• S
    User Attivo

    @AleB said:

    Tutti coloro che trattano in qualche modo dati sensibili devono redarlo. E intendo TUTTI. Dire che che chi tratta solo dati personali (sensibili per definizione) non lo deve fare è assolutamente sbagliato, così come sostituire il DPS con l'autocertificazione (che di fatto è inutile).
    Gli unici che possono esimersi dal compilarlo sono coloro che utilizzano per la loro attività dei semplici dati fiscali di fatturazione.

    Scusa però qui stiamo ancora fermi su un concetto, almeno lo sono io, quello dei dati sensibili.

    Preso direttamente dal sito del garante.

    "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

    Indirizzo email e indirizzo IP, ottenuto dalle statistiche del sito, non mi sembrano dati PERSONALI SENSIBILI o per lo meno io non li vedo rientrare in una delle voci riportate sul sito web del garante.

    Quindi non trattando questi dati non si è costretti a redirigere il DPS. Giusto ?

    Grazie

    0
  • A
    User

    Il garante stesso ha fatto un pò di confusione nel dare le definizioni. Confusione mai chiarita perchè però tutto sommato non ce n'è bisogno in chiave di una maggiore tutela. Mi spiego:
    L'obbligo delle misure minime (tra cui ma non solo il DPS) scatta se si effettua il trattamento di dati personali la cui definizione è "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;" art. 4 D.Lgs 196/03.
    In pratica si redige DPS quando si effettua un qualsiasi trattamento di dati idonei ad identificare un soggetto, non solo quando questi dati sono "sensibili". E questa definizione è volutamente estensiva. Significa maggiore tutela nelle intenzioni del legislatore verso i titolari dei dati e maggiore tutela nei tuoi confronti riguardo alla ipotetica sanzione.
    E con questo ho risposto ad alcune delle tue domande.
    Per il resto: se al momento della visita c'è un DPS aggiornato, seppur in ritardo, la multa non ci dovrebbe essere. Il condizionale è d'obbligo dal momento che si parla comunque di una irregolarità accertata e sanzionabile fino a 180 mila euro (eh si, leggi l'art 161 e ss.) ma che sarebbe del tutto fuori luogo visto che non porterebbe a niente se non ad una mera punizione e alla ovvia considerazione che farlo in ritardo o non farlo per niente sarebbe la stessa cosa.
    Se non c'è proprio invece le cose sono ben peggiori, così come se mancano le informative e/o le eventuali nomine (tutte misure minime di sicurezza).

    Per esperienza personale concludo che molte volte se c'è un controllo te lo chiedono a prescindere e poi sta a te spiegare perchè non ce l'hai.

    0
  • ?

    Mi permetto di dissentire sulla "data certa"
    La storia è annosa e riguarda esclusivamente la proroga concessa agli albori ...

    VI - "ATTO A DATA CERTA" E "DPS" A CONFRONTO

    La possibilità di avvalersi di questa ulteriore proroga, per l'implementazione delle misure minime, ha creato però notevoli problemi interpretativi da parte dei titolari, sia relativamente ai termini da rispettare che ai documenti da rediger. L'errore più comunemente riscontrato finora, infatti, è quello di confondere il DPS con l'"atto a data certa".

    Come specificato dal Garante in un parere del 5 dicembre 2000: "il documento previsto dalla legge n. 325/2000 va distinto dal documento programmatico sulla sicurezza disciplinato dall'art 6 del d P.R. n. 318/1999".

    La redazione del DPS è un obbligo legislativo, la cui violazione costituisce reato, punibile con l'arresto sino a de anni o l'ammenda da 10 mila euro a 50 mila euro, come previsto dall'articolo 169 del Codice Privacy.

    La redazione dell'atto a data certa, invece, è facoltativo e non è direttamente rilevante ai fini della responsabilità civile per danno derivante da mancata o inidonea adozione di misure di sicurezza, essendo utile, solo ai titolari del trattamento che intendano beneficiare di un differimento del termine per adottare le misure minime di sicurezza.

    Dal punto di vista normativo i due documenti sono differenti ed hanno origine da finti normative diverse:

    • "L'atto a data certa" è previsto dall'articolo 1 della Legge 3 novembre 200, n. 325 e dall'articolo 180 comma 2 e 3 del Decreto Legislativo 30 giugno 2003, n. 196.

