InAzienda

Perché mai dovrei mettermi in regola con le richieste della normativa 196/03?

Questa è la classica domanda che mi sento rivolgere quando parlo di legge privacy e necessità di adeguamento da parte delle aziende.

La risposta è fin troppo semplice: per evitare sanzioni! O forse più semplicemente perché è una legge che è stata introdotta e come tutte le leggi va rispettata.

Qualcuno ha mai pensato di ignorare la scadenza periodica della liquidazione IVA? Credo proprio di no, per il semplice motivo che è un documento richiesto e di conseguenza soggetto a controlli.

Non pensiate che la normativa delle legge 196/03 sia molto diversa, anche qui abbiamo delle scadenze da rispettare, delle norme a cui attenerci e delle possibili sanzioni in caso di controlli. Quello che invece penso sia la vera occasione per le aziende, in fase di adeguamento privacy, è la possibilità di analizzare a fondo la propria attività, intervenendo sul suo impianto col fine di migliorarlo.

E’ vero che la normativa privacy si occupa esclusivamente del trattamento dei dati personali all’interno della propria attività, ma le regole che detta in materia di adeguamento consente di fare emergere quelle caratteristiche da correggere riguardo alla propria organizzazione.

Parliamo comunque della legge 196/03, cioè la normativa che regola le modalità di trattamento dei dati personali di terzi all’interno della propria attività.

Annualmente con scadenza 31 marzo, i possessori di partita iva, sono tenuti a verificare la propria situazione rispetto alle norme imposte  producendo un documento che attesti la tecnica adottata dalla propria azienda in fatto di protezione nel trattamento dei dati personali di terzi.

Il documento da produrre può essere:

1)    il DPSS ovvero il documento programmatico sulla sicurezza (da redigere almeno una volta)

2)    autocertificazione di non modifiche rispetto al precedente DPSS redatto.

 

Ovviamente a monte della produzione del DPSS c’è una fase di analisi e di applicazione degli eventuali correttivi per risultare adeguati ai fini della legge 196/03 (legge privacy).

Il documento programmatico della sicurezza si sviluppa inquadrando la propria società e riepilogando tutte le funzioni organizzative rispetto alla protezione dei dati personali. Verranno quindi dichiarate le figure di:

1)    Titolare del trattamento

2)    Responsabile interno del trattamento

3)    Responsabili esterni del trattamento

4)    Incaricati al trattamento

5)    Amministratori di sistema

6)    Altre figure di responsabilità

 

La seconda fase da affrontare consiste nella catalogazione dei trattamenti effettuati e nella distribuzione dei compiti e delle responsabilità.

La terza fase consiste nell’analizzare i possibili rischi che possano incorrere sui dati (le categorie di rischi sono suggeriti dal garante della privacy) e le misure in essere per contrastare i rischi rilevati.

La quarta fase consiste nella specifica delle modalità di ripristino della disponibilità dei dati e nella pianificazione degli interventi formativi previsti.

Un’ultima fase è quella che riepiloga gli interventi affidati all’esterno (outsourcing) e sui metodi di cifratura dei dati nel caso di trattamento di dati sanitari.

 

La coerenza con le regole riportate nel DPSS non è l’unico obbligo a cui è tenuto il Titolare del trattamento, dovranno infatti essere predisposte le informative per i dipendenti, per i clienti ed i fornitori.

Nei prossimi articoli, approfondiremo i contenuti di queste cinque fasi e come conclusione vi parlerò di come il software PrivacyFast possa essere di supporto a chiunque durante l’adeguamento alla legge privacy.

Articoli correlati:

Autocertificazione o DPS?

Responsabili ed Incaricati

 

.