1 marzo 2010
Entro il 31 marzo bisogna aggiornare il DPS: fate attenzione alle misure semplificate!!
Come è noto entro il 31 marzo enti, professionisti e aziende, che non si trovino nelle condizioni previste dalla legge per l’adozione di misure semplificate, dovranno aggiornare il Documento Programmatico sulla Sicurezza.
Difatti, l’art. 34 del Codice per la protezione dei dati personali prevede tra le misure minime l’adozione del c.d. Documento Programmatico sulla Sicurezza (DPS). Mentre l’art. 29, comma 1, D.L. 25 giugno 2008, n. 112, come modificato dalla relativa legge di conversione ha introdotto il comma 1-bis dell’art. 34 del Codice della protezione dei dati personali il quale prevede che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, ha emanato il 27 novembre 2008 un proprio provvedimento, che prevede modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1 dell’art. 34 del Codice.
Nonostante i provvedimenti di semplificazione dell’Autorità Garante, ritengo sempre consigliabile la stesura di un DPS anche in caso di trattamento di dati comuni con strumenti elettronici. Detta stesura risponde infatti a quei criteri di misure idonee (non minime) che mettono al riparo il titolare dalle responsabilità civili ex art. 2050 c.c., e – comunque – risponde all’osservanza di criteri di buona organizzazione aziendale.
Il DPS ha il compito specifico di indurre a fare, almeno una volta all’anno, il punto sul sistema di sicurezza adottato e da adottare nell’ambito della propria attività; tale documento ha una funzione meramente descrittiva, eppure per la sua violazione il Codice prevede sanzioni estremamente severe, che vanno dall’arresto fino a due anni (e conseguente inevitabile sanzione disciplinare prevista dal Codice deontologico) al possibile pagamento di somme da 20.000 a 120.000 euro (rispettivamente art. 169 ed art. 162 co. 2-bis del Codice).
Anche chi intenda, quindi, ricorrere alle misure semplificate (autocertificazione) dovrà fare attenzione a valutare attentamente di trovarsi nelle condizioni previste dalla legge. In caso contrario, abbiamo visto, che le sanzioni sono davvero pesanti oltre alle responsabilità penali connesse a dichiarazioni mendaci.
Scritto il 1-3-2010 alle ore 17:42
Sono assolutamente d’accordo sull’utilità di redigere in ogni caso un DPS sia pure “semplificato”. Questa “misura minima di sicurezza”, tanto osteggiata dalla maggior parte dei titolari del trattamento di dati personali, a mio avviso costituisce la misura più utile per il titolare stesso, giacché gli permette di tenere sotto controllo tutto il sistema di sicurezza per il trattamento dei dati adottato nell’ambito della propria organizzazione, cioè, in sostanza, gli permette di tenere più agevolmente sotto controllo tutte le altre misure minime di sicurezza previste dall’art. 34 del D.Lgs. 196/03 che – nonostante le semplificazioni introdotte dall’art. 29 del D.L. 112/08 – sono tuttora obbligatorie.
Una sola precisazione: a seguito della conversione del decreto legge 25 settembre 2009, n. 135 con la legge 20 novembre 2009, n. 166, la sanzione amministrativa applicata in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’art. 33 o delle disposizioni indicate nell’art. 167 del D.Lgs. 196/03 consiste adesso nel pagamento di una somma da diecimila euro (anziché ventimila) a centoventimila euro e questo “sconto” fatto dal legislatore non è poco… vista l’estrema pesantezza delle sanzioni previste!
Scritto il 2-3-2010 alle ore 17:53
Ma quale sicurezza ? Non sapete, che state tutti sotto l’occhio del ciclone ? Ma se per caso capitate di essere controllati,di Voi vi diranno tutto da quando vi alzate la mattina sino quando andrete a dormire !!!!Diverso è il trattamento di dati particolari,riferibili alla persona,quali le malattie,le tendenze politiche(non importanti perchè si passa dalla destra alla sinistra e viceversa!!!!!),la fede religiosa ecc.Si deve trattare tutto con buon senso.Provate a chiedere un prestito in banca,una pensione e se non date tutti i vs.dati,sarete emarginati.Franco
Scritto il 2-3-2010 alle ore 18:07
Indubbiamente i dati sensibili meritano una tutela più incisiva come del resto dispone la stessa normativa. Ma guai a perdere il controllo dei propri dati anche se non sensibili, le conseguenze potrebbero essere disastrose. Ovviamente, però, anche le esigenze della riservatezza devo lasciare il passo a normative speciali in materia bancaria, pensionistica, sanitaria, fiscale. Del resto sarebbe troppo comodo opporre la privacy ad ogni richiesta
Scritto il 17-3-2010 alle ore 20:27
Volevo chiederviil responsabile del Trattamentodati,nominato con atto di nomina dal Titolare che tipo di responsabilità ha? La nomina di questo prevede un eventuale compenso (se trattasi di dipendente di azienda) ??