    • Il DPS è previsto dall'articolo 6 del Decreto del Presidente della Repubblica 28 luglio 1999, n. 318; dall'articolo 34, comma 1 punto g) del Decreto Legislativo 30 giugno 2003, n. 196; dalla regola 19 dell'Allegato B) - Decreto Legislativo 30 giugno 2003, n. 196.

    I due documenti hanno inoltre, anche finalità e modalità di redazione completamente differenti:

    • Il DPS serve per definire le misure minime che il titolare intende adottare per il trattamento dei dati personali con strumenti elettronici. Esso va aggiornato entro il 31 Marzo di ogni anno.

    • "L'Atto a data certa" serve invece, per avere ulteriori tre mesi di tempo per implementare quanto previsto dal DPS o stabilito in sede di definizione delle misure minime da adottare. esso va redatto una sola volta ed esclusivamente secondo i termini e le modalità previste dall'articolo 180 del Codice Privacy.

    Quanto ai dati che rendono necessario il DPS faccio notare che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante (e non certo solo gli idraulici).
    Occorre anche considerare che tali dati non sono poi "personali" in senso stretto e possono essere comunicati a terze parti senza formalità, vedasi per esempio l'anticipo fatture, l'emissione di RiBa o la cessione di crediti che avviene senza consenso del cliente che NON HA IL DIRITTO PER LEGGE di opporsi a tali comunicazioni che quindi NON TRATTANO DATI PERSONALI.
    Vedasi a questo riguardo gli archivi tipo CRIF o ESPERIAN e consideriamo il fatto che i propri dati che li finiscono possono essere divulgati a cani e porcelli privati senza che gli interessati possano opporsi.

    Ecco il riferimento normativo:
    Col Provvedimento di semplificazione del 27/11/2008, il Garante ha dispensato una buona fetta di Titolari del trattamento dall’obbligo di redazione del DPS.
    Più precisamente, possono redigere un’autocertificazione in luogo del DPS le amministrazioni pubbliche e le società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano, come unici dati sensibili dei dipendenti e collaboratori anche a progetto, quelli relativi allo stato di salute senza indicazione della relativa diagnosi o all’adesione a organizzazioni sindacali

    Passando poi alle sanzioni per l'eventuale ritardo nell'aggiornamento ed escludendo quindi la "data certa" non vedo come sarebbe possibile all'eventuale ispettore rilevare che un documento "targato" ufficialmente 31/3/xxxx sia stato invece redatto in data successiva ..... cerchiamo di non fare terrorismo psicologico.

    Sul fatto poi di compilarlo ed implementarlo "a prescindere" non ho nulla da eccepire .... male non fa ...... può anzi essere utile per individuare manchevolezze o vulnerabilità del proprio sistema informatico.

    0
  • S
    User Attivo

    Ok per una maggiore tutela. Tu intendi meglio fare il DPS che l'autocertificazione, oltre a tutto il resto, in quanto siamo certi di essere al sicuro. L'obbligo delle misure minime di sicurezza penso che le debbano adottare chiunque, anche chi fa della semplice fatturazione.

    Ora il Garante riporta questo

    2.1 Anche la redazione del DPS è una "misura minima", prevista dall?Allegato B.

    Quindi con questo non si intende che chi debba adottare delle misure minime è obbligato a redarre il DPS, ma semplicemente che il DPS è una misura minima.
    Daltronde sul sito del Garante è riportato quanto segue:

    2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l?organo, ufficio o persona fisica a ciò legittimata in base all?ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell?Allegato B)).

    Non è per fare polemiche, senza ombra di dubbio ne sapete più di me e sapete interpretare meglio le leggi.

    Ma al 2.2 viene spiegato che deve essere adottato da chi tratta dati sensibili o giudiziari. Quindi se il garante definisce dati sensibili i dati personali idonei a rivelare l'origine razziale.... ecc ecc

    perchè se io non tratto questi dati sono soggetto a sanzioni perchè ho prodotto un'autocertificazione?

    Scusate forse sono più gnocco di quanto so già d'esserlo, ma su questa pagina del garanteprivacy.it/garante/doc.jsp?ID=771307 è scritto quanto vi riporto.

