27 gennaio 2012 – Il Decreto Semplificazioni del Governo Monti ha eliminato l’obbligo di redazione (e, quindi, aggiornamento) del DPS (Documento Programmatico sulla Sicurezza).
L’art. 47 del Decreto Semplificazioni mette mano (per l’ennesima volta in pochi mesi) al DLgs 196/2003 (Codice Privacy) e al suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (sia in forma ordinaria che abbreviata).
Per meglio comprendere che cosa rimane dopo questa brutale rimozione (in controtendenza, fra l’altro, con le prospettive privacy dell’Unione Europea. Al riguardo v. Unione Europea: la privacy che verrà) mettiamo a fuoco quello che era il DPS.
Il DPS come fotografia degli obblighi privacy aziendali
Il DPS altro non era che la fotografia ufficiale di ciò che l’azienda aveva fatto in termini di privacy. In altre parole riassumeva tutte le procedure e misure di sicurezza messe a regime dal Titolare del trattamento.
Procedure e misure la cui cogenza non è stata certo messa in discussione dal Decreto Semplificazioni.
Quando incontro i miei Clienti che, fino all’altro ieri, avevano come unica preoccupazione la redazione/aggiornamento del DPS, passavo i primi quindici minuti a spiegar loro che, per metter mano al DPS, bisognava prima occuparsi della compliance aziendale al DLgs 196/2003, e, quindi, come ultimo e meno impegnativo step, creare o integrare tabelline, schemi ed elenchi vari nel DPS.
Cosa rimane, dunque?
Eliminato il DPS, rimane la parte più seria e impegnativa degli obblighi privacy, quella sempre presidiata da sanzioni sia di carattere amministrativo che penale, ovvero:
- Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web.
- Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali.
- Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29 DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
- Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica.
- Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy.
- Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010).
- Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate.
- Formazione del Personale.
Quali aggiornamenti annuali rimangono obbligatori?
DPS a parte, ogni Titolare del trattamento deve, almeno annualmente:
- Aggiornare il Sistema Privacy alla luce delle modifiche alla normativa di riferimento
- Verificare l’attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
- Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
- Aggiornare il mansionario Privacy e le attività svolte in outsourcing (Incaricati e Responsabili del trattamento).
In conclusione
- Bene Monti: ha eliminato l’adempimento privacy più formale e sostanzialmente inutile nella sua ridondanza;
- Ma la Privacy non è il DPS: tutti noi Consulenti dobbiamo rivedere le nostre strategie di comunicazione per far arrivare nella maniera più chiara e onesta possibile a tutti i Titolari di trattamento che:
la Privacy NON è il DPS
SMBlog 
Buona sera,
sono un pò confuso, ogni anno aggiornavo il DPS ai miei clienti, rivedendo la situazione dipendenti, amministratore di sistema pc, software ecc ecc, quest’anno non capisco come mi devo comportare, per sistemare la Privacy (escludendo il DPS) dopo aver verificato dipendenti, pc e situazione generale dell’azienda che documento dovrò lasciare al cliente?
saluti
"Mi piace""Mi piace"
ANche io come il collega sopra sono molto confuso su come mi devo comportare
Cordialmente
"Mi piace""Mi piace"
Pingback: DPS addio, benvenuto APA « SMBlog
Spero la risposta sia esauriente: https://studiomazzolari.wordpress.com/2012/02/28/dps-addio-benvenuto-apa/
Grazie e buon lavoro,
Paolo Mazzolari
"Mi piace""Mi piace"
Pingback: Il Modello di APA per il 2012 – Aggiornamento Privacy Annuale « SMBlog
Hello, this weekend is good in support of me, as this time i am
reading this enormous informative post here at my home.
"Mi piace""Mi piace"
I was recommended this blog by my cousin. I am not sure whether this post
is written by him as nobody else know such detailed about my trouble.
You’re incredible! Thanks!
"Mi piace""Mi piace"
The other day, while I was at work, my cousin stole my apple ipad and tested
to see if it can survive a forty foot drop, just so she
can be a youtube sensation. My apple ipad is now broken and she
has 83 views. I know this is entirely off topic but I had to share
it with someone!
"Mi piace""Mi piace"
If some one wishes to be updated with hottest technologies after that he must be go to
see this website and be up to date every day.
"Mi piace""Mi piace"
It’s perfect time to make a few plans for the longer term and it is time to be happy. I have read this submit and if I may I want to counsel you some fascinating things or suggestions. Perhaps you could write subsequent articles relating to this article. I wish to learn more things about it!
"Mi piace""Mi piace"
Hi, i believe that i saw you visited my site thus i came to go back the favor?
.I’m attempting to find issues to enhance my website!I assume its ok to make use of some of your concepts!!
"Mi piace""Mi piace"
Pingback: DPS addio, benvenuto APA – OneSeal s.r.l.