Documento Programmatico per la Sicurezza della privacy: definizione
Il documento
programmatico per la sicurezza della privacy era un prospetto la cui
redazione era prevista all'interno del DLgs 196/2003 riferito alla normativa
sulla protezione dei dati personali che aveva sostituito la legge 676/95.
SI tratta di un obbligo decaduto il 9 febbraio 2012, con l'attuazione del
Decreto Legge n.5 poi convertito il 4 aprile 2012 dalla legge n.35.
Questo particolare documento andava inoltre aggiornato a cadenza annuale a
partire dal 31 marzo 2006 entro il 31 marzo dell'anno successivo, in modo da
attestare l'adeguata adozione di tutte le procedure relative al trattamento
della privacy e dei dati personali e da soddisfare gli obblighi di legge
eventualmente previsti per le società, come ad esempio la comunicazione inclusa
all'interno del Bilancio d'esercizio.
Le
modifiche apportate successivamente dal DL 9 febbraio 2012 n.5 hanno apportato
alcune novità tra le misure minime in materia di sicurezza, soprattutto
sopprimendo il Documento programmatico per la sicurezza della privacy.
Le misure introdotte nel 2012 dal ''Decreto semplificazioni'' aboliscono anche
la possibilità alternativa relativa al rilascio dell'autocertificazione
compiuta dal titolare. Questo insieme di novità erano già state anticipate nel
2012 dal cosiddetto ''DPS semplificato''.
Tuttavia, nei casi in cui la normativa aggiornata lo consenta, gli enti, le
società ed i soggetti abilitati non vengono tuttavia sollevati dall'attuazione
effettiva di tutti gli altri obblighi sulla privacy che sono stati previsti dal
legislatore. Quindi l'annullamento dell'obbligo di redazione del Documento
programmatico per la sicurezza non comporta assolutamente l'abolizione degli
altri adempimenti privacy, ma comporta anzi il rafforzamento dell'obbligo di
implementazione a discapito di un orpello di natura esclusivamente formale e burocratica.
Del resto un documento simile al Documento programmatico per la sicurezza
della privacy rimane scontato per le medio-grandi aziende non per obbligo
ma per motivi di gestione e di organizzazione dell'impresa.
Il discorso si fa invece diverso per le microimprese e per le piccole aziende,
per cui potrebbe essere sufficiente un documento simile al Documento
programmatico per la sicurezza della privacy ma redatto in maniera
semplificata. In questo caso tuttavia la redazione di un documento di questo tipo
non serve per assolvere un obbligo normativo bensì per tutelare le piccole
imprese nei casi di sopralluoghi da parte di enti competenti, al fine di
chiarire ogni minimo aspetto del loro modo di rapportarsi rispetto alla
sicurezza dei dati personali e della privacy.
SI capisce come, in un Paese come l'Italia in cui le Piccole Medie Imprese sono
la maggior parte, questo ultimo punto assuma un valore notevole.
La
redazione del Documento programmatico sulla sicurezza della privacy era
obbligatoria per tutte le imprese, liberi professionisti, lavoratori autonomi,
associazioni o enti che trattano i dati personali di lavoratori dipendenti,
quadri e dirigenti.
1. Quali erano i contenuti del Documento programmatico sulla sicurezza della privacy?
I contenuti
del Documento programmatico sulla sicurezza della privacy sono presenti
all'interno del Disciplinare tecnico che regola la materia relativa alle misure
minime di sicurezza nell'ambiente di lavoro, precisamente al punto 19, e sono:
• analisi dei rischi ricadenti sui dati;
• elenco dei trattamenti dati personali;
• distribuzione delle responsabilità e dei compiti all'interno delle strutture
e degli enti che devono rispettare i dati personali e la privacy;
• descrizione delle modalità e dei criteri per ripristinare i dati in seguito a
danneggiamento o a distruzione relativi al punto 23;
• descrizione di criteri da adottare in maniera tassativa per garantire il
rispetto delle misure minime di sicurezza nel caso di diffusione e di
trattamento di dati personali affidati all'esterno della struttura del
titolare, sempre in conformità e nel rispetto del codice;
• individuazione ed applicazione dei criteri da adottare per la separazione o
la cifratura dei dati personali relativi alla vita sessuale o allo stato di
salute dell'interessato dai dati di altro tipo sempre riferiti all'interessato;
• previsione di interventi degli incaricati al trattamento in ambito formativo,
per rendere gli stessi consapevoli ed edotti dei rischi relativi ad una
diffusione errata dei dati, delle misure in grado di prevenire eventi dannosi,
delle responsabilità che derivano da atteggiamenti o pratiche scorrette, dei
profili del rispetto della protezione dei dati personali maggiormente rilevanti
rispetto alle attività e delle modalità di aggiornamento del titolare riferite
alle misure minime adottabili.
La formazione è già programmata in occasione di cambiamenti di mansioni o di
responsabilità, di introduzione di rilevanti nuovi strumenti per il trattamento
di dati personali. Sempre la formazione è già pianificata al momento
dell'ingresso in servizio da parte dell'operatore preposto;
• descrizione delle misure da applicare per l'integrità e la piena
disponibilità dei dati oltre che alla protezione dei locali e delle aree
preposti, sempre rilevanti rispetto ai fini dell'accessibilità e della custodia
dei dati stessi. Secondo questo punto dunque da parte dell'azienda o
dell'imprenditore vanno studiate le adeguate misure.