Home NEWS Codice Privacy: il DPS è stato soppresso dal Decreto Monti sulle semplificazioni.

Codice Privacy: il DPS è stato soppresso dal Decreto Monti sulle semplificazioni.

L’art.46 del D.L. 1/2012 del 24 gennaio 2011 ( Manovra sulla semplificazione e sviluppo) ha abolito l‘obbligo  di redazione del  DPS, ossia del Documento programmatico sulla sicurezza dei dati, che tutti i  soggetti, sia pubblici che privati,  che “trattano” dati sensibili e giudiziari con strumenti informatici, erano tenuti a redigere entro il 31 marzo di ogni anno.

Ciò in ottemperanza all’art. 35 del Codice della Privacy, che come detto,  è stato eliminato.

I soggetti di cui sopra erano obbligati ad implementare e revisionare (annualmente entro il 31 marzo)  il suddetto Documento Programmatico,  in cui  dovevano indicare, nella sostanza, con quali strutture, quali risorse, quali attività e modalità venivano protetti i dati sensibili e giudiziari in loro possesso.

Nello svolgimento della lora peculiare attività, infatti, essi venivano a conoscenza di dati sensibili di altri soggetti (quali quelli sanitari, fiscali e finanziari) e giudiziari (quali pendenze penali, reati, ecc..).

Per le aziende.
Risulta chiaro che l’abolizione dell’adempimento documentale, non fa venir meno l’obbligo di protezione dei dati previsto dal Codice della Privacy.
Anzi,  secondo noi, l’abolizione del “documento” causerà una minore attenzione nella protezione dei dati, (norma che per inciso permane)  in quanto la sua adozione consentiva di non incorrere in violazioni, seguendo sistematicamente le procedure in esso pianificate.

Senza soffermarmi troppo su quali adempimenti sono stati eliminati, crediamo sia più utile precisare quali invece sono rimasti, al fine di continuare a rispettare le norme in materia, che in caso di violazioni prevedono conseguenze molto severe.

Gli obblighi che restano in capo all’azienda.

  • E sempre necessario nominare l’ amministratore del sistema di protezione dei dati (Provvedimento datato 27-11-2008 del Garante della Privacy).
  • Si deve eseguire, periodicamente, sia l’ggiornamento degli elenchi dei dati sensibili trattati e sia dell’elenco degli incaricati al trattamento, nuovi o confermati, ai sensi dell’art.. art. 34 lett. d) e dell’art. 35 lett. a) del Decreto legislativo 30 giugno 2003, n. 196 -Codice Privacy-).
  • Occorre nominare (meglio se tramite lettera controfirmata) il personale addetto al controllo e all’uso del sistema elettronico aziendale, in ossequio alle indicazioni del Garante della Privacy del 1-03-2007 per ciò che riguarda le modalità di utilizzo della posta elettronica aziendale (come da “linee guida” emanate dalla stessa autority).
  • Bisogna avere a disposizione in sede l’elenco aggiornato del personale responsabile al rilascio dei dati, a richiesta degli interessati.

Il nostro consiglio è di predisporre comunque  un “documento interno aziendale” per la pianificazione della protezione dei dati sensibili e giudiziari, , anche senza un obbligo normativo.
Infattim tale manuale nel caso di eventuali atti giudiziari emessi nei vostri confronti per violazioni del Codice, potrebbe costituire elemento probatorio a vostra difesa.

 Il documento soppresso era ritenuto utile anche per la tutela preventiva del reato previsto dal D.Lgs. 231/2001, ascrivibile a coloro che ricoprendo posizioni manageriali, commettono reati di tipo informatico.
Il DPS, con la regola 19 del Codice, abrogata, veniva richiamato nel suddetto D.Lgs. 231, quale strumento per l’analisi del rischio informatico.     

Da quanto previsto dalle regole del Garante, e sebbene il D.L. Monti pare che elimini anche le procedure semplificate, queste secondo noi potranno continuare ad essere utilizzate da professionisti e  PMI che eseguono il trattamento dei dati per scopi esclusivamente contabili ed amministrativi.

Infine il pacchetto liberalizzazioni, intervendo sul Codice della Privacy, ha  introdotto anche la norma (all’art. 17 bis ) che permette l’utilizzo dei dati, senza autorizzazione, per la prevenzione degli illeciti commessi dalle organizzazioni criminose, e non solo nel rispetto della normativa o dell’autorizzazione del Garante.
I protocolli utilizzati in tal senso permettono la  prevenzione ed il contrasto alla criminalità organizzata sia in Italia che all’estero. In tali casi, la legittimazione al trattamento dei dati giudiziari dovranno essere concordati con il Ministero dell’interno e con le relative strutture periferiche.

Insomma aziende e professionisti dovranno porre particolare attenzione in materia di protezione di dati sensibili, nella considerazione che l’eliminazione dell’obbligo di redazione del documento, non farà venir meno gli obblighi di protezione dei dati.

Fonte: D.L. 1/2012 24-1-2012