Domande al garante circa l'obbligarietà del DPS
Domanda
: Il Documento Programmatico sulla Sicurezza va compilato solo se i dati trattati sono sensibili e giudiziari usando i computer, oppure ogni volta che si usa un computer anche se ci sono solo indirizzi o dati che si potrebbero benissimo trovare su un elenco telefonico?Risposta: Il segretario generale dell’Autorità garante dott. Giovanni Buttarelli ha sottolineato come quello della redazione del documento programmatico della sicurezza sia un obbligo generalizzato, riguardante ogni soggetto che svolga un trattamento di dati personali. Infatti, al di fuori delle ipotesi nelle quali l’inadempimento è sanzionato penalmente (dati sensibili e giudiziari), la mancata predisposizione del dps espone i soggetti obbligati a tutte le conseguenze di natura civile e disciplinare previste dalla legge (ma si pensi anche alle conseguenze di ordine amministrativo e contabile per le persone giuridiche pubbliche) Il documento previsto dalla normativa riguarda chiunque detenga informazioni o dati personali di terzi sotto qualsiasi forma.
Sono interessati dunque:
1) le aziende, indipendentemente dalla loro dimensione;
2) i liberi professionisti;
3) le pubbliche amministrazioni;
4) le associazioni;
5) le cooperative.
Ovviamente gli adempimenti sono diversi a seconda delle dimensioni della struttura e della tipologia di trattamento dei dati.
Molti di questi adempimenti non hanno mai subito proroghe, per cui si dovrebbe già essere in regol a con le informative, i consensi, la nomina di incaricati sia interni che esterni, le misure di sicurezza fisiche, logiche ed organizzative.
La proroga, invece, fino al 31 dicembre 2005 attiene alla redazione del DPS (già contemplato nel Dpr 318/99), ossia del Documento programmatico sulla sicurezza, l'unica documentazione in grado di attestare l'adeguamento alla normativa sulla tutela dei dati personali.
In sostanza il DPS è un manuale, che deve essere aggiornato il 31 marzo di ogni anno per mano del responsabile del trattamento dei dati, il quale deve dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell'avvenuta redazione o aggiornamento del documento stesso.
Nel DPS deve essere descritto in dettaglio come si tutelano i dati personali dei terzi (clienti, dipendenti, collaboratori, fornitori ecc...) ad ogni fase e ad ogni livello, nonchè l'analisi dei rischi e la programmazione futura.
Il documento costituisce prova formale dell'adeguamento sostenuto e deve essere custodito per eventuali controlli da parte del nucleo Privacy della Guardia di Finanza.
(Roma 8 giugno 2005)
Domanda: E' vero che è obbligatorio per tutte le organizzazioni avere un Documento Programmatico della Sicurezza?
Risposta: In base a quanto stabilito dall'art. 34 del Dlg. N.196/2003 Il Documento Programmatico sulla Sicurezza è obbligatorio per tutti coloro che trattano che trattano dati personali con l'impiego di elaboratori elettronici.
Domanda: Sono configurabili come banca dati, anche i progetti che possono risiedere nel pc contenenti riferimenti o dati di clienti (ad esempio progetti, disegni, siti web, manutenzioni)?
Risposta: Si, in quanto all'articolo 4 del Dlgs. 196/2003 si definisce come "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Art. 4 Definizioni
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) ....
garante: “Non è necessario chiedere il consenso con una informativa se i dati vengono trattati per finalità connesse ad un obbligo di legge o per un regolamento comunitario. Quindi i dati dei clienti e dei fornitori se vengono trattati per quello scopo non necessitano di nessuna richiesta di consenso. Serve il consenso, con un'informativa se voglio utilizzare gli stessi dati per scopi diversi, ad esempio per inviare materiale pubblicitario, depliant, ecc…”
inoltre NON esiste nessuna norma nel codice che dice che il Documento programmatico sulla sicurezza (DPS) debba essere firmato. Il segretario generale dell’Autorità garante dott. Giovanni Buttarelli, in un recente convegno ha risposto che per "analogia con analoghi documenti civilistici" è doveroso che abbia data certa o che comunque si possa dimostrare con una prova documentale e non testimoniale che sia stato redatto nei termini e nei modi previsti, e che quindi deve avere data certa.
Domanda: Per quanto riguarda la data certa del Documento programmatico sulla sicurezza vorremmo maggiori indicazioni da parte Vostra sulle modalità attraverso le quali si esplica questo tipo di adempimento e se nel corso di tutti questi mesi è cambiato qualcosa.
Risposta: L'obbligo che il Documento Programmatico sulla Sicurezza, sia un "atto avente data certa". non è indicato in nessuna parte della normativa.
In proposito, comunque, il Garante osserva che tale requisito si collega con la comune disciplina civilistica in materia di prove documentali e, in particolare, con quanto previsto dagli artt. 2702 - 2704 del codice civile, i quali recano un’elencazione non esaustiva degli strumenti per attribuire data certa ai documenti, consentendo di provare tale data anche in riferimento a ogni "fatto che stabilisca in modo egualmente certo l’anteriorità della formazione del documento" (art. 2704 codice civile: Data della scrittura privata nei confronti dei terzi.
La data della scrittura privata della quale non è autenticata la sottoscrizione non è certa e computabile riguardo ai terzi, se non dal giorno in cui la scrittura è stata registrata o dal giorno della morte o della sopravvenuta impossibilità fisica di colui o di uno di coloro che l’hanno sottoscritta o dal giorno in cui il contenuto della scrittura è riprodotto in atti pubblici o, infine, dal giorno in cui si verifica un altro fatto che stabilisca in modo egualmente certo l’anteriorità della formazione del documento. La data della scrittura privata che contiene dichiarazioni unilaterali non destinate a persona determinata può essere accertata con qualsiasi mezzo di prova. Per l’accertamento della data nelle quietanze il giudice, tenuto conto delle circostanze, può ammettere qualsiasi mezzo di prova.