La percezione di una nuova linfa proveniente dall’Europa, in termini di regole sulla protezione e sulla sicurezza dei dati personali, nonché l’orientamento a realizzare, da parte dei soggetti economici coinvolti, modelli organizzativi e di gestione in grado di auto-tutelarsi, sembrano in qualche modo “evocare”, tra gli adempimenti in ambito privacy, il Documento Programmatico sulla sicurezza. Vediamo perché.
Se è vero che la Legge 35/2012 – nel disporre la soppressione dell’obbligo annuale, entro il 31 marzo, di redigere o aggiornare il Documento Programmatico sulla sicurezza – ha indubbiamente alleggerito oneri e costi per tutti i soggetti titolari di un trattamento di dati sensibili o giudiziari tramite strumenti elettronici, è ugualmente reale la condizione di disorientamento con cui gli stessi soggetti hanno poi dovuto fare i conti.
Ciò non tanto per il ruolo di raccoglitore formale, e sostanziato in un documento, che aveva il Dps, destinato comunque a rappresentare puntualmente la struttura organizzativa del titolare del trattamento nonché le misure tecniche e organizzative implementate a supporto e rispetto della normativa privacy, quanto piuttosto per la direzione presa dai vari interventi legislativi degli ultimi anni, orientati alla “semplificazione”.
Tali interventi, volendo da un lato giustificarsi con l’ ”emergenza crisi”, sono tuttavia sembrati insensibili e incoerenti sia rispetto ad altri focolai normativi – in particolare ci riferiamo al nuovo Regolamento europeo in materia di data protection in fase di definizione a Bruxelles – sia a confronto con atti legislativi nazionali.
Recentemente, infatti, in ambito privacy è ritornata a galla la disciplina del D. Lgs. 231/2001, inerente la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, in base alla quale, sostanzialmente, allo scopo di prevenire i “delitti privacy”, l’adozione di un valido modello organizzativo – in grado di difendersi per come è strutturato – implica, nell’ambito del trattamento di dati personali, un’efficiente organizzazione e implementazione di opportune misure di sicurezza, che il Dps contribuiva a rappresentare sotto l’aspetto formale e documentale.
Se è vero da un lato che tale questione riguarda propriamente organizzazioni caratterizzate da particolare complessità, è pure evidente che ciò che si è voluto far uscire dalla porta, è conveniente farlo rientrare dalla finestra: posto che permane comunque valido l’obbligo sostanziale di adottare tutte le varie misure di sicurezza previste dagli articoli 31 e seguenti del vigente Codice (e, ricordiamo, descritte concretamente nel relativo Allegato B), si ritiene in ogni caso utile e opportuno predisporre il Dps o una documentazione che gli assomigli, al fine di rafforzare la posizione del titolare del trattamento, che sarà così sempre in grado di rappresentare – e dimostrare di avere – una situazione aggiornata sulla propria organizzazione in materia di privacy.
Ma non è finita: se pensiamo alle imminenti regole sulla data protection in arrivo dall’Europa, allora possiamo dire che ciò che si è voluto far uscire dalla porta rientrerà questa volta con forte vigore dalla finestra, anzi dalle finestre, considerando che gli adempimenti richiesti e targati UE – a carico dei responsabili di un trattamento di dati personali e a salvaguardia dei diritti e delle libertà degli interessati – saranno molteplici e di spessore, tanto da far nascere una vera e propria malinconia sull’abolito Dps (…era meglio quando si stava peggio?…).
Michele Viel – Centro Studi CGN