D.P.S.: non e' una fonte normativa, ma e' egualmente precettivo

martedì 16 marzo 2010

D.P.S.: non e' una fonte normativa, ma e' egualmente precettivo

Scade il 31 marzo

Il 31 marzo 2010 e' il termine ultimo per la predisposizione del Dps (documento programmatico per la sicurezza), lo strumento operativo del generale obbligo di sicurezza posto dal Codice Privacy. La sua mancata predisposizione o il suo inadeguato aggiornamento impediscono al titolare il trattamento dei dati.

CHE COS'E'

Il Dps (acronimo della sigla "Documento Programmatico per la Sicurezza") è strumento specificativo del generale obbligo di sicurezza posto dal Codice Privacy, e assume, per diretta volontà legislativa, assieme alle altre misure di sicurezza, il ruolo di ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
La sua mancata predisposizione o il suo inadeguato aggiornamento impediscono al titolare il trattamento dei dati.

LE FONTI

Il DPS (Documento Programmatico sulla Sicurezza) è misura “minima” di sicurezza, attualmente disciplinata dal Codice Privacy, d. lgs. n. 196/2003, precisamente dagli artt. 33 ss. e dall’allegato B.
Precisamente, l’art. 33 stabilisce che:
“Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31 […] i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo […] volte ad assicurare un livello minimo di protezione dei dati personali.” È però l’art. art. 34 comma 1, lettera g) del D.lg. 196/03 a prevedere la “tenuta di un aggiornato documento programmatico sulla sicurezza”.
Le misure minime, fra cui il Dps, ex art. 33 del Codice, specificano, grazie al contenuto spesso prescrittivo, il detto generale obbligo di sicurezza, e assumono, per diretta volontà legislativa, il ruolo di “ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita […] di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”
Va evidenziato che, proprio in quanto misura “minima”, la mancata predisposizione o l’inadeguato aggiornamento del Dps impedisce al titolare un qualsiasi trattamento dei dati.
La disciplina del dps ha subito nel 2008 significative innovazioni su due differenti versanti:

* 1.l’autodichiarazione sostitutiva;
* 2..la semplificazione.In particolare, rispetto al primo profilo, per taluni casi, è stata prevista, in via innovativa, la possibilità di sostituire il (DPS) con un documento di autocertificazione.

Mentre, in altri casi è data la possibilità di redigerlo in via semplificata, in chiara deroga ai requisiti minimi fissati dalla legge.
Precisamente, l’art. 29 del D.L. 25 giugno 2008, n. 112, come convertito dalla Legge di conversione 6 agosto 2008, n. 133, inserendo all’articolo 34 il seguente comma 1-bis, ha previsto che:
“Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.”
Rispetto invece al secondo profilo, l’art. 34 comma 1-bis ha attribuito al Garante Privacy il potere, sentito il Ministro per la semplificazione normativa, di individuare, con proprio provvedimento, da aggiornare periodicamente “…..modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime ”.

Attuando la norma, il Garante Privacy ha provveduto a emanare il provvedimento generale del 27 novembre 2008 per la “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali” (pubblicato nella G.U. n. 287 del 9 dicembre 2008), fissando modalità semplificate per l’applicazione delle misure minime di sicurezza.

Sicché, ricorrendo i requisiti di legge, è possibile anche redigere un DPS semplificato, rispetto a quello “ordinario” tout court disciplinato dagli artt. 33 ss. del Codce.
A fronte della novella, tuttavia, sono emerse rilevanti problematiche interpretative e applicative per i titolari del trattamento, tanto che si è posta in discussione anche la persistenza dell’obbligatorietà o meno della redazione del Documento Programmatico di Sicurezza

COSA FARE?

Occorre aggiornare il Dps, se già precedentemente predisposto o, altrimenti, predisporlo.

Il legislatore del 2008, innovando radicalmente il testo del Codice del 2003, prevede che “[…] la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione […]” solo per “[…] i soggetti che trattano […] dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale […]”.

Tale norma va coordinata con quella definizione di dati personali “sensibili”, identificati - dall’art. 4.1.D.lg. 196/03 - come quei dati personali “… idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

Ne consegue che sono soggetti alla tenuta di un aggiornato DPS i seguenti titolari:

* a)i titolari che con strumenti elettronici trattano le seguenti categorie di dati personali sensibili:- origine razziale ed etnica di clienti, fornitori e dipendenti - opinioni religiose, filosofiche o di altro genere di clienti, fornitori e dipendenti, - opinioni politiche, adesione a partiti, associazioni od organizzazioni a carattere religioso, filosofico e politico di clienti, fornitori e dipendenti, - stato di salute di clienti e fornitori - stato di salute con indicazione della relativa diagnosi di dipendenti, - vita sessuale di clienti, fornitori e dipendenti
* b)i titolari che trattano dati personali giudiziari con strumenti elettronici.

