CHE COS'È?
Documento Programmatico per la Sicurezza della privacy: definizione
Il documento programmatico per la sicurezza della privacy era un prospetto la cui redazione era prevista all'interno del DLgs 196/2003 riferito alla normativa sulla protezione dei dati personali che aveva sostituito la legge 676/95.SI tratta di un obbligo decaduto il 9 febbraio 2012, con l'attuazione del Decreto Legge n.5 poi convertito il 4 aprile 2012 dalla legge n.35.
Questo particolare documento andava inoltre aggiornato a cadenza annuale a partire dal 31 marzo 2006 entro il 31 marzo dell'anno successivo, in modo da attestare l'adeguata adozione di tutte le procedure relative al trattamento della privacy e dei dati personali e da soddisfare gli obblighi di legge eventualmente previsti per le società, come ad esempio la comunicazione inclusa all'interno del Bilancio d'esercizio.
COME SI FA
Le
modifiche apportate successivamente dal DL 9 febbraio 2012 n.5 hanno apportato
alcune novità tra le misure minime in materia di sicurezza, soprattutto
sopprimendo il Documento programmatico per la sicurezza della privacy.
Le misure introdotte nel 2012 dal ''Decreto semplificazioni'' aboliscono anche
la possibilità alternativa relativa al rilascio dell'autocertificazione
compiuta dal titolare. Questo insieme di novità erano già state anticipate nel
2012 dal cosiddetto ''DPS semplificato''.
Tuttavia, nei casi in cui la normativa aggiornata lo consenta, gli enti, le società ed i soggetti abilitati non vengono tuttavia sollevati dall'attuazione effettiva di tutti gli altri obblighi sulla privacy che sono stati previsti dal legislatore. Quindi l'annullamento dell'obbligo di redazione del Documento programmatico per la sicurezza non comporta assolutamente l'abolizione degli altri adempimenti privacy, ma comporta anzi il rafforzamento dell'obbligo di implementazione a discapito di un orpello di natura esclusivamente formale e burocratica.
Del resto un documento simile al Documento programmatico per la sicurezza della privacy rimane scontato per le medio-grandi aziende non per obbligo ma per motivi di gestione e di organizzazione dell'impresa.
Il discorso si fa invece diverso per le microimprese e per le piccole aziende, per cui potrebbe essere sufficiente un documento simile al Documento programmatico per la sicurezza della privacy ma redatto in maniera semplificata. In questo caso tuttavia la redazione di un documento di questo tipo non serve per assolvere un obbligo normativo bensì per tutelare le piccole imprese nei casi di sopralluoghi da parte di enti competenti, al fine di chiarire ogni minimo aspetto del loro modo di rapportarsi rispetto alla sicurezza dei dati personali e della privacy.
SI capisce come, in un Paese come l'Italia in cui le Piccole Medie Imprese sono la maggior parte, questo ultimo punto assuma un valore notevole.
Tuttavia, nei casi in cui la normativa aggiornata lo consenta, gli enti, le società ed i soggetti abilitati non vengono tuttavia sollevati dall'attuazione effettiva di tutti gli altri obblighi sulla privacy che sono stati previsti dal legislatore. Quindi l'annullamento dell'obbligo di redazione del Documento programmatico per la sicurezza non comporta assolutamente l'abolizione degli altri adempimenti privacy, ma comporta anzi il rafforzamento dell'obbligo di implementazione a discapito di un orpello di natura esclusivamente formale e burocratica.
Del resto un documento simile al Documento programmatico per la sicurezza della privacy rimane scontato per le medio-grandi aziende non per obbligo ma per motivi di gestione e di organizzazione dell'impresa.
Il discorso si fa invece diverso per le microimprese e per le piccole aziende, per cui potrebbe essere sufficiente un documento simile al Documento programmatico per la sicurezza della privacy ma redatto in maniera semplificata. In questo caso tuttavia la redazione di un documento di questo tipo non serve per assolvere un obbligo normativo bensì per tutelare le piccole imprese nei casi di sopralluoghi da parte di enti competenti, al fine di chiarire ogni minimo aspetto del loro modo di rapportarsi rispetto alla sicurezza dei dati personali e della privacy.
SI capisce come, in un Paese come l'Italia in cui le Piccole Medie Imprese sono la maggior parte, questo ultimo punto assuma un valore notevole.
CHI
La
redazione del Documento programmatico sulla sicurezza della privacy era
obbligatoria per tutte le imprese, liberi professionisti, lavoratori autonomi,
associazioni o enti che trattano i dati personali di lavoratori dipendenti,
quadri e dirigenti.
FAQ
1. Quali erano i contenuti del Documento programmatico sulla sicurezza della privacy?
I contenuti
del Documento programmatico sulla sicurezza della privacy sono presenti
all'interno del Disciplinare tecnico che regola la materia relativa alle misure
minime di sicurezza nell'ambiente di lavoro, precisamente al punto 19, e sono:
• analisi dei rischi ricadenti sui dati;
• elenco dei trattamenti dati personali;
• distribuzione delle responsabilità e dei compiti all'interno delle strutture
e degli enti che devono rispettare i dati personali e la privacy;
• descrizione delle modalità e dei criteri per ripristinare i dati in seguito a
danneggiamento o a distruzione relativi al punto 23;
• descrizione di criteri da adottare in maniera tassativa per garantire il
rispetto delle misure minime di sicurezza nel caso di diffusione e di
trattamento di dati personali affidati all'esterno della struttura del
titolare, sempre in conformità e nel rispetto del codice;
• individuazione ed applicazione dei criteri da adottare per la separazione o
la cifratura dei dati personali relativi alla vita sessuale o allo stato di
salute dell'interessato dai dati di altro tipo sempre riferiti all'interessato;
• previsione di interventi degli incaricati al trattamento in ambito formativo,
per rendere gli stessi consapevoli ed edotti dei rischi relativi ad una
diffusione errata dei dati, delle misure in grado di prevenire eventi dannosi,
delle responsabilità che derivano da atteggiamenti o pratiche scorrette, dei
profili del rispetto della protezione dei dati personali maggiormente rilevanti
rispetto alle attività e delle modalità di aggiornamento del titolare riferite
alle misure minime adottabili.
La formazione è già programmata in occasione di cambiamenti di mansioni o di
responsabilità, di introduzione di rilevanti nuovi strumenti per il trattamento
di dati personali. Sempre la formazione è già pianificata al momento
dell'ingresso in servizio da parte dell'operatore preposto;
• descrizione delle misure da applicare per l'integrità e la piena
disponibilità dei dati oltre che alla protezione dei locali e delle aree
preposti, sempre rilevanti rispetto ai fini dell'accessibilità e della custodia
dei dati stessi. Secondo questo punto dunque da parte dell'azienda o
dell'imprenditore vanno studiate le adeguate misure.
