FORSE NON SI CHIAMERA’ DPS… EPPURE E’ LA STESSA COSA !
Non stupisce che ci siano dei periodi in cui si parla e si scrive solo sul tormentone del momento.
La privacy e gli adempimenti ad essa correlate non fanno eccezione, tuttavia questa materia non è il Festival di Sanremo quindi è giusto dare informazioni complete e corrette.
In questa area abbiamo già trattato la controversia legata al Decreto Monti con le urgenti misure in materia di semplificazione, sostenendo che nel punto di cui allArt. 46, la eliminazione dell’obbligo del DPS per le aziende, non va interpretato come una eliminazione o una manleva degli obblighi in materia di trattamento dei dati personali.
Si è detto già di come il DPS costituisca comunque un riferimento storico per buona parte degli accertamenti ispettivi condotti dagli organi preposti. Ricordiamo di seguito alcune delle maggiori incombenze che comunque attengono alle prescrizioni legali.
OBBLIGHI CHE PRESCINDONO DAL DPS :
- a) obbligo contestabile della sanzione per omessa notificazione al Garante ex art. 37 del Codice privacy
- b) obbligo di aggiornamento periodico dei trattamenti sia cartacei che elettronici (elenchi dei trattamenti costituenti)
- c) obbligo di aggiornamento periodico delle deleghe e delle nomine ad incaricato al trattamento (cfr. artt. 34 lett. d) e 35 lett. a) del Codice privacy);
- d) obbligo, di delega e nomina del personale (o del consulente) che proceduralizza le attività IT degli strumenti elettronici ( Linee Guida per internet e posta elettronica del 1° marzo 2007);
- e) obblighi inerenti la nomina degli Amministratori di sistema (v. provvedimento del Garante del 27 novembre 2008);
- f) obbligo elenco aggiornato dei soggetti nominati responsabili in modo da metterlo a disposizione dei soggetti interessati (art. 13);
- g) obbligo per i soggetti pubblici di tenere piani di disaster recovery;
- h) obbligo di piani di formazione e verbali organizzativi (informative, ADS, video sorveglianza).
- i) obbligo di protocolli accreditati congiunti con il Ministero degli interni per le attività che trattino dati giusdizionari (elenchi di operazioni compiute, es. comunicazione dei dati, incrocio di dati);
- l) obbligo di attestato di conformità aziendale (L 231/2000);
- m) obbligo per le PA della stesura di un piano di business continuity e disaster recovery.
IN CONCLUSIONE …
Forse non si chiamerè più DPS (se preferite chiamatelo Pippo Baudo), ma in certe aziende, soprattutto quelle con trattamenti di dati a rischio, un documento di
riepilogo dei trattamenti, degli strumenti e delle misure di sicurezza sarà necessario averlo.
Come potrà il Titolare del Trattamento tutelarsi senza “pezze d’appoggio” in caso di contenzioso?
Buona sicurezza e tutti
Salvo Reina
Privacy 4.0 e Data Protection 