Cari amici,

eccoci al consueto appuntamento annuale col Decreto Legislativo 196/2003 (Codice Privacy), per la parte relativa alle scadenze del 31 marzo.

Facciamo un ripasso del Privacy audit che dobbiamo affrontare :

Aggiornamento DPS (alla luce anche delle nuove prescrizioni relativa agli Amministratori di sistema)

Entro e non oltre il 31 marzo di ogni anno, l’azienda deve aggiornare il proprio “Documento Programmatico sulla Sicurezza” (DPS) che deve contenere (regola 19 dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”, del DLgs 196/2003):

• l’elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (N.B.: gli Amministratori di sistema, devono essere sempre persone fisiche ben individuate all’interno del DPS ed i loro nomi devono essere comunicati o resi conoscibili a tutti i soggetti interessati);
• l’analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (…);
• la previsione di interventi formativi degli incaricati del trattamento (…);
• la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare.

Tali elementi “obbligatori” del DPS devono ovviamente contenere informazioni aggiornate alla data di redazione del Documento Programmatico per cui è importante pianificare per tempo tutte le attività da svolgere e le funzioni aziendali da coinvolgere (i.e.: l’ufficio Risorse Umane per i piani formativi e l’ufficio Sicurezza per le misure di sicurezza).

Nota al CDA sul DPS

Ogni anno occorre riportare (allegato B, punto 26) nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza.

Nuovi Responsabili esterni che trattano dati sensibili per l’azienda

Nel caso l’azienda abbia nominato Responsabili del trattamento esterni che trattano anche dati sensibili per conto dell’azienda Titolare del trattamento (i.e.: società terze a cui sono affidati in outsourcing alcuni trattamenti di dati) è necessario richiedere a tali Responsabili copia del loro DPS (da citare nel proprio aggiornamento).

Amministratori di Sistema

L’operato degli Amministratori di Sistema, in base alla nuova normativa, deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte del Titolare del trattamento o del Responsabile, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Piani di formazione

È necessario ogni anno predisporre un piano di formazione privacy per tutti coloro che trattano dati personali. La formazione in ambito privacy è un obbligo di legge: occorre “rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” (punto 19.6 dell’allegato B).

Ricordiamo, inoltre, le Principali misure di sicurezza necessarie da adottare (la cui inosservanza prevede sanzioni amministrative comprese tra un minimo di ventimila ed un massimo di centottantamila euro):

• Nuove misure per gli Amministratori di sistema: si veda al riguardo il nostro SMBlog:
  • Le nuove misure necessarie relative agli Amministratori di sistema: uno sguardo d’insieme;
  • Amministratori di sistema: non solo software.

• “Disciplinare interno sull’uso di Internet e Posta elettronica”, documento obbligatorio attraverso il quale si comunica ai Dipendenti e Collaboratori la Policy aziendale circa l’uso corretto della posta elettronica e della rete Internet indicando chiaramente le modalità di uso degli strumenti messi a disposizione e  in che misura e con quali modalità vengano effettuati controlli (Provvedimento Garante 1 marzo 2007);

• “Nuovo Provvedimento in materia di di Videosorveglianza”: Provvedimento Garante 8 aprile 2010.

A tutti buon lavoro,

Paolo Mazzolari