Non sono, invece, soggetti a tale adempimento i titolari che trattano le seguenti categorie di dati, sempreché utilizzino strumenti elettronici:

* -dati personali “comuni” di clienti, fornitori e dipendenti;
* -dati personali “sensibili” di dipendenti relativi allo stato di salute o malattia (solo se senza indicazione della diagnosi);
* -dati personali “sensibili” di carattere sindacale.

Si segnala, tuttavia, che, alla luce dell’ampio concetto di “trattamento”, ex art. 4.1.a del Codice Privacy, permangono notevoli perplessità sulla reale possibilità di rientrare in una delle categorie per le quali sussiste la possibilità dell’esonero dall’obbligo di redazione del DPS.

Quindi, data anche la difficoltà di prevedere quali dati precisamente verranno trattati perlomeno durante il periodo annuale, sarebbe auspicabile che - per garantire quanto più possibile il rispetto della normativa in materia di protezione dei dati personali, e per evitare il rischio di subire le dovute e talora pesanti sanzioni del Codice, ogni titolare - tendenzialmente, approntasse e aggiornasse il Dps.

QUANDO: IL TERMINE DI SCADENZA PER APPRONTARE IL DOCUMENTO

Entro il 31 marzo 2010, che è dunque il termine ultimo posto dall’Allegato B del Codice, e così per tutti gli anni, salvo chiaramente modifica legislativa o eventuale provvedimento del Garante

COME ADEMPIERE

All’obbligo del Dps – sulla base di quanto sopra specificato – il titolare del trattamento può adempiere, sostanzialmente, in tre differenti modalità:

* 1.redazione del dps:
* 2.nei casi sopra indicati, predisposizione di autocertificazione sostitutiva;
* 3.ove previsto dalla legge, redazione di un documento semplificato.

Esso entro il 31 marzo va aggiornato se già predisposto, anche attraverso il responsabile del trattamento, ove designato.

Riguardo al contenuto concreto dell’aggiornamento, occorre riportare – salvo le ulteriori misure in caso di trattamento di dati sensibili o giudiziari - idonee informazioni riguardo:

* 1.l'elenco dei trattamenti di dati personali;
* 2.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
* 3.l'analisi dei rischi che incombono sui dati;
* 4.le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
* 5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
* 6.la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
* 7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
* 8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Si precisa che vanno indicate tutte le eventuali variazioni che si siano nel frattempo verificate in azienda se hanno coinvolto o possono coinvolgere il trattamento dei dati: ad es. un nuovo pc, un dipendente assunto, un dipendente licenziato, il cambio d'indirizzo o il cambio della persona incaricata del trattamento dei dati etc.
Si evidenzia che, all'interno del documento programmatico per la sicurezza, deve essere previsto un piano di formazione destinato agli incaricati del trattamento (al riguardo, occorre verificare che sia stata loro consegnata documento di nomina espressa e adeguatamente chiara e precisa su modalità e limiti del trattamento dei dati), che dovrà pertanto anch’esso, assieme agli altri elementi del Dps, essere rivisto annualmente.
Tale piano deve indicare precisamente i tempi di formazione e le strutture che si occuperanno di gestire l’attività formativa.
La formazione è programmata già al momento dell'ingresso in servizio, ma investe anche i cambiamenti di mansioni e l’eventuale introduzione di nuovi strumenti rispetto alla materia del trattamento dei dati personali.
I responsabili vanno nominati scegliendo tra persone dotate della necessaria esperienza, capacità, affidabilità, quindi occorre fornire loro una formazione ancor più completa e specifica rispetto a quella degli incaricati.
Si segnala, sempre riguardo alla concreta attuazione del DPS, che in dottrina si è posto l’accento sull’esigenza di raccordo fra l’’art. 34.1.g del D.lg. 196/03 e l’art. 19 dell’Allegato B) del Codice.
L'avvenuto aggiornamento, a prescindere dalla quantità e tipo di modifiche, va necessariamente riferito nella relazione di bilancio annuale dei titolari del trattamento.