    Per la data certa, da quanto ho letto, c'è stata un'errata interpretazione dei testi legislativi. Ora a mio avviso per essere certi è meglio apporre la data certa, ma sai è un appliglio per chi ......

    Per la data certa meglio andare in posta a farsi timbrare tutte le pagine del documento...

    @AleB said:

    Il garante stesso ha fatto un pò di confusione nel dare le definizioni. Confusione mai chiarita perchè però tutto sommato non ce n'è bisogno in chiave di una maggiore tutela. Mi spiego:
    L'obbligo delle misure minime (tra cui ma non solo il DPS) scatta se si effettua il trattamento di dati personali la cui definizione è "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;" art. 4 D.Lgs 196/03.
    In pratica si redige DPS quando si effettua un qualsiasi trattamento di dati idonei ad identificare un soggetto, non solo quando questi dati sono "sensibili". E questa definizione è volutamente estensiva. Significa maggiore tutela nelle intenzioni del legislatore verso i titolari dei dati e maggiore tutela nei tuoi confronti riguardo alla ipotetica sanzione.
    E con questo ho risposto ad alcune delle tue domande.
    Per il resto: se al momento della visita c'è un DPS aggiornato, seppur in ritardo, la multa non ci dovrebbe essere. Il condizionale è d'obbligo dal momento che si parla comunque di una irregolarità accertata e sanzionabile fino a 180 mila euro (eh si, leggi l'art 161 e ss.) ma che sarebbe del tutto fuori luogo visto che non porterebbe a niente se non ad una mera punizione e alla ovvia considerazione che farlo in ritardo o non farlo per niente sarebbe la stessa cosa.
    Se non c'è proprio invece le cose sono ben peggiori, così come se mancano le informative e/o le eventuali nomine (tutte misure minime di sicurezza).

    Per esperienza personale concludo che molte volte se c'è un controllo te lo chiedono a prescindere e poi sta a te spiegare perchè non ce l'hai.

    0
  • A
    User

    E' questa la confusione di cui parlavo.

    1. Nel Disciplinare tecnico in materia di misure minime di sicurezza si dice all'art.19 "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza". E' vero che manca la parola "certa" ma il senso è chiaro e daltronde la Data Certa è l'unico strumento per poter opporre la data del documento all'organo di controllo. Come pensi di poter dimostrare che il tuo DPS sia stato fatto in tempo? L'ispettore ha tutto il diritto di chiederti di provare di averlo fatto nei termini stabiliti.
      La citazione di criceto riguarda il periodo transitorio e fa riferimento ad una polemica nata all'indomani dell'entrata in vigore del 196/03. Oggi questo punto è stato ampiamente discusso e superato.
      Si tratta di elementare osservanza delle leggi e, in caso di vuoto legislativo, delle prassi consolidate.
    2. Devo correggere anche quando si fa il paragone tra DPS e Atto a data certa. La data certa è un mezzo per poter stabilire con certezza l'osservanza di un termine e poter poi opporre ciò in sede legale. Il DPS è un atto, nel caso fosse prevista espressamente (effettivamente così non è) sarebbe un Atto a Data Certa. Ci sono atti a data certa e atti che non la prevedono ma è opinione consolidata in ambito amministrativo e legale apporre la data certa anche a tutti quegli atti che prevedono generica data, intendendo implicita la richiesta del legislatore. E' come paragonare una macchina e una ruota: la macchina senza la ruota non cammina. Si spostano emtrambi ma non sono entrambi mezzi di trasporto, per cui se ti vuoi spostare prendi la macchina.
      Senza polemica e senza voglia alcuna di insultare ma quanto scritto prima è frutto di semplice ignoranza, intesa come mancanza di conoscenza della materia.
    3. Sono stato tacciato di terrorismo psicologico. Non alimento la polemica inutile e chiedo solo cosa da la certezza "che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante". Questa interpretazione è frutto di una superficiale interpretazione. Torno a fare esempi per chiarire. Come tratti i dati ex. Legge 104/92? Oppure come consideri i congedi parentali? In entrambi i casi la ditta sa esattamente il motivo per cui il dipendente è assente quindi usciamo dall'ambito dell'autocertificazione. E ancora: se ci sono provvedimenti esecutivi coatti sulla busta paga? (cosa molto comune di questi tempi purtroppo)
      Inoltre, ammesso e non concesso di ricadere in una fattispecie assolutamente e senza alcun dubbio entro i limiti previsti dalla autocertificazione, nel momento in cui la situazione cambia sei comunque obbligato a redegire il DPS. Quindi che convenienza hai avuto a farla? In ogni caso l'opportunità è valutabile solo dal cliente e dal suo consulente.
    4. Finisco dicendo che il miglior modo per apporre la data certa è la PEC. Rapido veloce e avente forza di legge. Alle poste oltre a perdere molto tempo si rischia l'ira funesta di chi sta allo sportello (ma è comunque un metodo valido)

