Due decreti governativi del 2011 e del 2012 hanno introdotto importanti modifiche alla disciplina della privacy facendo erroneamente ritenere a molte aziende che la privacy fosse stata abolita e che gli adempimenti non dovessero essere più attuati.
In effetti le semplificazioni hanno eliminato importanti adempimenti, ma nella sostanza hanno lasciato inalterato altri fondamentali obblighi.
Vediamo in questa breve sintesi i principali.
-
Eliminazione Documento Programmatico per la Sicurezza (DPS) dalle Misure Minime
In riferimento all’obbligo, dell’aggiornamento entro il 31 marzo di ogni anno del Documento Programmatico per la Sicurezza (DPS), il D.L. 9 febbraio 2012, n. 5 ha modificato alcune disposizione del Codice in materia di protezione di dati personali, eliminando in particolare dagli adempimenti in materia di misure minime di sicurezza proprio il Documento Programmatico per la Sicurezza, facendo inoltre decadere l’obbligo di riferire, nella relazione accompagnatoria del bilancio di esercizio, dell’avvenuta redazione del DPS.
-
Eliminazione della figura giuridica dalla definizione di Interessato
viene soppresso dalla definizione di Interessato il concetto di persona giuridica ovvero l’ambito di applicazione della legge tocca solamente i dati che riguardano le persone fisiche e non più le persone giuridiche (aziende, associazioni, ecc.). Tuttavia ciò non significa che le imprese non debbano seguire la norma e le indicazioni del Garante per la protezione dei dati relativi alle persone fisiche poiché esse trattano, e continueranno a trattare, anche dati di persone fisiche. Le imprese giornalmente gestiscono ad esempio nome dell´amministratore di altre società, il nome ed il cognome del direttore marketing o di quello di produzione, il nome della segretaria del commercialista o dell’avvocato, il nome ed i riferimenti personali di chi fa assistenza tecnica ai computer.
Va sottolineato però che gli obblighi del DPS costituivano solamente 2 dei 29 punti previsti dalle misure minime di sicurezza, i restanti obblighi sono rimasti invariati COMPRESO quello inerente l’informativa da dare ai dipendenti che usano strumenti di lavoro da cui derivi la possibilità di esercitare un potenziale controllo vietato.
Il consiglio più opportuno in questa fase è quello di monitorare e mappare tutti gli strumenti di lavoro per redigere le Informative da dare ai dipendenti con le prescrizioni minime.
Si presenta quindi per le aziende l’obbligo di avere una nuova documentazione che chiameremo Modello Organizzativo Privacy, che adempie alle misure minime rimaste nell’allegato B, che suggeriamo di completare con la redazione dell’analisi dei rischi, anche se non più obbligatoria, per ottemperare agli obblighi relativi all’Art. 31, misure idonee di sicurezza.
*Nota informativa redatta dai consulenti privacy Annibale Ranucci e Paolo Faustini.
Lo Studio mette a disposizione una Check Lista sulla Privacy , con la quale potrete fruire del parere di un Consulente della Privacy Certificato.