Il nuovo codice sulla tutela della privacy (D.Lgs 196/03) prescrive, per tutti i soggetti direttamente interessati dalla regolamentazione, ovvero i titolari del trattamento di dati, l’obbligo di un adeguamento degli strumenti, siano essi su supporto cartaceo e/o informatico, utilizzati per il trattamento dei dati personali alle misure minime di sicurezza indicate nel decreto, la formazione del personale incaricato al trattamento nonché la predisposizione del Documento Programmatico sulla Sicurezza (DPS) che è il documento che attesta l’adeguamento alle disposizioni del decreto e stabilisce un eventuale piano di miglioramento delle misure attualmente intraprese.
Per sottolineare l'importanza assunta dalle norme in materia di privacy e del relativo DPS, tra le misure minime da adottare, va rilevato che il Legislatore, al fine di garantire il pieno recepimento del disposto di legge, ha previsto quanto segue:
- l'obbligo di allegare al bilancio annuale una specifica relazione sul sistema di sicurezza dei dati;
- un vero e proprio sistema sanzionatorio per violazioni alla normativa in materia di privacy di triplice natura: sanzioni amministrative, civili e penali. La violazione della privacy e delle regole in materia di trattamento di dati, nonché la mancata redazione del DPS può comportare, a seconda del tipo di violazione, l’irrogazione di una sanzione da parte del garante, oppure la condanna a risarcire il danno patrimoniale o una condanna volta alla privazione della liberta personale o ad una sanzione penale di natura pecuniaria.
In merito sono già state diverse le pronunce (newsletter Garante Privacy del 17 ottobre 2004 n.230 et 28 novembre 2004 n.235) con le quali il Garante della privacy riconosceva e quantificava il diritto al risarcimento del danno al cittadino-dipendente leso nel trattamento dei propri dati sensibili da parte della propria azienda.
Si ricorda, inoltre, che la mancata adozione delle misure minime di sicurezza ai sensi dell’art.33 e dell’allegato B del codice della privacy viene punito con l’arresto sino a due anni e con una ammenda da 10.000 a 50.000 euro.
Per porre in essere tale adeguamento il codice della privacy ha peraltro stabilito un termine ossia il 31 marzo con successivo rinnovo annuale.
Al fine di evitare sanzioni e di dare alla propria azienda una struttura organizzata e normativamente adempiente entro tale termine i titolari di dati, così come definiti all’art.1 del Codice della Privacy, dovranno aver provveduto ad adeguarsi alle richieste del legislatore, avendo previsto un corretto sistema di archiviazione dei dati su supporto cartaceo, un adeguato sistema di protezione dei dati su sistemi informatici ed infine avendo stilato il cd. Dps.
Chi Deve Adeguarsi?
Devono adeguarsi tutti coloro che trattano dati personali e sensibili: aziende, professionisti, cooperative, associazioni, pubbliche amministrazioni, scuole, comuni, ospedali, enti pubblici, ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, ecc.
Gli adempimenti sono diversi a seconda delle tipologie di dati trattati e della natura societaria.
La nostra Consulenza prevede:
Analisi dei dati
- Elenco dei trattamenti
- Analisi del modello organizzativo
- Determinazione dell’ambito di trattamento
- Aggiornamento della determinazione dell’ambito
Analisi dei profili
- Identificazione e configurazione dei profili di autorizzazione
- Aggiornamento dei profili
- Assegnazione e configurazione delle credenziali
- Disattivazione delle credenziali per disuso
- Disattivazione delle credenziali per perdita della qualità
- Custodia delle credenziali per emergenze
- Istruzioni creazione password
- Istruzioni modalità di utilizzo delle password
- Aggiornamento password
- Istruzioni sulle sessioni unattended
Redazione DPS
- Distribuzione di compiti e responsabilità
- Analisi dei rischi
- Misure per l’integrità e la disponibilità dei dati
- Redazione del documento programmatico