grazie
Scritto il 18-3-2010 alle ore 10:09
Il responsabile del trattamento dati è colui il quale risponde dinanzi alla legge dell’applicazione della normativa in tema di privacy per conto dell’ente o della società o dello studio professionale dove lavora. Di conseguenza la sua responsabilità potrà essere sia civile che penale. Normalmente la nomina di responsabile del trattamento è connessa all’attività che il soggetto svolge nell’ambito dell’azienda, per cui non è previsto (e non potrebbe essere previsto) alcun compenso. Saluti
Scritto il 18-3-2010 alle ore 12:04
Vorrei approfondire l’aspetto della responsabilità penale del Responsabile del trattamento.
Nel caso del trattamento di dati personali all’interno di una struttura aziendale complessa, la nomina del Responsabile da parte del Titolare può essere considerata come una forma di delega di funzioni. Come è noto, la delega è quell’atto con cui l’obbligato originario devolve volontariamente alcuni dei suoi obblighi a un altro soggetto, che per effetto di tale atto diviene responsabile derivato del loro adempimento.
L’istituto della delega è nato per consentire di trasferire su altri una responsabilità, conseguente alla violazione di norme penali, che sarebbe propria. Per la dottrina e la giurisprudenza i requisiti affinché la delega sia valida sono essenzialmente: forma, specificità della delega, accettazione, effettività, competenza tecnica del delegato, non ingerenza del delegante, vigilanza del delegante, dimensioni dell’impresa.
L’origine/necessità dell’istituto della delega nell’ambito dell’applicazione del Codice della privacy (ma ciò vale anche in altri campi, come ad es. per la sicurezza del lavoro) va rinvenuta nella progressiva spersonalizzazione dell’attività imprenditoriale, che rende sempre più difficile per il naturale destinatario del precetto penale (cioè il Titolare del trattamento dei dati personali), adempiere personalmente gli obblighi imposti dalla legge. Perciò, in tutte le realtà aziendali e le pubbliche amministrazioni “complesse” (per dimensioni, numero di dipendenti, articolazione in più strutture o unità territoriali, ecc.) si è reso necessario poter affidare ad altri soggetti specificamente individuati il compito di vigilare sulla concreta applicazione della normativa sulla privacy.
La delega (che nel caso in questione consiste in un atto di nomina con un mansionario), è redatta per iscritto e, secondo l’art. 29 del D.Lgs. 196/03, deve essere conferita a una persona professionalmente idonea (conoscitore della normativa sulla privacy e dell’organizzazione aziendale e possibilmente esperto di informatica), cui siano attribuiti sufficienti poteri decisionali e disponibilità economiche per potere concretamente attuare le misure di sicurezza richieste dal D.Lgs. 196/03. Inoltre, il Titolare-delegante non deve ingerire nell’esercizio dei compiti trasferiti con la delega al Responsabile. In sostanza, occorre che il delegato, oltre a possedere le competenze tecnico-professionali necessarie allo svolgimento delle mansioni, sia messo in condizioni di poter effettivamente svolgere le funzioni assegnategli, per evitare che la delega diventi un mero strumento per spostare su un altro soggetto le responsabilità penali derivanti dal mancato adempimento degli obblighi previsti dalla legge.
Per quanto riguarda gli effetti della delega, occorre distinguere tra delega di funzioni e delega “materiale”. La prima consiste nell’assunzione da parte di un soggetto di una serie di funzioni che gli sono assegnate da chi ne era in precedenza titolare. Tale tipo di delega è l’unica ad avere efficacia discriminante in presenza dei requisiti sopra indicati. Invece la delega materiale, consiste nel semplice incarico assegnato a un terzo di eseguire materialmente alcuni compiti, cioè si tratta dell’incarico dell’esecuzione di specifici atti rispetto ai quali viene trasferita al delegato non la competenza ma solo la legittimazione al compimento dei singoli atti di competenza del delegante. In tal caso, quindi, il delegante non si spoglia della posizione penalmente rilevante e resta il vero obbligato per legge.
