A decorrere dal periodo di imposta 2012 è stato soppresso l’obbligo di tenuta del Documento Programmatico sulla Sicurezza ai fini del rispetto della normativa vigente in tema di privacy.

Il Legislatore ha previsto un livello di sicurezza cui corrispondono le c.d. misure minime, tra le quali vi era anche la redazione del Documento Programmatico sulla Sicurezza quando il trattamento dei dati veniva effettuato con strumenti elettronici e riguardava dati “sensibili” (ossia idonei a rivelare l’origine etnica e razziale, le convinzioni religiose, politiche, filosofiche, l’appartenenza a partiti e sindacati, nonché quelli idonei a rivelare lo stato di salute e la vita sessuale), o “giudiziari”.

Tale semplificazione ha impattato sull’obbligo di tenuta di un documento che riepiloghi annualmente l’adozione delle misure minime di sicurezza, ma non sul rispetto delle stesse misure, tutt’oggi previsto dall’art.34, co.1 del D.Lgs. n.196/03. Imprese, professionisti, enti privati e pubblici e, in generale, chi tratta dati personali (anche solo di tipo comune, non necessariamente dati sensibili o giudiziari) devono sempre strutturare le proprie organizzazioni al fine di rispettare le misure minime di sicurezza.

La norma obbliga a diversi adempimenti, tra cui:

  •  la nomina del titolare del trattamento dei dati, che generalmente coincide con la Società, nella persona del suo Legale rappresentante;
  • la nomina dei responsabili del trattamento dei dati;
  • la nomina degli incaricati al trattamento dei dati;
  • la nomina dell’amministratore di sistema;
  • il rilascio di apposita informativa;
  • la preventiva richiesta del consenso al trattamento dei dati;
  • la notificazione al Garante della Privacy, quando ricorra l’obbligo;
  • l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine il rischio di:
  1. sottrazione, alterazione, perdita degli stessi;
  2. accesso non autorizzato da parte di terzi;
  3. trattamento di dati non consentito e non conforme a quanto normativamente previsto.

 

È quanto mai opportuno ricordare che chi non adempie a questi obblighi si espone al rischio di vedersi condannato, oltre che a pesanti sanzioni, all’eventuale risarcimento dei danni che i terzi potrebbero lamentare come conseguenza dell’inefficiente controllo dell’attività di trattamento dei dati personali. Per i soggetti che erano obbligati ex lege alla adozione del DPS fino al periodo di imposta 2011, si ritiene consigliabile proseguire comunque con l’aggiornamento facoltativo del documento entro il 31 marzo di ciascun anno, in modo da verificare la corretta adozione delle misure minime di sicurezza obbligatorie ai sensi del Codice della privacy.

Lo Studio rimane a disposizione per ogni ulteriore chiarimento.

Share Button