Il Decreto Legge n. 5 del 9 febbraio 2012, ha abrogato l’obbligo per le imprese di redigere il DPS. Accanto a tale semplificazione, tuttavia permangono tutti gli altri obblighi stabiliti dagli articoli del Codice Privacy (D.LGS. 196/2003) non abrogati (il D.L. dovrà essere convertito il legge entro il prossimo 9 aprile). Pertanto:
1. coloro che hanno redatto nel 2011 il proprio DPS possono considerare quel documento come valido (a meno che non vi siano dei dati da variare); il Documento dovrebbe essere sempre rispondente alla realtà aziendale. Quindi, anche se l’obbligo di revisione entro il 31 marzo di ogni anno è stato abolito, si consiglia di verificare periodicamente l’attualità e la rispondenza delle informazioni ivi riportate e di procedere ad una revisione qualora necessario (variazione di sede, addetti, software, antivirus ecc…);
2. le imprese che non hanno mai redatto il DPS, debbono comunque provvedere obbligatoriamente a:
- redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli incaricati su di essi
- istruire gli incaricati sulle procedure di autenticazione informatica e di gestione delle credenziali di autenticazione (allegato B dal punto 1 al punto 11)
- istruire gli incaricati sul sistema di autorizzazione (allegato B dal punto 12 al punto 14)
- individuare i soggetti coinvolti nel trattamento (incaricati, responsabili, amministratori di sistema etc. artt. 29 e 30 del codice e punto 15 dell’allegato B)
- proteggere gli strumenti elettronici ed i dati rispetto a trattamenti illeciti, accessi non consentiti, programmi maligni e conseguente istruzione del personale. (allegato B punti 16 e 17)
- stabilire procedure di ripristino di dati personali in tempi brevi (allegato B punto 18)
- stabilire delle misure minime di sicurezza in caso di trattamento di dati sensibili su supporti rimovibili (allegato B dal punto 21 al 23)
- impartire istruzioni agli incaricati anche per i trattamenti su supporto cartaceo (allegato B punto 27)
- stabilire delle procedure di custodia durante il trattamento (allegato B punto 28)
- stabilire delle procedure per l’accesso identificato e restrittivo agli atti (allegato B punto 29)
- redigere l’apposita documentazione se in presenza di Videosorveglianza.
Si tratta di documenti ed operazioni procedurali di cui era fatta menzione – includendoli – nel ‘vecchio’ DPS.
Inoltre, ai COMMERCIALISTI, il comunicato dell’Agenzia delle Entrate del 3 agosto 2011 impone le ulteriori misure minime di sicurezza per gli intermediari Entratel, pena revoca dell’autorizzazione:
- conservazione separata delle dichiarazioni fiscali;
- conservazione separata di documenti sensibili;
- conservazione idonea della documentazione relativa all’attività di trasmissione e dei supporti del backup;
- la predisposizione di apposite procedure per l’accesso e la gestione degli archivi Entratel;
- determinazione del limite temporale della documentazione fiscale.
Queste le sanzioni per l’anno 2012
Art. 161: Omessa o inidonea informativa all’interessato – Da 6.000 a 36.000 euro
Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento – Da 10.000 a 60.000 euro
Art. 162 c.2-ter: Inosservanza delle prescrizioni del Garante – Da 30.000 a 180.000 euro
Art. 163: Omessa o incompleta notificazione – Da 20.000 a 120.000 euro
Art. 164: Omessa informazione o esibizione al Garante – Da 10.000 a 60.000 euro
Art. 167 c.1: Trattamento di dati personali senza consenso – Reclusione da 6 a 18 mesi
Art. 167 c.1: Obbligo di predisposizione di istruzioni agli incaricati – Reclusione da 6 a 24 mesi
Art. 167 c.2: Obbligo di separazione dei dati sensibili – Reclusione da 24 a 36 mesi
Art. 169: Omissione delle Misure Minime di sicurezza – Arresto fino a due anni.