LexConsult

Loading…
QUESITO N. 375: Documento programmatico sulla sicurezza: responsabilità e obblighi per l’agente immobiliare.- Nell’intermediazione immobiliare, esercitata mediante affiliazione ad una rete in Franchisor, chi sono i soggetti obbligati a custodire
	
Quesito n. 375: Documento programmatico sulla sicurezza: responsabilità e obblighi per l’agente immobiliare.-

Nell’intermediazione immobiliare, esercitata mediante  affiliazione ad una rete in Franchisor,  chi sono i soggetti obbligati a  custodire  e conservare i dati rilasciati dal cliente?

Ovvero chi è il soggetto  responsabile dei dati rilasciati dall'utente-cliente: il franchisor (proprietario o locatario dei server contenenti i dati inseriti telematicamente dai franchisees ) o il franchisee (proprietario/detentore del cartaceo con firma da parte dell'utente) ?

Breve disamina delle disposizioni che regolano il DPS  e  adempimenti necessari da effettuarsi entro il 31 marzo 2011.

Il Trattato di Lisbona ha costituzionalizzato il diritto fondamentale alla protezione dei dati personali, espressamente riconosciuto nella Carta dei diritti fondamentali dell’UE (art. 8), nell’art. 39 TUE e nell’art. 16 TFUE. Sono trascorsi circa quindici anni dall’adozione della prima normativa organica italiana in materia di privacy e data protection (La L. 675/96, successivamente abrogata e sostituita dal cosiddetto Codice della Privacy) e oltre dieci anni dal primo regolamento – il DPR 318/99 (anche questo successivamente abrogato e sostituito da parte del Codice) – che ha specificato le misure minime di sicurezza obbligatorie presidiate, peraltro, anche da sanzioni penali.

In tale contesto, il documento programmatico sulla sicurezza (DPS) è l'unico documento in grado di attestare l'adeguamento della struttura aziendale alla normativa sulla tutela dei dati personali. Deve essere aggiornato entro il 31 marzo di ogni anno (salvo quei soggetti che hanno rispettato le precedenti scadenze, per i quali il requisito di legge è l'aggiornamento annuale). Il DPS è un manuale di pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.).  È  quindi strumento specificativo del generale obbligo di sicurezza posto dal Codice Privacy e insieme alle altre misure di sicurezza che ha lo scopo di ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Ciò avviene mediante la descrizione della situazione attuale (analisi dei rischi,  distribuzione dei compiti, misure approntate, procedure ecc.) ed il percorso di adeguamento intrapreso per adeguarsi alla normativa privacy.

Data la complessità delle misure richieste, appare difficile mettersi a norma in un giorno: il documento programmatico richiede infatti una attenta valutazione della situazione aziendale e dei trattamenti effettuati e il titolare del trattamento deve dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell'avvenuta redazione/aggiornamento del DPS.

È opportuno partire da una breve illustrazione della normativa in materia.

Nel corso del 2008, il legislatore ha apportato significative innovazioni al Codice Privacy, che hanno modificato in maniera rilevante alcuni obblighi in materia di misure minime di sicurezza per determinate categorie di Titolari del trattamento.

In particolare in alcuni casi è stata introdotta, la possibilità di sostituire il Documento Programmatico sulla Sicurezza (DPS) con un documento di autocertificazione, mentre in altri di redigerlo in maniera semplificata rispetto ai requisiti minimi previsti per legge.

Queste novità, descritte purtroppo in maniera non molto chiara dal legislatore, hanno portato ad un radicale mutamento dell’assetto generale del Codice Privacy, con notevoli scompensi interpretativi ed applicativi per i Titolari del trattamento.

É indispensabile allora delineare il nuovo quadro normativo di riferimento al fine di dipanare le controverse questioni interpretative emerse in merito all’obbligatorietà o meno della redazione del Documento Programmatico di Sicurezza quale misura minima di sicurezza.

In tema di misure minime di sicurezza l’art. 33 del D.lg. 196/03 sancisce che: “Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31 […] i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo […] volte ad assicurare un livello minimo di protezione dei dati personali.”

Il che significa che il primo e indefettibile obbligo di ogni Titolare è sempre il rispetto di quanto previsto dall’art. 31 del D.lg. 196/03 ovvero il dovere di custodire e controllare i dati personali trattati “[…] in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita […] di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”

All’interno di questo ampio ed inderogabile obbligo generale, si inseriscono poi ulteriori adempimenti di sicurezza, che sono specificatamente definiti per legge e che sono definiti “minimi” in quanto in assenza del loro rispetto è inibito al Titolare un qualsiasi trattamento di dati personali (“misure minime di sicurezza”).

Le misure minime di sicurezza sono in definitiva delle prescrizioni specifiche - per il trattamento di dati personali con strumenti elettronici (art. 34 del D.lg. 196/03) o senza l’ausilio di strumenti elettronici (art. 35 del D.lg. 196/03) - che devono essere obbligatoriamente adottate dal Titolare secondo particolari modalità tecniche definite per legge (Disciplinare tecnico in materia di misure minime di sicurezza contenuto nell'allegato B).

Tra le misure minime di sicurezza obbligatorie per il trattamento di dati personali con strumenti elettronici è compresa la “tenuta di un aggiornato documento programmatico sulla sicurezza” (art. 34.1.g del D.lg. 196/03).

La redazione di questo documento non è altro che la semplice descrizione e formalizzazione del “Sistema di Gestione  HYPERLINK "http://www.overlex.com/privacy.asp" Privacy Aziendale” ovvero l’illustrazione delle scelte in materia di protezione di dati personali stabilite in azienda.

La redazione del DPS è stata recepita dalle aziende come un “folle e oneroso” obbligo di legge spingendo così il legislatore a modificare il Codice  HYPERLINK "http://www.overlex.com/privacy.asp" Privacy declassando il DPS da documento ufficiale del “Sistema di Gestione  HYPERLINK "http://www.overlex.com/privacy.asp" Privacy Aziendale” a documento tecnico specifico obbligatorio solo in caso di particolari trattamenti di dati personali.

Questa variazione è stata introdotta con l’art. 29 del D.L. 25 giugno 2008, n. 112 coordinato con la Legge di conversione 6 agosto 2008, n. 133 “Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria”, che ha modificato il Codice  HYPERLINK "http://www.overlex.com/privacy.asp" Privacy inserendo nell’articolo 34 il seguente comma 1-bis:

“Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1.”

A seguito dell’introduzione del comma 1-bis all’art. 34 del D.lg. 196/03, è sopraggiunto un ulteriore annoso e amletico problema per i Titolari: “Fare il DPS o Non Fare il DPS”?

Per rispondere a questa inquietante domanda è necessaria un’analisi esaustiva dell’art. 34 comma 1-bis.

In primis tale comma introduce il principio che: “[…] la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione […]” solo per “[…] i soggetti che trattano […] dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale […]”.

Per capire la portata di questa innovazione è, quindi, necessario soffermarsi sulla definizione di dato personale sensibile; ai sensi dell’art. 4.1.d del D.lg. 196/03 sono, infatti, sono considerati dati sensibili tutti quei dati personali “[…] idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

Coordinando la definizione di dato personale sensibile con il nuovo principio introdotto dall’art. 34 comma 1-bis, possiamo, quindi, affermare con certezza che sono sicuramente soggetti alla tenuta di un aggiornato DPS tutti quei Titolari che trattano le seguenti categorie di dati personali sensibili con strumenti elettronici:

Origine razziale ed etnica di clienti, fornitori e dipendenti

Convinzioni religiose, filosofiche o di altro genere di clienti, fornitori e dipendenti

Opinioni politiche, adesione a partiti, associazioni od organizzazioni a carattere religioso, filosofico e politico di clienti, fornitori e dipendenti

Stato di salute di clienti e fornitori

Stato di salute con indicazione della relativa diagnosi di dipend... 

... continua
La versione completa è consultabile sul sito mediante registrazione