Il Blog di Marcello Polacchini

Come ogni anno in primavera arrivano le rondini e… il Documento Programmatico sulla Sicurezza. A differenza delle rondini, però, il DPS non è molto amato, anzi… generalmente è visto come una solenne scocciatura!

Com’è noto, il DPS è una misura “minima” di sicurezza per il trattamento dei dati personali, disciplinata dall’art. 34 del D.Lgs. 196/03 e dal punto 19 dell’Allegato B) al D.Lgs. 196/03 e la legge dispone che tale misura di sicurezza deve essere adottata dai titolari del trattamento entro il 31 marzo di ogni anno.

Bisogna prestare attenzione al fatto che, essendo una misura “minima” di sicurezza [cioè una misura organizzativa che ha lo scopo di “ridurre al minimo i rischi di distruzione o perdita (dei dati), di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”], la mancata redazione o l’inadeguato aggiornamento del DPS impedisce al titolare qualsiasi trattamento dei dati personali. In sostanza, ciò significa che senza un adeguato DPS il trattamento dei dati personali non è lecito e quindi è sanzionabile.

Le sanzioni per la mancata redazione/aggiornamento del DPS sono quelle applicate per l’omessa o inidonea adozione delle misure di sicurezza e, a seguito dell’inasprimento delle sanzioni in materia di privacy ad opera della L. n. 14/09, il soggetto che è tenuto alla redazione o aggiornamento periodico del documento ma non vi provvede dovutamente, salvo più gravi illeciti, rischia la sanzione amministrativa da 10.000 a 120.000 euro (art.162, comma 2bis D.Lgs. 196/03), oltre alla sanzione penale dell’arresto sino a 2 anni (art. 169 D.Lgs. 196/03).

Oltre al Garante per la protezione dei dati personali, l’autorità preposta all’accertamento delle violazioni amministrative e degli illeciti penali è la Guardia di Finanza.

Ma allora siamo tutti condannati a fare questo benedetto DPS? Non è detto. Infatti, nel 2008 la disciplina del DPS ha subito due importanti innovazioni:

• in primo luogo l’art. 29 del D.L. 112/08, convertito dalla L. 133/08, inserendo all’art. 34 del D.Lgs. 196/03 il comma 1-bis, ha previsto che: “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’art. 47 del testo unico di cui al D.P.R. 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.”
• in secondo luogo, lo stesso comma 1-bis dell’art. 34 ha attribuito al Garante il potere di individuare con proprio provvedimento “…modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime ” e – proprio in attuazione di tale norma – l’Autorità Garante per la privacy ha emanato il provvedimento generale del 27 novembre 2008 per la “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali”, fissando modalità semplificate per l’applicazione delle misure minime di sicurezza. Cosicché, ricorrendo i requisiti di legge, per alcuni titolari del trattamento è possibile anche redigere un DPS semplificato rispetto a quello disciplinato dall’art. 34 e dal punto 19 dell’Allegato B) del Codice della privacy.

Perciò, molti titolari di trattamento di dati possono passare indenni rispetto al fastidioso appuntamento di primavera.
Ma tutti gli altri? Orbene, la legge dispone che sono soggetti all’obbligo della tenuta di un aggiornato DPS solo i titolari che trattano con strumenti elettronici:

• dati personali “giudiziari”;
• dati personali “sensibili” relativi all’origine razziale ed etnica;
• dati personali “sensibili” relativi alle opinioni religiose, filosofiche o di altro genere;
• dati personali “sensibili” relativi alle opinioni politiche, adesione a partiti, associazioni o organizzazioni a carattere religioso, filosofico e politico;
• dati personali “sensibili” relativi alle indicazioni sulla vita sessuale;
• dati personali “sensibili” relativi alle indicazioni sullo stato di salute di clienti, fornitori e di dipendenti (con indicazione della relativa diagnosi).

Non sono, invece, soggetti all’obbligo di tenuta di un aggiornato DPS i titolari che trattano solo:

• dati personali “comuni” di clienti, fornitori e dipendenti;
• dati personali “sensibili” relativi alle indicazioni sullo stato di salute o malattia di dipendenti (solo se senza indicazione della relativa diagnosi);
• dati personali “sensibili” di carattere sindacale.

Il DPS, la cui forma è assolutamente libera, ha un contenuto stabilito obbligatoriamente dalla legge. Infatti, tale documento deve riportare “idonee informazioni” riguardo i seguenti punti:

1. l’elenco dei trattamenti di dati personali fatti dal titolare;
2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (incarichi attribuiti);
3. l’analisi dei rischi che incombono sui dati, che deve essere ripetuta ogni anno;
4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare;
7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all’esterno della struttura del titolare.

Nell’aggiornamento annuale del DPS devono essere indicate tutte le variazioni verificatesi nel corso dei dodici mesi precedenti che abbiano interessato o possano interessare il trattamento dei dati. Ad esempio, devono essere indicate nel DPS le nomine di nuovi incaricati del trattamento, l’acquisto di nuovi elaboratori elettronici, la cessazione del rapporto con un incaricato del trattamento, il cambio di sede del titolare, l’acquisto di nuovi programmi software per il trattamento dei dati, la nomina di un nuovo responsabile del trattamento, e così via.
Inoltre, se il titolare del trattamento è tenuto a redigere e a depositare il suo bilancio di esercizio, comprensivo della relazione sulla gestione (redatta dagli amministratori ai sensi degli artt. 2428 e 2435-bis c.c.), tra i “fatti rilevanti avvenuti dopo la chiusura dell’esercizio” deve menzionare l’avvenuto aggiornamento annuale del proprio DPS.

Per quanto riguarda la data di redazione del DPS, l’apposizione della “data certa” al documento se non è richiesta espressamente dalla legge, tuttavia costituisce un’opportuna misura da adottare, specialmente in vista di eventuali accertamenti da parte delle autorità incaricate di verificare l’osservanza della normativa sulla protezione dei dati personali. Il DPS, una volta aggiornato, non deve essere spedito ad alcun ente, ma deve essere semplicemente conservato dal titolare del trattamento per essere eventualmente esibito a richiesta dell’autorità.

Fatto questo… possiamo finalmente dedicarci a osservare le rondini che segnano l’arrivo della primavera!