SOPPRESSO IL DPS SULLA PRIVACY
Soppresso il documento programmatico, ma non le altre misure
Il D.L. “Semplificazioni” (n. 5/2012) ha soppresso l’obbligo di tenuta del Documento Programmatico sulla Sicurezza (DPS) previsto dal Codice sulla Privacy. Si evidenzia che tale abrogazione, volta a semplificare gli adempimenti a carico delle imprese, riducendo i relativi costi, fa venir meno l’obbligo di redazione/aggiornamento del DPS entro il 31 marzo di ogni anno nonché la necessità di menzionare, mentre mantiene inalterati i restanti obblighi in materia di Privacy previsti al fine di garantire la tutela dei dati trattati.
Come noto, entro il 31.3 di ogni anno i soggetti che effettuano il trattamento elettronico di dati sensibili o giudiziari sono tenuti alla redazione e all’aggiornamento del Documento Programmatico sulla Sicurezza (DPS), previsto dall’art. 34, comma 1, lett. g), D.Lgs. n. 196/2003 (Codice sulla Privacy). Tale eliminazione - come detto - non impatta sull’obbligo di adozione delle misure minime di sicurezza previste dal Codice della Privacy, che rimangono in vigore, ma solamente sugli obblighi di rendicontazione annuale dell’adozione delle medesime misure di sicurezza.
Eliminazione del DPS
L’adempimento principale della normativa introdotta dal D.Lgs. n. 196/03 era costituito dalla tenuta e dall’aggiornamento del Documento programmatico sulla Sicurezza, che implicava per imprese e professionisti il sostenimento di costi gestionali per predisporre la stesura del rendiconto annuale delle misure di sicurezza adottate.
Fino alla scadenza del 31 marzo 2011, le modalità per redigere il Documento Programmatico sulla Sicurezza erano, alternativamente e a seconda delle tipologie di dati personali trattati, le seguenti:
· la modalità ordinaria di tenuta del DPS, con la quale rendicontare l’elenco analitico di tutti i trattamenti di dati effettuati;
· la modalità semplificata di tenuta del DPS, facoltà che era prevista per imprese e professionisti che trattano quali unici dati sensibili quelli relativi a dipendenti o collaboratori esclusivamente per finalità amministrative;
· l’autocertificazione sostitutiva del DPS, se gli unici dati sensibili e giudiziari detenuti erano quelli relativi ai dipendenti, collaboratori o loro parenti.
Già dalla prossima scadenza del 31 marzo 2012, pertanto, non vi è più alcun obbligo di rendicontare mediante l’aggiornamento del Documento Programmatico sulla Sicurezza la corretta adozione delle misure minime di sicurezza. Si ritiene, in ogni caso, consigliabile per imprese e professionisti che negli anni precedenti hanno già predisposto il DPS in quanto assoggettati all’obbligo normativo, aggiornare tale documento con cadenza annuale, di modo da verificare la corretta adozione delle misure minime di sicurezza obbligatorie ai sensi del Codice della privacy.
Altre misure sulla privacy
Tutti coloro che trattano dati personali devono predisporre adeguati controlli in materia di sicurezza, sulla base di uno specifico protocollo previsto dal c.d. Disciplinare Tecnico della norma (allegato B del citato D.Lgs. n.196/03).
La norma obbliga alla realizzazione di diversi adempimenti, tra cui:
Æ la nomina del titolare del trattamento dei dati, che generalmente coincide con la Società, nella persona del suo Legale rappresentante;
Æ la nomina dei responsabili del trattamento dei dati;
Æ la nomina degli incaricati al trattamento dei dati;
Æ la nomina dell’amministratore di sistema;
Æ il rilascio di apposita informativa;
Æ la preventiva richiesta del consenso al trattamento dei dati;
Æ la notificazione al Garante della Privacy, quando ricorra l’obbligo;
Æ l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine, il rischio di:
· sottrazione, alterazione, perdita degli stessi,
· accesso non autorizzato da parte di terzi,
· trattamento di dati non consentito e non conforme a quanto normativamente previsto.
È quanto mai opportuno ricordare che chi non adempie a questi obblighi si espone al rischio di vedersi condannato, oltre che a pesanti sanzioni anche di natura penale, all’eventuale risarcimento dei danni che i terzi potrebbero lamentare come conseguenza dell’inefficiente controllo dell’attività di trattamento dei dati personali.
Regime sanzionatorio
Dall’abolizione dell’obbligo di tenuta e aggiornamento del DPS deriva il venir meno anche del relativo regime sanzionatorio applicabile in caso di omesso o non corretto adempimento. Conseguentemente, si ritiene che per le eventuali violazioni commesse precedentemente non siano più applicabili le sanzioni penali previste. Diversamente, per le sanzioni amministrative, non essendo esplicitamente previsto, non si dovrebbe poter beneficiare del c.d. “favor rei”.
Decorrenza delle nuove disposizioni
Il c.d. “Decreto Semplificazioni” è entrato in vigore dal 10.2.2012 (giorno successivo a quello di pubblicazione sulla G.U.) e quindi anche le abrogazioni sopra illustrate decorrono da tale data.
16/03/2012