Privacy: aggiornare il DPS per l’anno 2009 – prima parte - tipologie di DPS

Entro il 31 marzo di ogni anno il titolare di trattamenti di dati personali (se tenuto) deve aggiornare il Documento Programmatico sulla Sicurezza (DPS).
Quest’anno (oggi è il 22 febbraio 2009) nell’aggiornamento del DPS va tenuto conto, oltre che delle novità o variazioni specifiche che potrebbero essere intervenute presso ciascun titolare (nuovi trattamenti, fine di trattamenti già censiti, modifiche organizzative, novità in ordine alle infrastrutture tecnologiche, eccetera …) anche degli aggiornamenti normativi, in ambito privacy, occorsi negli ultimi 12 mesi.
A complicare la situazione sono intervenute anche le "semplificazioni" volute dal Garante che interessano, anche per la redazione del DPS, numerose categorie di titolari.
Andiamo con ordine.
In questa nuova serie di articoli affronteremo i seguenti aspetti.

  • Quante tipologie di Documento Programmatico sulla Sicurezza (DPS) o documenti assimilabili sono previste?
  • Quali sono le principali novità normative ed i relativi adempimenti di cui bisogna tener conto nell’aggiornamento del DPS per il 2009?
  • Che verifiche (due diligence) il titolare deve effettuare per assolvere alle sue responsabilità in vigilando nei confronti del responsabili (interno ed esterni)?

Cominciamo con esaminare le diverse "tipologie" di DPS previste dal Garante.

Le tipologie di Documento Programmatico sulla Sicurezza (DPS) o documenti previste dal Garante

Il primo gennaio 2004 è entrato in vigore il "Codice in materia di protezione dei dati personali".
Il "Codice" all’articolo 34, punto g) recita che il titolare di "Trattamenti con strumenti elettronici" è obbligato alla "tenuta di un aggiornato documento programmatico sulla sicurezza".
Il Documento Programmatico sulla Sicurezza (DPS) deve contenere, al minimo (regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza" , del D. Lgs. n.196:

  • l'elenco dei trattamenti di dati personali;
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
  • l'analisi dei rischi che incombono sui dati;
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (...);
  • la previsione di interventi formativi degli incaricati del trattamento (...);
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare.

L’11 giugno 2004 il Garante per la protezione dei dati personali ha pubblicato una "Guida operativa per redigere il Documento programmatico sulla sicurezza" (pdf, 232 K, 17 pp).
Dice il Garante nella premessa al facsimile:

"La presente guida mira a facilitare l’adempimento dell’obbligo di redazione del documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche (nota 1).
La guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio utilizzarla per adempiere all’obbligo.
Nota 1) Nelle strutture di piccole dimensioni dove possono mancare specifiche competenze, si può anche chiedere consultare per alcuni profili tecnici il fornitore/installatore degli strumenti elettronici e del relativo software."

Il 24 maggio 2007 Il Garante ha pubblicato una "Guida pratica e misure di semplificazione per le piccole e medie imprese" (G.U. 21 giugno 2007 n. 142) che per quanto riguarda il DPS recita:

"In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) e regola 19 dell'Allegato B al Codice). Si può tener conto dei suggerimenti già formulati dal Garante che –recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori, con particolare riguardo alle piccole e medie imprese– ha già reso disponibile on-line, a far data dal 11 giugno 2004, una Guida operativa".

Con l’articolo numero 29 della legge 6 agosto 2008, n. 133, "Conversione in legge, con modificazioni, del decreto-legge 25 giugno 2008, n. 112, recante disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria" , GU n. 195 del 21 agosto 2008 - Suppl. Ordinario n. 196 (entrata in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale.) viene però modificato il "Codice" proprio all’articolo 34 (richiamato sopra) semplificando gli "adempimenti" relativi al DPS per alcune categorie di titolari.
Recita l’articolo 29 della legge 6 agosto 2008, n. 133:

"Trattamento dei dati personali
1. All'articolo 34 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 è aggiunto il seguente:
    « 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1».


Infine il 27 novembre 2008 con un provvedimento a carattere generale dal titolo "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali", pubblicato in Gazzetta Ufficiale il 9 dicembre 2008, il Garante ha individuato modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali. Tra le modalità semplificate vi è anche una "semplificazione" per il DPS. Recita il provvedimento:

2.5. Documento programmatico sulla sicurezza (modalità applicative delle regole di cui ai punti da 19.1 a 19.8  dell'Allegato B))
2.5.1. Fermo restando che per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza (…), i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate.

Il documento deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.

Il documento deve avere i seguenti contenuti:

  • le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili; nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento;
  • una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento; in tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
  • l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità; nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità;
  • una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

In sintesi

In sintesi, rispetto all’obbligo di redazione, ed aggiornamento, del Documento Programmatico sulla Sicurezza alla data odierna (22 febbraio 2009) le casistiche possibili sono (in ordine crescente di adempimenti richiesti).

 

Tipo di titolare

Tipologia di DPS

Riferimento normativo

Soggetti che trattano dati personali senza l’ausilio di strumenti elettronici

Non è richiesta la tenuta del DPS

Codice in materia di protezione dei dati personali (D. Lgs. n.196), articolo 34

Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale.

Decade l’obbligo della tenuta del DPS che viene sostituito da una autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte

Articolo numero 29 della legge 6 agosto 2008, n. 133 recepito come comma 1-bis all’articolo 34 del "Codice in materia di protezione dei dati personali"

Soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese e non rientranti nella tipologia di cui al punto precedente.

 

Tali soggetti possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni riportate nel provvedimento a carattere generale dal titolo "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008

"Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008

Organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche e non rientranti nelle tipologie di cui al punto precedente.

Facsimile di DPS come illustrato nella "Guida operativa per redigere il Documento programmatico sulla sicurezza".

Nota bene: non è obbligatorio utilizzare tale facsimile.

 

"Guida operativa per redigere il Documento programmatico sulla sicurezza" dell’11 giugno 2004

 

Tutti gli altri titolari non rientranti nelle tipologie di cui al punto precedente.

Documento Programmatico sulla Sicurezza completo secondo le indicazioni riportate nel Codice e nell’allegato B.

Codice in materia di protezione dei dati personali (D. Lgs. n.196), articolo 34, punto g.

regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza, del D. Lgs. n.196

 

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it 

Altri articoli di Panfilo Marcelli

ComplianceNet: