Decreto “sempifica Italia” e Privacy: addio DPS!

DECRETO LEGGE 9/2/2012, N. 5

Il Decreto "semplifica Italia" ha invece apportato alcune rilevanti novita in materia di privacy, abrogando il (tanto temuto e odiato) Documento Programmatico per la Sicurezza o "DPS.

Sicuramente l'intento del legislatore e onorevole, ovvero cercare di alleggerire le aziende di costi e oneri ma, a parere di chi scrive, l'abrogazione tout court dell'adempimento comporta non poche difficolta a livello aziendale. Infatti, il DPS - introdotto dal D.lgs. 196/2003 - e diventato negli anni l'occasione per le aziende di fare, in prossimita del 31 marzo, un proprio screening interno sullo stato dei trattamenti realizzati, verificarne la correttezza e aggiornare o implementare, oltre al DPS, le carenze riscontrate in tema di trattamento dati. Un obbligo certo non sempre visto di buon occhio da tutte le realta aziendali, soprattutto in questi tempi di crisi in cui anche la spesa di qualche centinaia di euro puo essere un sacrificio per le imprese.

Ma era veramente necessario?

Negli ultimi anni, infatti, la maggior parte delle PMI e stata esentata dall'obbligo di tenuta ed aggiornamento del DPS, obbligo ormai rimasto solo per chi tratta dati sensibili diversi da quelli per la gestione del personale.

Quanto poi all'aggiornamento, lo stesso Garante aveva gia precisato che l'obbligo riguardava solo l'effettiva presenza di modifiche nei contenuti (Provvedimento generale del Garante 27.11.2008).

Ci sono poi altre considerazioni da fare: il DPS, oltre a un obbligo normativo era, e diventato un importante strumento organizzativo di gestione dei dati.

Si pensi, per esempio, alle strutture sanitarie che trattano dati sensibili le quali, non essendo ora piu tenute per legge alla tenuta ed aggiornamento del DPS, ci si domanda se continueranno ugualmente a gestire correttamente i dati sensibili in loro possesso, garantendone al contento integrita, disponibilita e riservatezza.

Non solo; per i soggetti che hanno attuato un Modello Organizzativo ai sensi del D.lgs. 231/2001 (Responsabilita Amministrativa delle Imprese), il DPS e stato utilizzato anche come flusso di gestione e controllo dei rischi di commissione dei reati informatici. Indubbiamente il Documento potrebbe essere sostituito da altro a questo punto, ma in fondo era un documento gia presente in azienda e facilmente aggiornabile e consultabile. Si precisa infine che il venire meno dell'obbligo di tenuta a aggiornamento del DPS, non fa venir meno gli altri adempimenti previsti dalla normativa come, ad esempio, la procedura di gestione delle credenziali di autenticazione, procedura di back up e l'aggiornamento periodico dell'ambito di trattamento di ciascun incaricato.