 |
Il Decreto sulle semplificazioni ha introdotto un’importante novità in materia di dati personali: dal “Codice della Privacy” (D.Lgs. 196/2003) sono stati rimossi gli obblighi relativi alla redazione del DPS (Documento Programmatico sulla Sicurezza). Quali doveri persistono relativamente alla privacy?
|
Il Governo, nella sua presentazione al decreto “Semplifica Italia”, ha specificato che l’”eliminazione del Documento programmatico sulla sicurezza per la privacy porterà un risparmio di circa 313 milioni”.
Sicuramente il dovere annuale di revisione del documento rappresentava un impegno in termini di tempo e denaro (anche se è importante ricordare che già a metà 2011 l’obbligo era stato eliminato per tutti i soggetti che trattavano unicamente dati sensibili relativi ai rapporti di lavoro con i propri dipendenti). Tuttavia l’eliminazione del DPS rischia di far passare un messaggio fuorviante, cioè che gli adempimenti relativi alla privacy siano scomparsi.
In realtà non è così: permangono gli obblighi relativi alla gestione dei trattamenti svolti dai soggetti, che prevedono le nomine di responsabili e incaricati, oltre all’individuazione delle specifiche competenze e responsabilità. Restano i doveri inerenti al backup almeno settimanale per gli archivi di dati sensibili e/o giudiziari, oltre alle indicazioni relative ad informative e richieste di consenso. Permangono i vincoli relativi agli Amministratori di Sistema e ai trattamenti in outsourcing.
In pratica, persistono tutte le altre misure minime di sicurezza riportate nel Codice della Privacy (a cui si aggiungono i diversi oneri sanciti dal Garante della Privacy negli ultimi anni). A questi impegni, si devono affiancare per le Pubbliche Amministrazioni anche tutti gli adempimenti in tema di Disaster Recovery e Business Continuity introdotti con l’art. 50-bis del Codice Dell’amministrazione Digitale.
L’obbligo di revisione del DPS entro il 31 marzo di ogni anno costringeva i soggetti che trattano dati sensibili e/o giudiziari a riesaminare la propria situazione, al fine di evidenziare variazioni significative nell’organizzazione dei trattamenti, verificare l’adozione delle contromisure per difendersi dai rischi rilevati e vagliare la possibilità di adottarne di nuove. Rappresentava quindi anche un importante momento di bilancio relativo alla propria situazione nell’ambito di trattamento dei dati personali.
Realisticamente parlando, in molti casi la revisione del DPS veniva considerata come un mero obbligo di legge, a cui far fronte “portando avanti” di un anno le date riportate nel documento stesso. In questi casi sicuramente il Decreto sulle semplificazioni ha portato un alleggerimento rilevante, ma non l’esonero dalla necessità di verificare il rispetto di tutti gli altri adempimenti relativi al trattamento dei dati personali.
Per coloro che invece cercavano di gestire positivamente tale adempimento (in verità un po’ astratto, nella sua struttura), sfruttandolo per pianificare e scadenzare i propri interventi al fine di garantire la protezione dei dati personali, diventa importante trovare altri metodi per gestire i propri piani di attuazione e verifica: gli obblighi non sono pochi, organizzarli adeguatamente è un impegno notevole.
In ogni caso, per un DPS che esce dalla porta dobbiamo aspettarci qualcos’altro che entrerà dalla finestra nel giro di qualche mese: come anticipato in un nostro precedente articolo, il Parlamento Europeo sta studiando l’introduzione di un regolamento che avrà un approccio molto più concreto (e corposo) dal punto di vista organizzativo e operativo rispetto al DPS. Tale regolamento sarà obbligatorio in tutti i paesi dell’Unione Europea e certificherà azioni ed interventi intrapresi per garantire l’adeguata protezione dei dati personali.
In questo periodo di “vuoto” documentale è importante non mollare il colpo, sforzandosi di organizzare i propri processi al fine di gestire adeguatamente tutti gli aspetti inerenti alla sicurezza dei dati.
Per informazioni sui servizi offerti da SI.net in merito a privacy e sicurezza informatica, scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
