Il DL 5/2012 (cosiddetto “Decreto semplificazioni”) – ancora in corso di conversione – contiene misure urgenti in materia di semplificazione e sviluppo.
Viene abrogato il DPS, ma restano obbligatorie le altre misure minime di sicurezzaViene abrogato il DPS, ma restano obbligatorie le altre misure minime di sicurezza
Tra le semplificazioni, si segnala l’abrogazione dell’obbligo di redazione o aggiornamento del Documento Programmatico sulla Sicurezza (DPS), prescritto dal Codice della privacy e, conseguentemente, dell’autocertificazione sostitutiva del DPS laddove consentita.
Con la soppressione del DPS viene meno anche l’obbligo da parte del titolare di riferire nella relazione accompagnatoria del bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del DPS.
L’art. 45, comma 1 lett. c) e d), del DL 5/2012 ha soppresso, infatti, tutte le previsioni contenute nel Codice delle privacy che si riferiscono al DPS, quindi l’art. 34, comma 1 lett. g) e comma 1-bis, del DLgs. 30.6.2003 n. 196 e i paragrafi 19-19.8 e 26 dell’allegato B del decreto (Disciplinare tecnico in materia di misure minime di sicurezza).
Per il legislatore – così si legge nella relazione governativa – l’obbligo di predisporre e aggiornate il DPS rappresenta un adempimento meramente superfluo che, peraltro, non realizza un’effettiva tutela della sicurezza dei dati e dei sistemi informatici.
A tal riguardo, si ricorda che la tenuta di un aggiornato DPS costituiva una misura “minima” di sicurezza prevista, in relazione all’obbligo generale di protezione dei dati personali.
L’obbligo di adozione della misura minima della tenuta di un aggiornato DPS ricorreva in caso di trattamento di dati personali “sensibili” o giudiziari con strumenti elettronici (ad esempio, il computer). Soggetto obbligato alla redazione del DPS era il titolare dei trattamenti, anche attraverso il responsabile, se designato.
Il DPS andava redatto o aggiornato entro il termine annuale del 31 marzo, conservandolo presso la propria struttura ed esibendolo in caso di controllo.
Il DPS non andava inviato al Garante della privacy.
Per la mancata redazione o il mancato aggiornamento del DPS, il Codice prescriveva l’applicazione di sanzioni amministrative e penali.
Viene abrogato il DPS, ma restano obbligatorie le altre misure minime di sicurezza
È bene precisare che il DPS è solo una delle misure minime di sicurezza a tutela dei dati personali. In altre parole, il DL 5/2012 ha solo eliminato il mero obbligo di documentare l’adozione delle misure minime di sicurezza per il trattamento di dati “sensibili” o giudiziari con strumenti elettronici mediante la redazione del DPS.
Le altre misure di sicurezza, previste dalla normativa vigente in materia di sicurezza del trattamento dei dati personali, invece, non vengono abolite e restano obbligatorie (ad esempio, occorre ancora prevedere un sistema di autenticazione informatica, procedere all’aggiornamento almeno annuale dei programmi volti a prevenire la vulnerabilità degli strumenti elettronici, provvedere a copie di back up almeno con frequenza settimanale).
Per quanto riguarda il regime di decorrenza, il DL 5/2012, entrato in vigore il 10 febbraio 2012, non prevede una disposizione specifica. Pertanto, si riterrebbe che l’abrogazione dell’obbligo di redigere o aggiornare il DPS sia immediatamente operativa.
Ciò vuol dire che non si deve più procedere alla redazione o all’aggiornamento del DPS o della relativa autocertificazione sostitutiva entro il prossimo termine di scadenza del 31 marzo 2012.
Inoltre, non è più necessario procedere ad alcuna indicazione nella relazione accompagnatoria del bilancio di esercizio 2011.
L’abrogazione dell’obbligo della redazione/aggiornamento del DPS, anche se immediatamente operativa, è subordinata alla conversione in legge del DL 5/2012. La mancata conversione comporterebbe, infatti, la caducazione fin dall’origine dell’abrogazione dell’obbligo stesso con l’applicazione delle relative sanzioni, eccetto il caso in cui un’apposita disposizione di legge faccia salvi gli effetti del decreto decaduto.