Dopo due proroghe, la terza, confermata nel decreto milleproroghe
(decreto-legge 30/12/2005, n. 273 convertito nella legge 23/2/2006,
n. 51) sembrerebbe l'ultima e, quindi, il 31 marzo prossimo scade
il termine per presentare il Documento programmatico per la
sicurezza.
La norma nasce nell'articolo 180 del Codice della Privacy (Decreto
legislativo 30 giugno 2003, n. 196) con la prima scadenza per il 31
dicembre 2004 successivamente prorogata una prima volta al 30
giugno 2005, una seconda volta al 31 dicembre 2005 ed una terza
volta, che sembrerebbe l'ultima, al 31/3/2006.
Con l'articolo 33 del codice della Privacy è stato previsto un
livello minimo di protezione dei dati personali che, comunque, non
esclude l'obbligo di adottare, come indicato all'articolo 31,
accorgimenti più specifici che riducano al minimo i rischi di
distruzione o perdita, anche accidentale, dei dati personali. Il
Documento Programmatico per la sicurezza (DPS) rientra tra le
misure minime ed è previsto all'articolo 34 del codice stesso.
Nel disciplinare tecnico allegato B al codice e precisamente alla
regola 19 viene chiarito che sono tenuti a redigere il DPS soltanto
coloro che trattano dati sensibili e giudiziari per mezzo di
strumenti elettronici (ad esempio computer da tavolo o
personali).
Per altro la regola 26 del disciplinare tecnico precisa che il DPS,
nel caso di società di capitali, deve essere allegato alla
relazione di accompagnamento del bilancio di esercizio.
L'obbligo della redazione del DPS riguarda, pertanto tutti gli
operatori nel campo dei lavori pubblici e privati sia
professionisti che imprese di costruzioni che trattano dati
personali. Ricordiamo che il Garante ha dettato le linee guida per
redigere il DPS (www.garanteprivacy.it); tali linee guida sono
suddivise in due parti e precisamente in vademecum vero e proprio
ed un insieme di schede e tabelle da inserire nel documento.
Ovviamente si tratta soltanto di un'indicazione per semplificare la
stesura del DPS principalmente da parte delle piccole aziende e non
sussiste alcun obbligo.
Il vedemecum è suddiviso in otto sezioni (una per ognuno dei
sottopunti della regola 19 del disciplinare tecnico allegato B al
Codice) ed include una sintetica descrizione dei contenuti previsti
e le informazioni essenziali da inserire nel DPS.
Il DPS deve essere redatto dal titolare di un trattamento di dati
sensibili o giudiziari, o da un responsabile incaricato; nel DPS
devono essere contenute informazioni relative a:
- l'elenco dei trattamenti di dati personali;
- i compiti e responsabilità nell'ambito delle strutture preposte
al trattamento dei dati;
- l'analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonchè la protezione delle aree e dei
locali, rilevanti ai fini della loro custodia e accessibilità;
- la previsione di interventi formativi degli incaricati del
trattamento;
- la descrizione dei criteri di sicurezza da adottare in caso di
trattamenti di dati personali affidati all'esterno.
Nel caso di mancata predisposizione del DPS, ne risponde il
titolare del trattamento e se il titolare è una persona giuridica,
occorre verificare le competenze specifiche dei singoli soggetti
all'interno della struttura stessa.
Nel caso di inadempienza le sanzioni previste sono, ai sensi
dell'articolo 169 del Codice, l'arresto sino a due anni o l'ammenda
da diecimila euro a cinquantamila euro.
© Riproduzione riservata