Riceviamo e pubblichiamo la circolare diffusa dal servizio legale Assotravel in merito al DPS e al trattamento dei dati sensibili e giudiziari.
“facciamo seguito alla nostra circolare 210 in merito alla redazione del Documento Programmatico di Sicurezza (D.P.S.) per ribadire anche perché confermato dal Garante – che la redazione del D.P.S. è obbligatoria solo per quelle aziende che trattano i dati sensibili e giudiziari attraverso l’uso di strumenti informatici, sempre che gli stessi vengono anche conservati nella medesima modalità.
Questo significa che ove le Agenzie di viaggio, nel caso specifico, si trovino a trattare dati sensibili nell’adeguamento dei propri obblighi contrattuali (ad esempio prenotazione di un volo, di una camera
.o di qualsiasi altro servizio turistico per un portatore di handicap
..) senza conservare tali dati nel computer non sussisterà l’obbligo di redigere il DPS.
La ratio del DPS è, infatti, quella di garantire che, per tutto il periodo di conservazione, tali dati non vadano persi, e/o danneggiati e a tal scopo il titolare del trattamento dovrà prevedere i possibili rischi, descrivere i criteri e le modalità per il ripristino e quant’altro deve essere obbligatoriamente indicato in tale documento.
Nell’ipotesi alternativa in cui il dato sensibile viene trattato esclusivamente con l’ausilio di materiale cartaceo, sono sufficienti le sole misure minime di sicurezza previste nell’Allegato B, con esclusione del D.P.S.
Con l’occasione Vi informiamo che in data 30 giugno 2004, Il Garante per la protezione dei dati personali ha rilasciato, ex art. 40 del Codice, le nuove autorizzazioni generali per il trattamento dei dati sensibili e giudiziari, aggiornando le precedenti in rapporto alle novità introdotte dal d. lgs. n. 196/2003.
Le nuove autorizzazioni, in vigore dal 1 luglio 2004 fino al 30 giugno 2005, saranno efficaci per tutti i titolari di trattamento interessati.
Il titolare del trattamento, che rientra nell’ambito di applicazione di un’autorizzazione generale, non è tenuto a presentare all’Authority una richiesta di autorizzazione se il trattamento che intende effettuare è conforme alle relative prescrizioni (V. art. 41, Codice).
Qualora il trattamento dei dati non sia già conforme alle prescrizioni non contenute nella precedenti autorizzazioni, il titolare dovrà adeguarsi ad esse entro il 30 settembre 2004”.