Dal 6 dicembre 2011, con l’entrata in vigore del D.L. n. 201/2011 (convertito nella Legge n.214/2011) e del successivo D.L. n. 5/2012 (decreto sulle semplificazioni), in attesa di conversione in legge, il legislatore è intervenuto a semplificare anche la normativa privacy, nei suoi aspetti operativi.
Due sono i principali aspetti di semplificazione:
- le persone giuridiche (srl, spa, snc, sas), gli enti (pubblici e privati), le associazioni, gli Organi dello Stato e degli enti pubblici, nello svolgimento delle loro attività istituzionali, i comitati, le fondazioni, i consorzi, non sono più soggetti alla tutela del Codice della Privacy;
- è stato abrogato l’obbligo di redigere o aggiornare il documento programmatico sulla sicurezza dei dati personali e anche l’auto-certificazione alternativa.
Tale disposizione prevedeva, per le aziende obbligate, di redigere o aggiornare, entro in 31 marzo di ogni anno, un documento che rappresentasse la situazione aziendale in materia di privacy, dopo aver effettuato una analisi dei rischi incombenti sui dati trattati e dopo aver adottato le misure necessarie a prevenirli. Lo avevamo definito la “fotografia aziendale” in materia di privacy e riassumeva quanto era stato sostanzialmente fatto dall’azienda.
Queste diposizioni sono già operative?
Nei normali rapporti amministrativo-contabili tra aziende, alle persone giuridiche ed agli altri soggetti più sopra individuati non occorre più fornire l’informativa e ottenere idoneo consenso al trattamento dei dati. Inoltre, tali soggetti non hanno più i diritti di accesso ai propri dati (art.7 e ss. del Codice Privacy) e non occorre più osservare le dovute prescrizioni in caso di cessazione del trattamento dei loro dati.
Circa la disposizione inerente l’abrogazione del documento programmatico sulla sicurezza dei dati personali (o l’auto-certificazione per le aziende che potevano sostituirlo), invece, le cose sono più complicate.
La disposizione è già operativa, ma è attualmente all’esame del Parlamento per la conversione in legge (eventualmente anche con modifiche, entro 60 giorni).
Poiché i 60 giorni scadono i primi di aprile, quest’anno ci troviamo nell’incertezza se aggiornare il dps oppure no.
Nel dubbio, e per le aziende che hanno già impostato un sistema privacy, è opportuno procedere come per gli anni passati, aggiornando il documento entro il 31 marzo, evitando il rischio di sanzioni, soprattutto in vista dell’evoluzione normativa comunitaria che imporrà l’adozione di un modello organizzativo per la tutela dei dati, da parte dei soggetto obbligati.
Quindi, non si deve più fare nulla per la privacy?
Null’altro è stato toccato dai decreti sopra menzionati.
Per cui rimangono in vigore tutte le altre misure previste dal Codice Privacy, ma – una volta che la disposizione sull’abrogazione del dps sarà pienamente operativa e, soprattutto, ne sarà stata definita la portata – non dovranno essere riportate in un documento riassuntivo, da aggiornare anno per anno.
A titolo esemplificativo, ma non esaustivo, restano in vigore nei confronti delle persone fisiche l’obbligo di fornire idonea informativa e ottenere, ove occorra, il consenso al trattamento dei dati personali, nonché di nominare formalmente gli Incaricati e, ove occorra, i Responsabili del trattamento dei dati, la formazione del personale, la richiesta dell’attestazione di conformità alla normativa per il trattamento dei dati in outsourcing, la specifica normativa sugli Amministratori di Sistema, le prescrizioni in materia di videosorveglianza, le misure di sicurezza relativi agli strumenti informatici, eccetera
Lo Studio di consulenza centro servizi aziendali di Fausto Ridolfo è a disposizione per chiarimenti e per effettuare il check up di controllo
Per informazioni
Fausto Ridolfo
Via Pirandello,1
98061 Brolo (ME)
cell. 3293222740 - email: centroserviziaziendali@gmail.com
Nessun commento:
Posta un commento