ISTITUTO PRIVACY: DUE PROPOSTE DI EMENDAMENTO AL DECRETO SEMPLIFICAZIONI

14 Feb ISTITUTO PRIVACY: DUE PROPOSTE DI EMENDAMENTO AL DECRETO SEMPLIFICAZIONI

Roma, 14 febbraio 2012 – Di seguito le proposte di emendamento all’articolo 45 del Decreto Semplificazioni. Si tratta di due modifiche che stabiliscono criteri sostanziali di rispetto della normativa in materia di protezione dei dati personali, e ricalcano quanto contenuto nella Proposta ufficiale di Regolamento UE, presentata dalla Commissione Europea in data 25 gennaio 2012.
Superato l’inutile formalismo del DPS (Documento Programmatico sulla Sicurezza) ciò che deve rilevare è il rispetto sostanziale e non formalistico della normativa, in ossequio al principio della cosiddetta “accountability”.
Si propone dunque di intervenire con due modifiche. La prima, che corregge un evidente errore compiuto nel Decreto Semplificazioni, in quanto cancellando l’intera Regola 19 dell’Allegato B si è eliminato anche l’obbligo di formazione degli incaricati (che non è un formalismo ma anzi è il cuore pulsante del rispetto sostanziale della normativa nelle imprese e negli enti, poiché è certamente impossibile che un incaricato del trattamento possa operare correttamente senza essere istruito ed edotto delle regole e dei rischi che incombono sui dati personali). La seconda modifica, che ricalca l’art. 28 del Regolamento UE, che presto potrà essere legge in tutta Europa, riguarda l’obbligo di conservazione, senza formalismi né scadenze, della documentazione utile a provare di avere adottato le misure di sicurezza richieste dal Codice privacy.

L’Istituto Italiano per la Privacy chiede dunque agli Onorevoli Deputati dell’Intergruppo sulla Privacy che il testo del Decreto Semplificazioni sia modificato, in fase di conversione, con l’aggiunta di queste lettere d) ed e) all’articolo 45:

Art. 45 – (Semplificazioni in materia di dati personali)

1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a ) dopo l’articolo 17 è inserito il seguente:

«17-bis. Fatto salvo quanto previsto dagli articoli 21 e 27, il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.».

b) all’articolo 34 sono soppressi la lettera g) del comma 1 e il comma 1-bis;

c) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.

d) all’articolo 30 è aggiunto il comma 2-bis:

«2-bis. Sono previsti interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.»

e) al termine dell’articolo 33 è aggiunto il seguente paragrafo:

«Ogni titolare e responsabile del trattamento e, se presente, il rappresentante stabilito nel territorio dello Stato, devono conservare la documentazione aggiornata descrittiva di tutte le operazioni di trattamento di dati sensibili e devono metterla a disposizione, se richiesti, dell’autorità Garante. Tale documentazione deve contenere come minimo le seguenti informazioni:
a) il nome e i dettagli di contatto del titolare o di ogni titolare congiunto, di ogni responsabile e, se presente, del rappresentante stabilito;
b) gli scopi del trattamento, inclusi gli eventuali legittimi interessi perseguiti dal titolare;
c) una descrizione delle categorie di interessati e delle categorie di dati personali a loro riferiti;
d) l’elenco dei soggetti a cui i dati possono essere comunicati;
e) l’elenco dei trasferimenti di dati personali all’estero, inclusi i dettagli dei Paesi di destinazione e i documenti che legittimano tale trasferimento;
f) l’elenco delle banche dati e l’indicazione generale del tempo massimo di conservazione delle diverse tipologie di dati, termine dopo il quale essi verranno cancellati;
g) la descrizione delle misure minime adottate tra quelle individuate nel presente capo.»