Legge sulla privacy: gli adempimenti da osservare anche dopo l’abrogazione del D.P.S.

di Vincenzo D'Andò

Pubblicato il 28 marzo 2012



già dalla scadenza del 31 marzo, le aziende ed i professionisti non hanno più l’obbligo di redigere il DPS, tuttavia alcuni importanti adempimenti in materia di privacy rimangono ancora in vigore

Già dalla scadenza del 31.03.2012, le aziende ed i professionisti non hanno più l’obbligo di redigere (o aggiornare) il Documento Programmatico sulla Sicurezza (D.P.S.), precedentemente istituito per meglio monitorare la corretta adozione delle misure minime di sicurezza.

L’art. 45 del D.L. n. 5 del 09.02.2012 (cd. decreto sulle semplificazioni), pubblicato sul Supplemento Ordinario n. 27 della Gazzetta Ufficiale n. 33 del 09.02.2012, ha, infatti, abolito il D.P.S., per cui non occorre affannarsi per rispettare la scadenza del 31 marzo entro la quale ogni anno si era costretti ad esaminare attentamente il proprio sistema di sicurezza per il trattamento dei dati personali.

Tuttavia,  l’abolizione del D.P.S. non ha cambiato la sostanza della normativa sulla privacy poiché sono rimaste in vigore tutte le misure di sicurezza obbligatorie ed i provvedimenti del Garante che hanno effetto di legge (come ad es. quello sugli amministratori di sistema, le linee guida del Garante per la privacy nei luoghi di lavoro, ecc.), che se non rispettati espongono i contravventori a pesanti sanzioni.

Dottrina, specializzata in tale particolare materia, consiglia alle imprese ed ai professionisti che negli anni precedenti hanno già predisposto il D.P.S., comunque di continuare ad aggiornare tale documento con cadenza annuale (sia pure non sia più obbligatorio), di modo da verificare la corretta adozione delle misure minime di sicurezza obbligatorie ai sensi del Codice della privacy.

In alternativa, è possibile continuare a monitorare la situazione attraverso un documento interno (un verbale, un promemoria, o un qualsiasi altro scritto) che consenta alle aziende ed ai professionisti di tenere sotto controllo le misure di sicurezza e gli altri adempimenti privacy rimasti in vigore.

Tale documento consente al titolare di mettere per iscritto tutti gli accorgimenti effettuati per rispettare la delicata normativa e torna utile in caso di contestazioni della Guardia di Finanza.

Il citato Decreto n. 5 del 2012 ha, infatti, ritenuto non più utile il D.P.S. -considerato un adempimento solamente formale alla normativa sulla privacy - perciò adesso quello che conta è la “sostanza” della tutela della privacy, cioè l’esistenza di effettive misure di sicurezza per proteggere i dati, e non la loro descrizione in un documento formale.

Adesso, a maggior ragione, si dovrebbe evitare di confondere l’obbligo di adottare le misure di sicurezza con quello di scriverle in un documento cartaceo.

Ogni impresa “titolare del trattamento” di dati personali deve innanzitutto rispettare tutti i principi fondamentali stabiliti dal D.Lgs. 196/2003 per il trattamento dei dati (esattezza dei dati, pertinenza, non eccedenza, necessità del trattamento e conservazione solo per il tempo necessario).

Il titolare poi, deve nominare gli incaricati del trattamento e gli eventuali responsabili, dare l’informativa alle persone fisiche interessate, ottenere il loro consenso se necessario e, soprattutto, rispettare (almeno) tutte le misure minime di sicurezza stabilite dal Codice della privacy e controllare periodicamente la loro applicazione.

Perciò, nonostante l’abolizione del D.P.S., gli adempimenti da tenere sotto controllo per la gestione dei potenziali rischi derivanti dal trattamento dei dati personali sono parecchie.

Eliminazione del DPS

L’adempimento principale della normativa introdotta dal D.Lgs. n. 196 del 2003 era costituito dalla tenuta e dall’aggiornamento del Documento programmatico sulla Sicurezza, che implicava per imprese e professionisti il sostenimento di costi gestionali per predisporre la stesura del rendiconto annuale delle misure di sicurezza adottate.

Fino alla scadenza del 31.03.2011, le modalità per redigere il Documento Programmatico sulla Sicurezza erano, alternativamente e a seconda delle tipologie di dati personali trattati, le seguenti:

- la modalità ordinaria di tenuta del D.P.S., con la quale rendicontare l’elenco analitico di tutti i trattamenti di dati effettuati;

- la modalità semplificata di tenuta del D.P.S., facoltà che era prevista per imprese e professionisti che trattano quali unici dati sensibili quelli relativi a dipendenti o collaboratori esclusivamente per finalità amministrative;

- l’autocertificazione sostitutiva del DPS, se gli unici dati sensibili e giudiziari detenuti erano quelli relativi ai dipendenti, collaboratori o loro parenti.

Adesso, invece, dalla scadenza del 31.03.2012, non vale più l’obbligo di rendicontare mediante l’aggiornamento del Documento Programmatico sulla Sicurezza la corretta adozione delle misure minime di sicurezza.

Le misure sulla privacy da continuare ad osservare

I soggetti che trattano dati personali devono predisporre adeguati controlli in materia di sicurezza, sulla base di uno specifico protocollo previsto dal c.d. Disciplinare Tecnico della norma (allegato B del citato D.Lgs. n. 196 del 2003).

La norma obbliga alla realizzazione di diversi adempimenti, tra cui:

- La nomina del titolare del trattamento dei dati, che generalmente coincide con la Società, nella persona del suo Legale rappresentante;

- la nomina dei responsabili del trattamento dei dati;

- la nomina degli incaricati al trattamento dei dati;

- la nomina dell’amministratore di sistema;

- il rilascio di apposita informativa;

- la preventiva richiesta del consenso al trattamento dei dati;

- la notificazione al Garante della Privacy, quando ricorra l’obbligo;

- l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine, il rischio di sottrazione, alterazione, perdita degli stessi, accesso non autorizzato da parte di terzi, trattamento di dati non consentito e non conforme a quanto normativamente previsto.

Da rammentare che chi non adempie a tali obblighi si espone al rischio, prima di vedersi applicare le pesanti sanzioni anche di natura penale, e poi di dovere risarcire i danni che i terzi si vedono riconoscere dalle autorità giudiziarie come conseguenza dell’inefficiente controllo dell’attività di trattamento dei dati personali.

Aspetti sanzionatori e decorrenza delle nuove disposizioni

A parte ciò, comunque, dall’abolizione dell’obbligo di tenuta e aggiornamento del D.P.S. é derivato il venir meno anche delle relative sanzioni applicabili in caso di omesso o non corretto adempimento.

Pertanto, secondo parere di dottrina, per le eventuali violazioni commesse precedentemente non sono più applicabili le sanzioni penali previste per tale fattispecie.

A tali fini, occorre notare che il c.d. “Decreto Semplificazioni” è entrato in vigore dal 10.02.2012 (giorno successivo a quello di pubblicazione sulla G.U.).

 

Vincenzo D’Andò

28 marzo 2012