Privacy e Sicurezza ENTRO IL 31/3 IL DPS

Dopo due proroghe, la terza, confermata nel decreto milleproroghe (decreto-legge 30/12/2005, n. 273 convertito nella legge 23/2/2006, n. 51) sembrerebbe l'ul...

09/03/2006
Dopo due proroghe, la terza, confermata nel decreto milleproroghe (decreto-legge 30/12/2005, n. 273 convertito nella legge 23/2/2006, n. 51) sembrerebbe l'ultima e, quindi, il 31 marzo prossimo scade il termine per presentare il Documento programmatico per la sicurezza.
La norma nasce nell'articolo 180 del Codice della Privacy (Decreto legislativo 30 giugno 2003, n. 196) con la prima scadenza per il 31 dicembre 2004 successivamente prorogata una prima volta al 30 giugno 2005, una seconda volta al 31 dicembre 2005 ed una terza volta, che sembrerebbe l'ultima, al 31/3/2006.

Con l'articolo 33 del codice della Privacy è stato previsto un livello minimo di protezione dei dati personali che, comunque, non esclude l'obbligo di adottare, come indicato all'articolo 31, accorgimenti più specifici che riducano al minimo i rischi di distruzione o perdita, anche accidentale, dei dati personali. Il Documento Programmatico per la sicurezza (DPS) rientra tra le misure minime ed è previsto all'articolo 34 del codice stesso.

Nel disciplinare tecnico allegato B al codice e precisamente alla regola 19 viene chiarito che sono tenuti a redigere il DPS soltanto coloro che trattano dati sensibili e giudiziari per mezzo di strumenti elettronici (ad esempio computer da tavolo o personali).
Per altro la regola 26 del disciplinare tecnico precisa che il DPS, nel caso di società di capitali, deve essere allegato alla relazione di accompagnamento del bilancio di esercizio.

L'obbligo della redazione del DPS riguarda, pertanto tutti gli operatori nel campo dei lavori pubblici e privati sia professionisti che imprese di costruzioni che trattano dati personali. Ricordiamo che il Garante ha dettato le linee guida per redigere il DPS (www.garanteprivacy.it); tali linee guida sono suddivise in due parti e precisamente in vademecum vero e proprio ed un insieme di schede e tabelle da inserire nel documento.
Ovviamente si tratta soltanto di un'indicazione per semplificare la stesura del DPS principalmente da parte delle piccole aziende e non sussiste alcun obbligo.
Il vedemecum è suddiviso in otto sezioni (una per ognuno dei sottopunti della regola 19 del disciplinare tecnico allegato B al Codice) ed include una sintetica descrizione dei contenuti previsti e le informazioni essenziali da inserire nel DPS.

Il DPS deve essere redatto dal titolare di un trattamento di dati sensibili o giudiziari, o da un responsabile incaricato; nel DPS devono essere contenute informazioni relative a:
- l'elenco dei trattamenti di dati personali;
- i compiti e responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
- l'analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
- la previsione di interventi formativi degli incaricati del trattamento;
- la descrizione dei criteri di sicurezza da adottare in caso di trattamenti di dati personali affidati all'esterno.

Nel caso di mancata predisposizione del DPS, ne risponde il titolare del trattamento e se il titolare è una persona giuridica, occorre verificare le competenze specifiche dei singoli soggetti all'interno della struttura stessa.
Nel caso di inadempienza le sanzioni previste sono, ai sensi dell'articolo 169 del Codice, l'arresto sino a due anni o l'ammenda da diecimila euro a cinquantamila euro.
© Riproduzione riservata

Link Correlati

Focus sicurezza