Privacy e Compliance: di cosa occorre tenere conto nell'aggiornamento del DPS

Nel precedente articolo di questa serie (Privacy: le novità normative di cui tener conto nel DPS) abbiamo riepilogato le novità normative in ambito privacy degli ultimi 12 mesi circa di cui occorre tener conto nella redazione o aggiornamento del Documento Programmatico sulla Sicurezza (DPS) da compilare entro il 31 marzo di ogni anno (a proposito si può anche leggere: Privacy: gli adempimenti per le aziende entro il 31 marzo).

La struttura organizzativa

Come è noto il DPS non solo deve rappresentare lo stato delle misure di sicurezza e controllo dei dati personali trattati in azienda ma deve anche riportare la “distribuzione dei compiti e delle responsabilità” (regola 19.2) cioè descrivere sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati.

Analisi dei rischi

Un capitolo del DPS deve essere dedicata alla valutazione dei rischi (anche potenziali ) ai quali i trattamenti di dati possono essere esposti: in particolare il legislatore all'articolo 17 del Codice indica la necessità di valutare (oltre ai noti rischi sulla riservatezza, disponibilità ed integrità) anche i cosiddetti “rischi specifici”.

Rischi specifici

"Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti." Il Garante ha più volte indicato quali "famiglie" di trattamenti considera soggetti a rischi specifici. Per le banche ad esempio rientrano a pieno titolo i trattamenti relativi a:

  • Centrali rischi private e Centrale Allarme Interbancariaù
  • Antiriciclaggio e antiterrorismo
  • Accertamenti della Magistratura e dell'Agenzia delle Entrate
  • Videosorveglianza e Sistemi biometrici
  • Responsabilità amministrativa delle imprese (d.lgs. 231/2001)

Privacy e Compliance

Da quanto detto finora appare chiaro che nella redazione annuale del DPS non si può non ragionare che in un'ottica di più vasta conformità alle norme, siano esse leggi, regolamenti di mercato o procedure interne all'azienda stessa e quindi secondo un approccio tipico della Compliance. È del tutto inutile, specie in aziende di medie e grandi dimensioni e sicuramente in imprese bancarie o finanziarie, limitarsi a riportare nel DPS uno sterile elenco delle misure di sicurezza (lunghezza della password, tipo di antivirus utilizzato, eccetera). Occorre invece dare un quadro sinottico del “governo” delle tecnologie (IT Governance) e dei controlli per permettere al Titolare (il legale rappresentante dell'azienda) di poter affermare, quando relaziona al Consiglio di Amministrazione dell'avvenuta redazione del DPS come previsto dal punto 26 dell'allegato B del "Codice in materia di protezione dei dati personali".

Aggiornamenti più importanti di norme in ambito Compliance

Chi è Panfilo Marcelli?

Panfilo Marcelli si occupa di compliance, privacy e sicurezza da oltre vent'anni. Ha lavorato pre primarie aziende nazionali con ruoli direttivi. Email: p.marcelli@mclink.it

Altri articoli di Panfilo Marcelli

ComplianceNet: