Entro il 31 marzo è necessario aggiornare il Documento Programmatico sulla Sicurezza o il documento di autocertificazione sostitutiva relativo al Testo Unico sulla Privacy.In seguito alle ultime semplificazioni adottate dal Garante Privacy, le imprese che gestiscono dati sensibili solo in forma ordinaria e funzionale all’amministrazione del personale, possono adempiere mediante atti interni di autocertificazione.
L’esistenza del DPS e il relativo aggiornamento devono essere indicati nella relazione accompagnatoria al bilancio di esercizio.
Ricordiamo che nell’ultimo anno sono intervenute alcune modifiche, in particolare con riguardo ai trattamenti relativi alla videosorveglianza, che potrebbero implicare una revisione globale del DPS e non un mero aggiornamento.
il Garante della privacy ha già fornito negli anni scorsi alcuni chiarimenti e, in particolare, è disponibile sul sito del Garante una guida operativa con la finalità di aiutare anche i soggetti che non dispongono di competenze specifiche. L’aggiornamento si rende necessario ogni anno per riportare tutte le eventuali variazioni avvenute in Azienda, anche le più semplici, che possono coinvolgere il trattamento dei dati e delle informazioni, come ad esempio un nuovo personal computer, un nuovo dipendente, un dipendente licenziato, il cambio d’indirizzo, cambio della persona incaricata del trattamento dei dati.
Tale adempimento, come detto, può essere espletato in due modi:
• attraverso la presentazione del DPS;
• attraverso la presentazione dell’autocertificazione sostitutiva.
DPS: in relazione all’obbligo generale di protezione dei dati personali, è stato previsto un livello minimo di sicurezza cui corrispondono le c.d. misure minime, tra le quali vi è anche la redazione del D.P.S. (Documento Programmatico sulla Sicurezza) quando il trattamento dei dati viene effettuato con strumenti elettronici e riguarda:
• dati sensibili: sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
• dati giudiziari: sono i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
Il D.P.S. deve essere aggiornato e rivisto ogni anno entro il 31 marzo, ed è necessario:
• Periodicamente, verificare il rispetto delle prescrizioni normative;
• annualmente, obbligo di effettuare un percorso formativo specifico da parte del titolare, dei responsabili e degli incaricati al trattamento dei dati. Tale formazione può essere assolta anche mediante consegna di fascicoli informativi.
Autocertificazione sostitutiva: l’art. 29, comma 1, D.L. 25 giugno 2008, n. 112 ha introdotto il comma 1-bis dell’art. 34 del Codice della protezione dei dati personali il quale prevede che per i soggetti che trattano soltanto:
• dati personali non sensibili;
• e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale;
Il DPS “semplificato” (autocertificazione) deve contenere:
• le coordinate identificative del Titolare del trattamento, nonché, se designati, gli eventuali Responsabili;
• una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. Devono essere precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
• l’elenco, anche per categorie, degli Incaricati del trattamento e delle relative responsabilità;
Nel caso in cui l’organizzazione preveda una frequente modifica dei Responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei Responsabili del trattamento con le relative responsabilità;
• una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta