Ancora nessun commento

La Privacy per le A.P.S.

PREMESSA

Le novità che erano state introdotte dal D.L. 70 del 2011, sono state superate:

  • dal D.L. 201 del 2011, che ha eliminato ogni riferimento alle informazioni riferibili a persone giuridiche, enti o associazioni, che non sono più considerati dati personali ai fini della privacy.
  • dal D.L. 5/2012, che ha eliminato l’obbligo di redigere il DPS (Documento Programmatico sulla Sicurezza).

Il D.L. 13 maggio 2011, n. 70 aveva escluso le persone giuridiche (enti e associazioni) dalla tutela della Privacy nell’ambito di rapporti di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dai dati trattati. Appena dopo sei mesi il D.L. 6 dicembre 2011, n. 201 ha escluso la rilevanza del trattamento dei dati delle persone giuridiche non solo nel settore amministrativo – contabile, ma in ogni ambito di relazioni giuridiche. Con l’articolo 40 del Decreto Legge citato, il legislatore ha eliminato ogni riferimento a “persona giuridica, ente o associazione”, con il risultato che attualmente “dati personali” ai fini dell’applicazione della normativa sulla privacy sono le informazioni che si riferiscono alle persone fisiche e solo ad esse e, come conseguenza, solo le persone fisiche sono soggetti titolari del diritto alla protezione dei dati personali che li riguardano e delle altre facoltà previste dal codice. Per le persone giuridiche, il concetto di riservatezza ha significato solo metaforico, risolvendosi, in realtà, nella tutela dei diritti delle persone fisiche che della persona giuridica costituiscono il substrato sociale e organizzativo. Ci son volute decine di anni per ammettere di aver costruito una mostruosa macchina di carte costose e inutili. Pertanto, non esiste tutela della privacy per Circoli NOI e per le Associazioni di livello superiore: Territoriali, Regionali e Nazionale.

Anche per il D.P.S. (Documento Programmatico sulla Sicurezza) che il D.L. 70/2011 concedeva di sostituire con una autocertificazione è stato abrogato dal D.L. 5/2012, art. 34, comma 1.

Al di là delle modificazioni introdotte con i Decreti Legge 201/2011 e 5/2012, il quadro complessivo degli adempimenti che gravano sui titolari dei trattamenti elettronici o cartacei per attuare le misure minime di sicurezza è rimasto tale e quale.

In particolare, nel settore dei trattamenti informatici l’articolo 34 del codice continua a imporre ai titolari:
a) l’autenticazione informatica (attribuzione di password);
b) la gestione delle credenziali di autenticazione (modifica periodica delle password);
c) l’utilizzo di un sistema di autorizzazione (lettere di incarico);
d) formazione e aggiornamento periodico degli addetti al trattamento dei dati e alla manutenzione degli strumenti elettronici;
e) impedimento a trattamenti illeciti di dati e accessi non consentiti;
f) custodia delle copie di sicurezza, il ripristino dei dati e dei sistemi.
Inalterate sono anche le misure minime nel campo dei trattamenti cartacei:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per una idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata alla identificazione degli incaricati.
Benché per il trattamento dei dati personali il codice faccia riferimento a titolari, responsabili, incaricati, delegati, indistintamente ora tutti sono tenuti a studiare nuove forme di attuazione di misure minime di sicurezza che siano adeguate alle proprie esigenze, come:
a) controllare periodicamente lo stato di attuazione delle misure minime di sicurezza;
b) accertarsi che il personale sia in grado di attivare le procedure e attuare le misure minime;
c) analizzare e ridurre i rischi di perdita accidentale dei dati, di accesso doloso di terzi o di danno causato a terzi da errori nel corso delle procedure di trattamento;
d) pianificare la formazione del personale.

Il DPS è stato abrogato, su questo non c’è dubbio, ma la responsabilità della sicurezza dei dati personali trattati è sempre quella imposta dal codice della privacy. Gli enti non profit dovranno preoccuparsi di verificare periodicamente i propri obblighi in merito alla sicurezza dei dati personali trattati e della criticità nella sicurezza degli stessi, e conservarne traccia scritta in un documento operativo di autovalutazione, redatto in forma semplice, schematica e di facile utilizzo; rinnovato con verifica e aggiornamento, di anno in anno, o quanto meno a ogni inizio mandato.

La traccia della verifica periodica potrebbe ridursi alla annotazione in un verbale del Consiglio direttivo così formulata:

“La presidenza, in data GG/MM/AAAA, ha verificato gli obblighi in merito alla sicurezza dei dati personali dei tesserati trattati dal segretario sig. NOME e COGNOME e dall’incaricato al tesseramento sig. NOME E COGNOME e li ritiene adeguati a garantirne l’integrità e la custodia.”

Le lettere d’incarico devono rispecchiare la situazione di verifica annotata nel Verbale del Consiglio direttivo, o meglio, la verifica annotata deve essere riferita alle lettere d’incarico.

scarica le lettere d’incarico in formato word

Lettera incarico | responsabile trattamento dati personali

lettera incarico | incaricato trattamento dei dati personali

 

Invia un commento