    Chiedo ancora scusa se ho offeso qualcuno. Non voglio alimentare polemiche ma solo essere estremamente chiaro sui punti che difendo.

    edit: cito sempre criceto:"Quanto ai dati che rendono necessario il DPS faccio notare che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante (e non certo solo gli idraulici).
    Occorre anche considerare che tali dati non sono poi "personali" in senso stretto e possono essere comunicati a terze parti senza formalità, vedasi per esempio l'anticipo fatture, l'emissione di RiBa o la cessione di crediti che avviene senza consenso del cliente che NON HA IL DIRITTO PER LEGGE di opporsi a tali comunicazioni che quindi NON TRATTANO DATI PERSONALI.
    Vedasi a questo riguardo gli archivi tipo CRIF o ESPERIAN e consideriamo il fatto che i propri dati che li finiscono possono essere divulgati a cani e porcelli privati senza che gli interessati possano opporsi."
    Quanto riportato è un esempio di legge interpretata da chi la legge non la conosce: non esistono in nessun testo di legge i dati personali ma non in senso stretto. O sono personali o non lo sono. E il fatto che vengano comunicati non legittima niente e nessuno a continuare a farlo. Domani o tra dieci anni potrebbe esserci un chiarimento o una nuova legge che lo avalla o lo vieta. Per il momento si fa e basta. Il vuoto legislativo, una legge non sanzionata o la semplice abitudine (si fa così da sempre) non li qualificano assolutamente a posteriori (assurdo!) come DATI NON PERSONALI. Inoltre le fattispecie da considerare sono tante e il D.Lgs. 196/03 non riesce a coprirle tutte. E' fisiologico della legge in generale non poter cristallizzare tutto alla data di emissione. Vedasi i successivi aggiustamenti come quello appunto dell'autocertificazione.
    E non sta scritto neanche da nessuna parte che nei rapporti tra privati sei obbligato a comunicare i tuoi dati se questi riguardano esclusivamente la fatturazione (lo avevo letto precedentemente). Semplicemente può essere impossibile erogare il servizio in oggetto del contratto se mancano tali dati, nel qual caso il rapporto non si costituisce per mancanza del requisito della volontà oppure si scioglie se precostituito. E si può richedere la cancellazione dei propri dati nei limiti degli obblighi di legge superiori (per esempio conservare registri/fatture o quant'altro per il tempo stabilito ai fini fiscali) da quel momento in poi.

    0
  • S
    User Attivo

    io non sono ne un commercialista e ne avvocato, sono solo un poveretto che cerca di capire, quindi ringrazio chi ne sa più di me ed è qui per fare chiarezza.

    AlexB
    Nel punto 1) hai riportato l'articolo 19, quindi sappiamo che il 13 marzo c'è la scadenza per redarre o aggiornare il DPS. La ragione mi dice che per dare certezza della produzione di tale documento, a chi mi controllerà, devo applicare una data certa al documento.
    Pensandoci bene è giusto porre una data certa per confermare che il documento sia stato redatto/aggiornato entro la data di scadenza fissata al 31 marzo.

    Però da perfetto ignorante in materia di leggi, mi chiedo, dato che è un obbligo perchè non viene specificato.
    Dato che non è specificato di apporre una data certa, non potrebbe essere un appliglio in caso di un eventuale controllo?
    Io potrei pensare che sono tutelato a non avere il DPS o non averlo aggiornato al 31 marzo, ma che però sono obbligato ad averlo il giorno 1 aprile in caso di controllo.

