In tema di adempimenti a carico dell’impresa e dello studio professionale, è necessario ricordare innanzitutto che il D.L. 5/2012 ha abrogato, a partire dal 10 febbraio 2012, l’obbligo di redigere il
Documento Programmatico per la Sicurezza dei dati trattati (D.P.S.) ‐ in forma ordinaria o abbreviata – ossia il documento che riassumeva tutte le procedure e misure di sicurezza predisposte dal Titolare del trattamento, che, fino a tale data, doveva essere predisposto ed aggiornato entro il 31 marzo di ogni anno.
Il soggetto obbligato alla redazione e all’aggiornamento del D.P.S. era il titolare del trattamento di dati sensibili o giudiziari effettuato con l’ausilio di strumenti elettronici. Con la semplificazione è venuto meno anche l’obbligo del Titolare del Trattamento dei Dati di riportare, all’interno della relazione accompagnatoria del bilancio d’esercizio, l’annotazione relativa alla redazione o all’aggiornamento di tale documento.
Le misure minime del Codice della Privacy ad oggi in vigore
Restano a oggi vigenti le previsioni contenute negli articoli 33 e ss. del D.Lgs. 196/2003 (Codice della Privacy) e, pertanto, le imprese devono continuare a disciplinare il trattamento dei dati nel rispetto delle misure minime di sicurezza.
Imprese, professionisti, enti privati e pubblici e, in generale, chi tratta dati personali (anche solo di tipo comune, non necessariamente dati sensibili o giudiziari) devono sempre strutturare le proprie
organizzazioni al fine di rispettare le misure minime di sicurezza. Le norme introdotte nel nostro ordinamento dal D.Lgs. 196/2003 obbligano a diversi adempimenti, tra cui:
– la nomina del titolare del trattamento dei dati;
– la nomina dei responsabili del trattamento dei dati;
– la nomina degli incaricati al trattamento dei dati;
– la nomina dell’amministratore di sistema;
– il rilascio di apposita informativa sulle finalità e modalità di trattamento dei dati;
– preventiva richiesta del consenso al trattamento dei dati;
– la notificazione al Garante della Privacy, quando ricorra l’obbligo;
– l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre il rischio di sottrazione, alterazione, perdita degli stessi; accesso non autorizzato da parte di terzi agli ambienti in cui sono custoditi e trattamento di dati non consentito e non conforme a quanto normativamente previsto.
Resta a carico dei titolari del trattamento di dati l’obbligo di redazione di idonee informative (ai dipendenti e collaboratori; ai clienti ed ai fornitori; agli utenti del sito web; etc.), nonché la nomina degli incaricati al trattamento dei dati personali, ed eventualmente dei responsabili, con particolare attenzione ai casi di affidamento dati personali in outsourcing.
Qualora l’impresa si avvalga di amministratori di sistema, figure specificamente dedicate alla gestione dei sistemi informatici e della sicurezza, il titolare del trattamento dovrà innanzitutto valutare l’effettiva capacità ed affidabilità dei soggetti preposti, dovrà avvalersi di idonei sistemi di controllo (tramite appositi software) dell’attività posta in essere dagli amministratori medesimi, e infine verificare, con cadenza almeno annuale, il rispetto delle misure organizzative, tecniche e di sicurezza prescritte dalle Legge.
È bene, inoltre, evidenziare la necessità, per l’impresa, di porre in essere un’adeguata gestione della privacy policy del sito web aziendale, di adeguarsi alle disposizioni in materia di videosorveglianza e infine di attenersi ai numerosi disposti normativi per quanto riguarda i dipendenti, i collaboratori ed il luogo di lavoro.
N.B.:Per i soggetti che erano obbligati ex lege alla tenuta del Documento Programmatico sulla Sicurezza fino al periodo di imposta 2011, si ritiene consigliabile procedere con l’aggiornamento
entro il 31 marzo di ciascun anno del documento, di modo da verificare e rendicontare nel D.P.S. la corretta adozione delle misure minime di sicurezza obbligatorie ai sensi del Codice della Privacy.