Scritto da Rossella La Ferla Responsabile area Privacy

Con il decreto-Legge "Disposizioni urgenti in materia di semplificazione e sviluppo" del 27/01/2012, n.3, in attesa della piena adozione del nuovo regolamento europeo, valido per tutta la UE, sono stati modificati l'art.34 e l'Allegato B del D.Lgs. 196/03, in materia di protezione dei dati personali: in particolare risulta eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) entro il 31/03/2012, nonchè riferire nella relazione accompagnatoria di bilancio in merito alla sua stesura.

Rimangono invariati gli altri adempimenti, tra i quali sono qui di seguito sintetizzati i principali:

  • notificazione al Garante
  • richiesta/verifica autorizzazione del Garante al trattamento dei dati sensibili
  • rilascio informative agli interessati
  • acquisizione del consenso
  • designazione degli incaricati/responsabili
  • definizione dei compiti e dell'ambito del trattamento consentito
  • effettuazione dell'analisi dei rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta
  • utilizzazione di un sistema autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione
  • utilizzazione di un sistema di autorizzazione
  • aggiornamento annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
  • previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
  • previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati
  • adozione dei provvedimenti del Garante applicabili
  • formazione ed informazione degli incaricati/responsabili

 

Pur non chiamandolo più DPS, sussiste da parte del Titolare la redazione di un documento (regolamento per la protezione dei dati) atto ad attestare di aver adempiuto coerentemente all'adozione delle misure di cui all'art. 34 ed all'Allegato B, da esibire in caso di controlli, ispezioni e contestazioni; tale documento potrà essere redatto diversamente dal DPS, anche senza rispettare tutti quei criteri imposti originariamente con l'elenco degli elementi costitutivi indicati al punto 19 dell'Allegato B.

Inoltre, sulla base della normativa in merito alla responsabilità amministrativa delle persone giuridiche e degli enti (D.Lgs. 231/01), vista la presenza tra i reati presupposto degli illeciti informatici e del trattamento illecito di dati,  le strutture soggette non possono ritenere superflua la predisposizione di un modello documentale, che, in qualche modo, non richiami nella logica e nella struttura il DPS.

RossellaCircolareNewsPrivacyDlgs 196/03Scritto da Rossella La Ferla Responsabile area Privacy Con il decreto-Legge "Disposizioni urgenti in materia di semplificazione e sviluppo" del 27/01/2012, n.3, in attesa della piena adozione del nuovo regolamento europeo, valido per tutta la UE, sono stati modificati l'art.34 e l'Allegato B del D.Lgs. 196/03, in materia di protezione...