Privacy
«Salta» l’obbligo di tenuta di un aggiornato DPS
La bozza del DL semplificazioni, approvato ieri in via definitiva dal CdM, fa slittare al 30 giugno il termine per comunicare la PEC
/ Sabato 04 febbraio 2012
Eliminazione dell’obbligo di tenuta di un aggiornato Documento Programmatico sulla Sicurezza (DPS) e, conseguentemente, della possibilità di avvalersi di un’autocertificazione o di un DPS semplificato. Inoltre, rimozione dell’obbligo di far riferimento nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione o aggiornamento dello stesso.
È quanto emerge dalla bozza di “DL sulle semplificazioni” approvato in via definitiva dal Consiglio dei Ministri, all’art. 45, che avrebbe soppresso, all’art. 34 del DLgs. 30 giugno 2003 n. 196, recante il “Codice in materia di protezione dei dati personali” (cosiddetto “Codice della privacy”), la lett. g) del comma 1 e il comma 1-bis e nel disciplinare tecnico, in materia di misure minime di sicurezza di cui all’Allegato B, i paragrafi 19-19.8 e 26.
Si tratta delle semplificazioni previste in materia di dati personali, nell’ambito di un più ampio provvedimento riguardante cittadini, imprese e Pubbliche amministrazioni.
Così come era già stato specificato nel comunicato stampa del 27 gennaio, l’eliminazione dell’obbligo di predisporre e aggiornare il DPS risponde al fatto che si tratta di un “adempimento meramente superfluo”.
Le altre misure di sicurezza previste dalla normativa vigente non vengono abolite.
Il DPS va redatto o aggiornato entro il 31 marzo di ciascun anno. Soggetto obbligato alla redazione del DPS è il titolare dei trattamenti di dati “sensibili” o giudiziari con strumenti elettronici, anche attraverso il responsabile, se designato. Il DPS non va inviato al Garante della privacy, ma deve essere conservato presso la propria struttura ed esibito in caso di controllo.
Per la mancata redazione o il mancato aggiornamento del DPS, il Codice prescrive l’applicazione di sanzioni amministrative e penali.
La soppressione del DPS – se verrà confermata la prescrizione anche nel testo in Gazzetta Ufficiale – segue una serie di misure introdotte per ridurre gli oneri in materia di privacy per le imprese, fra le quali si segnala quella introdotta dal recente DL 6 dicembre 2011 n. 201 (conv. L. 214/2011).
Nello specifico, il decreto citato aveva già previsto limitazioni all’ambito di applicazione del Codice della privacy, mediante la soppressione del riferimento alle persone giuridiche, enti e associazioni da alcuni articoli del Codice della privacy. Si vedano, in particolare, le lett. b) e i) dell’art. 4, comma 1, del Codice della privacy, recanti le definizioni di “dato personale” e di “interessato”. Alla luce delle modifiche così introdotte, per “dato personale” si deve intendere qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; per “interessato” si deve intendere la persona fisica cui si riferiscono i dati personali.
Fra le altre semplificazioni per le imprese, previste nel DL semplificazioni, si segnala anche lo slittamento al prossimo 30 giugno 2012 del termine entro il quale le società che non hanno ancora provveduto, devono comunicare il loro indirizzo di Posta Elettronica Certificata (PEC) al Registro delle imprese (si veda “PEC, possibile proroga al 30 giugno 2012” del 25 gennaio 2012).
È quanto emerge dalla bozza di “DL sulle semplificazioni” approvato in via definitiva dal Consiglio dei Ministri, all’art. 45, che avrebbe soppresso, all’art. 34 del DLgs. 30 giugno 2003 n. 196, recante il “Codice in materia di protezione dei dati personali” (cosiddetto “Codice della privacy”), la lett. g) del comma 1 e il comma 1-bis e nel disciplinare tecnico, in materia di misure minime di sicurezza di cui all’Allegato B, i paragrafi 19-19.8 e 26.
Si tratta delle semplificazioni previste in materia di dati personali, nell’ambito di un più ampio provvedimento riguardante cittadini, imprese e Pubbliche amministrazioni.
Così come era già stato specificato nel comunicato stampa del 27 gennaio, l’eliminazione dell’obbligo di predisporre e aggiornare il DPS risponde al fatto che si tratta di un “adempimento meramente superfluo”.
Le altre misure di sicurezza previste dalla normativa vigente non vengono abolite.
DPS, adempimento superfluo da eliminare
A tal proposito, si ricorda che la tenuta di un aggiornato DPS costituisce una misura “minima” di sicurezza prevista, in relazione all’obbligo generale di protezione dei dati personali, dall’art. 34, comma 1, lett. g) e dall’Allegato B, regola 19 del Codice della privacy.Il DPS va redatto o aggiornato entro il 31 marzo di ciascun anno. Soggetto obbligato alla redazione del DPS è il titolare dei trattamenti di dati “sensibili” o giudiziari con strumenti elettronici, anche attraverso il responsabile, se designato. Il DPS non va inviato al Garante della privacy, ma deve essere conservato presso la propria struttura ed esibito in caso di controllo.
Per la mancata redazione o il mancato aggiornamento del DPS, il Codice prescrive l’applicazione di sanzioni amministrative e penali.
La soppressione del DPS – se verrà confermata la prescrizione anche nel testo in Gazzetta Ufficiale – segue una serie di misure introdotte per ridurre gli oneri in materia di privacy per le imprese, fra le quali si segnala quella introdotta dal recente DL 6 dicembre 2011 n. 201 (conv. L. 214/2011).
Nello specifico, il decreto citato aveva già previsto limitazioni all’ambito di applicazione del Codice della privacy, mediante la soppressione del riferimento alle persone giuridiche, enti e associazioni da alcuni articoli del Codice della privacy. Si vedano, in particolare, le lett. b) e i) dell’art. 4, comma 1, del Codice della privacy, recanti le definizioni di “dato personale” e di “interessato”. Alla luce delle modifiche così introdotte, per “dato personale” si deve intendere qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; per “interessato” si deve intendere la persona fisica cui si riferiscono i dati personali.
Fra le altre semplificazioni per le imprese, previste nel DL semplificazioni, si segnala anche lo slittamento al prossimo 30 giugno 2012 del termine entro il quale le società che non hanno ancora provveduto, devono comunicare il loro indirizzo di Posta Elettronica Certificata (PEC) al Registro delle imprese (si veda “PEC, possibile proroga al 30 giugno 2012” del 25 gennaio 2012).
Nessun commento:
Posta un commento