Privacy: gli adempimenti per le aziende entro il 31 marzo

Il decreto legislativo 30 giugno 2003, n. 196, meglio noto come "Codice in materia di protezione dei dati personali" prevede una serie di adempimenti che ogni azienda deve rispettare entro il 31 marzo di ogni anno. Ecco una rapida sintesi di tutte le scadenze.

Documento Programmatico sulla Sicurezza

Annualmente, e non oltre il 31 marzo di ogni anno, l'azienda deve aggiornare il proprio "Documento Programmatico sulla Sicurezza" (DPS) che deve contenere, al minimo (regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza", del D. Lgs. n.196)

  • l'elenco dei trattamenti di dati personali;
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
  • l'analisi dei rischi che incombono sui dati;
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (...);
  • la previsione di interventi formativi degli incaricati del trattamento (...);
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare.

Tali elementi "obbligatori" del DPS devono ovviamente contenere informazioni "aggiornate" alla data di redazione del Documento Programmatico per cui occorre pianificare con cura le attività da svolgere e le funzioni aziendali (ad esempio: l'ufficio Risorse Umane per i piani formativi e l'ufficio Sicurezza per le misure di sicurezza) da coinvolgere.

Nota al Consiglio d'Amministrazione sul DPS

Ogni anno occorre riportare (allegato B, punto 26) nella relazione accompagnatoria del bilancio d'esercizio dell'avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza.

Notificazione dei trattamenti

Solo nei casi previsti dal Codice (art. 37 del Codice) occorre notificare al Garante per la protezione dei dati personali i trattamenti di dati che si intende effettuare. Tale notifica (ripeto: necessaria solo nei casi individuati dalla legge) va fatta PRIMA dell'inizio dei trattamenti stessi. È buona prassi indicare nel DPS se vi sono stati nuove notifiche di tali trattamenti rispetto all’anno precedente.

Acquisizione dei DPS dei "responsabili" esterni


Nel caso l'azienda abbia nominato "responsabili" del trattamento esterni (ad esempio: società terze a cui sono affidati in outsourcing alcuni trattamenti di dati) è necessario richiedere a tali "responsabili" copia (anche in formato ridotto) del loro Documento Programmatico (da allegare o citare nel proprio aggiornamento).

Piani di formazione

È necessario ogni anno predisporre un piano di formazione in ambito privacy per tutti coloro che trattano (in maniera informatizzata o cartacea) dati personali. La formazione in ambito privacy è un obbligo di legge: occorre "rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali" (punto 19.6 dell'allegato B)

Chi è Panfilo Marcelli?

Panfilo Marcelli si occupa di compliance, privacy e sicurezza da oltre vent'anni. Ha lavorato pre primarie aziende nazionali con ruoli direttivi. Email: p.marcelli@mclink.it

Altri articoli di Panfilo Marcelli

ComplianceNet: