FAQ: Le vostre domande più frequenti sul DPS
Qual’è l’ultimo giorno utile per redigere il DPS?
Il 31 Marzo, ma la richiesta della sua elaborazione deve essere fatta in tempo utile per verificare le norme di sicurezza presenti nell’azienda ed adeguarsi in caso di eventuali mancanze.
Redatto il DPS, l’azienda è immune da eventuali sanzioni?
Assolutamente no. Il DPS è un documento nel quale sono descritte tutte le misure di sicurezza in materia di tutela della Privacy, questo serve come linea guida all’azienda, che deve rispettare quanto è scritto.
Chi controlla le misure minime di sicurezza e quindi eventualmente il DPS?
La Polizia Postale e la Guardia di Finanza su richiesta del Garante.
A quanto ammontano le sanzioni?
Le sanzioni variano in base alla omissione di dati ed all’inadeguatezza dei sistemi di protezione.
Le sanzioni amministrative possono essere da € 10.000 a € 60.000
Le sanzioni penali possono prevedere fino a 2 anni di reclusione
Cosa sono i dati sensibili?
I ”Dati sensibili” sono dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale dell’individuo (Legge Privacy 196/2003).
Un’azienda che non tratta dati sensibili deve comunque redigere il DPS?
Tutte le aziende che trattano dati non sensibili con strumenti elettronici devono redigere un Documento sulla Sicurezza che attesti le norme applicate per tutelare i dati personali archiviati, ed indichi le persone che trattano tali dati e le loro mansioni, per questo è consigliato utilizzare come documento il DPS SEMPLIFICATO il quale è strutturalmente indicato come modello, essendo stato sviluppato dal Garante.
Cosa si intende con ”Lettera di Incarico”?
La lettera di incarico è un documento obbligatorio che la Normativa sulla Privacy impone per la nomina dei Responsabili e degli Incaricati interni (dipendenti e collaboratori) ed esterni al trattamento dei dati.
Questa lettera è presente nel DPS redatto, tante volte quanti sono gli incaricati, i quali sono tenuti a leggere e firmare.
Cosa si intende con “Informativa”?
L’informativa è un documento con cui il soggetto che detiene un dato (personale, sensibile o giudiziario) richiede all’interessato (persona fisica o giuridica) il consenso al trattamento dei dati personali. L’interessato è tenuto a leggere e firmare l’informativa.
Il Responsabile del Trattamento dei Dati (o altro responsabile) può essere anche Amministratore di Sistema?
Si, purché rispecchi le mansioni descritte nel DPS (questo ovviamente non pregiudica il fatto di potere essere affiancato da un professionista che a sua volta gli fornisca il supporto tecnico adeguato e lo tenga aggiornato sulle norme di sicurezza applicate all’azienda).
Il DPS deve avere “data certa”?
La normativa non impone una data certa, ma essendo un documento legale che và redatto entro una scadenza prefissata sarebbe opportuno apporvi una “data certa” per evitare contestazioni.
Quali soggetti possono avvalersi della semplificazione?
Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238 ).
Amministratori di sistema
Il 15 dicembre, era l’ultimo termine entro il quale le imprese e altri soggetti interessati dovevano adeguarsi alle indicazioni del Garante, in materia di amministratori di sistema.
Tali indicazioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell’amministratore di sistema o a una figura equivalente.
Ma cosa si intende per Amministratore di Sistema?
[rif. provvedimento del 27 novembre 2008 del Garante]
Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.
Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi…
Tuttavia le funzioni tipiche dell’amministrazione di un sistema sono richiamate nel menzionato Allegato B, nella parte in cui prevede l’obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nel medesimo Allegato B spettano tipicamente all’amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.
Il Dps è obbligatorio?
Di seguito riportiamo le casistiche ove è necessario redigere il DPS, il DPS Semplificato oppure l’autocertificazione.
Infatti, il Garante sulla Privacy prevede la realizzazione del:
- DPS
Per i soggetti pubblici e privati che trattano dati sensibili e giudiziari - DPS Semplificato
Per i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese.
(”Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali” del 27 novembre 2008)
Il DPS è comunque consigliato a tutti quei soggetti pubblici e privati che trattano dati personali con strumenti elettronici, i quali sono tenuti a redigere comunque un documento sulla sicurezza dove elencano le misure minime di sicurezza
- Autocertificazione
Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale.
In evidenza – Scadenza 29 aprile 2011
Adeguamento delle misure di sicurezza per il trattamento dei dati derivante da sistemi di videosorveglianza (punto 3.3 Provvedimento Generale 08/04/2010)
-> Leggi per maggiori informazioni
Si ricorda che redigere il DPS non significa essere immuni da eventuali sanzioni. Infatti, il DPS è il documento dove sono elencate le misure di sicurezza che l’azienda deve adottare in materia di tutela della Privacy e dalle quali non può esimersi.