Il Dps è l’unico documento in grado di attestare l’adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro una scadenza fissata al 31 di marzo di ogni anno. In sintesi, si tratta di un manuale per la pianificazi …
Il Dps è l’unico documento in grado di attestare l’adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro una scadenza fissata al 31 di marzo di ogni anno. In sintesi, si tratta di un manuale per la pianificazione della sicurezza dei dati in azienda, descrivendo come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori e dunque prevedendo tutta una serie di parametri di controllo relativi all’elenco dei trattamenti dei dati personali, la distribuzione dei compiti e delle responsabilità, l’analisi dei rischi che incombono sui dati, le misure in essere e da adottare, criteri e modalità di ripristino della disponibilità dei dati, la pianificazione degli interventi formativi previsti, la regolamentazione relativa ai trattamenti affidati all’esterno, la cifratura dei dati o la separazione dei dati identificativi. Una serie di ordini normativi che includono attività di controllo e di gestione ma anche strumenti di presidio come, ad esempio, la presenza di estintori per tutelare da incendio gli archivi dove sono conservati informazioni sensibili. Il Garante ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge. «In dettaglio grazie all’articolo 44 che è stato convertito in legge a metà febbraio – ribadisce Cosimo Comella, dirigente sistemi informativi Ufficio Garante per la protezione dei dati personali -, il quadro sanzionatorio diventa alquanto severo, prevedendo multe che vanno da 5.000 a 18.000 euro per ogni infrazione che, se sommate, possono arrivare a un ammontare superiore al milione di euro». Conosciuto anche come “decreto delle mille proroghe”, l’articolo 44 prevede l’obbligatorietà di stilare entro il 31 marzo di ogni anno il Dps a tutte quelle aziende che trattano dati sensibili. Come specifica Comella «grazie alla legge Calderoli sulle semplificazioni, sono esentate le piccole aziende che non trattano dati sensibili o che hanno come unici dati sensibili quelli relativi al rapporto di lavoro dei dipendenti». Il nuovo comma aggiunto all’articolo 44 riferisce: «Ritenuto che i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008), debbano essere allo stato esclusi dall’ambito applicativo del presente provvedimento».
