MOG 231

Privacy, via il DPS, resta l' art.34 e l'All. B
pubblicato il: 24 febbraio 2012 alle ore 01:22
fonte: MOG 231
link: http://www.mog231.it/privacy-via-il-dps-resta-l%e2%80%99-art-34-e-l%e2%80%99all-b/

Il *Decreto Semplificazioni* varato dal CDM il 27 dicembre ha ridotto
gli oneri in materia di *privacy* modificando, come descritto nei
dettagli che seguono, il *DLgs 196/2003 (Codice in materia di
protezione dei dati personali)*.

a) All'articolo 4, comma 1, alla lettera b), le parole "persona
giuridica, ente od associazione" sono soppresse e le parole
"identificati o identificabili" sono sostituite dalle parole
"identificata o identificabile" *(*)*;
b) all'articolo 4, comma 1, alla lettera i), le parole "la persona
giuridica, l'ente o l'associazione" sono soppresse.*(**)*;
c) il comma 3-bis dell'articolo 5 è abrogato.*(***)*;
d) al comma 4, dell'articolo 9, l'ultimo periodo è
soppresso.*(****)*;
e) la lettera h) del comma 1 dell'articolo 43 è soppressa*(*****).*

Prima, rilevante novità è che l'*obbligo dell'osservanza del
Codice della privacy* non spetta più alle imprese, agli enti, alle
associazionia condizione che tali soggetti trattino dati personali
nell'ambito di rapporti intercorrenti tra di loro e che il
trattamento venga effettuato per finalità organizzative, gestionali,
amministrative e contabili realizzate al proprio interno oppure in
relazione agli adempimenti "esterni" (si pensi ai contratti).

Conseguenza di maggior rilievo è il venir meno dell'obbligo da parte
delle aziende dell'elaborazione e dell'aggiornamento del *Documento
programmatico di sicurezza (DPS)*, in quanto, secondo il Consiglio dei
Ministri, il documento, "oltre a non essere previsto tra le misure
di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo
e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento
meramente superfluo". Va ricordato che, entro il 31 marzo di ogni
anno, era fatto obbligo dell'adozione o dell'aggiornamento del DPS
o delle misure semplificate (autocertificazione). I contenuti del
documento erano previsti dal Disciplinare tecnico in materia di misure
minime di sicurezza (All.B).

Caduto l'obbligo dell'elaborazione e tenuta del DPS, le aziende devono
tuttavia osservare le prescrizioni dell'art. 34 del Codice privacy e
dell'All. B. In particolare, si dovrà tenere conto che "il
*trattamento di dati personali effettuato con strumenti elettronici*
è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le seguenti misure
minime:

a) Autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
h)  adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da organismi sanitari."

Gli adempimenti sono posti a carico del *Responsabile della sicurezza
informatica*, sia esso interno oppure esterno all'azienda. A tale
proposito, il punto 25 dell'All. B, recita: " Il titolare che adotta
misure minime di sicurezza avvalendosi di soggetti esterni alla
propria struttura, per provvedere alla esecuzione riceve
dall'installatore una descrizione scritta dell'intervento effettuato
che ne attesta la conformità alle disposizioni del .... disciplinare
tecnico".

Continua anche l'obbligo relativo alla  nomina degli incaricati del
trattamento dei dati (e alla loro formazione) e alle informative.

*** "Art. 4.Definizioni - 1. Ai fini del presente codice si intende
per: b) "dato personale", qualunque informazione relativa a persona
fisica, persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identificazione
personale;

**** i)"interessato", la persona fisica, la persona giuridica, l'ente
o l'associazione cui si riferiscono i dati personali;

***** 3-bis. Il trattamento dei dati personali relativi a persone
giuridiche, imprese, enti o associazioni effettuato nell'ambito di
rapporti intercorrenti esclusivamente tra i medesimi soggetti per le 
finalità amministrativo - contabili ..... Ai fini dell'applicazione
delle disposizioni in materia di protezione dei dati personali, i
trattamenti effettuati per finalità amministrativo - contabili sono
quelli connessi allo svolgimento delle attività di natura
organizzativa, amministrativa, finanziaria e contabile, a prescindere
dalla natura dei dati trattati. In particolare, perseguono tali
finalità le attività organizzative interne, quelle funzionali
all'adempimento di obblighi contrattuali e precontrattuali, alla
gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta
della contabilità e all'applicazione delle norme in materia fiscale,
sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza
sul lavoro), non è soggetto all'applicazione del presente codice.

****** Art. 9. Modalità di esercizio - 4. L'identità
dell'interessato è verificata sulla base di idonei elementi di
valutazione, anche mediante atti o documenti disponibili o esibizione
o allegazione di copia di un documento di riconoscimento. La persona
che agisce per conto dell'interessato esibisce o allega copia della
procura, ovvero della delega sottoscritta in presenza di un incaricato
o sottoscritta e presentata unitamente a copia fotostatica non
autenticata di un documento di riconoscimento dell'interessato. Se
l'interessato è una persona giuridica, un ente o un'associazione, la
richiesta è avanzata dalla persona fisica legittimata in base ai
rispettivi statuti od ordinamenti.

******* Art. 43. Trasferimenti consentiti in Paesi terzi: h) il
trattamento concerne dati riguardanti persone giuridiche, enti o
associazioni.

*Sul decreto semplificazioni leggi anche:* ASL e DTL, competenze
distinte per le lavoratrici madri in astensione anticipata.

*Sulla privacy leggi anche:*
Imprese, enti e associazioni non più soggetti a Codice privacy?
Come va conservata la documentazione sulla sicurezza?
Garante della privacy e videosorveglianza.

vedi l'originale (Privacy, via il DPS, resta l' art.34 e l'All. B) su: http://www.mog231.it/privacy-via-il-dps-resta-l%e2%80%99-art-34-e-l%e2%80%99all-b/