Il Codice della privacy, D.Lgs 196/03, entrato in vigore il 1° gennaio 2004 riunisce in un unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni inerenti il trattamento, inteso in senso generico come raccolta, organizzazione e gestione di dati personali. Prevede, altresi, anche importanti innovazioni tenendo conto della “giurisprudenza” del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Il Documento Programmatico sulla Sicurezza e una misura minima prevista dall’art. 34 del D. Lgs. 196/03 per il trattamento di dati personali effettuato con strumenti elettronici. Per le sue caratteristiche, il D.P.S. puo essere adottato dal Titolare del trattamento come misura di sicurezza idonea, avendo lo scopo di descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilita ecc.) ed il percorso di adeguamento prescelto dall’azienda per adeguarsi alla normativa privacy.

Si tratta di un'analisi strutturata dei dati personali trattati in Azienda, dell'organizzazione della sicurezza dei dati e delle misure in essere e da pianificare per mettere e mantenere in sicurezza i dati. Da questo documento derivano tutte le altre azioni richieste dal D.lgs.196/2003: misure minime, informative e formative, lettere d'incarico al personale preposto.

Come stabilito dal Disciplinare Tecnico in materia di misure minime di sicurezza di cui all’ALLEGATO B il Documento Programmatico sulla Sicurezza contiene idonee informazioni riguardo:

• l’elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilita nell’ambito delle strutture preposte al trattamento dei dati;
• l’analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l’integrita e la disponibilita dei dati, nonche la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita;
• la descrizione dei criteri e delle modalita per il ripristino della disponibilita dei dati in seguito a distruzione o danneggiamento ;
• la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu rilevanti in rapporto alle relative attivita, delle responsabilita che ne derivano e delle modalita per aggiornarsi sulle misure minime adottate dal titolare. La formazione e programmata gia al momento dell’ingresso in servizio, nonche in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita al codice, all’esterno della struttura del titolare;
• per i dati sensibili idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

IL SISTEMA SANZIONATORIO: Sanzioni amministrative

CONSEGUENZE PER L’INADEMPIMENTO DELLE DISPOSIZIONI A TUTELA DEI DATI PERSONALI

• Risarcimento del danno

OMESSA O INCOMPLETA NOTIFICAZIONE:

• da 10.000 a 60.000 euro

INOSSERVANZA DELLE RICHIESTE DEL GARANTE E OMISSIONI NELLE INFORMAZIONI:

• da 4.000 a 24.000 euro

OMESSA O NON CORRETTA INFORMATIVA ALL’INTERESSATO:

• Dati comuni - da 3.000 a 18.000 euro (sanzione triplicabile)

• Dati sensibili o giudiziari - da 5.000 a 30.000 euro (sanzione triplicabile)

CESSIONE DEI DATI IN VIOLAZIONE DELL’ART. 16 O VIOLAZIONE DI ALTRE DISPOSIZIONI IN MATERIA DI TRATTAMENTO DI DATI PERSONALI:

• da 5.000 a 30.000 euro

IL SISTEMA SANZIONATORIO: Sanzioni penali

TRATTAMENTO ILLECITO DI DATI PERSONALI:

• Reclusione fino a tre anni

OMESSA ADOZIONE DI MISURE NECESSARIE ALLA SICUREZZA DEI DATI:

• Arresto fino a due anni e ammenda da 10.000 a 50.000 euro

INOSSERVANZA DEI PROVVEDIMENTI DEL GARANTE:

• Reclusione da tre mesi a due anni

FALSITA' NELLE DICHIARAZIONI E NOTIFICAZIONI AL GARANTE:

• Reclusione da sei mesi a tre anni