Il Decreto sulle semplificazioni ha introdotto un’importante novità in materia di dati personali: dal “Codice della Privacy” (D.Lgs. 196/2003) sono stati rimossi gli obblighi relativi alla redazione del DPS (Documento Programmatico sulla Sicurezza). Quali doveri persistono relativamente alla privacy?
Il Governo, nella sua presentazione al decreto “Semplifica Italia”, ha specificato che l’”eliminazione del Documento programmatico sulla sicurezza per la privacy porterà un risparmio di circa 313 milioni”.
Sicuramente il dovere annuale di revisione del documento rappresentava un impegno in termini di tempo e denaro (anche se è importante ricordare che già a metà 2011 l’obbligo era stato eliminato per tutti i soggetti che trattavano unicamente dati sensibili relativi ai rapporti di lavoro con i propri dipendenti). Tuttavia l’eliminazione del DPS rischia di far passare un messaggio fuorviante, cioè che gli adempimenti relativi alla privacy siano scomparsi.
In realtà non è così: permangono gli obblighi relativi alla gestione dei trattamenti svolti dai soggetti, che prevedono le nomine di responsabili e incaricati, oltre all’individuazione delle specifiche competenze e responsabilità. Restano i doveri inerenti al backup almeno settimanale per gli archivi di dati sensibili e/o giudiziari, oltre alle indicazioni relative adinformative e richieste di consenso. Permangono i vincoli relativi agli Amministratori di Sistema e ai trattamenti in outsourcing.
In pratica, persistono tutte le altre misure minime di sicurezza riportate nel Codice della Privacy (a cui si aggiungono i diversi oneri sanciti dal Garante della Privacy negli ultimi anni). A questi impegni, si devono affiancare per le Pubbliche Amministrazioni anche tutti gli adempimenti in tema di Disaster Recovery e Business Continuity introdotti con l’art. 50-bis del Codice Dell’amministrazione Digitale.
L’obbligo di revisione del DPS entro il 31 marzo di ogni anno costringeva i soggetti che trattano dati sensibili e/o giudiziari a riesaminare la propria situazione, al fine di evidenziare variazioni significative nell’organizzazione dei trattamenti, verificare l’adozione delle contromisure per difendersi dai rischi rilevati e vagliare la possibilità di adottarne di nuove. Rappresentava quindi anche un importante momento di bilancio relativo alla propria situazione nell’ambito di trattamento dei dati personali.
Realisticamente parlando, in molti casi la revisione del DPS veniva considerata come un mero obbligo di legge, a cui far fronte “portando avanti” di un anno le date riportate nel documento stesso. In questi casi sicuramente il Decreto sulle semplificazioni ha portato un alleggerimento rilevante, ma non l’esonero dalla necessità di verificare il rispetto di tutti gli altri adempimenti relativi al trattamento dei dati personali.
(www.sinetinformatica.it)
