Documento programmatico sulla sicurezza semplificato, semplificazioni privacy

Ricordiamo che alcune aziende usufruendo di quanto previsto nel provvedimento generale denominato “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali” (G.U. n. 287 del 9 dicembre 2008) possono redigere un documento programmatico sulla sicurezza (DPS) semplificato.

Possono redigere il dps semplificato solo: i titolari che trattano dati personali unicamente per correnti finalità amministrative e contabili;  i piccoli imprenditori ai sensi dell’art. 2083 del Codice Civile ovvero i coltivatori diretti del fondo, gli artigiani, i piccoli commercianti e coloro che esercitano un’attività professionale organizzata prevalentemente con il lavoro proprio e dei componenti della famiglia; piccola e media impresa (PMI)  ovvero imprese che  hanno meno di 250 occupati e un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.

Tutti gli altri titolari devono redigere il documento programmatico sulla sicurezza ordinario, in forma integrale.

Comments(0)

Autocertificazione privacy
A seguito dell’introduzione del comma 1-bis all’art. 34 del D.lg. 196/03 i titolari ci chiedono spesso se devono o non devono fare il Documento programmatico sulla sicurezza (DPS). Il comma 1-bis difatti recita  la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione (omissis.) solo per (omissis.) i soggetti che trattano (omissis.) dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale (omissis.).
Sono sensibili, per capirci, tutti i dati idonei a rivelare lo stato di salute di una persona, le sue convinzioni religiose o politiche, l’origine razziale ed etnica. Se si trattano questi dati per scopi ulteriori rispetto alla normale gestione del personale allora si sicuro il DPS si deve fare.
Sono altresì soggetti alla redazione del DPS tutti i titolari che trattano dati personali giudiziari (con strumenti elettronici oramai lo si può omettere perché tutti lavorano su pc oggi).
In definitiva possono fare l’autocertificazione i titolari che trattano: dati personali comuni di clienti, fornitori e dipendenti; dati personali sensibili di dipendenti relativi allo stato di salute o malattia (solo se senza indicazione della diagnosi), dati personali sensibili di carattere sindacale.
Considerato, però, che ai sensi dell’art. 4.1.a del D.lg. 196/03 per trattamento si intende compiere qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati – in pratica molto, moltissimo, quasi tutto… non è facile essere certi di non effettuare trattamenti che impongono al contrario la redazione del DPS.
Infatti, quanti Titolari si sentono realmente in grado di affermare con certezza, che mai in nessun caso la propria struttura tratta dati personali per cui è prevista la redazione del DPS? E soprattutto, questa certezza deve essere dichiarata per iscritto attraverso quella che si chiama Dichiarazione sostitutiva di atto di notorietà ex art. 47 del D.P.R. 445/00 che in caso di “dichiarazioni mendaci” o di “dati non più rispondenti a verità” può portare a pesanti sanzioni penali ai sensi dell’art. 76 del D.P.R. 445/00.

Alla fine fare l’Autocertificazione è molto rischioso, meglio non farla se non si è certi; di più per essere certi sarebbe necessario provare di aver fatto… una dettagliata classificazione dei dati personali trattati ed un’esaustiva analisi dei rischi… il che significa in termini pratici svolgere buona parte del lavoro necessario per la redazione del DPS… a questo punto tanto vale completare l’opera e dormire sonni tranquilli.

Comments(0)

Facebook e la privacy

Perché Facebook s’interessa ora tanto della privacy? Tutto cambiato rispetto al febbraio 2009, quando Facebook aveva cercato di imporre condizioni d’uso che in pratica gli facevano ottenere ogni diritto sui dati dei suoi iscritti. Allora le proteste furono tali che in due giorni tutto fu cancellato. Oggi tutto è differente e maggiori possibilità di controllo sono state attribuite agli utenti sui contenuti inseriti. Cancellarsi e sparire non è più u’utopia, è possibile adesso costituire gruppi ristretti, definendo con esattezza le persone con cui condividere certe informazioni e la dashboard per le applicazioni di terze parti consente di tenere sotto controllo la diffusione dei propri dati. Certo non tutti gli utenti sanno gestire le loro impostazioni privacy. Se siete utenti non esperti vi consigliamo di controllare bene e impostare bene le opzioni privacy. Vale la pena di impiegarci un po’ di tempo; può sembrare inizialmente una scocciatura, ma vi assicuriamo che ne va della vostra riservatezza. Come “training” potete sempre vedervi il film The Social Network, appena uscito negli Stati Uniti è già salito in testa alle classifiche, certo non ha giovato all’immagine di Facebook, ma non sarà la causa dell’abbandono degli utenti affezionati al social network, semmai potrebbe indirizzare correttamente le azioni di Facebook in futuro…

Comments(0)

Codice deontologico settore delle informazioni commerciali

Il Garante per la protezione dei dati personali ha invitato le associazioni di categoria interessate ai servizi di informazione commerciale (aziende del settore, associazioni rappresentative e consumatori) a inviare il loro contributo per partecipare alla redazione del codice deontologico e di buona condotta del settore di appartenenza. C’è tempo fino al 5 novembre per inviare comunicazioni e documentazione al Garante ai recapiti presenti sul sito e in particolare, via mail, all’indirizzo:

codiceinformazionicommerciali@garanteprivacy.it

Comments(0)