News - Regolamento Europeo e Nuovi Ruoli: Torna il Dps Privacy

Il rapporto tra aziende e privacy è destinato a subire un importante cambiamento normativo entro maggio 2018. Pensavi che il decreto Monti avesse eliminato l’obbligo di redigere e tenere aggiornato il Dps? Devi sapere che tra pochi mesi avrai a che fare con una rivoluzione totale. Vediamo di fare un po’ di chiarezza.

Il Documento Programmatico per la Sicurezza (DPS), introdotto con il D. Lgs. n. 196/03, ha rappresentato, fino al 2012, la misura minima di sicurezza obbligatoria in materia di protezione dei dati personali. In seguito, con il Decreto Monti (D.L. n. 5/12), l’obbligo di redigere e tenere aggiornato il DPS privacy è stato abolito; tuttavia, in vista della definitiva entrata in vigore del nuovo Regolamento Europeo sulla Privacy nel maggio 2018(il quale delineerà un quadro di riferimento comune in materia di protezione dei dati per tutti gli Stati membri dell’Unione Europea), è opportuno che imprese, professionisti e pubbliche amministrazioni mantengano attivo il documento, mettendo a disposizione degli organi di controllo un rapporto dettagliato sul rispetto delle misure idonee e un Registro dei trattamenti come richiesto dalla normativa.

Infatti la soppressione di tale adempimento non ha nulla a che vedere con l’obbligo di rispettare i requisiti previsti dalla normativa.

In particolare, i titolari del trattamento sono tenuti comunque a provvedere ai seguenti adempimenti:

- Nomina del titolare, dei responsabili e degli incaricati al trattamento dei dati;
- Nomina dell’amministratore di sistema;
- Il rilascio dell’informativa inerente alle finalità e modalità di trattamento dei dati;
- La richiesta del consenso al trattamento dei dati;
- La notifica delle violazioni di dati personali;
-La notifica, quando ricorra l’obbligo, al Garante della Privacy.

Tutti i soggetti che erano obbligati alla tenuta del DPS Privacy devono quindi continuare a osservare tutti i principi fondamentali stabiliti dal D. Lgs. 196/03, tenendo presente che le contravvenzioni possono tra l’altro esporre a pesanti sanzioni. Perciò è preferibile procedere con l’aggiornamento del DPS, in cui vengono indicati ad esempio i trattamenti effettuati dal titolare, la natura dei dati, gli strumenti elettronici impiegati.

Un altro aspetto da considerare è che, con l’avvento del nuovo Regolamento Europeo, verranno introdotte regole ancora più stringenti in materia di privacy; plausibilmente, anche in mancanza del DPS obbligatorio, i controlli sulle misure di sicurezza riguarderanno l’effettiva applicazione delle misure stesse.

L’art. 30 del nuovo Regolamento introduce inoltre l’obbligo di tenuta (da parte del titolare o del responsabile) del Registro dei trattamenti, contenente la descrizione degli adempimenti adottati e che dimostri la conformità alle disposizioni del Regolamento. Quest’ultimo ppare del resto molto più rigoroso e specifico del precedente, riguardante appunto l’adozione del DPS Privacy.

Ecco perché redigere il DPS, direttamente o appoggiandosi a consulenti esterni, risulta ancora vantaggioso per le imprese e gli enti pubblici.

Queste le parti principali di un Documento Programmatico per la Sicurezza:

- L’elenco del personale incaricato del trattamento in ogni struttura o reparto aziendale e gli strumenti informatici di cui è dotato;
- L’indicazione dei responsabili esterni per il trattamento dei dati, con la descrizione dell’attività affidata, della tipologia dei dati trattati e il nome del consulente cui è stata affidata l’attività;
- L’indicazione dei software aziendali e la tipologia di trattamento effettuato;

Scritto da Paolo Monini

Cristofani Comunicazione Lucca