    Avrei una domanda da farti. Nel caso si è nelle condizioni di poter redarre l'autocertificazione, bisognerebbe apporre anche su questa la data certa ?

    Io comunque condivido il pensiero di AlexB, meglio avere qualcosa in più che trovarsi nella situazione di dover fare fronte ad un controllo e vedersi notificare una sansazione per mancanza di un banale documento.
    Ma è anche verò però che nessuno può darci certezza di essere sempre in piena regola.

    ciao e grazie

    0
  • A
    User

    L'autocertificazione sostituisce la redazione del DPS per cui ne consegue che i tempi sono gli stessi (31 Marzo) e ne va prodotta una nuova ogni anno. Chi non ha l'uno o l'altra è in ritardo. Avere un documento in ritardo però non è neanche paragonabile a non averlo affatto quindi consiglio ai ritardatari di sbrigarsi.
    In ogni caso resta ferma l'adozione delle altre misure minime oltre che una analisi dettagliata del proprio sistema aziendale e dei trattamenti effettuati per poter far fronte alle inevitabili e più che legittime domande dell'Organo di Controllo.
    L'appiglio purtroppo non serve in sede di controllo, semmai in sede di contestazione dove è preferibile non arrivare mai. Non è compito dell'ispettore discutere di leggi fatte più o meno bene.

    0
  • S
    User Attivo

    Immagino 🙂
    Grazie molto gentile per l'interessamento.

    0
  • ?

    Attenzione a non perdere di vista il particolare "insignificante" che i documenti in questione non avendo data certa (come anche le stampe dei bollati fiscali) possono essere predisposti in un qualsiasi momento PRIMA dell'ispezione, anche nell'intervallo tra la suonata alla porta e l'arrivo all'ufficio amministrativo.

    Attenzione anche al fatto che tale "aggiornamento" consiste di fatto (se non sono intervenute modificazioni) all'apposizione della dicitura

    31/3/2011 - aggiornamento annuale

    nella pagina degli aggiornamenti.

    Dato poi che non è prescritto di tenere traccia del regresso si deduce che l'apposizione di una scritta di questo tipo:

    11/4/2011 - effettuato aggiornamento infraannuale

    non configura compilazione in ritardo dato che si tratterebbe di un NUOVO aggiornamento fatto in corso di anno DOPO quello del 31/3/2011 di cui NON E' PRESCRITTO DI TENERE TRACCIA e sarebbe inoltre fatto per eccesso di zelo PRIMA di quello dell'anno successivo.

    0
  • S
    User Attivo

    Eccola buona scappatoia !!

    @criceto said:

    0
  • A
    User

    @criceto said:

    Attenzione a non perdere di vista il particolare "insignificante" che i documenti in questione non avendo data certa (come anche le stampe dei bollati fiscali) possono essere predisposti in un qualsiasi momento PRIMA dell'ispezione, anche nell'intervallo tra la suonata alla porta e l'arrivo all'ufficio amministrativo.

    Attenzione anche al fatto che tale "aggiornamento" consiste di fatto (se non sono intervenute modificazioni) all'apposizione della dicitura

    31/3/2011 - aggiornamento annuale

    nella pagina degli aggiornamenti.

    Mi sa che non hai letto o capito quello che ho scritto prima.
    Il particolare "insignificante" te lo stai inventando di sana pianta. La data certa è obbligatoria per dimostrare che il DPS rispetta i termini. Pensavo di essere stato chiaro.
    Ti vuoi impuntare sul fatto che manca la parola "certa" nel dettato del 196?
    Fai pure ma intanto l'ispettore ti fa il verbale e ha pienamente ragione perchè per quello che ne sa lui hai redatto il DPS mentre saliva le scale.
    E inoltre dato che cerchi spudoratamente e maldestramente di farlo fesso magari si incavola pure e ti appioppa la dichiarazione di falso che ha delle conseguenze penali (!)
    Inoltre non esiste dal punto di vista legislativo un aggiornamento del precedente DPS. Esiste solo un nuovo DPS ogni anno che SOSTITUISCE integralmente il precedente (o autocertificazione se scegli a tuo rischio e pericolo di farla). Nulla vieta poi che sia identico ogni anno che passa se la situazione aziendale non muta.

