Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Crea PDF

Privacy e decreto semplificazioni: eliminato l’obbligo del DPS

Redazione

Autore: Redazione

Categoria: Privacy

20/02/2012

Le novità in materia di trattamento dei dati personali: eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS). Inoltre i primi chiarimenti operativi in materia di lavoro e il rinvio della PEC.

 
Brescia, 20 Feb - Con la pubblicazione in Gazzetta ufficiale del Decreto Semplificazioni ( Decreto-Legge 9 febbraio 2012 , n. 5 - Disposizioni urgenti in materia di  semplificazione  e  di  sviluppo) è stata introdotta un’importante novità in materia di trattamento dei dati personali.
 
L’art. 45 - Semplificazioni in materia di dati personali - ha infatti eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS); la scelta è dovuta al fatto che il documento in questione non è previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, quindi è stato ritenuto un adempimento meramente superfluo.
Ricordiamo alle aziende che restano comunque ferme tutte le misure di sicurezza previste dalla normativa vigente ( Decreto legislativo 30 giugno 2003, n. 196) e l’obbligo di aggiornare la documentazione relativa alla Privacy quando necessario.
 
Vediamo l’articolo 45 del D.L. 5/2012:
 
Art. 45 - Semplificazioni in materia di dati personali
 
  1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le
seguenti modificazioni:
    a) all'articolo 21 dopo il comma 1 e' inserito il seguente:
  «1-bis. Il trattamento dei dati giudiziari e'  altresi'  consentito
quando e' effettuato in attuazione  di  protocolli  d'intesa  per  la
prevenzione e il contrasto dei fenomeni di  criminalita'  organizzata
stipulati  con  il  Ministero  dell'interno  o  con  i  suoi   uffici
periferici di cui all'articolo 15, comma 2, del  decreto  legislativo
30 luglio 1999,  n.  300,  che  specificano  la  tipologia  dei  dati
trattati e delle operazioni eseguibili.»;
    b) all'articolo 27, comma 1, e' aggiunto, in  fine,  il  seguente
periodo: "Si applica quanto previsto dall'articolo 21, comma 1-bis.";
    c) all'articolo 34 e' soppressa la lettera g) del comma 1  ed  e'
abrogato il comma 1-bis;
    d) nel disciplinare  tecnico  in  materia  di  misure  minime  di
sicurezza di cui all'allegato B sono soppressi i paragrafi  da  19  a
19.8 e 26.
 
 

Pubblicità
MegaItaliaMedia

Ecco come si presentano gli articoli modificati (in corsivo le modifiche):
 
Art. 21. Principi applicabili al trattamento di dati giudiziari
1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
1-bis. Il trattamento dei dati giudiziari e'  altresi'  consentito quando e' effettuato in attuazione  di  protocolli  d'intesa  per  la prevenzione e il contrasto dei fenomeni di  criminalita'  organizzata stipulati  con  il  Ministero  dell'interno  o  con  i  suoi   uffici periferici di cui all'articolo 15, comma 2, del  decreto  legislativo 30 luglio 1999,  n.  300,  che  specificano  la  tipologia  dei  dati trattati e delle operazioni eseguibili.
2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.
 
 
Art. 27. Garanzie per i dati giudiziari
1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Si applica quanto previsto dall'articolo 21, comma 1-bis.
 
Art. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza; (soppressa)
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
d) nel disciplinare  tecnico  in  materia  di  misure  minime  di sicurezza di cui all'allegato B sono soppressi i paragrafi  da  19  a 19.8 e 26.
 
1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell' articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.(Abrogato)
 
1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
 
B. Disciplinare tecnico in materia di misure minime di sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
 
    19.1. l'elenco dei trattamenti di dati personali;
    19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
    19.3. l'analisi dei rischi che incombono sui dati;
    19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
    19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
    19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
    19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
    19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
(soppressi)
 
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
(soppressi)
 
 

Novità in materia di lavoro
Il Decreto ha inoltre introdotto importanti novità in materia di interdizione anticipata per le lavoratrici madri, comunicazioni obbligatorie nel settore turismo e pubblici esercizi, assunzione disabili, Libro Unico del Lavoro e responsabilità solidale negli appalti.
 
A questo proposito il Ministero del lavoro si è espresso con la Circolare n. 2 del 16 febbraio 2012, dove la Direzione generale per l’attività ispettiva fornisce i primi chiarimenti operativi in ordine alla applicabilità delle nuove disposizioni.
 
Segnaliamo anche alle imprese che il Decreto Semplificazioni ha anche prorogato al 30 giugno 2012 il termine ultimo entro il quale devono comunicare Registro Imprese il proprio l'indirizzo PEC (Posta Elettronica Certificata).
 
Art. 37
Comunicazione dell'indirizzo di posta elettronica certificata al registro delle imprese
1. Le imprese costituite in forma societaria che, alla data di entrata in vigore del presente decreto, non hanno ancora indicato il proprio indirizzo di posta elettronica certificata al registro delle imprese, provvedono a tale comunicazione ai sensi dell'articolo 16, comma 6, del decreto-legge 29 novembre 2008, n 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2, entro il 30 giugno 2012.
 
 

 
 
 
 
 
 
 
 
 
Federiza Gozzini
 
 


Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.
Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Pubblica un commento

Ad oggi, nessun commento è ancora stato inserito.

Pubblica un commento

Banca Dati di PuntoSicuro


Altri articoli sullo stesso argomento:


Forum di PuntoSicuro Entra

FORUM di PuntoSicuro

Quesiti o discussioni? Proponili nel FORUM!