Il decreto-legge 9 febbraio 2012, n. 5, Disposizioni urgenti in materia di semplificazione e di sviluppo, pubblicato nella GU 9 febbraio 2012, n. 33 all’art. 45 apporta semplificazioni anche in materia di dati personali.

Infatti, in tale ambito la principale innovazione è l’espressa abrogazione del punto 19 dell’Allegato B, nonché “la lettera g) del comma 1 e il comma 1-bis dell’art. 34” che comporta l’abolizione dell’obbligo di adozione, entro il 31 marzo di ogni anno, del Documento Programmatico Sicurezza.

Ciononostante, la succitata abrogazione normativa non determina in alcun modo l’esonero, per il titolare o per il responsabile del trattamento di dati, dall’obbligo di osservare le misure minime di sicurezza.

Infatti, permane l’integrale applicazione dell’art. 34 del d.lgs. 196/03, nell’ipotesi di trattamento dei dati con strumenti elettronici, con il conseguente onere per i titolari/responsabili del trattamento di predisporre:

a) l’autenticazione informatica;

b) l’ adozione di procedure di gestione delle credenziali di autenticazione;

c) l’utilizzazione di un sistema di autorizzazione;

d) l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – provvedendo anche alla formazione degli stessi al fine di garantire l’effettiva protezione dei dati, nonché l’efficacia delle misure minime adottate;

e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

h) l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

 

Ciò posto, si evidenzia come sarà ancora necessario, per i soggetti di cui agli artt. 28 e 29 del d.lgs.196/03, predisporre la redazione di un documento idoneo che, pur non chiamandosi più DPS, attesti il corretto adempimento delle misure minime previste dall’art. 34 e dall’Allegato B.

Del resto, a mio avviso, le aziende ed i professionisti non devono abbandonare quanto prodotto nel corso di questo decennio in materia di privacy e ciò per due ordini di ragioni: in primis, per continuare a tutelare i propri dati aziendali nonché il proprio know-how; in secondo luogo per tutelarsi da eventuali responsabilità penali, civili ed amministrative causate da potenziali trattamenti illeciti di dati che permangono nel Codice della Privacy.

Infatti, dopo l’entrata in vigore dal decreto semplificazioni, appare opportuna l’adozione, da parte del titolare del trattamento dei dati, di un documento che descriva dettagliatamente l’organizzazione e le politiche di privacy adottate e che coincida nella logica con il DPS, senza però rispondere ai criteri imposti dal Garante della Privacy.

Pertanto, il Documento Programmatico della Sicurezza potrà ancora essere adottato quale strumento per prevenire i reati legati al trattamento illecito dei dati e potrà continuare ad essere gestito da chi ha già investito finora nella propria sicurezza e nella sicurezza dei propri clienti.