    @criceto said:

    Dato poi che non è prescritto di tenere traccia del regresso si deduce che l'apposizione di una scritta di questo tipo:

    11/4/2011 - effettuato aggiornamento infraannuale

    non configura compilazione in ritardo dato che si tratterebbe di un NUOVO aggiornamento fatto in corso di anno DOPO quello del 31/3/2011 di cui NON E' PRESCRITTO DI TENERE TRACCIA e sarebbe inoltre fatto per eccesso di zelo PRIMA di quello dell'anno successivo.

    Qui invece siamo nella fantascienza più pura.
    E' vero che non è scritto di tener traccia del Pregresso ma se a uno dici che un documento è uguale o aggiorna quello precedente ti chiederà di tirarlo fuori. E non serve scomodare un minimo di fondamenti di diritto per arrivarci ma solo la semplice logica. Inoltre tu durante l'anno puoi fare tutti gli aggiornamenti che vuoi (termine e concetto relativo sbagliati come precedentemente spiegato. Al massimo fai degli allegati) se mutano le condizioni relative ai trattamenti dei dati (anzi saresti OBBLIGATO a farli) ma nessuno configura di per se il DPS dell'anno dopo. Ma che scherziamo?

    Un consiglio serio: non cercate di fregare gli ispettori. Per prima cosa al mondo le persone non sono tutte stupide e poi, guarda un pò, sono estremamente preparati. Sicuramente più di voi che ricevete l'ispezione. Se chiedono qualcosa hanno (quasi) sempre ragione. E anche se si sbagliano vi fanno il verbale e a voi resta solo di portarlo in giudizio (il verbale. NON l'ispettore). La multa la pagate subito, gli avvocati li pagate subito, spesso pagate le spese processuali e SE vincete riprendete dopo ANNI i soli soldi della multa. Vi conviene?

    0
  • S
    User Attivo

    Scusa la mia ignoranza in merito.
    Quindi posso chiedermi il DPS dell'anno precedente ?
    Se si chiudo baracca e burattini non avendo mai fatto.

    0
  • ?

    Probabilmente sbaglio ed in tal caso faccio ammenda in anticipo, si potrebbe avere l'esatto riferimento normativo a riguardo della data certa? O un chiarimento del Garante?Nel caso dei miei clienti abbiamo sempre considerato sufficiente la nostra fattura datata febbraio o marzo per il servizio di aggiornamento/stesura.
    Per quanto riguarda la stesura COMPLETAMENTE nuova ogni anno ..... non ho trovato nulla che preveda di rompere le sfere a collaboratori e dipendenti OGNI anno con nomine e firme varie (parte integrante del DPS), a me risulta che le nomine e relative accettazioni di incarichi interne ed esterne siano valide fino a revoca o dimissioni, quello che è "certo" è che se i miei clienti chiedessero ogni anno a fornitori, collaboratori e dipendenti di rinnovare le varie autorizzazioni sarebbero benignamente mandati a spannocchiare meliga o stendere panni dai soggetti in questione. Il nostro DPS consiste in poche pagine generiche sempre eguali per tutti più una caterva di allegati e di riferimenti a documentazione aziendale ovviamente diversi nel contenuto per ciascuna realtà aziendale e tali documenti evolvono nel tempo indipendentemente dal DPS stesso che si limita a prenderne atto annualmente o anche più spesso se lo si ritiene opportuno.
    Notare che il legislatore ha implicitamente escluso la data certa inserendo l'obbligo di citare l'aggiornamento nella relazione integrativa da allegare al bilancio nel caso di società di capitali.
    Non intendo in ogni caso litigare su una sciocchezza del genere, per cui smetto di intervenire sull'argomento della "data certa" e "rifacimento annuale totale" la soluzione per chi ha dei dubbi in merito è semplicissima ...
    Basta chiedere direttamente al garante.
    Quanto all'obbligatorietà o meno per alcune tipologie di utenti ..... neppure per quello ho voglia di litigare, ho ben detto che compilare il documento in questione non è difficile e male non fa (a me no di sicuro visto che mi rende anche qualche soldino) per cui ....

