21 ottobre 2018
Home / Notizie dal mondo / Chiarimenti sull’abrogazione dell’obbligo di redazione del DPS

Chiarimenti sull’abrogazione dell’obbligo di redazione del DPS

da MPS Ware del 10 febbraio 2012 a firma Pierluigi Perri

Con il D.L. “Disposizioni urgenti in materia di semplificazione e sviluppo” del 27/01/2012, n. 3, sono stati modificati l’art. 34 e l’Allegato B del D.Lgs. 196/03, in materia di protezione dei dati personali: in particolare risulta eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) entro il 31/03/2012, nonché riferire nella relazione accompagnatoria di bilancio in merito alla sua stesura.
Rimangono invariati gli altri adempimenti, in particolare l’obbligo da parte del Titolare della redazione di un documento atto ad attestare di aver adempiuto coerentemente all’adozione delle misure di cui all’art. 34 ed all’Allegato B, da esibire in caso di controlli, ispezioni e contestazioni.

L’art. 45, lett. c) e d), del suddetto decreto abroga l’obbligo di tenere un aggiornato Documento Programmatico sulla Sicurezza ex D.Lgs. 196/03, ma tutti gli obblighi in materia di misure di sicurezza restano ancora vigenti.

 

Questo il testo dell’articolo:

Art. 45.

(Semplificazioni in materia di dati personali)

1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) all’articolo 21 dopo il comma 1 è inserito il seguente:

«1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.»;

b) all’articolo 27, comma 1, è aggiunto, in fine, il seguente periodo:

“Si applica quanto previsto dall’articolo 21, comma 1-bis.”;

c) all’articolo 34 è soppressa la lettera g) del comma 1 ed è abrogato il comma 1-bis;

d) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.

Onde evitare errori interpretativi e diffusione di “leggende metropolitane” in relazione alla reale portata della norma citata, precisiamo che tutti gli obblighi in materia di misure di sicurezza restano ancora vigenti, in quanto la norma richiamata esclude solamente l’obbligo di redigere e mantenere aggiornato un DPS.

Volendo fare un passaggio ulteriore, è ragionevole ipotizzare che, in mancanza del supporto documentale costituito dal DPS, le attività ispettive andranno a verificare in maniera molto più puntuale l’effettiva implementazione delle misure minime di sicurezza previste, a fronte di verifiche che, precedentemente, avvenivano più che altro “sulla carta”.L’attenzione nei confronti degli aspetti organizzativi, regolamentari e implementativi della sicurezza informatica, quindi, deve continuare a rimanere elevata. Non solo per ragioni economiche, dunque, ma anche per ragioni giuridiche.

La notizia della eliminazione del DPS rischia di far veicolare un messaggio equivoco circa gli adempimenti relativi alla privacy nel senso di far erroneamente ritenere che essi siano scomparsi. Per effetto del Codice della Privacy (Dlgs. 196/2003), in materia di protezione dei dati personali vige tuttora l’art.34 con il relativo allegato.

Sono da ritenere vigenti gli obblighi relativi alla gestione dei trattamenti svolti dai soggetti che prevedono le nomine di responsabili e incaricati, i doveri del backup almeno settimanale per gli archivi di dati sensibili e/o giudiziari, le indicazioni relative ad informative e richieste di consenso. Rimangono i vincoli relativi agli Amministratori di Sistema e ai trattamenti in outsourcing. Sulla P.A. incombono ancora, peraltro, gli adempimenti in tema di Disaster Recovery e Business Continuity introdotti con l’art. 50-bis del Codice Dell’amministrazione Digitale.

Sintetizzando, per i privati titolari del trattamento:

· Permane l’obbligo di nominare l’ amministratore del sistema di protezione dei dati (Provvedimento datato 27-11-2008 del Garante della Privacy).

· Obbligo di eseguire, periodicamente, sia l’aggiornamento degli elenchi dei dati sensibili trattati e sia dell’elenco degli incaricati al trattamento, nuovi o confermati, ai sensi dell’art.. art. 34 lett. d) e dell’art. 35 lett. a) del Decreto legislativo 30 giugno 2003, n. 196 -Codice Privacy-).

· Obbligo di nominare il personale addetto al controllo e all’uso del sistema elettronico aziendale, in ossequio alle indicazioni del Garante della Privacy del 1-03-2007 per ciò che riguarda le modalità di utilizzo della posta elettronica aziendale (come da “linee guida” emanate dalla stessa autority).

· Obbligo di tenuta dell’elenco aggiornato del personale responsabile al rilascio dei dati, a richiesta degli interessati.

 

Articolo tratto da: http://blog.mpslaw.it/2012/02/10/privacy-2/chiarimenti-sullabrogazione-dellobbligo-di-redazione-del-dps/939

Forse cercavi

Il sistema sanitario italiano scala la classifica: ora è il terzo più efficiente al mondo

da www.quotidianosanità.it del 9 ottobre 2014 Secondo la classifica stilata dall’agenzia americana siamo il top in …