Documento programmatico sulla sicurezza, scadenza entro il 31 marzo

Chiunque tratti dati personali di clienti, fornitori, cittadini, dipendenti, soci o altro, dovrà rispettare il nuovo Testo Unico sulla Privacy – TUP (D.Lgs. 196 del 30/6/03) entrato in vigore il 01/01/04, aggiornando il Documento Programmatico sulla Sicurezza (DPS).

Il DPS è il documento in grado di attestare l’adeguamento alla normativa sulla tutela dei dati personali (privacy) e l’articolo 44, conosciuto anche come “decreto delle mille proroghe”, prevede l’obbligatorietà di stilare entro il 31 marzo di ogni anno il DPS a tutte quelle imprese che trattano dati sensibili. Sono esentate le piccole aziende che non trattano dati sensibili o che hanno come unici dati sensibili quelli relativi al rapporto di lavoro dei dipendenti.

In altre parole, il DPS è un vero è proprio manuale per la pianificazione della sicurezza dei dati presenti in azienda, nel quale viene descritto come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. e dove si individuano le linee guida generali, le azioni e le misure per il trattamento dei dati personali in condizione di sicurezza con la finalità di ridurre al minimo, con riferimento alla tipologia dei dati trattati, i rischi di distruzione o perdita degli stessi e perché l’accesso e il trattamento a essi relativi siano esclusivamente nelle mani del personale autorizzato.

A tal proposito, il Garante ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge.

Per adeguarsi alla legge occorre:
– proteggere e inventariare tutte le banche dati
– adottare misure logiche, fisiche e organizzative di protezione
– adeguarsi agli obblighi di informativa, consenso, nomina dei responsabili e degli incaricati
– formare il personale preposto
– redigere il Documento Programmatico sulla Sicurezza (DPS) e aggiornarlo annualmente

Chi verrà trovato inadempiente (mancanza di redazione del DPS, redazione errata o incompleta del DPS privacy) a un controllo effettuato dagli organi preposti (Guardia di Finanza, Polizia Postale e Ufficio del Garante) rischia pesanti sanzioni, amministrative e penali. In dettaglio, con l’articolo 44 che è stato convertito in legge a metà febbraio, il quadro sanzionatorio diventa alquanto severo, prevedendo multe che vanno da 5.000 a 18.000 euro per ogni infrazione che, se sommate, possono arrivare a un ammontare superiore al milione di euro.

Lo scopo del D.P.S. è proprio quello di descrivere la situazione attuale con riferimento ai punti stabiliti dal Garante. descrivendo come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori e dunque prevedendo tutta una serie di parametri di controllo relativi in particolare a:
• l’elenco dei trattamenti dei dati personali
• la distribuzione dei compiti e delle responsabilità
• l’analisi dei rischi che incombono sui dati
• le misure in essere e da adottare
• i criteri e le modalità di ripristino della disponibilità dei dati
• la pianificazione degli interventi formativi previsti
• la regolamentazione relativa ai trattamenti affidati all’esterno
• la cifratura dei dati o la separazione dei dati identificativi.

Lo spazio Commenti qui sotto è a vostra disposizione per porre eventuali quesiti specifici, a cui risponderò nel giro di breve tempo. In alternativa, potete rivolgervi direttamente al sottoscritto cliccando sul link del sito indicato qui sotto.

Arch. Mauro Galliano (Napoli)
www.studiogalliano.it