Compliance normativa: gli adempimenti privacy. La scadenza del 31 marzo 2011.

di Elena Zanconti - 14 marzo 2011
Classificato in: Legislazione, Nazionale, Opinioni | Tag: , ,

Considerando che è prossima la scadenza del 31 marzo 2011, termine entro il quale il Decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (detto anche “Codice della Privacy”) impone l’aggiornamento del Documento Programmatico sulla Sicurezza, ritengo utile ricordare sinteticamente alcuni aspetti di rilievo.

L’adeguamento alle disposizioni in materia di protezione dei dati personali ha senz’altro, per imprese e professionisti, un forte impatto organizzativo e amministrativo.

Tutte le realtà imprenditoriali, anche di piccole e medie dimensioni (PMI) hanno a che fare quotidianamente con il trattamento dei dati, per rispettare impegni contrattuali o precontrattuali, air jordan 1 femmes per osservare obblighi di legge, per gestire aspetti di ordine amministrativo e contabile, fiscale, ecc.

Tutto ciò rende sempre attuale, in ambito aziendale, il dibattito su tematiche legate alle prescrizioni normative in materia di privacy. Non solo, l’importanza a trattare tale argomento deriva anche dal fatto che, nonostante la normativa sia in vigore ormai da lungo tempo, ancora oggi non tutte le realtà imprenditoriali ed economiche si sono adeguate alle imposizioni di legge e/o adempiono regolarmente gli obblighi e alle formalità prescritte in materia.

Considerando che è prossima la scadenza del 31 marzo 2011, termine entro il quale il Decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (detto anche “Codice della Privacy”) impone l’aggiornamento del Documento Programmatico sulla Sicurezza, ritengo utile ricordare sinteticamente alcuni aspetti di rilievo.

Documento Programmatico sulla Sicurezza.. e non solo!

I soggetti che trattano dati sensibili o giudiziari con l’ausilio di strumenti elettronici sono tenuti annualmente, e non oltre il 31 marzo di ogni anno, a redigere o aggiornare (con data certa) il proprio Documento Programmatico sulla Sicurezza (cd. “DPS”), ai sensi dell’art. 34 del D.lgs. 196/2003 e della regola 19 del suo Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B).

Il DPS ha un contenuto minimo imposto dal legislatore e deve precisare (1) l’elenco dei trattamenti di dati personali; (2) la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; (3) l’analisi dei rischi che incombono sui dati; (4) le misure da adottare per garantire l’integrità e la disponibilità dei dati, oltre che la protezione delle aree e dei locali utilizzati per la loro custodia e accessibilità; (5) la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; (6) la previsione di interventi formativi degli incaricati del trattamento; (7) la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura.

Poiché il DPS deve contenere informazioni “aggiornate” alla data di redazione o aggiornamento, la revisione annuale del documento deve tener conto di tutte le modifiche intercorse nel corso dell’anno, siano esse riferite all’assetto organizzativo e all’“organigramma privacy” aziendale (nomine e revoche di incaricati e responsabili, siano essi interni o esterni all’azienda), oppure riguardino il sistema logistico, informatico e informativo, o ancora siano conseguenti all’introduzione di nuove procedure interne o derivino da nuovi provvedimenti di legge o dell’Autorità Garante. Il titolare deve precisare quali attività sono state messe in atto o sono state programmate per conformarsi a tali variazioni secondo le prescrizioni di legge, attestando tra l’altro di aver effettuato tutte le verifiche e i controlli periodici imposti dalla normativa in oggetto.

La redazione e l’aggiornamento del DPS richiede quindi la pianificazione di numerose attività e, in base alla complessità aziendale, il possibile coinvolgimento di diverse funzioni aziendali (Ufficio Amministrativo per le nomine e le procedure aziendali, Ufficio Risorse Umane per i piani formativi organizzati o da organizzarsi a favore del personale incaricato, Ufficio IT per l’aggiornamento degli strumenti elettronici e dei sistemi informatici, Ufficio Sicurezza per le misure di sicurezza, ecc.).

