Privacy: il documento programmatico sulla sicurezza (DPS) è obbligatorio o facoltativo per le aziende agricole?
In considerazione dei dubbi sollevati da taluni associati direttamente presso il nostro servizio legale, riteniamo opportuno effettuare alcune precisazioni in materia di Documento Programmatico sulla Sicurezza.
Il DPS è il documento che identifica gli aspetti dell’infrastruttura tecnologica aziendale coinvolti nella gestione di dati personali e sensibili, verificandone l’aderenza a quanto disposto dalle più recenti normative. Inoltre, esso definisce e descrive le misure necessarie per una vera “messa in sicurezza” del sistema informativo aziendale. Il DPS rappresenta non solo un adempimento legale ma un vero e proprio strumento di riferimento per l’azienda in materia di trattamento dei dati personali, e in generale di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare
Tale documento è previsto dal Decreto Legislativo 196/2003 che, all’articolo 34 dispone espressamente:
“Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
A tal riguardo si rileva che una circolare del Garante della Privacy del Marzo 2004 indirizzata alla Confindustria, parrebbe imporre l’obbligo di tenuta ed aggiornamento del DPS solo a coloro che trattino, mediante l’ausilio di strumenti elettronici, dati sensibili o giudiziari .
Per quanto di indubbia autorevolezza, tale interpretazione si pone in evidente contrasto con il disposto D.Lgs. 196/2003 secondo il quale il DPS deve essere redatto da tutte quelle realtà che trattino dati giudiziari, sensibili od anche solo personali (come quelli che trattano nella maggior parte dei casi, le aziende agricole). Proprio per tale motivo, non ci sentiamo di condividere l’interpretazione del Garante che seppur di indubbia importanza, non costituisce “interpretazione autentica della legge”, e come tale potrebbe essere tranquillamente disattesa in sede di controllo da parte dalle autorità competenti.
Coloro che fossero comunque interessati ad consultare il parere del Garante della Privacy possono reperirlo sul sito www.garanteprivacy.it , oppure semplicemente inviando una e-mail al nostro servizio legale con oggetto “parere Garante privacy” e lo riceveranno in allegato.
(A.D. 2007)