Benché con il Decreto 5/2012 sia stata abolita la redazione del DPS (Documento Programmatico per la Sicurezza), unico documento riepilogativo di tutti gli adempimenti obbligatori posti in capo ai Soggetti che trattano dati personali di terzi, sono ancora in vigore molteplici obblighi e sanzioni che di seguito, a titolo riepilogativo e non esaustivo, riportiamo:

Riepilogo dei principali obblighi:

• L’obbligo di aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (art. 34 del Codice, lettera D e art. 35 lett. A)
• L’obbligo di individuare i soggetti coinvolti nel trattamento (incaricati, responsabili, amministratori di sistema etc.  artt. 29 e 30 del codice e punto 15 dell’allegato B)
• L’obbligo d’individure, incaricare e valutare periodicamente quelle figure che si occumano del nostro Sistema Informatico (Provvedimento del Garante del 27 novembre 2008)
• L’obbligo di redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli incaricati su di essi
• L’obbligo di istruire gli incaricati sulle procedure di autenticazione informatica e di gestione delle credenziali di autenticazione (allegato B dal punto 1 al punto 11)
• L’obbligo di istruire gli incaricati sul sistema di autorizzazione (allegato B dal punto 12 al punto 14)
• L’obbligo di proteggere gli strumenti elettronici ed i dati rispetto a trattamenti illeciti, accessi non consentiti, programmi maligni e conseguente istruzione del personale. (allegato B punti 16 e 17)
• L’obbligo di procedure di ripristino di dati personali in tempi brevi (allegato B punto 18)
• L’obbligo di stabilire delle misure minime di sicurezza in caso di trattamento di dati sensibili su supporti rimovibili (allegato B dal punto 21 al 23)
• L’obbligo di impartire istruzioni agli incaricati anche per i trattamenti su supporto cartaceo (allegato B punto 27)
• L’obbligo di stabilire delle procedure di custodia durante il trattamento (allegato B punto 28)
• L’obbligo di stabilire delle procedure per l’accesso identificato e restrittivo agli atti (allegato B punto 29)
• L’obbligo d’informare tutti i soggetti interessati sulle modalità di trattamento dei dati personali (soprattutto se riferiti a persone fisiche e/o dati sensibili o giudiziari), come previsto dall’art. 13 del Codice.

Obbligo d’adeguamento delle procedure aziendali ai pronuciamenti del Garante in materia di tutela dei lavoratori, L. 300/70 (Statuto dei lavoratori), Videosorveglianza, Posta Elettronica, Navigazione Internet, Immagini e Video, News e Newsletter, Siti web, etc. E normative specifiche ad essi connesse.

Naturalmente il quadro degli obblighi non è disgiunto da quello sanzionatorio. Oltre alle ispezioni specifiche, oggi operate non solo dalla Guardia di Finanza ma anche da Polizia di Stato, Carabinieri, Vigili Urbani, etc., le sanzioni amministrative sono esemplificabili come segue:

Quadro delle sanzioni in vigore al 2015:

• Art. 161: Omessa o inidonea informativa all’interessato ex art. 13 DLgs 196/03 – Da 6.000 a 36.000 euro
• Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento – Da 10.000 a 60.000 euro
• Art. 162 c.2-ter: Inosservanza delle prescrizioni del Garante – Da 30.000 a 180.000 euro
• Art. 163: Omessa o incompleta notificazione – Da 20.000 a 120.000 euro
• Art. 164: Omessa informazione o esibizione al Garante – Da 10.000 a 60.000 euro
• Art. 167 c.1: Trattamento di dati personali senza consenso – Reclusione da 6 a 18 mesi
• Art. 167 c.1: Obbligo di predisposizione di istruzioni agli incaricati – Reclusione da 6 a 24 mesi
• Art. 167 c.2: Obbligo di separazione dei dati sensibili – Reclusione da 24 a 36 mesi
• Art. 169: Omissione delle Misure Minime di sicurezza – Arresto fino a due anni