Clicca qui per una panoramica più approfondita (18 domande e risposte sul DPS che conviene leggere)
Sanzioni per le inosservanze
Chi deve adeguarsi alla normativa?
Tutte le società, imprese individuali, cooperative, professionisti, possessori
di partita IVA , ONLUS e tutti i soggetti giuridici.
In buona sostanza: TUTTE LE ATTIVITA' CHE CONSERVANO ANAGRAFICHE SU ELABORATORI ELETTRONICI (norma generale contenuta
nell'art. 34 lettera g) del D. Lgs. 196/2003)
Chi è soggetto alla redazione del D.P.S.S.?
L'obbligo generale di redazione del DPS per tutti coloro che trattano dati personali con strumenti elettronici si ricava dalla norma generale contenuta nell'art. 34 lettera g) del D. Lgs. 196/2003.
Comunque coloro i quali trattano dati personali sensibili e giudiziari non
elettronicamente restano obbligati a redigere un mansionario scritto per tutti
gli incaricati ed a seguire un insieme di procedure di custodia e sicurezza
previste dall'art. 35 e dall'allegato B) punti 27 e segg. E’ sempre consigliabile,
ad ogni modo, interpretare le regole nel modo più rigoroso per evitare di incorrere
in sanzioni
Chi controlla che le misure minime e gli altri adempimenti
previsti dalla legge siano messi in pratica?
La Polizia Postale (con le sue 76 Sezioni sul territorio) e la Guardia di
Finanza in forza di un protocollo di intesa con il Garante.
Come si regolamenta l'esistenza di dati contenuti nelle
rubriche presenti nei client di posta dei nostri dipendenti? Vanno citati nel
DPS?
Le rubriche suddette sono a tutti gli effetti banche dati e contengono dati
personali: il trattamento deve seguire le regole del Codice, e quindi l'adozione
di misure minime di sicurezza che vanno citate nel DPS.
In un gruppo formato da più società distinte, con più
sedi diverse, e tutti i dati in rete, chi deve redigere il DPS: tutte le società
o è sufficiente che lo faccia la capogruppo?
Supponendo che tutte le società e le rispettive sedi si trovino nel territorio italiano, va premesso che il documento programmatico per la sicurezza deve essere redatto dal titolare del trattamento.
Nel caso di specie le possibilità sono due: un unico DPS, redatto dalla capogruppo,
per tutte le società o più documenti, uno per società.
Nel DPS bisogna inserire anche l’analisi dei rischi?
Si, lo richiede esplicitamente il comma 19.3 dell'Allegato B del D.Lgs. 196/03
per tutte le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori
elettronici.
Una società immobiliare deve fare la notifica al garante?
Si potrebbe prospettare l’ipotesi dell’applicabilità dell’art. 37 lettera f) del decreto che prevede la notifica nel caso in cui il trattamento riguardi “dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.”.
Tuttavia, in questo caso specifico si può ritenere non operativa tale norma
poiché essa stessa richiede la gestione di “apposite” banche dati sul rischio
di insolvenza, escludendo conseguentemente quei casi in cui sia solo occasionale
il trattamento di dati inerenti alla solvibilità, e più in generale alle capacità
economiche, del debitore.
Un’azienda operante in possesso di dati di clienti
quali anagrafica dell'azienda, anagrafica bancaria per i pagamenti, e-mail,
è obbligata a redigere il DPS?
In base a quanto raccontato, possiamo ritenere che l’azienda in questione svolga un trattamento di dati personali (raccolta, registrazione, conservazione, consultazione e modificazione) che deve sottostare alla disciplina di cui al d. lgs. 196/2003 relativa a consenso, informativa e misure di sicurezza.
Per quanto attiene le misure minime di sicurezza, riteniamo che la società
in questione, disponendo sicuramente di banche-dati elettroniche contenenti
dati personali comuni, debba adeguarsi a quanto stabilito dal decreto e, quindi,
redigere un DPS.
In sede di un eventuale controllo, gli ispettori che
cosa verificano: il contenuto del DPS in conformità a quanto richiesto dalla
Legge oppure ne verificano anche l'applicazione?
Premettendo che il DPS deve essere veritiero e deve rispecchiare effettivamente
quello che succede in azienda, il Garante, ai sensi degli artt. 157 e ss., nell’ambito
dei suoi poteri di carattere ispettivo, può verificare presso la società non
soltanto la formale redazione del documento, ma anche la sua applicazione pratica
e controllare, quindi, presso i locali del titolare il “rispetto della disciplina
in materia di trattamento dati personali”.
Con le nuove disposizione in materia di privacy, non
riceverò più messaggi tramite e-mail e posta?
In effetti, è così per quanto riguarda la pubblicità via e-mail.
Infatti, l’art. 130 - “Comunicazioni indesiderate” - della nuova legge, stabilisce
che l'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore
per l'invio di materiale pubblicitario, o di vendita diretta, o per il compimento
di ricerche di mercato di comunicazione commerciale è consentito con il consenso
dell’interessato. Per quanto riguarda la posta ordinaria e gli altri mezzi,
si applica il principio generale del consenso al trattamento del dato personale,
ai sensi degli artt.23 e 24.
Posso continuare a seguire le disposizioni della vecchia
normativa relative a informativa e consenso?
Occorre adeguarsi a quanto previsto dall'art. 13 (informativa) e dall'art. 23 (consenso) del nuovo Codice della Privacy, nonché da altre specifiche norme ivi previste per particolari trattamenti o categorie di dati.
Bisogna ricordare, però, che fino al 30 giugno 2004 è ancora in vigore il
sistema delle autorizzazioni generali del Garante: in particolare, l'Autorizzazione
Generale n° 4/2002, consente ai liberi professionisti iscritti in albi o elenchi
professionali di trattare i dati sensibili, senza obbligo di Notifica al Garante.
Il documento è solo un adempimento legale?
Il documento rappresenta non solo un adempimento legale ma un vero e proprio
strumento di riferimento per l'azienda in materia di trattamento dei dati personali,
e in generale di definizione delle strategie di sicurezza, e delle conseguenti
policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare.
A quale target si rivolge ?
A tutti i soggetti pubblici o privati nel territorio italiano che effettuano trattamenti di dati personali (e quindi possiedono un archivio elettronico o cartaceo di qualsiasi tipo).
A ogni operatore dotato di un sistema informativo di qualsiasi dimensione
che effettua operazioni su dati non di sua proprietà (per esempio, un archivio
clienti, fornitori o dipendenti).
Se una societa' e' insolvente o e' in fallimento, questo
e' un dato giudiziario?
L'insolvenza e' un dato personale, invece il fallimento e' un dato giudiziario.