Accedi a Privacy-Impresa
Privacy DPS

Documento programmatico sulla sicurezza

Menu rapido:


dati personali privacy Dal 1996 e in seguito con il forte impulso dato dal nuovo D.Lgs 196/03, anche in Italia si é fatta via via più incessante la necessità di provvedere all'adeguamento delle proprie strutture, dei propri documenti e delle proprie abitudini in merito alla Privacy. Nei primi due anni successivi all'emanazione del Testo Unico, di Privacy se ne sono occupati un po' tutti. Dai commercialisti, investiti della questione direttamente dai loro clienti, alle società di assistenza e consulenza informatica (software e hardware), dalle associazioni di categoria, punto riferimento per i loro assistiti, fino ad arrivare ai veri e propri consulenti Privacy, preparati specificatamente per eseguire questa professione.
Sfortunatamente questo fenomeno ha portato a molta confusione, complice anche il Garante, nella definizione di adeguamento sulla Privacy. Ad alcuni é sembrato un adempimento inutile, se non dannoso, ad altri una perdita di tempo. Alcuni si sono visti consigliare di stravolgere il loro modo di lavorare, impostando delle procedure a dir poco esagerate per rispettare i dettati letterali delle norme; ad altri invece é stato consigliato, imprudentemente, di non fare nulla adducendo come motivazione che non ce n'era bisogno.
Un esempio vale più di mille parole.
Nel 2004 vi era un grande dibattito sul concetto di data certa del DPS. Secondo questa definizione il DPS andava dotato di data certa anteriore al 31 marzo dell'anno della redazione. Per fare questo sono stati ideati dei sistemi per certi aspetti paradossali. Il più paradossale é stato quello di mettere il DPS in una busta chiusa e autospedirselo con una raccomandata. Altri modi non meno strani sono stati quelli di far timbrare alle poste tutte le pagine del DPS.
Per chi lavorava già nel settore con competenza fu abbastanza semplice consigliare alla propria clientela di non preoccuparsi del problema della data certa e di provvedere, per sicurezza, alla sola timbratura della prima pagina.
Innanzi tutto la data certa non é mai stata, a ben leggere la norma, un obbligo riferito al DPS, ma solo a un documento che doveva essere adottato entro il 31 marzo del 2004 per chi non aveva modo di adottare le misure minime per motivi di forza maggiore.
In secondo luogo, ammettendo anche la data certa sul DPS, inutile sarebbe stato timbrare tutte le pagine. Assumendo che in fase di controllo per qualsiasi tipo di adempimento l'importante sia essere in regola nel momento del controllo, avrebbe potuto facilmente prefigurarsi una situazione in cui prima del 31 marzo si fosse adottato un DPS e successivamente ad un controllo interno esso stesso fosse risultato in parte carente, con pronta correzione e integrazione dello stesso. Ovviamente l'integrazione sarebbe stata successiva, impedendo di poter timbrare le nuove pagine con data anteriore al 31 marzo. Ora, di fronte a un controllo, l'autorità preposta (Polizia Postale, Guardia di Finanza) avrebbe controllato la validità di quanto contenuto nel DPS, non certo quando questo contenuto fosse stato predisposto.
Secondo l'orientamento di chi voleva timbrare ogni pagina (o ancora peggio di chi voleva autospedirsi il DPS in busta chiusa) modificare il DPS in corso d'anno per migliorarne i contenuti o colmare certe lacune, avrebbe significato firmare la propria dichiarazione di illiceità col paradosso che chi non era diligente nel controllare periodicamente il buono stato del DPS sarebbe stato in regola e chi invece lo era non lo sarebbe stato.
Un'ulteriore paradosso si crea nel caso in cui mi spedisca il DPS in busta chiusa, perché mi ritrovo con un documento magari corretto, ma che non posso consultare perché sigillato. Il DPS spiega la sua funzione se ce l'ho a portata di mano, se posso portare a conoscenza dei miei dipendenti alcuni punti del documento, soprattutto quelli relativi ai comportamenti che devono tenere. Se lo tengo sigillato in busta chiusa, a cosa mi serve se non a dimenticarmi che esiste?
Ovviamente l'interpretazione corretta è sempre stata quella per cui il DPS va redatto prontamente dal momento in cui viene iniziato un trattamento di dati, ma se viene redatto dopo il 31 marzo, non c'è alcun pericolo di incorrere in sanzioni se il DPS, al momento del controllo, é completo e corretto.
La legge indica che entro il 31 marzo di ogni anno è necessario provvedere alla modifica del DPS. Anche in questo caso, una modifica effettuata dopo il 31 marzo non é indice di illecito, sempre che nel periodo che va dal 31 marzo al momento delle modifiche non sia intercorso un controllo. In questo caso al controllo risulterà che il DPS non é aggiornato e che il 31 marzo é trascorso e scatterà la sanzione.
Detto questo non mancano comunque perplessità su questo tipo di gestione dell'aggiornamento del DPS. Infatti, ipotizziamo che al 31 marzo io controlli il mio DPS e provveda a modificare certi elementi che sono cambiati nel corso dell'anno precedente. Ora ipotizziamo che dopo alcuni mesi dall'aggiornamento cambi qualcos'altro e dopo un altro mese sopraggiunga un controllo. Le modifiche al DPS entro il 31 marzo io le ho compiute; le modifiche successive dovranno essere da me riportate entro il 31 marzo dell'anno successivo. Come lo dimostro nel caso in cui i cambiamenti sopraggiunti non siano collocabili in un momento preciso? Per questo soccorre l'impostazione da noi ritenuta la migliore, ovvero un documento allegato al DPS nel quale ogni volta che viene effettuata una modifica si può visualizzare il cambiamento e vistarlo per sicurezza. Nel caso in cui ci sia un controllo sarà anche molto semplice, per chi controlla, prendere in visione detto documento per velocizzare i controlli.
In definitiva adeguamento significa aver attuato le misure minime richieste dalla legge e aver redatto un DPS che contiene la descrizione analitica di dette misure, senza bisogno di aggravare la Società di adempimenti inutili e che rappresentano solo una perdita di tempo, ma senza nemmeno dotarsi di documenti prestampati, lacunosi e di fatto irregolari.
Se questo articolo ti è stato utile, per favore lascia un giudizio:

1
2
3
4
5



Voto medio per questo articolo: 4 (voti totali: 25)

Ricevi gratuitamente la nostra newsletter di aggiornamento sulla normativa


Inserisci la tua e-mail:

Acconsento al trattamento dei miei dati personali in base
all'informativa resa ai sensi dell'art. 13 del d.lgs. 196/03

Per ulteriori domande scrivere a m.mascellani@rough-srl.it

chiudi

Mappa del sito