                PIU' PILU E DPS PER TUTTI!!!.
    0
  • S
    User Attivo

    E non si deve litigare 🙂

    Però a me piacere sapere se chi non ha mai fatto negli anni precedenti è sanzionabile. Se viene richiesto il DPS degli anni precedenti sono guai ?

    Certo che però se devo andare nelle grane perchè il mio commercialista mi ha sempre detto che non ero tenuto a redarre un bel niente mi girano un pò le ODP e non poco.

    0
  • A
    User

    Piccoli chiarimenti:

    1. Non esiste un riferimento normativo diretto riguardo la data certa. Esiste un discorso di opportunità: se c'è la puoi opporre all'ispettore e chiudere immediatamente la questione. Se non c'è farai valere le tue ragioni attraverso prove indiziarie come la fattura, ma in questo caso il 99% delle volte lo fai in sede di contestazione.
    2. Il DPS non è la somma di tutte le misure minime. Nomine, informative, lettere di incarico etc. vanno fatte solo una volta per tutta la durata del rapporto. Non avrebbe senso ogni anno rinominare tutti. (sai che rottura!)
    3. Le uniche firme da apporre ogni anno sono quella del Titolare del Trattamento e, se coinvolto, del Responsabile sul Dps nuovo. E tra l'altro QUESTO non è stabilito da nessuna parte per cui se vuoi se ne può fare anche a meno. E' solo una questione di "bella figura" visto che comunque è sempre e solo lui il responsabile (legalmente parlando e non come figura) di quanto scritto, per cui è giusto che se lo firmi.
    4. Ci vuole un DPS nuovo ogni anno secondo quanto scritto all'art.19 dell'Allegato B *"Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, *un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:[...]".
    5. Non ha valore lo storico. Il nuovo sostituisce il precedente ma è ovvio che devi averlo a portata di mano se ci fai riferimento. Non sei quindi sanzionabile per non aver fatto niente prima. Ma devi essere in regola per l'anno in corso. Quando viene l'ispezione (speriamo mai) se gli presenti un DPS in ritardo la tua unica irregolarità sarebbe appunto il ritardo ma le misure minime prescritte dal decreto sarebbero comunque state rispettate. Nel D.Lgs. 196/03 non è sanzionato direttamente il ritardo ma l'ispettore può comunque farlo per vie traverse perchè rimane una mancanza amministrativa. Devo dire che però nella mia esperienza e parlando con colleghi è una eventualità mai verificatasi. In ogni caso a rigor di logica sarebbe una multa molto piccola. L'ultima parola rimane sempre però all'ispettore., che torno a dire è un essere umano, capisce l'italiano e non ha alcun interesse a fare multe per sadico piacere.
    6. Occhio alla forma del DPS: Moduli generici con Allegati che specificano la situazione aziendale possono essere visti male dall'Ispettore zelante nel caso non li capisca. Non ci sono obblighi formali e ognuno fa, giustamente, come gli pare ma in ogni caso la leggibilità è Fondamentale e la poca chiarezza è sanzionata ex art.19 All.B. " [...] idonee informazioni [...]"(caso successo realmente. Fortunatamente non era mio cliente)
    7. La norma sulla relazione integrativa al bilancio è nata con la ratio di evidenziare i costi della Sicurezza del Lavoro (D.Lgs.81/08) e poi estesa. Il legislatore non pensava principalmente al DPS quando ha redatto la norma perchè il* Doc. Prog sulla SICUREZZA* in realtà riguarda la Privacy (D.Lgs. 196/03). Ovviamente poi ci è rientrato anche lui.
    8. Il commercialista non sempre ha tempo di informarsi di tutto. Dopotutto non è un consulente in questo senso e la normativa sulla Privacy è ampiamente sottovalutata.
    9. Sono d'accordo in pieno: PIU' PILU PER TUTTI
    0
  • ?

    Ultimo aggiornamento.
    Consultato l'ufficio rapporti con il pubblico del Garante e l'ufficio legale API Torino.

    • la data certa non è citata da nessuna parte e NON E' RICHIESTA (parere concorde di entrambi gli enti)

    • La redazione annuale è UN AGGIORNAMENTO e non un rifacimento per cui basta che risulti in che data è stato rivisto (ovviamente entro il 31 marzo) e magari (non obbligatorio) cosa è cambiato dall'ultima volta.

