eccoci al consueto appuntamento annuale col Decreto Legislativo 196/2003 (Codice Privacy), per la parte relativa alle scadenze del 31 marzo.
Facciamo un ripasso del Privacy audit che dobbiamo affrontare :
Aggiornamento DPS (alla luce anche delle nuove prescrizioni relativa agli Amministratori di sistema)
Entro e non oltre il 31 marzo di ogni anno, l’azienda deve aggiornare il proprio “Documento Programmatico sulla Sicurezza” (DPS) che deve contenere (regola 19 dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”, del DLgs 196/2003):
Tali elementi “obbligatori” del DPS devono ovviamente contenere informazioni aggiornate alla data di redazione del Documento Programmatico per cui è importante pianificare per tempo tutte le attività da svolgere e le funzioni aziendali da coinvolgere (i.e.: l’ufficio Risorse Umane per i piani formativi e l’ufficio Sicurezza per le misure di sicurezza).
Nota al CDA sul DPS
Ogni anno occorre riportare (allegato B, punto 26) nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza.
Nuovi Responsabili esterni che trattano dati sensibili per l’azienda
Nel caso l’azienda abbia nominato Responsabili del trattamento esterni che trattano anche dati sensibili per conto dell’azienda Titolare del trattamento (i.e.: società terze a cui sono affidati in outsourcing alcuni trattamenti di dati) è necessario richiedere a tali Responsabili copia del loro DPS (da citare nel proprio aggiornamento).
Amministratori di Sistema
L’operato degli Amministratori di Sistema, in base alla nuova normativa, deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte del Titolare del trattamento o del Responsabile, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
Piani di formazione
È necessario ogni anno predisporre un piano di formazione privacy per tutti coloro che trattano dati personali. La formazione in ambito privacy è un obbligo di legge: occorre “rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” (punto 19.6 dell’allegato B).
Ricordiamo, inoltre, le Principali misure di sicurezza necessarie da adottare (la cui inosservanza prevede sanzioni amministrative comprese tra un minimo di ventimila ed un massimo di centottantamila euro):
A tutti buon lavoro,
Paolo Mazzolari