Roma, 28 gennaio 2012 – Con l’eliminazione della lettera g) dell’art. 34 del DLgs 196/2003 (“tenuta di un aggiornato documento programmatico sulla sicurezza”) contenuta nel Decreto Semplificazioni, il Governo ha eliminato dal Codice privacy l’obbligo della stesura del DPS, Documento Programmatico sulla Sicurezza. Questo documento andava aggiornato entro il 31 marzo di ogni anno e conteneva tutte le informazioni sulla gestione della privacy in azienda. La mancanza di questo documento comportava, in caso di controllo da parte degli organi preposti, pesanti sanzioni anche di tipo penale.
Viene eliminato così un adempimento che è stato sempre mal digerito da parte di tutte le aziende, pubbliche amministrazioni, liberi professionisti o altro.
Il DPS costituiva di fatto una radiografia di ciò che veniva fatto in termini di protezione dei dati personali trattati in azienda ed era pertanto una base di partenza nei controlli che venivano effettuati dalla Guardia di Finanza.
In questa ottica e non solo, il DPS era un importante documento perché valorizzava le politiche in materia di privacy adottate dalle aziende e rappresentava sicuramente un virtuosismo per le aziende che seriamente prestano attenzione a queste problematiche.
Allora certo che aveva un senso il DPS, visto con questa luce e non come un faldone di pagine da produrre e valutato in base al peso, spesso spacciato così dai cosiddetti “tipografi del DPS”.
Ci si chiede allora cosa è rimasto. Sicuramente sono ancora valide tutte le altre regole dell’art.34 dell’Allegato B, pertanto il Responsabile della sicurezza dovrà sempre produrre un documento che attesti al Titolare di aver messo in pratica in modo corretto tutte le misure di cui all’art. 34, che si chiamerà DPS o in altro modo questo verrà reso noto nelle prossime indicazioni derivanti dalla Direttiva Europea.
Ecco cosa cambia. La proposta della Commissione Europea per il nuovo Regolamento sulla tutela dei dati personali sostituirà la direttiva 95/46/CE e a differenza della direttiva, il Regolamento sarà legge direttamente applicabile in ogni Stato membro, quindi anche in Italia. Sarà sicuramente una rivoluzione che avrà un forte impatto sul Codice Privacy e anche in Italia si dovranno quindi rispettare gli stessi adempimenti del resto dei paesi membri.
Le aziende quindi, seppur momentaneamente possono tirare un sospiro di sollievo per l’abolizione del DPS, saranno sicuramente investite da adempimenti molto più pesanti e onerosi. La documentazione richiesta sarà molto più corposa così come saranno più pesanti le sanzioni previste. Sarà prevista l’adozione di un vero modello organizzativo per la tutela dei dati, con l’introduzione, ad esempio, del principio di responsabilità (accountability). In concreto, saranno le aziende a dover dimostrare la conformità del loro operato alle regole comunitarie, in caso di controlli.
Anche le sanzioni infine saranno molto più pensanti delle attuali, perché saranno proporzionate in funzione del fatturato globale annuo dell’impresa.
Cosa fare in questo tempo di transizione? Sicuramente le strutture più articolate non potranno abbandonare quanto finora prodotto, ossia il DPS. Un’azienda che esplica numerosi trattamenti come una banca, un’assicurazione, un’azienda sanitaria, non potrà che esigere la redazione di un documento che descriva dettagliatamente l’organizzazione e le politiche di privacy adottate e che coincide nella logica con il DPS, senza però rispondere ai criteri imposti dal Garante come l’elenco degli elementi costitutivi indicati al punto 19 dell’Allegato B.
Il DPS potrà quindi essere assunto come strumento per prevenire i reati legati al trattamento illecito dei dati e pertanto potrà continuare ad essere gestito per chi ha già investito finora, in attesa di percepire il nuovo Regolamento della Commissione Europea.