"Codice Privacy": entro il 31 Marzo l'aggiornamento delle misure minime.

Termine per l'adozione delle misure minime di sicurezza per la protezione dei dati personali.

Soggetti obbligati
Soggetti che effettuano il trattamento dei dati sensibili o giudiziari, sia con strumenti elettronici che cartacei.

Modalità operative
Il Codice della Privacy ha aggiornato l’elenco delle misure minime le cui modalità di applicazione, sulla base di alcune prescrizioni di ordine generale, sono indicate analiticamente nelle 29 regole incluse nell’Allegato B) del medesimo Codice. Analogamente a quanto avveniva in passato, le misure minime sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari.
Per alcune di esse sono previste scadenze periodiche, ma le misure minime che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori.

Il documento programmatico sulla sicurezza
Anche la redazione del documento programmatico sulla sicurezza (DPS) è una misura minima, non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il DPS e sia parzialmente diverso il suo necessario contenuto.
Infatti, la precedente disciplina prevedeva già l’obbligo di predisporre e aggiornare il DPS, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico.
In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata.
Il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico).
Inoltre, a differenza del passato, la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato.
Infine, il contenuto stesso del DPS è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti.
Il DPS deve necessariamente essere redatto entro il 31 marzo.