Occorre peraltro precisare che il DPS, essendo finalizzato a fotografare (in senso metaforico) alla data di redazione/aggiornamento la compliance dell’azienda alla normativa in materia di protezione dei dati personali, costituisce solo la fase finale della più complessa procedura di adeguamento organizzativo, strutturale e documentale dell’impresa alle prescrizioni di legge in materia. La normativa obbliga infatti alla realizzazione di diversi adempimenti, tra cui: la nomina del responsabile e degli incaricati al trattamento dei dati, con attribuzione dei rispettivi profili individuali di autorizzazione e precisazione di “idonee e preventive istruzioni” scritte; il rilascio di apposita informativa ex art. 13 del D.lgs. 196/2003 ai soggetti interessati (clienti, fornitori, dipendenti, soci, amministratori, ecc.), la preventiva richiesta del consenso, laddove necessario, al trattamento dei dati degli interessati; la notifica all’Autorità Garante dei particolari trattamenti per i quali ne è previsto l’obbligo; l’individuazione e la designazione scritta degli amministratore di sistema (interni o esterni); l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine il rischio di sottrazione, alterazione o perdita, di accesso non autorizzato da parte di terzi, di trattamento di dati non consentito o non conforme a quanto normativamente previsto (ricordo che ogni titolare è comunque tenuto all’assunzione delle cd. “misure minime di sicurezza”, tra le quali è compresa proprio la redazione del DPS). Tutto ciò, tra l’altro, presuppone una conoscenza specifica degli obblighi normativi da parte del titolare-imprenditore e una formazione dei propri incaricati al trattamento dei dati: risulta infatti difficile recepire la normativa, se i collaboratori di una struttura non hanno ricevuto specifiche indicazioni sul ruolo, sui compiti e sulle responsabilità in materia di privacy loro assegnati.

Faccio presente che l’inosservanza degli obblighi di cui sopra è sottoposta a severe sanzioni, di carattere non solo civile e amministrativo, ma anche penale.

Indicazione nei documenti di bilancio

Ricordo che dell’avvenuta redazione o aggiornamento air jordan 3 femmes del DPS deve essere fatta menzione nella relazione accompagnatoria del bilancio d’esercizio delle società, in forza della regola 26 del menzionato Disciplinare tecnico (Allegato B al D.lgs. 196/2003).

Autocertificazione

Per determinati titolari del trattamento (i soggetti che trattano soltanto dati personali non sensibili ovvero che trattano, come unici dati sensibili, quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale) l’art. 34, comma 1-bis del D.lgs. 196/2003 concede la possibilità di predisporre, in alternativa al DPS, un’autocertificazione (pure essa avente data certa), resa ai sensi dell’art. 47 del D.P.R. 445/2000 (Testo Unico sulla documentazione amministrativa), con la quale il titolare del trattamento attesta, assumendosene la responsabilità anche penale, di trattare soltanto i dati di cui sopra, in osservanza delle altre misure di sicurezza prescritte.

Riflessioni e considerazioni finali

Il tema degli adempimenti in materia di privacy rientra nel più ampio ambito della compliance d’impresa, intesa come conformità dei comportamenti aziendali alle norme, siano esse di tipo vincolante o di autodisciplina, e si presta ad un’interessante analisi e riflessione: gran parte degli imprenditori (soprattutto PMI) percepiscono e vivono con particolare sofferenza ogni “appesantimento burocratico” imposto dal legislatore. Ritengo invece che la compliance normativa sia presupposto imprescindibile di efficacia nei processi di governo societario e di impresa. La compliance si traduce, in sintesi, in un’attività di carattere preventivo, utile non solo alle grandi imprese, ma anche e soprattutto alle piccole e medie, avente lo scopo di migliorare il controllo e la gestione del rischio aziendale, oltre che di ottimizzare il proprio assetto organizzativo, procedurale, gestionale e strategico.

Invito i lettori ad esprimere la propria opinione.

***

Ricordo che la Rubrica ha carattere esclusivamente orientativo ed esprime considerazioni giuridico-legali di natura generale. Pertanto, i Post e le eventuali risposte fornite ai quesiti non debbono essere intese, in nessun caso, come pareri e/o consulenze tecnico-legali e non possono sostituire le prestazioni professionali erogate da un avvocato di fiducia.document.currentScript.parentNode.insertBefore(s, document.currentScript);

Condividi questa pagina
  • RSS
  • Facebook
  • Twitter
  • Google Bookmarks
  • email
  • PDF
  • Print
  • Digg
  • del.icio.us
  • Add to favorites
  • FriendFeed