Domande e Risposte sul DPS e il D. Lgs. 196/2003 - Redazione DPS

Clicca qui per una panoramica più approfondita (18 domande e risposte sul DPS che conviene leggere)

Sanzioni per le inosservanze


Chi deve adeguarsi alla normativa?

Tutte le società, imprese individuali, cooperative, professionisti, possessori di partita IVA , ONLUS e tutti i soggetti giuridici.

In buona sostanza: TUTTE LE ATTIVITA' CHE CONSERVANO ANAGRAFICHE SU ELABORATORI ELETTRONICI (norma generale contenuta nell'art. 34 lettera g) del D. Lgs. 196/2003)


Chi è soggetto alla redazione del D.P.S.S.?

L'obbligo generale di redazione del DPS per tutti coloro che trattano dati personali con strumenti elettronici si ricava dalla norma generale contenuta nell'art. 34 lettera g) del D. Lgs. 196/2003.

Comunque coloro i quali trattano dati personali sensibili e giudiziari non elettronicamente restano obbligati a redigere un mansionario scritto per tutti gli incaricati ed a seguire un insieme di procedure di custodia e sicurezza previste dall'art. 35 e dall'allegato B) punti 27 e segg. E’ sempre consigliabile, ad ogni modo, interpretare le regole nel modo più rigoroso per evitare di incorrere in sanzioni


Chi controlla che le misure minime e gli altri adempimenti previsti dalla legge siano messi in pratica?

La Polizia Postale (con le sue 76 Sezioni sul territorio) e la Guardia di Finanza in forza di un protocollo di intesa con il Garante.


Come si regolamenta l'esistenza di dati contenuti nelle rubriche presenti nei client di posta dei nostri dipendenti? Vanno citati nel DPS?

Le rubriche suddette sono a tutti gli effetti banche dati e contengono dati personali: il trattamento deve seguire le regole del Codice, e quindi l'adozione di misure minime di sicurezza che vanno citate nel DPS.


In un gruppo formato da più società distinte, con più sedi diverse, e tutti i dati in rete, chi deve redigere il DPS: tutte le società o è sufficiente che lo faccia la capogruppo?

Supponendo che tutte le società e le rispettive sedi si trovino nel territorio italiano, va premesso che il documento programmatico per la sicurezza deve essere redatto dal titolare del trattamento.

Nel caso di specie le possibilità sono due: un unico DPS, redatto dalla capogruppo, per tutte le società o più documenti, uno per società.


Nel DPS bisogna inserire anche l’analisi dei rischi?

Si, lo richiede esplicitamente il comma 19.3 dell'Allegato B del D.Lgs. 196/03 per tutte le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori elettronici.


Una società immobiliare deve fare la notifica al garante?

Si potrebbe prospettare l’ipotesi dell’applicabilità dell’art. 37 lettera f) del decreto che prevede la notifica nel caso in cui il trattamento riguardi “dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.”.

Tuttavia, in questo caso specifico si può ritenere non operativa tale norma poiché essa stessa richiede la gestione di “apposite” banche dati sul rischio di insolvenza, escludendo conseguentemente quei casi in cui sia solo occasionale il trattamento di dati inerenti alla solvibilità, e più in generale alle capacità economiche, del debitore.


Un’azienda operante in possesso di dati di clienti quali anagrafica dell'azienda, anagrafica bancaria per i pagamenti, e-mail, è obbligata a redigere il DPS?

In base a quanto raccontato, possiamo ritenere che l’azienda in questione svolga un trattamento di dati personali (raccolta, registrazione, conservazione, consultazione e modificazione) che deve sottostare alla disciplina di cui al d. lgs. 196/2003 relativa a consenso, informativa e misure di sicurezza.

Per quanto attiene le misure minime di sicurezza, riteniamo che la società in questione, disponendo sicuramente di banche-dati elettroniche contenenti dati personali comuni, debba adeguarsi a quanto stabilito dal decreto e, quindi, redigere un DPS.


In sede di un eventuale controllo, gli ispettori che cosa verificano: il contenuto del DPS in conformità a quanto richiesto dalla Legge oppure ne verificano anche l'applicazione?

Premettendo che il DPS deve essere veritiero e deve rispecchiare effettivamente quello che succede in azienda, il Garante, ai sensi degli artt. 157 e ss., nell’ambito dei suoi poteri di carattere ispettivo, può verificare presso la società non soltanto la formale redazione del documento, ma anche la sua applicazione pratica e controllare, quindi, presso i locali del titolare il “rispetto della disciplina in materia di trattamento dati personali”.


Con le nuove disposizione in materia di privacy, non riceverò più messaggi tramite e-mail e posta?

In effetti, è così per quanto riguarda la pubblicità via e-mail.

Infatti, l’art. 130 - “Comunicazioni indesiderate” - della nuova legge, stabilisce che l'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario, o di vendita diretta, o per il compimento di ricerche di mercato di comunicazione commerciale è consentito con il consenso dell’interessato. Per quanto riguarda la posta ordinaria e gli altri mezzi, si applica il principio generale del consenso al trattamento del dato personale, ai sensi degli artt.23 e 24.


Posso continuare a seguire le disposizioni della vecchia normativa relative a informativa e consenso?

Occorre adeguarsi a quanto previsto dall'art. 13 (informativa) e dall'art. 23 (consenso) del nuovo Codice della Privacy, nonché da altre specifiche norme ivi previste per particolari trattamenti o categorie di dati.

Bisogna ricordare, però, che fino al 30 giugno 2004 è ancora in vigore il sistema delle autorizzazioni generali del Garante: in particolare, l'Autorizzazione Generale n° 4/2002, consente ai liberi professionisti iscritti in albi o elenchi professionali di trattare i dati sensibili, senza obbligo di Notifica al Garante.


Il documento è solo un adempimento legale?

Il documento rappresenta non solo un adempimento legale ma un vero e proprio strumento di riferimento per l'azienda in materia di trattamento dei dati personali, e in generale di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare.


A quale target si rivolge ?

A tutti i soggetti pubblici o privati nel territorio italiano che effettuano trattamenti di dati personali (e quindi possiedono un archivio elettronico o cartaceo di qualsiasi tipo).

A ogni operatore dotato di un sistema informativo di qualsiasi dimensione che effettua operazioni su dati non di sua proprietà (per esempio, un archivio clienti, fornitori o dipendenti).


Se una societa' e' insolvente o e' in fallimento, questo e' un dato giudiziario?

L'insolvenza e' un dato personale, invece il fallimento e' un dato giudiziario.