Chiarimenti sulla presentazione del DPS entro il 31 marzo -...

Chiarimenti sulla presentazione del DPS entro il 31 marzo

Il Codice in materia di protezione dei dati personali, prevede già da diversi anni che le aziende adottino nuove "misure minime" di sicurezza. Tra queste misure rientra anche l’obbligo di redigere o aggiornare il documento programmatico sulla sicurezza (DPS) entro il 31 marzo di ogni anno.

Scade domani quindi il termine ultimo per quest’adempimento, che prevede che le aziende conservino presso la propria struttura il documento e che ne certifichino la data di compilazione.

---- L'articolo continua dopo la pubblicità ----

Per agevolare coloro che sono tenuti a tale adempimento, il Garante della privacy ha già fornito negli anni scorsi alcuni chiarimenti e in particolare è disponibile sul sito del Garante una Guida operativa per la redazione del DPS che contiene alcune modalità operative che possano essere d’aiuto anche ai soggetti che non dispongono di competenze specifiche.

Ricordiamo inoltre che nel 2008 il Garante ha introdotto alcune semplificazioni. Già il 19 giugno 2008 erano state introdotte una serie di prescrizioni in cui venivano stabilite alcune “Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili”. In seguito con il Decreto Legge n. 112 del 25 giugno 2008, sono state adottate delle nuove procedure con l’introduzione dell'autocertificazione e la previsione di emanazione di un nuovo provvedimento che delineasse delle modalità semplificate di redazione del Documento Programmatico della Sicurezza (DPS) per "i soggetti che trattano soltanto dati personali non sensibili e l'unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti".

Con provvedimento del 27 novembre 2008, concernente “semplificazione delle misure minime di sicurezza contenute nel disciplinare tecnico, di cui all'allegato B) al codice in materia di protezione dei dati personali” quindi, le piccole e medie imprese che

“a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili - riferiti ai propri dipendenti e collaboratori anche a progetto - quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;

b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238)”

possono:

- redigere il DPS in forma semplificata

- adottare misure minime di sicurezza semplificate

e sono tenute all’aggiornamento del DPS entro il 31 marzo di ogni anno solo nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.

È possibile inoltre assolvere all’obbligo di legge tramite autocertificazione sostitutiva:

Decreto Legge n. 112 del 25 giugno 2008

Art. 29. Trattamento dei dati personali

«1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e l'unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, l'obbligo di cui alla lettera g) del comma 1 e di cui al punto 19 dell'Allegato B è sostituito dall'autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto dati personali non sensibili, che l'unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, e che il trattamento di tale ultimo dato è stato eseguito in osservanza delle misure di sicurezza richieste dal presente codice nonché dall'Allegato B).».

Ricordiamo inoltre il Provvedimento 27 novembre 2008 contenente “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.”

Questo adempimento che doveva essere applicato “per tutti i trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al più presto e comunque entro, e non oltre, il termine che è congruo stabilire in centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati” è stato prorogato al 30 giugno 2009:

Con riunione del 12 febbraio 2009 il Garante infatti dispone:

“a) di unificare e contestualmente prorogare i termini per l’adempimento delle prescrizioni di cui al citato provvedimento del 27 novembre 2008, prescrivendo che tutti i titolari del trattamento interessati (qualunque sia la data di inizio dei trattamenti che li riguardano) adottino le misure e gli accorgimenti di cui al punto 2 del dispositivo del provvedimento medesimo entro il 30 giugno 2009;”

Federica Gozzini

Pubblica un commento

Chiarimenti sulla presentazione del DPS entro il 31 marzo

Autore: Federica Gozzini

Categoria: Privacy

30/03/2009

Scade domani il termine ultimo per la presentazione/aggiornamento del Documento Programmatico sulla Sicurezza (DPS). Un adempimento del Codice della Privacy obbligatorio per tutte le imprese?