I SITI DI RIFERIMENTO
* www.garanteprivacy.it (sito istituzionale del Garante della Privacy);
* http://www.edps.europa.eu (sito del Garante Europeo per la protezione dei dati personali);
* www.privacy.it (sito privato, cura la raccolta di atti e provvedimenti del Garante)
tratto da Luca Christian Natali www.ipsoa.it

1 commento:

Anonimo18 marzo 2010 alle ore 10:35
anche su www.leggesullaprivacy.it possono essere rintracciati provvedimenti, misure minime previste per le varie classi di dati, contatto con consulente qualificato.
RispondiElimina
Risposte

Aggiungi commento

Iscriviti a: Commenti sul post (Atom)

Istituto Nazionale Previdenza Sociale, Nota 08.01.2013

Non essendo stata prorogata la relativa normativa per l'anno in corso, con decorrenza 1° gennaio 2013 non è più possibile iscrivere nelle liste di mobilità i lavoratori licenziati in forma individuale ex legge n. 236/1993; ne consegue che – sempre a partire dal 1° gennaio 2013 – gli incentivi all'assunzione o alla proroga o alla trasformazione a tempo indeterminato di tali soggetti non sono più applicabili. Nulla muta, invece, per i lavoratori licenziati nell'ambito di procedure collettive.

Lavoro accessorio

Indicazioni operative con la Circolare n. 4 del 18 gennaio 2013

Il Ministero del Lavoro e delle Politiche Sociali, con la Circolare n. 4 del 18 gennaio 2013, fornisce indicazioni operative al proprio personale ispettivo per lo svolgimento di una corretta attività di vigilanza nei confronti dei datori di lavoro/committenti che ricorrono al lavoro accessorio. La Circolare pone in evidenza le novità introdotte dalla Legge n. 92 del 28 giugno 2012 (c.d. riforma Fornero) sull’utilizzo dei voucher, soffermandosi in particolare sul nuovo campo di applicazione dell’istituto e sulle nuove caratteristiche dei buoni-lavoro. Link alla circolare operativa: http://www.lavoro.gov.it/NR/rdonlyres/346D8BEC-9147-4EFC-A342-4827D55D8BB5/0/20130118_Circ_4.pdf

Iva 2013

Approvazione definitiva dei modelli di dichiarazione IVA 2013 e delle istruzioni dei modelli IVA 74-bis e comunicazione annuale dati IVA

L'Agenzia delle Entrate, con i provvedimenti nn. 5267, 5272 e 5271, datati 15.1.2013, ha approvato, rispettivamente: - i modelli di dichiarazione IVA relativi all'anno 2012; - le istruzioni per la compilazione del modello di dichiarazione IVA 74-bis per il fallimento o la liquidazione coatta amministrativa; - le istruzioni per la compilazione del modello di comunicazione annuale dati IVA. Con particolare riguardo alla dichiarazione IVA relativa al 2013, le principali novità si riferiscono: - all'eliminazione del quadro VR e alla contestuale ridefinizione del rigo VX4, che deve essere compilato per richiedere il rimborso IVA, specificandone l'importo; - al recepimento delle novità relative all'IVA per cassa, in vigore dall'1.12.2012, con l'introduzione dei nuovi righi VE36 campo 3, VF19 campo 3 e VO15; - all'estensione delle ipotesi di applicazione del reverse charge per le cessioni e gli acquisti di fabbricati, con la modifica dell'indicazione contenuta nei righi VE34 campo 5 e VJ14.

Riduzione premi Inail imprese artigiane anno 2012

Dopo il decreto del 27 gennaio 2012 relativo ai premi 2011, in base a quanto stabilito dai comma 780 e 781 dell'articolo 1 della legge 27 dicembre 2006, n. 296, e in seguito alla determina presidenziale Inail 14 settembre 2012, n. 60, il Ministero del lavoro, di concerto con quello dell'economia e delle finanze, ha stabilito la riduzione in misura pari al 6,95% dell'importo del premio assicurativo dovuto per l'anno 2012 a favore delle imprese artigiane che non hanno avuto infortuni nel biennio 2010/2011.