Per quanto riguarda il dovere di controllo, il delegante-Titolare del trattamento (cioè il datore di lavoro) resta il primo responsabile dell’adempimento dell’obbligo penalmente sanzionato di cui è “titolare” per legge. Pertanto, trasferendo ad altri l’adempimento dei suoi doveri in materia di applicazione del D.Lgs. 196/03 il Titolare assume su di sé il rischio dell’inadempimento del delegato-Responsabile del trattamento e ne risponde se viene meno ai suoi doveri di controllo (culpa in vigilando). Ne consegue che, ai fini della responsabilità penale, il Titolare che violi il dovere di controllo sarà chiamato a rispondere in concorso con il Responsabile inadempiente.
Sempre in materia di responsabilità penale, però, va precisato che il Responsabile del trattamento dei dati non è responsabile della mancata applicazione delle misure minime di sicurezza derivante dalla mancanza o dall’insufficienza di cautele e mezzi strumentali, perché egli non esplica il potere di supremazia e di direzione nell’organizzazione dell’impresa, che spetta invece al Titolare-datore di lavoro. Perciò, il dovere di vigilanza non è adempiuto se il Titolare-delegante si limita a dare al Responsabile-delegato solo avvertimenti verbali dei pericoli e dei rischi specifici inerenti il trattamento dei dati personali, o se si limita a predisporre le misure di sicurezza, senza vigilare sulla loro effettiva applicazione.
Scritto il 29-3-2010 alle ore 14:15
[…] Documento Programmatico sulla Sicurezza (DPS) – scadenza 31 marzo 2010 […]
Scritto il 21-4-2010 alle ore 16:43
Buongiorno.
Non mi è chiaro se con l’adozione di un dps semplificato, decada anche l’obbligo di nominare un amministratore di sistema.
Scritto il 21-4-2010 alle ore 17:04
Premesso che non c’è un “obbligo” di nominare un ADS, direi che l’obbligo di redigere un DPS “completo” non ha proprio nulla a che vedere con l’esistenza o meno della figura tecnica dell’amministratore di sistema.
Se il titolare del trattamento dei dati è una realtà relativamente “semplice”, come può essere una piccola o media impresa, un professionista o un artigiano(che quindi può redigere un DPS semplificato), in concreto potrebbe anche non aver bisogno di nominare un ADS. La cosa va valutata in concreto.
Scritto il 21-4-2010 alle ore 22:12
Concordo senz’altro con Polacchini, le due cose sono completamente indipendenti e va valutata in concreto la necessità di nominare un Ads. In linea teorica se un’azienda ritiene opportuno redigere un dps semplificato vuol dire che non ha grosse problematiche in materia di privacy, ma potrebbe avere comunque un sistema informatico tale da richiedere un Ads.
Scritto il 23-7-2010 alle ore 16:47
Buongiorno.
Volendo effettuare un’operazione capillare di marketing a 1/2 e-mail, vorrei fare visualizzare al destinatario, del nostro materiale pubblicitario; (o come allegato pdf o già visibile nel “corpo” del testo della e-mail stessa).
Devo necessariamente chiedere preventivamente un’autorizzazione di consenso al destinatario all’invio di tale e-mail?
Se la risposta è affermativa, c’è una possibilità di “aggirare” tale ostacolo? (per esempio se il mat.pubblcitario lo metto come allegato pdf, posso dirgli qc.tipo “se apri il file vuol dire che acconsenti ad accettare la visione dello stesso”)….
Scritto il 25-7-2010 alle ore 16:45
Purtroppo la richiesta preventiva di consenso è la regola e l’Autorità Garante ha dimostrato in più occasioni di non gradire aggiramenti della norma. Come prescrive l’art. 130 del codice privacy si può evitare la mail di richiesta consenso solo qualora il destinatario già abbia acquistato prodotti similari a quelli da pubblicizzare.
Scritto il 12-11-2010 alle ore 10:12
Dovendo gestire annualmente un DPS in forma semplificata, per tipologia dati trattati, rimanendo inviariata la struttura/organizzazione/compiti cosa và materialmente stampato ? Non essendoci variazioni di sorta basterebbe copiare il vecchio DPS di anno in anno cambiando la data del documento ? Grazie
Scritto il 14-11-2010 alle ore 09:59
Certo se non ci sono novità, bisogna rinnovare il precedente DPS aggiornandolo alla data corrente. Saluti
Scritto il 28-3-2011 alle ore 18:50
il DPS con data e firma aggiornato a marzo 2011 bisogna anche timbrarlo con data certa all’ufficio postale?
Scritto il 10-4-2011 alle ore 20:52
No, la data certa non è obbligatoria.
Scritto il 2-8-2011 alle ore 18:14
pongo una domanda :
per trattare dati anonimizzati (data base con codice numerico in sostituzione del nome)contenente dati relativi a patologie, età e altri dati clinici è necessario provvedere a redigere il DPS