    • Il pregresso non è citato da nessuna parte e non è obbligatorio, potrebbe essere utile conservare copia del vecchio come PDF MA NON E' OBBLIGATORIO.

    0
  • S
    User Attivo

    In merito al commercialista.
    Un'azienda da chi dovrebbe essere informata del fatto che deve fare il DPS.

    Io sono venuto a conoscenza del DPS non grazie al commercialista, ma nel momento in cui io chiedo al mio commercialista "devo fare il DPS???" e questo mi risponde NO, allora a quel punto si che sarebbe da mandare a stendere.

    L'anno scorso mi hanno fatto una sorta di DPS, almeno loro lo hanno chiamato in quel modo.

    Però puoi redirigere un documento senza:
    a) essere pienamente a conoscenza di cosa dice la legge ?
    b) non essere a conoscenza delle misure minime da adottare ?

    Anche io allora a questo punto potrei mettermi a vendere la consulenza per la compilazione del DPS, prendo un modulo di dubbia provenienza, lo compilo con il cliente e faccio credere allo stesso di essere in regola. Però al cliente non gli ho detto quali precauzioni deve prendere in azienda per mettere in sicurezza la rete informatica (secondo quanto richiesto dalla legge), al cliente non gli ho detto che deve essere in regola anche le normative, tipo privacy ecc ecc

    Io da professionista che sono, non mi prenderai mai la responsabilità di propormi come consulente per la compilazione del DPS se non conosco bene la materia.

    Anche perchè, tu stesso, hai parlato della totale confusione creatasi su questa questione.

    Comunque chiusa la mia piccola parente 🙂 sulla professionalità che non è argomento di questo topic.

    Ti ringrazio ancora per la tua consulenza 🙂

    0
  • S
    User Attivo

    Io non capisco una cosa

    Il pregresso non è citato e non è obbligatorio. Ok possono non tenere i vecchi DPS.
    Ma se l'aggiornamento, è un'aggiunta al DPS precedente, vuol dire che il DPS per l'anno in corso è lo stesso dell'anno precedente.

    Qui qualcosa non mi torna....

    @criceto said:

    Ultimo aggiornamento.
    Consultato l'ufficio rapporti con il pubblico del Garante e l'ufficio legale API Torino.

    • la data certa non è citata da nessuna parte e NON E' RICHIESTA (parere concorde di entrambi gli enti)

    • La redazione annuale è UN AGGIORNAMENTO e non un rifacimento per cui basta che risulti in che data è stato rivisto (ovviamente entro il 31 marzo) e magari (non obbligatorio) cosa è cambiato dall'ultima volta.

    • Il pregresso non è citato da nessuna parte e non è obbligatorio, potrebbe essere utile conservare copia del vecchio come PDF MA NON E' OBBLIGATORIO.

    0
  • ?

    Mettila così, se prendi un documeto word e lo modifichi in due pagine delle trecento che lo compongono si tratta di una modifica e non occorre evidentemente ristampare tutto ma solo le due pagine modificate nonchè l'eventuale pagina iniziale se riporta la data dell'ultima modifica.
    E magari mettere una firmetta dove sta scritto "modificato da"
    Parlo di un documento, nel caso del DPS tanto vale stampare tutte le otto o dieci pagine al massimo di cui è composto.
    Gli allegati si modificano già per conto loro in corso d'anno.

    0
  • S
    User Attivo

    Ma la data sul DPS deve essere messa su ogni pagina ?
    Quindi vorresti dire che se nel DPS non è cambiato nulla rispetto all'anno precedente, posso ristampare tutte le otto pagine e mettere la data dell'anno in corso ?

    @criceto said:

    Mettila così, se prendi un documeto word e lo modifichi in due pagine delle trecento che lo compongono si tratta di una modifica e non occorre evidentemente ristampare tutto ma solo le due pagine modificate nonchè l'eventuale pagina iniziale se riporta la data dell'ultima modifica.
    E magari mettere una firmetta dove sta scritto "modificato da"
    Parlo di un documento, nel caso del DPS tanto vale stampare tutte le otto o dieci pagine al massimo di cui è composto.
    Gli allegati si modificano già per conto loro in corso d'anno.

    0
Effettua l'accesso per rispondere