Il Documento Programmatico sulla Sicurezza e le principali novità per la protezione dei dati personali

12 luglio 2016

Il D.P.S. (Documento Programmatico sulla Sicurezza) è un documento che serviva per attestare l’adeguamento dell’azienda (Titolare dei dati) alla normativa sulla tutela dei dati personali (privacy). Il documento doveva essere aggiornato con frequenza annuale entro il 31 marzo di ogni anno. A seguito del Decreto Legge 201 del 6/12/2011 convertito con modificazioni dalla Legge 204 del 22/12/2011, l’utilizzo di questo documento non risulta più necessario. Gli addetti consigliano la sua tenuta in quanto si tratta di uno strumento utile a descrivere la situazione in riferimento alla detenzione, trattamento e sicurezza applicata ai dati e che consente di dimostrare e descrivere una specifica gestione e presa di coscienza nel gestire la riservatezza dei dati degli interessati presenti in azienda.

In particolare, vi sarebbero alcune informazioni “ante legge 204” che sarebbe opportuno mantenere nonostante la semplificazione consentita al Garante.  Il D.P.S. è un manuale che contiene l’analisi dei rischi e la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali degli interessati che sono conservati e trattati in azienda. Il Garante ha individuato una figura di responsabile per il trattamento dei dati ed una serie di elementi per cui l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge; lo scopo del D.P.S. è di descrivere la situazione aziendale con riferimento ai punti stabiliti dallo stesso Garante. La complessità ed il tempo di stesura del documento variano a seconda della dimensione dell’azienda e della quantità e tipologia di documenti da processare. Per la predisposizione del documento occorre prestare una attenta valutazione ed analisi della situazione aziendale, dei trattamenti effettuati e degli operatori a cui è consentito l’accesso ed il trattamento dei dati. Si precisa che, sono obbligate ad adeguarsi le entità che operano un trattamento di dati sensibili mediante strumenti elettronici. Anche in assenza di un Documento Programmatico sulla Sicurezza, occorre identificare e nominare per iscritto gli Incaricati del Trattamento dati ed eventuali Responsabili dei dati interni o esterni all’azienda.

La conversione del Decreto Legge n. 5 del 9 febbraio 2012 (c.d. Decreto semplificazioni), avvenuta con la Legge 4 aprile 2012 n. 35, conferma definitivamente la soppressione dell’obbligo in capo ai titolari di trattamento dei dati sensibili e giudiziari, di redigere e tenere aggiornato il D.P.S.. Il Titolare dei dati è tenuto ad adottare, in ogni caso, le “misure minime” di sicurezza previste dal Codice Privacy al fine di tutelare la riservatezza e la sicurezza dei dati personali contenuti negli archivi, e che questi siano a loro volta archiviati elettronicamente o in altri modi. L’omissione di queste misure comporta pesanti sanzioni economiche per il Titolare dei Dati, oltre che una responsabilità penale a norma dell’art. 169 del codice Privacy.

Sulla Gazzetta Ufficiale Ue 4 maggio n. L 119 è stato pubblicato il Regolamento 27 aprile 2016 n. 679, relativo alla protezione delle persone fisiche sotto i due profili del trattamento dei dati personali e della libera circolazione di tali dati. Il Regolamento, che fa parte del “Pacchetto protezione dati”, mira ad assicurare un livello di protezione delle persone fisiche uniforme ed omogeneo nell’Unione Europea, prevenendo disparità che possano ostacolare la libera circolazione di dati personali nel mercato interno. Il Regolamento è entrato in vigore il 24 maggio 2016, ma troverà applicazione negli Stati solo alla data del 25 maggio 2018, per consentire il necessario adeguamento dell’attuale quadro giuridico nazionale alle regole comunitarie e determinerà nel nostro ordinamento una profonda revisione del Codice della protezione dei dati personali di cui al D. Lgs. 196/2003. E’ opportuno, pertanto, mantenere attivo il D.P.S. e verificare almeno una volta all’anno che i requisiti richiesti dalla normativa (lettere di incarico ai responsabili dei trattamenti, archiviazione dei documenti contenenti dati sensibili, salvataggi costanti e protetti, rotazione delle password, etc.) siano rispettati redigendo un rapporto dettagliato a disposizione degli organi di controllo.

Quanto all’ambito applicativo materiale, vengono in considerazione il trattamento interamente o parzialmente automatizzato di dati personali e il trattamento non automatizzato di dati personali contenuti in archivio o destinato a figurarvi. Il Regolamento non si applica al trattamento di dati personali effettuati:

  • per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
  • per attività rientranti nella politica estera e di sicurezza comune;
  • dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, compresa la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse;
  • da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.

Il Garante della privacy, riguardo alle misure di protezione previste, è intervenuto con una Guida informativa nel quale vengono evidenziate le principali innovazioni apportate per cittadini, aziende, enti pubblici, associazioni e liberi professionisti; il Regolamento:

  • introduce regole più chiare in materia di informativa e consenso;
  • pone le basi per l’esercizio di nuovi diritti;
  • definisce i limiti al trattamento automatizzato dei dati personali;
  • stabilisce criteri più rigorosi per il trasferimento dei dati al di fuori dell’Unione Europea e per i casi di violazione dei dati personali.
  • In particolare, per le imprese e gli enti, una delle principali novità riguarda l’introduzione della figura del responsabile della protezione dei dati (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali. Tale figura è obbligatoria quando il trattamento dei dati viene effettuato da un’autorità pubblica o da un organismo pubblico e quando i trattamenti dei dati richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Infine, il DPO deve essere obbligatoriamente previsto quando le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento su larga scala di categorie particolari di dati personali (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, etc.).

FINE