Licenziamenti individuali

Primi chiarimenti del Min. Lavoro sulla procedura di conciliazione obbligatoria da attivarsi nei casi di licenziamento per giustificato motivo oggettivo

Con la circ. Min. Lavoro 16.1.2013 n. 3, sono stati forniti i primi chiarimenti in merito alla procedura di conciliazione obbligatoria da attivarsi presso la DTL competente nei casi di licenziamento per giustificato motivo oggettivo, così come previsto dalle nuove regole introdotte dall'art. 1 co. 40 della L. 28.6.2012 n. 92, ovvero la riforma del mercato del lavoro. Si ricorda che questa tipo di licenziamento può essere intimato per motivi inerenti la sfera del lavoratore, ma a lui non imputabili a titolo di colpa, ovvero per "ragioni inerenti all'attività produttiva, all'organizzazione del lavoro e al regolare funzionamento di essa", così come previsto dall'art. 3 della L. 15.7.66 n. 604. Il documento ministeriale in argomento analizza la procedura nel suo complesso, soffermandosi sulle modalità di identificazione dei datori di lavoro interessati (con precisazioni in merito al calcolo della base numerica), sulle motivazioni del licenziamento, sui contenuti della comunicazione datoriale e le modalità di invio alla DTL (valida anche con PEC), sulle modalità seguite dalla DTL per la fase istruttoria e, infine sulle conseguenze derivanti da un esito negativo o positivo del tentativo di conciliazione.

Cud 2013

Pec imprese individuali

Modalità di comunicazione della PEC-imprese individuali al Registro delle imprese

Anche le imprese individuali, ai fini della comunicazione del proprio indirizzo PEC al Registro delle imprese di cui all'art. 5 del DL 179/2012, possono indicare la mail dello studio professionale che assiste l'impresa stessa negli adempimenti burocratici.
Tale possibilità era stata confermata dal Ministero dello Sviluppo economico nei pareri 16.11.2011 nn. 217140 e 217149, alla luce delle indicazioni già fornite dal medesimo Ministero nella circolare 3.11.2011 n. 3645/C-2011, con riferimento all'obbligo per le imprese costituite in forma societaria di cui all'art. 16 co. 6 del DL 185/2008.

LAVORO SUBORDINATO – SOPRAVVENUTA IMPOSSIBILITÀ DELLA PRESTAZIONE LAVORATIVA


Statuizione della S.C. in tema di preavviso di licenziamento ed esecuzione della prestazione dedotta in contratto divenuta totalmente e assolutamente impossibile. Nella specie, la S.C. ha escluso il diritto al preavviso per inidoneità permanente al volo di un pilota di aeromobile, potendo questi rendere una diversa prestazione lavorativa, nel periodo di preavviso (ad es. tra il personale di terra), soltanto in esecuzione di un diverso contratto di lavoro.

	Sentenza n. 7531 del 29 marzo 2010 (Sezione Lavoro, Presidente F. Roselli, Relatore P. Picone)

Nozione di "retribuzione globale di fatto"

Con sentenza n. 19956/2009, la Cassazione ha affermato che nella nozione di "retribuzione globale di fatto", alla quale va commisurato il risarcimento del danno spettante al lavoratore illegittimamente licenziato, vanno riportate le somme che risultino dovute - anche in via non contributiva, purché non occasionale - in dipendenza del rapporto di lavoro e in correlazione ai contenuti e alle modalità di esecuzione della prestazione lavorativa. Ciò al fine di costituire il trattamento economico normale, che sarebbe stato effettivamente goduto se non vi fosse stato il licenziamento illegittimo.

Part-time verticale e indennità di disoccupazione

Licenziamento e impossibilità temporanea della prestazione lavorativa

Sentenza 10/03/2009 n. 5718 Corte di Cassazione

La sopravvenuta impossibilità temporanea della prestazione lavorativa dovuta ad un evento estraneo al rapporto di lavoro e non imputabile al dipendente autorizza il datore di lavoro a recedere dal rapporto stesso, ai sensi dell'art. 1464 cod. civ., in mancanza di un suo interesse apprezzabile alle future prestazioni lavorative, la sussistenza o meno del quale deve essere accertata, con valutazione "ex ante", in riferimento alla prevedibilità o meno del protrarsi della causa dell'impossibilità di esecuzione della prestazione e del tempo occorrente per il suo venir meno, nonché dei pregiudizi derivanti all'organizzazione del datore di lavoro; l'impossibilità parziale della prestazione, infatti, non giustifica il recesso solo quando, sulla base di tutte le circostanze del caso concreto, si può prevedere (dunque necessariamente a livello di prognosi) la ripresa della attualità del rapporto senza significativi pregiudizi per l'organizzazione del datore di lavoro in relazione alla prevedibile durata dell'assenza.

Studio Gennai - Fisco Lavoro e dintorni

Visualizzazioni totali

martedì 16 marzo 2010

D.P.S.: non e' una fonte normativa, ma e' egualmente precettivo

1 commento: