Ancora qualche giorno per essere in regola con la normativa sulla privacy. Entro il prossimo 31 marzo il titolare del trattamento dei dati personali deve aggiornare il Documento Programmatico sulla Sicurezza (DPS). Tale documento, in ottemperanza alle prescrizioni del D.Lgs. n. 196/2003 (“Codice della Privacy”), individua le linee guida generali, le azioni e le misure per il trattamento dei dati personali in condizione di sicurezza con la finalità di ridurre al minimo, con riferimento alla tipologia dei dati trattati, i rischi di distruzione o perdita degli stessi, nonché i rischi di accesso non autorizzato, il trattamento non consentito o non conforme alle finalità di raccolta. Quest’anno nell’aggiornamento del DPS va tenuto conto, oltre che delle novità o variazioni specifiche che potrebbero essere intervenute presso ciascun titolare (nuovi trattamenti, fine di trattamenti già censiti, modifiche organizzative, modifiche tecnologiche, ecc.) anche degli aggiornamenti normativi che tale materia ha ricevuto negli ultimi 12 mesi. Infatti, il 27 novembre 2008 con un provvedimento a carattere generale dal titolo "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali", pubblicato in Gazzetta Ufficiale il 9 dicembre 2008, il Garante ha individuato modalità semplificate di applicazione delle misure minime di sicurezza che possono essere così di seguito sintetizzate:
1) Soggetti che trattano dati personali senza l’ausilio di strumenti elettronici
Non è richiesta per tale categoria di soggetti nessuna redazione del DPS.
2) Soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale
Decade l’obbligo della tenuta del DPS che viene sostituito da una autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
3) Soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese e non rientranti nella tipologia di cui al punto precedente
Tali soggetti possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni riportate nel provvedimento a carattere generale dal titolo "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008.
4) Organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche e non rientranti nelle tipologie di cui ai punti precedenti
Facsimile di DPS come illustrato nella "Guida operativa per redigere il Documento programmatico sulla sicurezza" pubblicata l’11 giugno 2004 dal Garante per la protezione dei dati personali.
5) Tutti gli altri soggetti non rientranti nelle tipologie di cui ai punti precedenti
Documento Programmatico sulla Sicurezza completo secondo le indicazioni riportate nel Codice in materia di protezione dei dati personali (D. Lgs. n.196), articolo 34, punto g. regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza, del D. Lgs. n.196.
Studio Spidalieri