3 minute read
6.3. Il documento programmatico per la sicurezza (DPS
stione dell’attività istituzionale, contabile o amministrativa (anche solo per raccogliere i dati dei propri aderenti e gestire la corrispondenza) utilizzano anche un solo computer, pur se privo di connessione ad internet.
Il Codice prevede tali misure minime di sicurezza: l’adozione diun sistema di autenticazione informatica; di un sistema di protezione del computer da virus e accessi indesiderati; di un sistema di conservazione dei dati attraverso copie di sicurezza; del documento programmatico sulla sicurezza; ecc.
Anche il trattamento dei dati svolto senza strumenti elettronici richiede l’adozione di alcune misure minime di sicurezza, individuate dall’art. 35 del Codice e dal D.T. (n. 27-29).
L’articolo 35 (trattamenti senza l’ausilio di strumenti elettronici) prevede le seguenti misure minime di sicurezza (nei modi previsti dal disciplinare tecnico): a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b)previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
6.3. Il documento programmatico per la sicurezza (DPS)
Tra le misure minime più impegnative vi è senza dubbio la redazione del documento programmatico di sicurezza, adempimento cui il Disciplinare tecnico dedica la regola 19.
Sono tenuti alla redazione del DPS esclusivamente i titolari di un trattamento di dati sensibili o di dati giudiziari effettuato con strumenti elettronici e non più come in passato tutti coloro che svolgevano un trattamento informatico qualunque fosse la tipologia di dati.
Infatti, i titolari che trattano solo dati non sensibili o trattano come unici dati sensibili lo stato di salute/malattia dei dipendenti e collaboratori anche a progetto (senza indicazione di diagnosi) o l’adesione a sindacati possono sostituire il DPS con un’autocertificazione ex art. 47 D.P.R. n. 445/00 (tecnicamente, «dichiarazione sostitutiva di atto di notorietà»); così come i titolari che trattano dati personali unicamente per correnti finalità amministrative e contabili, possono redigere un DPS semplificato sulla base delle indicazioni riportate nel provvedimento a carattere generale dal titolo «Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali» del 27 novembre 2008.
112
Il DPS semplificato si comporrà di 3 elementi essenziali: individuazione del titolare e dei Responsabili e degli incaricati; descrizione generale dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento; descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
I titolari dovranno entro il 31 marzo di ogni anno, a partire dal 2005 redigere e aggiornare, nel caso in cui nel corso dell’anno solare precedente siano intervenute modifiche rispetto a quanto dichiarato in precedenza, anche attraverso il responsabile se designato, il documento programmatico sulla sicurezza contenente idonee informazioni.
Il DPS non deve essere comunicato a terzi ma conservato presso la sede dell’associazione.
In sintesi, rispetto all’obbligo di redazione e aggiornamento del Documento Programmatico sulla Sicurezza è possibile distinguere diverse ipotesi: a) soggetti che trattano dati personali senza l’ausilio di strumenti elettronici per i quali non è richiesta la tenuta del DPS (art. 34); b) per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’ articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1 dell’art. 34 (art. 34 comma 1bis introdotto con il D.Lgs. 70/2011). Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative
113
