Giuseppe Nitti
Lavori
Info
Chi siamo Dove siamo Contattaci Statistiche
Risorse


Altro
Assunzione Di Incarico R.s.p.p.
Bs Ohsas 18001
D.lgs. 81/08
Privacy

Sei in: Altro

Privacy


PRIVACY
 salta solo il DPS con il Decreto Semplificazioni, ma di fatto non solo non cambia nulla, ma si rischia anche di più!
Come cambia la PRIVACY



Il Decreto Semplificazioni del Governo Monti ha eliminato l’obbligo di redazione (e, quindi, aggiornamento) del DPS (Documento Programmatico sulla Sicurezza).


L’art. 47 del Decreto Semplificazioni mette mano (per l’ennesima volta in pochi mesi) al DLgs 196/2003 (Codice Privacy) e al suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS.


Per meglio comprendere che cosa rimane dopo questa brutale rimozione (in controtendenza, fra l’altro, con le prospettive privacy dell’Unione Europea, leggi ulteriori informazioni in fondo pagina) mettiamo a fuoco quello che era il DPS.


Il DPS come fotografia degli obblighi privacy aziendali


Il DPS altro non era che la fotografia ufficiale di ciò che l’azienda aveva fatto in termini di privacy. In altre parole riassumeva tutte le procedure e misure di sicurezza messe a regime dal Titolare del trattamento.


Procedure e misure la cui cogenza non è stata certo messa in discussione dal Decreto Semplificazioni.


L’aggiornamento annuale del DPS era un’occasione per fare il punto della situazione con il “Titolare del trattamento dati” ovvero l’azienda. In tale circostanza, si verificavano eventuali punti scoperti dell’azienda soprattutto nella gestione dei dati informatici (Personal computer e banche dati informatiche) e le attribuzione delle nomine ai dipendenti e responsabili in outsourcing.


La redazione/aggiornamento del DPS, era l’ultimo e meno impegnativo punto.


L’eliminazione del DPS, se da un lato potrebbe essere comprensibile nell’ottica di semplificazione, dall’altro suscita molti dubbi in ordine ai futuri controlli sul rispetto delle norme del Codice della privacy in particolare per quanto riguarda l’allegato B sulle misure di sicurezza. Infatti, senza il DPS i controlli saranno più complessi perchè gli organi preposti non dovranno più verificare un documento programmatico, ma dovranno fare accertamenti approfonditi sul rispetto da parte del titolare del trattamento delle misure indicate proprio nell’allegato B al Codice.



Eliminato il DPS, rimane la parte più seria e impegnativa degli obblighi privacy, quella sempre presidiata da sanzioni sia di carattere amministrativo che penale, ovvero:


  • Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web.
  • Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali.
  • Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29 DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
  • Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica.
  • Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy.
  • Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010).
  • Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate.
  • Formazione del Personale.


Quali aggiornamenti annuali rimangono obbligatori?


DPS a parte, ogni Titolare del trattamento deve, almeno annualmente:


  • Aggiornare il Sistema Privacy alla luce delle modifiche alla normativa di riferimento
  • Verificare l’attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornare il mansionario Privacy e le attività svolte in outsourcing (Incaricati e Responsabili del trattamento).


In conclusione



Onde evitare di incorrere in sanzioni ben più pesanti dell’aggiornamento DPS, a partire da subito ci adopereremo alla stesura di un’autocertificazione (DPS semplificato) con tutte le indicazioni sulla gestione dei dati informatici e alla redazione periodica (almeno una volta l’anno) di documenti che confermano i più importanti adempimenti sulla Privacy come ad esempio le nomine (responsabile trattamento dati, amministratore di sistema, custode credenziali, nomina degli incaricati al trattamento dati e loro autorizzazioni) e l’aggiornamento delle informative;


La Privacy NON è il DPS