Istruzioni per i DPSS

Il documento programmatico per la sicurezza deve riportare la data certa (esempio timbratura postale) e deve essere conservato in azienda e NON DEVE ESSERE SPEDITO AL GARANTE.

IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

  1. Anche la redazione del DPS è una 'misura minima', prevista dall’Allegato B).
    Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il DPS e sia parzialmente diverso il suo necessario contenuto.

    Infatti, la precedente disciplina prevedeva già l’obbligo di predisporre e aggiornare il DPS, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (artt.  22 e  24 l. n. 675/1996; art. 6 d. P.R. n. 318/1999).

    I soggetti tenuti a predisporre il DPS hanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al più tardi, entro il 31 dicembre 2000 (artt.  15, comma 2 e  41, comma 3 l. n. 675/1996;  l. n. 325/2000); dovendo rispettare l’obbligo di revisione almeno annuale, hanno dovuto aggiornare il DPS negli anni successivi, anche nel 2003.

     
  2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art.  34, comma 1, lett. g), del Codice;  regola 19 dell’Allegato B)).

    Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico).

    Inoltre, a differenza del passato, la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato (v.  art. 4 del Codice).

    Infine, il contenuto stesso del DPS è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Ad esempio, nel DPS occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (regole 19.8 e 24 dell’Allegato B)).

     
  3. Benché non si tratti a rigore di una misura 'nuova', è quindi legittimamente sostenibile che il DPS da redigere quest'anno per la prima volta,  o da aggiornare, possa essere predisposto al più tardi entro il 30 giugno 2004, anziché necessariamente entro il 31 marzo, data che è invece prevista a regime per i prossimi anni, a partire dal 2005 (cfr.  regola 19).

    Si perviene a questa conclusione per tutti i destinatari dell'obbligo:
        a) sia per coloro che devono redigere il DPS per la prima volta nel 2004;
        b) sia per chi, già dotato di un DPS redatto o aggiornato nel 2003, ritenga necessario utilizzare un trimestre in più,
            rispetto al prossimo 31 marzo, per curare la stesura di un testo significativo e più impegnativo nella ricognizione
            dei rischi e degli interventi previsti.

Il termine più ampio del 30 giugno 2004 permetterà di utilizzare facoltativamente il modello-base e semplificato di DPS che il Garante è in procinto di porre a disposizione dei titolari del trattamento interessati, soprattutto per le realtà medio-piccole che non si attiveranno entro il 31 marzo.

Non sussistono infine margini per sostenere che il DPS possa essere redatto per la prima volta o aggiornato solo nel 2005. Il DPS è peraltro una misura da adottare con un documento, anziché un accorgimento da applicare direttamente a strumenti elettronici, per cui non è possibile invocare un differimento al 2005 neppure in applicazione dello speciale meccanismo già descritto a proposito delle obiettive ragioni tecniche relative a strumenti elettronici.

 

RELAZIONE ACCOMPAGNATORIA AL BILANCIO D’ESERCIZIO

Le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice).

In questo quadro, il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura 'minima' o che sia stato comunque adottato (regola 26 Allegato B)).

Anche questa menzione rappresenta una misura 'minima' nuova, indicata tra quelle di 'tutela e garanzia' (regole 25 e 26).

I soggetti pubblici e privati tenuti in passato a predisporre o aggiornare il DPS, e che per il 2004 possono come detto aggiornarlo entro il 30 giugno del presente anno, dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l’adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS entro il 30 giugno 2004.

I soggetti pubblici e privati tenuti invece per la prima volta a redigere il DPS nel 2004 (come si è detto entro il 30 giugno), non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l’aggiornamento 2004 in itinere.

Le Strutture del Sistema Confederale