Cancellato il DPS, cosa rimane?

27 gennaio 2012 – Il Decreto Semplificazioni del Governo Monti ha eliminato l’obbligo di redazione (e, quindi, aggiornamento) del DPS (Documento Programmatico sulla Sicurezza).

L’art. 47 del Decreto Semplificazioni mette mano (per l’ennesima volta in pochi mesi) al DLgs 196/2003 (Codice Privacy) e al suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (sia in forma ordinaria che abbreviata).

Per meglio comprendere che cosa rimane dopo questa brutale rimozione (in controtendenza, fra l’altro, con le prospettive privacy dell’Unione Europea. Al riguardo v. Unione Europea: la privacy che verrà) mettiamo a fuoco quello che era il DPS.

Il DPS come fotografia degli obblighi privacy aziendali

Il DPS altro non era che la fotografia ufficiale di ciò che l’azienda aveva fatto in termini di privacy. In altre parole riassumeva tutte le procedure e misure di sicurezza messe a regime dal Titolare del trattamento.

Procedure e misure la cui cogenza non è stata certo messa in discussione dal Decreto Semplificazioni.

Quando incontro i miei Clienti che, fino all’altro ieri, avevano come unica preoccupazione la redazione/aggiornamento del DPS, passavo i primi quindici minuti a spiegar loro che, per metter mano al DPS, bisognava prima occuparsi della compliance aziendale al DLgs 196/2003, e, quindi, come ultimo e meno impegnativo step, creare o integrare tabelline, schemi ed elenchi vari nel DPS.

Cosa rimane, dunque?

Eliminato il DPS,  rimane la parte più seria e impegnativa degli obblighi privacy, quella sempre presidiata da sanzioni sia di carattere amministrativo che penale, ovvero:

  • Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web.
  • Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali.
  • Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29  DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
  • Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica.
  • Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy.
  • Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010).
  • Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate.
  • Formazione del Personale.

Quali aggiornamenti annuali rimangono obbligatori?

DPS a parte, ogni Titolare del trattamento deve, almeno annualmente:

  • Aggiornare il Sistema Privacy alla luce delle modifiche alla normativa di riferimento
  • Verificare l’attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornare il mansionario Privacy e le attività svolte in outsourcing (Incaricati e Responsabili del trattamento).

In conclusione

  • Bene Monti: ha eliminato l’adempimento privacy più formale e sostanzialmente inutile nella sua ridondanza;
  • Ma la Privacy non è il DPS: tutti noi Consulenti dobbiamo rivedere le nostre strategie di comunicazione per far arrivare nella maniera più chiara e onesta possibile a tutti i Titolari di trattamento che:

 la Privacy NON è il DPS

Annunci

Unione Europea: la Privacy che verrà

Il 25 gennaio, la signora Viviane Reding, vicepresidente della Commissione europea, ha presentato la Privacy che verrà all’interno dell’Unione Europea entro la fine del 2014.

Gli aspetti chiave del Progetto di Regolamento sono:

Più diritti per gli Interessati

  • Ogni volta che è previsto il consenso per il trattamento, questo dovrà essere fornito espressamente, piuttosto che presunto.
  • Gli Interessati avranno un “diritto alla portabilità dei dati“, che consentirà loro di trasferire i dati personali da un fornitore di servizi ad un altro più facilmente.
  • Agli Interessati sarà riconosciuto un “diritto all’oblio“, che permetterà loro di ottenere la cancellazione dei dati presenti online se non vi sono motivi legittimi per il loro mantenimento (salvo eccezioni).
  • Gli Interessati potranno rivolgersi al Garante Privacy del proprio Paese di residenza, anche quando i loro dati sono trattati da una società con sede al di fuori dell’UE.

Maggiori obblighi e responsabilità per i Titolari di trattamento

  • Ai Titolari  sarò richiesto di realizzare un vero e proprio Privacy Impact Assessment (una versione evoluta dell’attuale DPS);
  • I Titolari saranno tenuti a comunicare all’autorità di controllo nazionale le violazioni alla sicurezza dei dati, se possibile entro 24 ore, e se la violazione possa ripercuotersi negativamente sulla tutela dei dati personali o la vita privata degli Interessati;  il Titolare sarà, inoltre, tenuto a comunicare la violazione di dati personali agli interessati, senza ritardo.
  • I Titolari di trattamento avranno  a che fare con una singola autorità nazionale di protezione dei dati nel paese dell’UE in cui hanno la sede principale.

Sanzioni inasprite

  • Per violazione della normativa sul trattamento dei dati personali, i Titolari saranno esposti a sanzioni fino a € 1 milioni di euro o al 2% del fatturato globale annuo della Società.

Il nuovo Regolamento Privacy entrerà in vigore due anni dopo la sua adozione, verosimilmente entro la fine del 2014.

Privacy e 31 marzo: istruzioni per l’uso

Con gennaio che volge al termine, iniziamo il nostro consueto avvicinamento alla più importante scadenza privacy dell’anno fissata nella data del 31 marzo.

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve metter mano ai Sistema Privacy adottato e realizzare i seguenti adempimenti:

  • Aggiornamento del Sistema Privacy alla luce delle modifiche alla normativa di riferimento
  • Aggiornamento del DPS
  • Redazione della nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
  • Verifica delle attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
  • Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
  • Aggiornamento del mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili del trattamento)
  • Programmazione degli interventi formativi.

Nei prossimi Post affronteremo ciascuno dei sopra indicati Punti segnalando soluzioni concrete e, ove possibile, proponendo facsimili documentali.

Il Modello di DPS semplificato per il 2012

Cari amici,

come oramai consuetudine d’inizio anno, in vista delle scadenze del 31 marzo, Studio Mazzolari propone il proprio Modello di Documento Programmatico sulla Sicurezza (DPS 2012) semplificato.

Il Modello è aggiornato con le ultime novità legislative e dottrinali (da ultimo il  Decreto Legge “Salva Italia” 6 dicembre 2011 n°20) e arricchito di nuove note esplicative.

Passiamo ora ad un breve reminder.

Chi può redigere il DPS in forma semplificata?

Possono redigere un DPS in forma semplificata piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per correnti finalità amministrativo-contabili (inclusi i dati personali di carattere sensibile).

Per trattamenti effettuati per finalità amministrativo-contabili si intendono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.

Entro quando va redatto e/o aggiornato il DPS?

Entro il 31 marzo di ogni anno.

Quale la più importante novità rispetto all’edizione 2011

La novità più rilevante è figlia del Decreto Monti, ovvero: le informazioni relative a persone giuridiche, enti o associazioni non sono più dati personali, ergo non sono più meritevoli di protezione secondo il DLgs 196/2003. 

Attraverso la limitazione della definizione di dato personale che ora coinvolge solo ed esclusivamente persone fisiche, l’Italia si riallinea alla normativa della maggior parti dei Paesi dell’Unione Europea. Pertanto, da oggi in poi, quando si parla di “Interessato” ci si riferisce solo ad una persona fisica (per un approfondimento: SMBlog).

A tutti ancora un sereno 2012 e buon lavoro.

Scarica il Facsimle DPS 2012 Semplificato