Con la conversione in legge (Legge 4 aprile 2012 n. 35 ) del c.d. decreto “Semplifica Italia” del Governo Monti, è diventata definitiva la soppressione dell’obbligo sancito dal D.Lgs. 196 del 2003 di redigere entro il 31 marzo di ogni anno il DPS (Documento Programmatico sulla Sicurezza).
La redazione del DPS era solo uno degli obblighi previsti dalla normativa sulla privacy per garantire un corretto trattamento dei dati (il solo obbligo formale) e, dopo la sua abolizione rimane ancora più necessaria, oltre che obbligatoria, l’adozione di tutte le misure minime di sicurezza specificate dall’allegato “B”, onde evitare di incorrere nelle sanzioni previste dal D.Lgs. 196/2003.
Bisognerà quindi porre particolare attenzione soprattutto alle nomine dei responsabili e degli incaricati del trattamento dei dati così come agli svariati Provvedimenti emessi dal Garante (videosorveglianza, marketing per esempio). A questo proposito gioca un ruolo rilevante la formazione del personale, benchè depennata dal punto 19.6 dell’Allegato “B”. Infatti è solo tramite la formazione e l’informazione circa le norme sulla privacy che si mettono il responsabile e gli incaricati nella condizione di potere e sapere rispettare le istruzioni relative ai loro doveri indicati nelle nomine.
Pensiamo quindi di fare cosa gradita consigliando alcuni link a corsi di formazione gratuiti in materia di privacy, da usare come iniziale misura minima di sicurezza utile per prevenire possibili danni cagionati a terzi dagli incaricati ed eventuali possibili responsabilità del titolare del trattamento.
http://www.microsoft.com/italy/pmi/aulapmi/privacy/m1/default.htm
http://corsi.pmiservizi.it/corso-privacy-aziendale.asp
*Formazione obbligatoria o non obbligatoria
Il punto 19.6 dell’Allegato “B”, abrogato dal Decreto Monti, indicava: “Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.”
All’interno invece del D.Lgs. 196/2003, chiaramente tuttora in vigore, viene ribadito più volte che il titolare deve impartire istruzioni agli incaricati e ai responsabili affinché gli stessi possano operare correttamente rispettando quanto previsto dal Codice stesso.
Come può il titolare rendere edotti gli incaricati e cosa si intende per “impartire istruzioni”?
A voi le dovute considerazioni.
