Redigere o meno il DPS? Federprivacy esprime il proprio punto di vista

Federprivacy esprime il proprio punto di vista A seguito dell'emanazione del Decreto Legge 25.06.2008 n.112, il percorso di semplificazione avviato dal Governo riguardante nella fattispecie gli adempimenti in materia di privacy, in molti casi ha suscitato negli addetti ai lavori sensazioni di smarrimento e non poche perplessità sulla posizione da assumere alla luce delle novità rivolte ad alcune categorie.

08/nov/2008 00.56.19 Ufficio Stampa Federprivacy Contatta l'autore

Questo comunicato è stato pubblicato più di 1 anno fa. Le informazioni su questa pagina potrebbero non essere attendibili.

A seguito dell’emanazione del  Decreto Legge 25.06.2008 n.112, il percorso di semplificazione avviato dal Governo riguardante nella fattispecie gli adempimenti in materia di privacy, in molti casi ha suscitato negli addetti ai lavori sensazioni di smarrimento e non poche perplessità sulla posizione da assumere alla luce delle novità rivolte ad alcune categorie. Sul fronte opposto, tra i diretti interessati che fino a poco tempo prima si sentivano schiacciati dalla macchina burocratica, molti imprenditori interessati dalle semplificazioni hanno esultato per la tanto agognata liberazione dall’obbligo di redigere annualmente il documento programmatico sulla sicurezza dei dati personali, visto come uno dei tanti fardelli di cui  l’impresa italiana deve, suo malgrado, farsi carico.

A beneficio di tutti, ma soprattutto dei propri associati, Federprivacy ritiene opportuno esprimere, in modo più oggettivo possibile, il proprio punto di vista in merito alla questione:

Senza fare in questa sede una disamina tecnico-giuridica analitica sui contenuti del predetto decreto legge, occorre premettere che, ogniqualvolta venga introdotta  una reale semplificazione per la vita dell’impesa italiana, a condizione che non faccia venir meno i diritti fondamentali del cittadino, questa deve essere accolta con soddisfazione e sollievo.

Pertanto, l’esenzione dall’obbligo di redigere annualmente il documento programmatico  sulla sicurezza dei dati personali a favore di quelle aziende e di quei soggetti che non  trattano dati di natura sensibile eccetto quelli riferiti allo “stato di salute dei propri dipendenti senza indicazione della relativa diagnosi”(art. 29 DL 112/08), e soprattutto l’esenzione per queste categorie di soggetti titolari del trattamento dalle pesante sanzioni civili  e penali che comporta il mancato adempimento a questo obbligo di legge, può rappresentare un criterio di selezione ragionevole ed equilibrato introdotto dal Governo.

Tuttavia, è doveroso rilevare che, poichè il requisito affinchè un titolare del trattamento non  sia più obbligato dalla legge a  redigere il DPS è limitato ad una condizione meramente circostanziale, di fatto i soggetti, enti e imprese, che realmente ne possono beneficiare, non sono che una parte.

Infatti, ipotizziamo ad esempio il caso di un’azienda con dipendenti che, non trattando dati sensibili nella sua attività tipica, per rientrare nella categoria dei soggetti che non devono fare il DPS , predisponga diligentemente di accettare esclusivamente certificati di malattia  privi di diagnosi, ovvero con la sola prognosi relativa alla durata dell’assenza del lavoratore, a queste condizioni questa sarebbe in effetti legittimata ad astenersi dal redigere il documento programmatico; ma che dire se uno dei dipendenti presentasse una richiesta di adesione ad un sindacato? Oppure, nel caso in cui un lavoratore fosse vittima di un infortunio, sarebbe possibile gestire la pratica senza trattare alcun dato sensibile relativo alla diagnosi? E se l’ufficiale giudiziario notificasse un provvedimento del tribunale per il pignoramento del quinto dello stipendio di un dipendente? O ancora, nel comune caso in cui la lavoratrice comunichi il suo stato di gravidanza alla quale sussegua i periodo di maternità obbligatoria, facoltativa e permessi per allattamento? E’ evidente che in molti casi evitare lo sconfinamento che riporterebbe tale datore di lavoro nell’obbligo di redigere il DPS potrebbe essere alquanto difficile. Decidere quindi di redigere o meno il DPS in base ad un esame generico della propria struttura organizzativa eseguito in un dato momento, potrebbe essere fuorviante e  condurre ad errori di valutazione importanti.

 

Non ultimo aspetto da considerare, è che, essere non obbligati per legge a redigere il documento programmatico, non equivale a non essere obbligati ad adottare le misure di sicurezza minime ed ulteriori  sui dati personali trattati in azienda. Rimanendo obbligatorio e sanzionabile provvedere a tutti gli adempimenti che rimangono inalterati, ovvero ad esempio , la nomina degli incaricati al trattamento di dati personali, e la distribuzione delle responsabilità, la rete informatica adeguata con un sistema di autenticazione, un sistema antivirus efficace ed aggiornato, il cambio periodico delle password, la pianificazione della formazione del personale,etc.

Pur considerando specificamente caso per caso, la linea suggerita attualmente da Federprivacy è quella di continuare a tenere comunque un aggiornato documento programmatico per la sicurezza dei dati personali, il quale, oltre che scongiurare situazioni di inimmaginata sanzionabilità, rappresenta una valida guida programmatica interna con ogni criterio di verifica per il controllo e la gestione degli adempimenti comunque obbligatori, in special modo quelli rientranti tra le misure minime, sanzionabili penalmente.

Se poi, in conclusione, ricordiamo che, in sostituzione del DPS, si sarebbe  comunque obbligati a redigere annualmente una autocertiifcazione resa ai sensi dell’art. 47 del D.P.R. n. 445 del 28 dicembre 2000, nella quale si dichiari di aver attuato tutte le misure di sicurezza, (che devono essere effettivamente adottate, altrimenti a nulla servirebbe tale documento sostitutivo), allora è dissolto ogni dubbio, che in fin dei conti, è opportuno pensarci bene prima di accantonare il DPS, con l’auspicio di vedere presto ulteriori interventi in materia di privacy da parte delle istituzioni.

  

 

 

 

FederPrivacy  - 800910424

Casella Postale 4186 - 50135 FIRENZE C.M. - ITALY

Phone: +39 (0) 55 5270485 -Fax:+39 (0) 55 5609184

Web: www.federprivacy.it -email: info@federprivacy.it 

Le informazioni contenute nella presente comunicazione e i relativi allegati possono essere riservate e sono, comunque, destinate esclusivamente ai destinatari sopraindicati. La diffusione, distribuzione e/o copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita, sia ai sensi dell’art. 616 c.p. , che ai sensi del D.Lgs. n. 196/2003.  Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di informarci immediatamente inviando un messaggio all’indirizzo e-mail info@federprivacy.it

The information in this e-mail and any attachments with it, is confidential and may also be legally privileged. It is intended for the addressee only. Access to this e-mail by anyone else is unauthorised. It is not to be relied upon by any person other than the addressee, except with our prior written approval. If no such approval is given, we will not accept any liability  arising from any third party acting, or refraining from acting on such information. Unauthorised recipients are required to maintain confidentiality. If you have received this e-mail in error please  destroy any copies and delete it from your computer system, then inform  us immediately sending a message to info@federprivacy.it

 

mod. FED/08/2008 rev. 00/0000

 

blog comments powered by Disqus
Comunicati.net è un servizio offerto da Factotum Srl