Il 31 marzo è vicinissimo ma non c’è più il DPS. Che fare?

 

L’art. 45 del D.L. n. 5 del 9 febbraio 2012 (il cosiddetto decreto “semplificazioni” del governo Monti) ha abolito il DPS perciò non c’è più la scadenza del 31 marzo entro la quale ogni anno era necessario rivedere il proprio sistema di sicurezza per il trattamento dei dati personali per aggiornare il DPS.

Ma allora le imprese possono “dormire sonni tranquilli”? Assolutamente no! Anzi, non dover più prendere in mano un documento che descrive la situazione aziendale per quanto riguarda la privacy, a mio parere può creare qualche problema. Infatti, l’abolizione del DPS non ha cambiato la sostanza della normativa sulla privacy e sono rimaste in vigore tutte le misure di sicurezza obbligatorie e i provvedimenti del Garante che hanno effetto di legge (come ad es. quello generale sulla videosorveglianza, quello sugli amministratori di sistema, le linee guida del Garante per la posta elettronica e Internet nei luoghi di lavoro, ecc.), che se non rispettati espongono i contravventori a pesanti sanzioni.

Il decreto 5/2012 ha ritenuto superfluo il DPS -considerato un adempimento solamente formale alla normativa sulla privacy- perciò adesso quello che conta è la “sostanza” della tutela della privacy, cioè l’esistenza di effettive misure di sicurezza per proteggere i dati, e non la loro descrizione in un documento formale. Si deve pertanto evitare di confondere l’obbligo di adottare le misure di sicurezza con quello di scriverle in un documento cartaceo, facendo magari prevalere questo su quello.

Ogni impresa “titolare del trattamento” di dati personali deve innanzitutto rispettare tutti i principi fondamentali stabiliti dal D.Lgs. 196/03 per il trattamento dei dati (esattezza dei dati, pertinenza, non eccedenza, necessità del trattamento e conservazione solo per il tempo necessario). Il titolare poi, deve nominare gli incaricati del trattamento e gli eventuali responsabili, dare l’informativa alle persone fisiche interessate, ottenere il loro consenso se necessario e, soprattutto, rispettare (almeno) tutte le misure minime di sicurezza stabilite dal Codice della privacy e controllare periodicamente la loro applicazione.

Perciò, nonostante l’abolizione del DPS, le cose da tenere sotto controllo per la gestione dei potenziali rischi derivanti dal trattamento dei dati personali sono parecchie. A mio avviso, perciò, sarebbe opportuno che le imprese che in passato hanno investito tempo e denaro per la redazione del DPS e per la formazione del personale non si “dimenticassero” completamente della privacy, ma continuassero a monitorare la situazione attraverso un documento interno (un verbale, un promemoria, o un qualsiasi altro scritto) che permetta loro di tenere sotto controllo le misure di sicurezza e gli altri adempimenti privacy rimasti in vigore. Questo documento permetterebbe al titolare di ricordare quello che ha fatto e potrebbe tornare utile in caso di contestazioni della Guardia di Finanza. Senza il DPS, infatti, i controlli sulle misure di sicurezza saranno più complessi e d’ora in poi si concentreranno sull’effettiva applicazione delle misure di sicurezza. Inoltre, va anche considerato che tenere sotto controllo le misure di sicurezza e gli altri adempimenti privacy rimasti in vigore consentirà all’impresa di essere pronta all’avvento del nuovo Regolamento UE che stabilisce regole ancora più stringenti per la privacy, senza dovere ricominciare tutto da capo quando entrerà in vigore e, come tutti i regolamenti comunitari, sarà immediatamente applicabile anche nel nostro Paese.

(Marcello Polacchini)

Questa voce è stata pubblicata in Privacy. Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...