Indietro

ⓘ Documento programmatico sulla sicurezza




                                     

ⓘ Documento programmatico sulla sicurezza

Ladozione di un documento programmatico sulla sicurezza era un obbligo previsto dal DLgs 196/2003); lobbligo esisteva per tutte le imprese, lavoratori autonomi, enti o associazioni che trattano i dati personali - anche sensibili, giudiziari o con strumenti elettronici - ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla legge n. 35 del 4 aprile 2012.

Il documento, a partire dal 31/03/2006 andava predisposto ed aggiornato annualmente entro il 31 marzo successivo, per attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e soddisfare anche determinati obblighi di legge, se previsti p.e. la comunicazione nella relazione allegata al Bilancio desercizio per le società.

Il DL 9 febbraio 2012 n. 5 ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in particolare il Documento Programmatico di Sicurezza. La novità introdotta dal cosiddetto "Decreto semplificazioni" del 2012 abolisce anche la precedente possibilità alternativa di rilasciare l"autocertificazione" a cura del titolare nonché il "DPS semplificato" del 2011.

Labolizione dellobbligo di redazione del DPS, nei casi consentiti dalla normativa aggiornata, non solleva tuttavia dallattuazione di tutti gli altri adempimenti privacy previsti dalla legislazione. Anzi: ne esce rafforzato proprio lobbligo di implementazione concreta a discapito di un orpello solo burocratico-formale. Daltra parte, specie per le medio-grandi aziende, un documento analogo al DPS è pressoché scontato per motivi organizzativi e gestionali; per le piccole aziende o le microimprese potrebbe, invece, essere utile un documento simile seppur semplificato in caso di sopralluoghi da parte degli enti predisposti.

                                     

1. Descrizione

I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza e sono:

  • lelenco dei trattamenti di dati personali;
  • le misure da adottare per garantire lintegrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, lindividuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dellinteressato.
  • lanalisi dei rischi che incombono sui dati;
  • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dellingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
  • la distribuzione dei compiti e delle responsabilità nellambito delle strutture preposte al trattamento dei dati;
  • la descrizione dei criteri da adottare per garantire ladozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, allesterno della struttura del titolare;