicate per l’omessa o inidonea adozione delle misure di sicurezza e, a seguito dell’inasprimento delle sanzioni in materia di privacy ad opera della L. n. 14/09, il soggetto che è tenuto alla redazione o aggiornamento periodico del documento ma non vi provvede dovutamente, salvo più gravi illeciti, rischia la sanzione amministrativa da 10.000 a 120.000 euro (art.162, comma 2bis D.Lgs. 196/03), oltre alla sanzione penale dell’arresto sino a 2 anni (art. 169 D.Lgs. 196/03).

Oltre al Garante per la protezione dei dati personali, l’autorità preposta all’accertamento delle violazioni amministrative e degli illeciti penali è la Guardia di Finanza.

Ma allora siamo tutti condannati a fare questo benedetto DPS? Non è detto. Infatti, nel 2008 la disciplina del DPS ha subito due importanti innovazioni:

  • in primo luogo l’art. 29 del D.L. 112/08, convertito dalla L. 133/08, inserendo all’art. 34 del D.Lgs. 196/03 il comma 1-bis, ha previsto che: “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’art. 47 del testo unico di cui al D.P.R. 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.”
  • in secondo luogo, lo stesso comma 1-bis dell’art. 34 ha attribuito al Garante il potere di individuare con proprio provvedimento “…modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime ” e – proprio in attuazione di tale norma – l’Autorità Garante per la privacy ha emanato il provvedimento generale del 27 novembre 2008 per la “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali”, fissando modalità semplificate per l’applicazione delle misure minime di sicurezza. Cosicché, ricorrendo i requisiti di legge, per alcuni titolari del trattamento è possibile anche redigere un DPS semplificato rispetto a quello disciplinato dall’art. 34 e dal punto 19 dell’Allegato B) del Codice della privacy.

Perciò, molti titolari di trattamento di dati possono passare indenni rispetto al fastidioso appuntamento di primavera.
Ma tutti gli altri? Orbene, la legge dispone che sono soggetti all’obbligo della tenuta di un aggiornato DPS solo i titolari che trattano con strumenti elettronici:

  • dati personali “giudiziari”;
  • dati personali “sensibili” relativi all’origine razziale ed etnica;
  • dati personali “sensibili” relativi alle opinioni religiose, filosofiche o di altro genere;
  • dati personali “sensibili” relativi alle opinioni politiche, adesione a partiti, associazioni o organizzazioni a carattere religioso, filosofico e politico;
  • dati personali “sensibili” relativi alle indicazioni sulla vita sessuale;
  • dati personali “sensibili” relativi alle indicazioni sullo stato di salute di clienti, fornitori e di dipendenti (con indicazione della relativa diagnosi).

Non sono, invece, soggetti all’obbligo di tenuta di un aggiornato DPS i titolari che trattano solo:

  • dati personali “comuni” di clienti, fornitori e dipendenti;
  • dati personali “sensibili” relativi alle indicazioni sullo stato di salute o malattia di dipendenti (solo se senza indicazione della relativa diagnosi);
  • dati personali “sensibili” di carattere sindacale.

Il DPS, la cui forma è assolutamente libera, ha un contenuto stabilito obbligatoriamente dalla legge. Infatti, tale documento deve riportare “idonee informazioni” riguardo i seguenti punti:

  1. l’elenco dei trattamenti di dati personali fatti dal titolare;
  2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (incarichi attribuiti);
  3. l’analisi dei rischi che incombono sui dati, che deve essere ripetuta ogni anno;
  4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
  6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare;
  7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all’esterno della struttura del titolare.

Nell’aggiornamento annuale del DPS devono essere indicate tutte le variazioni verificatesi nel corso dei dodici mesi precedenti che abbiano interessato o possano interessare il trattamento dei dati. Ad esempio, devono essere indicate nel DPS le nomine di nuovi incaricati del trattamento, l’acquisto di nuovi elaboratori elettronici, la cessazione del rapporto con un incaricato del trattamento, il cambio di sede del titolare, l’acquisto di nuovi programmi software per il trattamento dei dati, la nomina di un nuovo responsabile del trattamento, e così via.
Inoltre, se il titolare del trattamento è tenuto a redigere e a depositare il suo bilancio di esercizio, comprensivo della relazione sulla gestione (redatta dagli amministratori ai sensi degli artt. 2428 e 2435-bis c.c.), tra i “fatti rilevanti avvenuti dopo la chiusura dell’esercizio” deve menzionare l’avvenuto aggiornamento annuale del proprio DPS.

Per quanto riguarda la data di redazione del DPS, l’apposizione della “data certa” al documento se non è richiesta espressamente dalla legge, tuttavia costituisce un’opportuna misura da adottare, specialmente in vista di eventuali accertamenti da parte delle autorità incaricate di verificare l’osservanza della normativa sulla protezione dei dati personali. Il DPS, una volta aggiornato, non deve essere spedito ad alcun ente, ma deve essere semplicemente conservato dal titolare del trattamento per essere eventualmente esibito a richiesta dell’autorità.

