Bovisio Masciago, 30 Marzo 2012 - Il decreto semplificazioni approvato dal Governo Monti il 9 febbraio 2012 e votato, previa fiducia, alla Camera dei Deputati l'8 marzo 2012, all'art. 45 ("Semplificazioni in materia di dati personali") prevede la soppressione dell'obbligo di "tenuta di un aggiornato documento programmatico sulla sicurezza" ex art.34 lettera g del Codice in materia di Protezione dei Dati Personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

Il testo, ancora in attesa dell'approvazione da parte del Senato della Repubblica ma, in quanto decreto legge, già pienamente operativo, elimina l'incombenza della stesura del DPS ma mantiene tutte le altre dettate dal resto dell'art. 34 del Codice Privacy di cui il DPS costituiva un "riassunto". Il Documento Programmatico sulla Sicurezza era strumento che consentiva di evidenziare, in caso di controllo, l'approccio aziendale nei confronti della normativa vigente in merito: una specie di "fotografia" che riassumeva tutte le procedure e misure di sicurezza messe a regime dal Titolare del trattamento. Ora i controlli - non certo destinati a scemare - si concentreranno in modo più approfondito sugli altri elementi dell'art. 34 - che si sganciano dall’inserimento nel DPS e acquisiscono quindi una loro identità autonoma - e sulla verifica della loro effettiva applicazione.

Di cosa parliamo?

"Art. 34 - Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’ articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.

1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. (1)"

(1) Comma inserito dal Decreto Legge 25 giugno 2008, n. 112 e poi così sostituito dai commi 1-bis e 1-ter, ai sensi del Decreto Legge 13 maggio 2011, n. 70.

p.s. Risulta abrogato, ad oggi, anche l'obbligo previsto dal paragrafo 26 dell'Allegato B: “Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza”.

Quindi, una volta eliminato il DPS, resta da affrontare la parte più seria e impegnativa degli obblighi privacy, presidiata da sanzioni sia di carattere amministrativo che penale che arrivano - a seconda dei casi - fino ad un massimo di €120.000:

  • Redazione di idonee Informative per il trattamento dei dati facenti capo a persone fisiche quali Informative per Dipendenti e Collaboratori, Informativa Clienti, Informativa Fornitori, Informativa Utenti sito web, Privacy Policy sito web... (Art. 13 DLgs 196/2003);
  • Elenco dei Trattamenti effettuati con nomina dei Responsabili per il trattamento dei dati personali e analisi dei trattamenti eventualmente affidati in outsourcing: redazione lettera di nomina per ciascun Responsabile al trattamento dati personali, analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda, analisi dei flussi di dati intra ed extra Unione Europea, individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali...  (Art. 29  DLgs 196/2003);
  • Nomina degli Incaricati interni per trattamento dati personali: redazione di un documento che individui l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa, redazione lettere d’incarico per ciascun incaricato al trattamento dati personali...  (Art. 30 DLgs 196/2003);
  • Organizzazione delle policy di backup e restore dei Dati Aziendali anche in caso di Business Continuity Management e indicazione delle relative policy di custodia delle copie;
  • Redazione di un disciplinare interno per l'uso di Internet e della Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007);
  • Adempimenti secondo le nuove prescrizioni in tema di Amministratori di sistema e relativo controllo della loro attività da parte del Responsabile Privacy(Art 154 comma 1 lett. c) e h) DLgs 196/2003 e Provvedimento Garante 27 Novembre 2008);
  • Adeguamento alle nuove prescrizioni in materia di videosorveglianza, ove esistente (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010);
  • Gestione e aggiornamento della Privacy Policy per sito web, Newsletter ed eventuali Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso ad eventuali aree riservate... ;
  • Programmazione di interventi formativi sul personale relativamente agli obblighi imposti dal Codice per il Trattamento dei Dati.

Inoltre, la normativa sul trattamento dei dati rimane oggetto da seguire con molta attenzione non solo per gli eventuali emendamenti apportati in sede di approvazione parlamentare ma anche per l'elaborazione – in corso – di un regolamento comunitario che andrà a sostituire la normativa di riferimento dei singoli Stati europei: questo regolamento, oltre ad uniformare le norme a livello europeo, renderà molto più incisive le regole in materia di tutela dei dati personali (almeno secondo la bozza presentata da Viviane Reding, vicepresidente della Commissione europea, il 25 gennaio 2012). Il nuovo Regolamento Privacy entrerà in vigore due anni dopo la sua adozione quindi verosimilmente entro la fine del 2014.
I nuovi obblighi prevedranno una mole di documentazione probabilmente più massiccia rispetto al D.P.S. perchè i soggetti obbligati dovranno adottare un vero modello organizzativo per la tutela dei dati e verrà introdotto il principio di responsabilità (accountability) con un impianto sanzionatorio che prescriverà sanzioni anche parametrate al fatturato aziendale.

In conclusione, l'adeguamento Privacy non è solo il DPS! Il consiglio di Atlan66 - supportato da importanti professionisti del settore QUI , QUI e QUI - rimane quello di mantenere un documento che, pur non chiamandosi più DPS, sia atto ad attestare che il Titolare ha adempiuto coerentemente all'adozione delle misure di cui all'art. 34 del Codice Privacy, all'Allegato B e ai Provvedimenti del Garante in materia: è già chiaro che in fase di controllo questo aspetto assumerà particolare importanza. Per informazioni o approfondimenti in materia, i nostri consulenti sono a vostra disposizione: non esistate a contattarci!

Su questo sito utilizziamo esclusivamente cookie tecnici e destinati all'analisi statistica. Cliccando sul pulsante "OK, procediamo", presti il consenso all’uso dei cookie secondo le nostre policy.