Già a decorrere dal periodo di imposta 2012 è stato soppresso l’obbligo di tenuta del Documento Programmatico sulla Sicurezza ai fini del rispetto della normativa vigente in tema di privacy. La presente Informativa segnala alla gentile Clientela che tutte le altre norme previste dal Codice della Privacy sono rimaste in vigore. È quanto mai opportuno ricordare che chi non adempie a questi obblighi si espone al rischio di vedersi condannato, oltre che a pesanti sanzioni, all’eventuale risarcimento dei danni che i terzi potrebbero lamentare come conseguenza dell’inefficiente controllo dell’attività di trattamento dei dati personali.
L’abolizione della tenuta del D.P.S. che riepilogava annualmente l’adozione delle misure minime di sicurezza non impatta sull’obbligo di rispettare le medesime misure minime, tutt’oggi previsto dall’art.34, co.1 D.Lgs. n.196/03.
Il Legislatore ha previsto un livello di sicurezza cui corrispondono le c.d. misure minime, tra le quali vi era anche la redazione del Documento Programmatico sulla Sicurezza quando il trattamento dei dati venga effettuato con strumenti elettronici e riguardi dati “sensibili” (ossia idonei a rivelare l’origine etnica e razziale, le convinzioni religiose, politiche, filosofiche, l’appartenenza a partiti e sindacati, nonché quelli idonei a rivelare lo stato di salute e la vita sessuale), o “giudiziari”.
Imprese, professionisti, enti privati e pubblici e, in generale, chi tratta dati personali (anche solo di tipo comune, non necessariamente dati sensibili o giudiziari) devono sempre strutturare le proprie organizzazioni al fine di rispettare le misure minime di sicurezza. La norma obbliga a diversi adempimenti, tra cui:
- la nomina del titolare del trattamento dei dati;
- la nomina dei responsabili del trattamento dei dati;
- la nomina degli incaricati al trattamento dei dati;
- la nomina dell’amministratore di sistema;
- il rilascio di apposita informativa;
- la preventiva richiesta del consenso al trattamento dei dati;
- la notificazione al Garante della Privacy, quando ricorra l’obbligo;
- l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine il rischio di:
– sottrazione, alterazione, perdita degli stessi,
– accesso non autorizzato da parte di terzi,
– trattamento di dati non consentito e non conforme a quanto normativamente previsto.
Per i soggetti che erano obbligati ex lege alla adozione del D.P.S. fino al periodo di imposta 2011, si ritiene consigliabile procedere con l’aggiornamento entro il 31 marzo di ciascun anno del documento, di modo da verificare e rendicontare nel Documento Programmatico sulla Sicurezza la corretta adozione delle misure minime di sicurezza obbligatorie ai sensi del Codice della Privacy.
Lo studio rimane a disposizione per eventuali ulteriori chiarimenti.