Fatto questo… possiamo finalmente dedicarci a osservare le rondini che segnano l’arrivo della primavera!

Letture: 7355 | Commenti: 2 |
Tweet

2 Commenti a “E’ in arrivo la primavera… ed è tempo di DPS!”

  1. franco gamboni scrive:
    Scritto il 6-3-2011 alle ore 12:10

    Esiste davvero la privacy ?
    Ho i miei dubbi.Basta dare una guardata ai giornali e ce ne rendiamo conto !!!!!!

  2. Marcello Polacchini scrive:
    Scritto il 6-3-2011 alle ore 15:40

    Alcuni anni fa, nella prefazione a un mio libro, scrivevo che al giorno d’oggi si sente molto spesso parlare di “privacy” e di diritto alla riservatezza delle informazioni sul proprio conto e che questo termine anglosassone ormai entrato nel linguaggio comune dei media, spesso è fin troppo usato e abusato. Sempre più spesso casi eclatanti di violazione della privacy sono riportati dai giornali e dalla televisione e il dibattito sulla legittimità o meno delle intercettazioni telefoniche e della videosorveglianza, nonché la discussione sui confini del cosiddetto “diritto di cronaca”, hanno innalzato il livello di attenzione del cittadino medio rispetto alla problematica della riservatezza delle informazioni che riguardano la sua sfera privata.
    Ciascuno di noi riceve continuamente “informative” da parte di soggetti che trattano nostri dati personali e, spesso, ci viene chiesto un consenso espresso per effettuare delle operazioni che, fino a qualche anno fa, non ci saremmo mai sognati di impedire a nessuno di fare. Altrettanto spesso, però, siamo interpellati – o meglio, importunati – per proposte commerciali, offerte vantaggiose, o attività di direct marketing, da parte di soggetti sconosciuti che, non si sa come, sono venuti in possesso del nostro indirizzo di posta elettronica o del numero di telefono (che, magari, non compare neppure più sull’elenco telefonico!). Tutto questo ci crea un giustificato fastidio. Ci sentiamo in qualche modo importunati nella nostra sfera privata. Ma non basta. Il termine” privacy “– concetto inizialmente riferito alla sfera della vita privata – negli ultimi anni ha subito un’evoluzione estensiva, arrivando a indicare il diritto al controllo sui propri dati personali, però la recente diffusione delle nuove tecnologie ha contribuito ad un assottigliamento della barriera della privacy: basti pensare, ad esempio, alla tracciabilità dei telefoni cellulari o alla relativa facilità di reperire gli indirizzi di posta elettronica delle persone. Anche questo ci crea un giustificato fastidio.
    Ma allora… la nostra privacy? A mio avviso la privacy dipende da ciascuno di noi. Solo se avremo la forza e la volontà di pretendere ciò che la legge ci garantisce, potremo ottenere un rispetto non solamente formale dei nostri diritti, ma sostanziale. La normativa italiana, pur essendo arrivata con notevole ritardo rispetto alla direttiva comunitaria 95/46/CE, è senza dubbio una delle più complete e all’avanguardia a livello europeo. Sta a noi cittadini pretenderne il rispetto, utilizzando tutti gli strumenti che il D.Lgs. 196/03 ci offre.

Scrivi il tuo commento!

  • 31 marzo, ADS, Agenzia delle Entrate, Anagrafe tributaria, art. 7 codice privacy, autorizzazione, call center, Codice della privacy, consenso informato, controllo a distanza, controllo computer, controllo del datore di lavoro, dati personali, decreto monti, decreto semplificazioni, decreto sviluppo, Documento Programmatico sulla Sicurezza, DPS, Garante, Garante per la privacy, Garante privacy, imprese, informativa, informativa privacy, informativa videosorveglianza, misure di sicurezza, misure minime di sicurezza, outsourcing, persone fisiche, Privacy, privacy cittadini, proroga, reclamo al Garante privacy, registro pubblico delle opposizioni, regole videosorveglianza, ricorso amministrativo al Garante, risarcimento danni, sanzioni, telecamere intelligenti, telemarketing, trattamento dati, trattamento di dati personali, tutela della privacy, videosorveglianza, web
  • HOME |
  • FISCO |
  • DIRITTO |
  • LAVORO |
  • IMPRESA |
  • SICUREZZA |
  • AMBIENTE
  • Chi è postilla |
  • I blogger |
  • Blog Policy |
  • Diventa Blogger |
  • Chi siamo |
  • Contatti |
  • Privacy |
  • Note Legali |
  • Policy cookie |
  • Pubblicità
 X 

P.I. 10209790152

Postilla è promossa da: IpsoaIl FiscoCedamUtetIndicitalia