L’art. 45 del decreto legge sulle semplificazioni, approvato dal Consiglio dei Ministri, abroga tutte le previsioni contenute nel Codice della privacy e nel Disciplinare tecnico sulle misure di sicurezza che si riferiscono al Documento Programmatico sulla Sicurezza per il trattamento dei dati personali.
In particolare il decreto interviene all’art. 34, lett. g), comma 1 e comma 1 bis, del D.Lgs 196/2003 (Codice della Privacy) e al suo Allegato B, paragrafi da 19 a 19.8 e 26 (Disciplinare Tecnico in materia di misure minime di sicurezza), cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (sia in forma ordinaria che abbreviata).
Eliminato il DPS, unitamente alle modalità semplificate per la tenuta del DPS, vengono meno anche i relativi riferimenti nelle relazioni accompagnatorie del bilancio sull’avvenuta redazione o aggiornamento.
Il DPS è un documento che rappresenta la politica del soggetto obbligato per quanto riguarda la privacy.
In altri termini, il documento fotografa la “privacy policy” e sulla base di un’attenta analisi dei rischi procede a definire e programmare le misure necessarie per migliorare la sicurezza del trattamento dei dati personali.
Il DPS va redatto o aggiornato entro il 31 marzo di ciascun anno.
Soggetto obbligato alla redazione del DPS è il titolare dei trattamenti di dati sensibili o giudiziari con strumenti elettronici, anche attraverso il responsabile, se designato. Il DPS non va inviato al Garante della privacy, ma deve essere conservato presso la propria struttura ed esibito in caso di controllo.
È da sottolineare che il DPS è solo una delle misure minime di sicurezza, le altre misure previste dal D. Lgs. 196/2003 non vengono abrogate.
Si tratta di misure che comportano sanzioni sia di carattere amministrativo che penale, in particolare:
• Redazione idonee Informative (Art. 13 DLgs 196/2003): Informative Dipendenti e Collaboratori; Informative Clienti, Fornitori, Potenziali Clienti, Terzi; Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web.
• Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003): redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali.
• Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29 DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda; analisi dei flussi di dati intra ed extra Unione Europea; individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
• Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica.
• Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy.
• Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010).
• Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate.
• Formazione del Personale.
Con periodicità annuale, il titolare del trattamento deve aggiornare il “sistema privacy” in considerazione delle possibili modifiche normative avvenute nel corso dell’anno, verificare la rispondenza delle misure adottate riguardanti i trattamenti dei dati personali e aggiornare i documenti e i mansionari adottati.
L’evoluzione della normativa è da seguire attentamente in quanto è in arrivo un regolamento comunitario che andrà a sostituire la normativa di riferimento dei singoli Stati europei. Si tratta di un regolamento importante perché oltre ad uniformare le norme a livello europeo, stando alla bozza che circola, renderà molto più incisive le regole in materia di tutela dei dati personali.
I nuovi obblighi prevedranno una mole di documentazione ancora più massiccia rispetto al DPS.
I soggetti obbligati dovranno adottare un vero modello organizzativo per la tutela dei dati.
Sarà introdotto il principio di responsabilità (accountability) con un impianto sanzionatorio che prescriverà sanzioni parametrate al fatturato.
L’eliminazione dell’obbligo di predisporre e aggiornare il DPS risponde al fatto che si tratta di un “adempimento meramente superfluo” (Comunicato stampa del 27 gennaio u.s.) ritenuto formale e sostanzialmente inutile.
Ben fatto! Si sappia, però, che la privacy non è il DPS.