mercoledì 24 marzo 2010
Privacy - entro il 31 Marzo 2010 va predisposto il DPS.
Il 31 marzo 2010 è il termine ultimo per la predisposizione del Dps (documento programmatico per la sicurezza. La sua mancata predisposizione o il suo inadeguato aggiornamento impediscono al titolare il trattamento dei dati.
Il DPS (Documento Programmatico sulla Sicurezza) è misura “minima” di sicurezza, attualmente disciplinata dal Codice Privacy, d. lgs. n. 196/2003, precisamente dagli artt. 33 ss. e dall’allegato B.
Va evidenziato che, proprio in quanto misura “minima”, la mancata predisposizione o l’inadeguato aggiornamento del Dps impedisce al titolare un qualsiasi trattamento dei dati.
Occorre, altresì, precisare che la normativa ha subito nel 2008 significative innovazioni su due differenti versanti:
- l’autodichiarazione sostitutiva;
- la semplificazione.
In particolare, rispetto al primo profilo, per taluni casi, è stata prevista, in via innovativa, la possibilità di sostituire il (DPS) con un documento di autocertificazione.
Mentre, in altri casi è data la possibilità di redigerlo in via semplificata, in chiara deroga ai requisiti minimi fissati dalla legge.
Precisamente, l’art. 29 del D.L. 25 giugno 2008, n. 112, come convertito dalla Legge di conversione 6 agosto 2008, n. 133, inserendo all’articolo 34 il seguente comma 1-bis, ha previsto che:
“Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.”
Rispetto invece al secondo profilo, l’art. 34 comma 1-bis ha attribuito al Garante Privacy il potere, sentito il Ministro per la semplificazione normativa, di individuare, con proprio provvedimento, da aggiornare periodicamente “…..modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime ”.
Attuando la norma, il Garante Privacy ha provveduto a emanare il provvedimento generale del 27 novembre 2008 per la “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali” (pubblicato nella G.U. n. 287 del 9 dicembre 2008), fissando modalità semplificate per l’applicazione delle misure minime di sicurezza.
Sicché, ricorrendo i requisiti di legge, è possibile anche redigere un DPS semplificato, rispetto a quello “ordinario” tout court disciplinato dagli artt. 33 ss. del Codce.
Conseguentemente a quanto sopra esposto è possibile affermare che sono soggetti alla tenuta di un aggiornato DPS i seguenti titolari:
- i titolari che con strumenti elettronici trattano le seguenti categorie di dati personali sensibili:
- origine razziale ed etnica di clienti, fornitori e dipendenti
- opinioni religiose, filosofiche o di altro genere di clienti, fornitori e dipendenti,
- opinioni politiche, adesione a partiti, associazioni od organizzazioni a carattere religioso, filosofico e politico di clienti, fornitori e dipendenti,
- stato di salute di clienti e fornitori
- stato di salute con indicazione della relativa diagnosi di dipendenti,
- vita sessuale di clienti, fornitori e dipendenti
- i titolari che trattano dati personali giudiziari con strumenti elettronici.
Non sono, invece, soggetti a tale adempimento i titolari che trattano le seguenti categorie di dati, sempreché utilizzino strumenti elettronici:
- dati personali “comuni” di clienti, fornitori e dipendenti;
- dati personali “sensibili” di dipendenti relativi allo stato di salute o malattia (solo se senza indicazione della diagnosi);
- dati personali “sensibili” di carattere sindacale.
Si segnala, tuttavia, che, alla luce dell’ampio concetto di “trattamento”, ex art. 4.1.a del Codice Privacy, permangono notevoli perplessità sulla reale possibilità di rientrare in una delle categorie per le quali sussiste la possibilità dell’esonero dall’obbligo di redazione del DPS.
Conseguentemente, per garantire quanto più possibile il rispetto della normativa in materia di protezione dei dati personali, e per evitare il rischio di subire le dovute e talora pesanti sanzioni del Codice, è consigliabile suggerire ad ogni titolare – di approntare ed aggiornare il Dps.
All’obbligo del Dps, sulla base di quanto sopra specificato, il titolare del trattamento deve adempiere entro il 31 marzo 2010 e così per tutti gli anni, salvo chiaramente modifica legislativa o eventuale provvedimento del Garante.
E’ possibile adempiere, sostanzialmente, in tre differenti modalità:
- redazione del dps:
- nei casi sopra indicati, predisposizione di autocertificazione sostitutiva;
- ove previsto dalla legge, redazione di un documento semplificato.
Successivamente e sempre entro il 31 marzo di ogni anno, il documento deve essere, anche attraverso il responsabile del trattamento, ove designato.
Riguardo al contenuto concreto dell’aggiornamento, occorre riportare – salvo le ulteriori misure in caso di trattamento di dati sensibili o giudiziari - idonee informazioni riguardo:
- l'elenco dei trattamenti di dati personali;
- la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
- l'analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
- la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
- la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
- per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Nel documento si evidenzia infine che:
a. vanno indicate tutte le eventuali variazioni che si siano nel frattempo verificate in azienda se hanno coinvolto o possono coinvolgere il trattamento dei dati: ad es. un nuovo pc, un dipendente assunto, un dipendente licenziato, il cambio d'indirizzo o il cambio della persona incaricata del trattamento dei dati etc.
b. deve essere previsto (nel documento programmatico), un piano di formazione destinato agli incaricati del trattamento;