L'adozione di un documento programmatico sulla sicurezza (DPS) era un obbligo previsto dal DLgs 196/2003 (normativa sulla protezione dei dati personali, che sostituisce e abroga la legge 676/95); l'obbligo esisteva per tutte le imprese, lavoratori autonomi, enti o associazioni che trattano i dati personali – anche sensibili, giudiziari o con strumenti elettronici – ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla legge n. 35 del 4 aprile 2012.
Il documento, a partire dal 31/03/2006 andava predisposto ed aggiornato annualmente entro il 31 marzo successivo, per attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e soddisfare anche determinati obblighi di legge, se previsti (p.e. la comunicazione nella relazione allegata al Bilancio d'esercizio) per le società.
Il DL 9 febbraio 2012 n. 5 ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in particolare il Documento Programmatico di Sicurezza. La novità introdotta dal cosiddetto "Decreto semplificazioni" del 2012 abolisce anche la precedente possibilità alternativa di rilasciare l'"autocertificazione" a cura del titolare nonché il "DPS semplificato" del 2011.
L'abolizione dell'obbligo di redazione del DPS, nei casi consentiti dalla normativa aggiornata, non solleva tuttavia dall'attuazione di tutti gli altri adempimenti privacy previsti dalla legislazione. Anzi: ne esce rafforzato proprio l'obbligo di implementazione concreta a discapito di un orpello solo burocratico-formale. D'altra parte, specie per le medio-grandi aziende, un documento analogo al DPS è pressoché scontato per motivi organizzativi e gestionali; per le piccole aziende o le microimprese potrebbe, invece, essere utile un documento simile seppur semplificato in caso di sopralluoghi da parte degli enti predisposti.
Descrizione
[modifica | modifica wikitesto]I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza e sono:
- l'elenco dei trattamenti di dati personali;
- la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
- l'analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
- la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
- la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
- per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Collegamenti esterni
[modifica | modifica wikitesto]- Garante per la protezione dei dati, su garanteprivacy.it. URL consultato il 18 ottobre 2009 (archiviato dall'url originale il 10 marzo 2010).