Decreto Monti, sviluppo Italia, sulla privacy e DPS

 

 

:. CHI SIAMO - CONTATTI

:. SCRIVICI

 

SERVIZI CONSULENZA

:. DOCUMENTO PROGRAMMATICO

:. VERIFICHE GRATUITE 

:. FORMAZIONE PRIVACY

:. NOTIFICAZIONE AL GARANTE

 

SEZIONE INFORMATIVA

:. PRIVACY IN PILLOLE

:. SANZIONI

:. CHI DEVE ADEGUARSI?

:. CONTROLLA ADEMPIMENTI

:. CODICE PRIVACY E NORMATIVA

:. PRIVATI E DIRITTO ALLA PRIVACY

:. SEMPLIFICAZIONI PRIVACY

 

  ARTICOLI PRIVACY

 

NORMATIVE ATTINENTI

:. TESTO UNICO BANCARIO

:. TESTO UNICO SULLA SICUREZZA

 

FAQ - SITI UTILI - ARCHIVIO

:. Tribunali italiani

:. Policy privacy

 

Decreto Monti, sviluppo Italia, sulla privacy e DPS

Il decreto legge n. 5 del 2012 recante “Disposizioni urgenti in materia di  semplificazione  e  di  sviluppo” ha apportato modifiche al D. Lgs. 196/03 Codice in materia di protezione dei dati personali e al suo Allegato B. In particolare sono stati modificati, l’art. 21, il 27  Garanzie per i dati giudiziari, il 34 e sono stati soppressi i paragrafi da 19 a 19.8 e 26 dell’allegato B del Codice Privacy.

 

In soldoni:

STOP AL DPS

- la disposizione che più c’interessa è quella che prevede l’abolizione dell’obbligo di tenere "un aggiornato documento programmatico sulla sicurezza"1.

 

RESTANO LE MISURE DI SICUREZZA

Restano obbligatorie le misure di sicurezza minime a protezione dei dati personali e restano le numerose e pesantissime sanzioni amministrative e penali (artt. 161 sino a 166 per le violazioni amministrative e da 167 sino a 172 per gli illeciti penalmente rilevanti).

 

DOCUMENTO A PROVA DELL'ADOZIONE DELLE MISURE DI SICUREZZA

In quale documento di potranno e dovranno rappresentare allora le misure di sicurezza adottate? Si dovrà, a nostro parere, redigere uno snello documento di conformità delle misure adottate alla normativa vigente, tutto qua. Un documento in grado di  "misurare" la sicurezza fisica, logica, organizzativa raggiunta nel trattamento dei dati personali.

Noi continueremo a svolgere il nostro lavoro, come sempre abbiamo fatto, nell'ottica della maggior effettività delle misure adottate e nell'ottica della semplificazione dei processi aziendali. Del resto il nostro lavoro non si concretizzava neppure in passato nella mera stesura del DPS, un documento riassuntivo della situazione aziendale, quanto piuttosto nell'assistenza per raggiungere una situazione di piena conformità alla normativa privacy nel rispetto dell'efficienza interna.

 

CONSENSO E INFORMATIVA TRA PERSONE GIURIDICHE

 

Già il Decreto 138/2011 aveva previsto la non necessarietà di consensi e informative nel trattamento di dati personali per finalità amministrativo-contabili, tra persone giuridiche.

 

INFORMARE I CANDIDATI

 

Per i Curricula vitae, in caso di ricezione spontanea non è necessario inviare l’informativa è sufficiente un informativa, anche orale, al momento del primo contatto.

 

DATI COMUNI, SI ALL'INFORMATIVA

 

Il trattamento dei dati comuni non necessita di consenso (non l’informativa agli interessati che rimane obbligatoria) quando il trattamento riguarda “la comunicazione di dati relativi a persone fisiche o giuridiche per le finalità amministrativo contabili, tra società, enti o associazioni (omissis.).

 

MISURE DI SICUREZZA

 

Art. 31. Obblighi di sicurezza. 

1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Art. 32. Particolari titolari. 

1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell'articolo 31 idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l'integrità dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita. 
2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente. 
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni.


Art. 33. Misure minime. 

1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.


Art. 34. Trattamenti con strumenti elettronici. 

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza(abrogato); h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

 

Art. 15. Danni cagionati per effetto del trattamento. 
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

 

Articoli precedenti:

 

- Semplificazioni privacy 138/2011

- Semplificazioni privacy

- Autocertificazione privacy o documento programmatico

 

1. Citiamo di seguito quanto si apprende dal sito del Garante:

DECRETO LEGGE 9 FEBBRAIO 2012, N. 5: SOPPRESSIONE DEL DPS

In riferimento all'obbligo, finora previsto, dell'aggiornamento entro il 31 marzo di ogni anno del Documento Programmatico per la Sicurezza (DPS), si segnala che il d.l. 9 febbraio 2012, n. 5 - attualmente all'esame del Parlamento per la conversione in legge - ha, tra l'altro, modificato alcune disposizione del Codice in materia di protezione di dati personali, sopprimendo in particolare dagli adempimenti in materia di misure minime di sicurezza proprio il Documento Programmatico per la Sicurezza (DPS). Pertanto, salvo che intervengano modifiche da parte del Parlamento, l'obbligo di redigere e aggiornare periodicamente il citato DPS è venuto meno.