avanti 02/02/2012 - IL DECRETO SEMPLIFICAZIONI ABOLISCE IL DPS

Nella seduta del 27/01/2012 il Consiglio dei Ministri ha esaminato e approvato il Decreto Legge in materia di semplificazione e sviluppo, ora rimesso alla conversione delle Camere.

Tra le numerose novità, quella principale in materia di privacy è l’eliminazione dell'obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) al 31 marzo di ogni anno, anche per i titolari del trattamento che gestiscono dati sensibili con strumenti elettronici. Il DL ha infatti soppresso nel Decreto Legislativo 30 giugno 2003, n. 196,

·       nell’art. 34, la lettera g) del comma 1 e il comma 1-bis;

·       nel Disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B, i paragrafi da 19 a 19.8 e 26.

E’ tuttavia necessario sottolineare che viene meno una delle misure prescritte, ma l’art. 34 resta comunque in vigore. I titolari del trattamento dovranno, quindi, continuare a garantire:

  • l’implementazione di sistemi di autenticazione ed autorizzazione informatica;
  • l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
Ma sarà davvero abbandonato il DPS?

Anche se poteva sembrare un adempimento formale e burocratico, in realtà il DPS presentava il vantaggio di assicurare alle imprese una tracciabilità delle scelte e degli interventi in materia di protezione dei dati personali, utile a livello probatorio nel caso di esposti e contenziosi, nonché per la tutela dei dati dei lavoratori, consumatori e cittadini.

Le strutture più articolate, quali ad esempio strutture sanitarie, assicurazioni, ecc., difficilmente potranno abbandonare questa tipologia di documento di carattere organizzativo. Inoltre, per il D.Lgs. 231/2001, il DPS può essere assunto come strumento atto a contribuire alla prevenzione dei reati di trattamento illecito dati, pertanto potrà continuare ad essere gestito in quell’ottica per chi vi abbia ad oggi investito.

Quello che si supera è di fatto il formalismo del DPS in sé, a vantaggio di un approccio più operativo alla materia, prestando maggiore attenzione alla “sostanza” di altri documenti aziendali quali nomine agli incaricati ed informative.

Il consiglio che possiamo dare è quello di mantenere e aggiornare il DPS, un utile strumento, se ben costruito, per garantire la protezione dei dati aziendali, bene molto prezioso per il business.