Privacy: 10 errori da evitare nella redazione o aggiornamento del DPS (prima parte)

Ci avviciniamo al 31 marzo, data entro la quale il titolare di un trattamento di dati sensibili o  giudiziari redige anche attraverso il responsabile, se designato, il "Documento Programmatico sulla Sicurezza" (DPS) secondo le modalità indicate alla regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza".  Ecco gli errori più comuni da evitare.

1 – Non redigere il DPS

Se in azienda non si effettuano trattamenti di dati sensibili o giudiziari è necessario redigere il "Documento Programmatico sulla Sicurezza"? . Le interpretazioni a riguardo sono varie. Personalmente consiglio a chiunque sia Titolare di un trattamento di dati personali (anche se non sensibili o giudiziari: classificazione già di per sé non sempre pacifica) di redigere il DPS anche perché la mancata adozione delle misure minime di sicurezza, ai sensi dell’art.169, comma 1, del D.Lgs. 196/2003 prevede una sanzione pecuniaria fino a 50.000 euro e l’arresto fino a 2 anni. Per chi volesse approfondire l'argomento consiglio la lettura di "DPS si o DPS no ?" (pdf) di Enrico Larocca.

2 – Non aggiornare il DPS

Sbagliato! Il DPS va redatto anche se non vi sono novità "sostanziali" da riportare rispetto alla precedente edizione.

3 – Aggiornare il DPS indicando "Nessuna variazione"

È  possibile che in azienda nei 12 mesi appena trascorsi non sia accaduto nulla degno di nota per il DPS? Si è tenuto conto delle novità normative in ambito Privacy (vedi: Le novità normative di cui tener conto nel DPS) e più in generale in ambito Compliance (vedi: Privacy e Compliance: di cosa occorre tenere conto nell'aggiornamento del DPS)? In ogni caso è obbligatorio, almeno una volta l'anno, aggiornare l'analisi dei rischi ed il censimento dei trattamenti.

4 – Non comunicare la redazione / aggiornamento al CdA

Ogni anno occorre riportare (allegato B, punto 26) nella relazione accompagnatoria del bilancio d'esercizio dell'avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza.

5 – Non controllare gli allegati

Spesso (e opportunamente) il DPS è formato da un corpus principale e da una serie, spesso voluminosa, di allegati. Ricordiamoci di verificare che anche gli allegati siano aggiornati (ovviamente dove è opportuno).

Fine prima parte  

Leggi la seconda parte

Chi è Panfilo Marcelli?

Panfilo Marcelli si occupa di compliance, privacy e sicurezza da oltre vent'anni. Ha lavorato pre primarie aziende nazionali con ruoli direttivi. Email: p.marcelli@mclink.it

Altri articoli di Panfilo Marcelli

ComplianceNet: