Privacy: aggiornamento annuale del documento programmatico sulla sicurezza e annotazione nella relazione accompagnatoria del bilancio
Tra le misure di sicurezza minime obbligatorie, il Codice della privacy impone l’aggiornamento annuale del documento programmatico sulla sicurezza, da effettuarsi entro il 31 marzo di ogni anno, con annotazione anche dell’avvenuto aggiornamento nella relazione accompagnatoria del bilancio di esercizio. Le norme di semplificazione, introdotte nel 2008, consentono però la sostituzione del documento con un’autocertificazione.
APPROFONDIMENTI
Documento programmatico sulla sicurezza
In base al Codice della privacy (1), il documento programmatico sulla sicurezza deve essere redatto obbligatoriamente in caso di trattamento informatico di dati sensibili (od anche giudiziari), anche eventualmente effettuato su un singolo elaboratore isolato. Il documento, una volta predisposto, non va inviato al Garante o ad altri enti, né deve essere munito di data certa; va periodicamente aggiornato, con cadenza annuale, entro il 31 marzo di ciascun anno.
Annotazione sulla relazione accompagnatoria al bilancio
Viene inoltre previsto (2) che gli amministratori della società, nel redigere la relazione sulla gestione accompagnatoria del bilancio di esercizio, riferiscano dell’avvenuta predisposizione od aggiornamento del documento programmatico sulla sicurezza quando il documento stesso risultasse obbligatorio in relazione ai trattamenti svolti dalla società oppure, pur non essendo obbligatorio, fosse stato da questa ugualmente predisposto.
Sanzioni
La mancata adozione delle misure di sicurezza (e quindi, tra le altre, anche del documento programmatico sulla sicurezza, quando risulti obbligatorio, nonché dell’annotazione sulla relazione accompagnatoria al bilancio) è sottoposta a sanzioni penali (3), con possibilità di conversione della violazione in sanzione pecuniaria amministrativa nel caso di successiva regolarizzazione. Viene però anche prevista un’autonoma sanzione pecuniaria amministrativa (4) (distinta dalla sanzione penale) per la mancata adozione delle misure minime di sicurezza obbligatorie (tra cui vi è, appunto, il documento programmatico sulla sicurezza, ove obbligatorio).
Modulistica ed informazioni
Nella specifica guida in linea, intitolata “La privacy in azienda”, nel capitolo dedicato alla modulistica utile per le imprese, vengono proposti sia diversi esempi di documento programmatico (compreso lo schema suggerito dal Garante della privacy), sia un modello di annotazione da apporre sulla relazione accompagnatoria del bilancio di esercizio.
Semplificazioni
Il Codice della privacy dispone, con norma di semplificazione introdotta nel 2008 (5), che i titolari – con particolare riferimento alle aziende di piccole e medie dimensioni – che trattano con strumenti informatici, quali unici dati sensibili, quelli costituiti dallo stato di saluto o malattia dei propri dipendenti o collaboratori, senza indicazione della relativa diagnosi, oppure dall’adesione dei medesimi ad organizzazioni sindacali o a carattere sindacale, possano, in sostituzione del documento programmatico sulla sicurezza, redigere una dichiarazione sostitutiva di atto di notorietà (6) con la quale attestano che unici dati sensibile sono quelli sopra evidenziati e che tali dati vengono trattati in osservanza delle misure di sicurezza prescritte dal Codice della privacy. L’autocertificazione (7) va conservata in azienda ed esibita all’occorrenza in occasione di eventuali ispezioni.
Per effetto della semplificazione, le aziende originariamente tenute alla redazione del documento programmatico sulla sicurezza possono così scegliere se continuare a redigere e annualmente aggiornare il proprio documento ovvero avvalersi dell’autocertificazione. Con l’avvertenza, però, di verificare con attenzione se il trattamento di dati sensibili da loro compiuto avvenga oltre l’ambito in precedenza indicato (8), oppure se i trattamenti siano eseguiti senza rispettare le misure di sicurezza. In questo senso, considerate le conseguenze penali (9) che potrebbero derivare, avendo reso con l’autocertificazione dichiarazioni non rispondenti al vero, si consiglia alle aziende che nutrano il dubbio di rientrare nella previsione normativa di semplificazione di approntare senz’altro il documento programmatico sulla sicurezza. Tale suggerimento viene esteso anche alle aziende che si sono impegnate negli scorsi anni a redigere ed aggiornare annualmente il documento, apparendo poco opportuno per queste di abbandonare il lavoro svolto, anche in considerazione delle implicazioni che il documento comporta e che vanno oltre il semplice rispetto della disposizione di legge.
Per le piccole e medie imprese che trattano dati solo per finalità amministrative e contabili, ricordiamo che il Garante della privacy ha provveduto (10) ad indicare alcune semplificazioni sui contenuti obbligatori del documento programmatico.
Note
(1) Art. 34 del D.Lgs. n. 196 del 2003 (Codice della privacy) e punto 19 del disciplinare tecnico allegato al Codice della privacy.
(2) Punto 26 del disciplinare tecnico allegato al Codice della privacy.
(3) Art. 169 del Codice della privacy.
(4) Art. 162, comma 2-bis, del Codice della privacy (introdotto dal D.L. n. 207 del 2008).
(5) Art. 34, comma 1-bis, del Codice della privacy (introdotto dall’art. 29 del D.L. n. 112 del 2008).
(6) Ai sensi dell’art. 47 del D.P.R. n. 445 del 2000 (T.U. in materia di documentazione amministrativa).
(7) Alla quale dovrà essere allegata la fotocopia di un documento di identità di colui che rende tale dichiarazione.
(8) Il che potrebbe, ad esempio, verificarsi se l’azienda gestisse in modo informatico i curricula dei candidati dipendenti, anche con riferimento agli eventuali dati sensibili ivi contenuti, o comunque trattasse dati sensibili ulteriori rispetto a quelli previsti dalla norma di semplificazione.
(9) Art. 483 del Codice penale (falso ideologico in atto pubblico) che preveda la pena della reclusione fino a due anni.
(10) Con deliberazione del 27 novembre 2008, in commento nella Notizia n. PD08.1697 del 16/12/2008.