Normativa

 

Con il DLGS N° 196 del 30 giugno 2003 (Gazzetta Ufficiale 29/07/2003) entra in vigore il nuovo Testo unico sulla privacy, che sostituisce la legge 675/1996 e alcune disposizioni di legge attualmente in vigore. Il Nuovo Testo Unico, denominato "Codice della Privacy", introduce nuove garanzie per i cittadini e semplifica alcune norme esistenti.

Con il Decreto legge n. 266 del 9 novembre 2004 pubblicato sulla Gazzetta Ufficiale N° 264 del 10 novembre 2004 viene disposto il rinvio al 30 giugno 2005 degli adempimenti previsti per il 31 dicembre 2004. Successive modifiche apportate al Codice della Privacy hanno stabilito un'ulteriore proroga al 31 marzo 2006 per l'adempimento delle misure di sicurezza, compresa la redazione del DPS (Documento Programmatico della Sicurezza).

Il 30 giugno 2006 è il termine per coloro che non possono per certificati motivi approntare il DPS entro la fine di marzo 2006, mentre gli altri adempimenti organizzativi relativi alla nomina del titolare e dei responsabili e le comunicazioni nei confronti dell'interessato (consenso e informativa) devono essere predisposte immediatamente all'interno di ogni ditta, impresa, ente, organizzazione.

Proroga al 31 luglio per i soggetti pubblici

Il Consiglio dei Ministri ha approvato la proroga del termine per adeguarsi alla disciplina sul trattamento dei dati sensibili e giudiziari da parte dei soggetti pubblici. Le P.A. avrebbero dovuto adottare e rendere pubblici, entro il 15 maggio prossimo, i regolamenti previsti dall'art. 20 del Codice della Privacy sul trattamento dei dati sensibili e giudiziari. Il decreto legge adottato differisce ora il termine al prossimo 31 luglio.

Nuovo corso on-line "La Privacy, la PA e gli Enti Locali"

Scarica la scheda del corso

Chiarimento Data Certa documento DPS

La problematica della data certa sul documento DPS (una delle misure minime di sicurezza previste dal Dlgs 196/2003) nasce da un’errata interpretazione dei testi legislativi.
Non risulta da alcuna fonte normativa che il Documento Programmatico sulla Sicurezza debba avere data certa.
La data certa di cui parla il codice della privacy riguarda coloro i quali vogliono usufruire della proroga al 30 giugno 2006, perchè in possesso di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime (art.180 comma 2).
Il DPS è un documento che deve essere tenuto agli atti senza nessuna certificazione da parte di soggetti (Poste, ecc..) e non deve essere spedito a nessun ente o soggetto. L’invio di una raccomandata a se stessi non è necessaria, poiché, essendo un documento composto da più pagine, non sarebbe possibile apporre il timbro su tutti i fogli.
Il titolare ha solamente l’obbligo di esibire il DPS in caso di accertamento ispettivo e di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS.

A supporto di questa interpretazione, citiamo le più importanti fonti normative di riferimento:

• gli articoli 33, 34, 35 e la regola 19 dell’allegato B) del D.lgs 196/03 (che non fanno menzione alcuna della necessità di una data certa per il DPS; ma impongono al titolare solo dell’obbligo di redigerlo e tenerlo aggiornato).
• gli articoli 157 e 180 del D.lgs 196/03 ( il DPS non viene citato tra i documenti che devono avere data certa; il DPS deve essere esibito in caso di accertamento)

 

Per ulteriori approfondimenti e confronti, rimandiamo al corso on-line.

Entro il 31 marzo di ogni anno è obbligatorio:

• Redigere o aggiornare il DPS (Documento Programmatico sulla Sicurezza) per i soggetti che non erano obbligati a farlo
• Redigere o aggiornare il DPS (Documento Programmatico sulla Sicurezza) per i soggetti che erano tenuti a farlo
• Adeguare tutti i sistemi informativi per una protezione da virus, Spam e attacchi informatici
• Adottare tutte le misure minime di sicurezza previste dalla norma

La creazione o l'aggiornamento del DPS (Documento Programmatico sulla Sicurezza) interessa la maggior parte delle aziende e dei professionisti. Infatti il DPS và redatto in tutti i casi in cui sono gestiti dati sensibili o giudiziari (dati relativi a paghe, contributi, ritenute, malattia, otto per mille).

Con l'introduzione del nuovo codice tutti coloro che gestiscono dati personali (comuni, sensibili, giudiziari) debbono applicare obbligatoriamente le misure minime di sicurezza.

La responsabilità delle misure minime, adottate sia dall'azienda e sia dai terzi, è totalmente del titolare. La regola vale anche per l'attività di elaborazione dati (Studi Commerciali e Professionali).

Le sanzioni previste, in caso di accertamento di violazioni, sono di tipo amministrativo (fino a 124.000,00 euro) e di tipo penale (fino a 3 anni di reclusione), oltre alla esclusione da eventuali appalti.

Sono previste anche sanzioni con risarcimento danni per chi non adotta misure minime.