PRIVACY - Semplifica-Italia, abrogato il Dps, non le altre misure di sicurezza
Filippo Patroni Griffi (Ministro per la p.a. e semplificazione) propone e il Consiglio dei Ministri n° 12 del 27.01.2012 approva: con il c.d. decreto-legge Semplifica Italia, in materia di semplificazione e sviluppo, si spazzano via due significativi obblighi imposti per la protezione dei dati personali, la prioritaria redazione del D.p.s. e l'ancillare obbligo di formazione continua.
Palazzo Chigi, sotto la regia di Mario Monti (Presidente del Presidente del Consiglio) e di Antonio Catricalà (Sottosegretario di Stato alla Presidenza), ha disposto infatti l'abolizione d’emblée dell'obbligo di dotarsi del Documento Programmatico sulla Sicurezza nel trattamento dei dati personali.
Non vi sarà più, perciò, alcun obbligo al riguardo, neppure per coloro che trattino dati sensibili o giudiziari.
Il D.p.s., invero, costituiva la più famosa tra le misure minime di sicurezza prescritte - sotto comminatoria di sanzione penale per l'omessa adozione (ex art. 169 Codice Privacy) - allo scopo di assicurare la migliore protezione dei dati personali e andava redatto dai vari titolari del trattamento (fossero aziende o enti pubblici od organizzazioni d'altro genere) annualmente, entro il 31 marzo. Tale documento consentiva al titolare del trattamento di mettere riservatamente "nero su bianco" lo stato di adeguamento alla privacy degli interventi effettuati, i rischi e le contromisure poste in essere, "fotografando" ad una certa data la situazione concreta, salvi gli aggiornamenti da apportare a seguito di modifiche della struttura organizzativa o degli apparati in uso. Anzi, esso offrivate un validio "strumento" per dare riscontro probatorio in ordine all'adempimento dell'effettiva tutela apprestata in tema di protezione dei dati personali, a mezzo di un concreto "tracciamento" delle diverse attività svolte dal titolare.
Non sarà più dovuta dall'impresa, conseguentemente, neanche la menzione del D.p.s. nella Relazione accompagnatoria del bilancio d'esercizio (se dovuta), che era prevista dall'art. 26 del Disciplinare Tecnico.
Nemmeno pare più obbligatoria l'erogazione di corsi di formazione per gli Incaricati del trattamento (per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare), la cui pianificazione andava sinora annotata nel D.p.s., come contemplato dall'All. "B" al Codice Privacy al fine di adeguare la realtà aziendale e le competenze di dipendenti e collaboratori alle molteplici regole privacy, dall'inizio del rapporto di lavoro/collaborazione ma anche in occasione di cambio di mansioni o d'introduzione di nuovi strumenti di rilievo in materia di dati personali.”
Il decreto Semplifica Italia, dunque, non cancella affatto le altre misure di sicurezza, minime e adeguate, stabilite dagli art. 33, 34 e 35 del Codice Privacy , né l'obbligo di impartire specifiche prescrizioni e istruzioni agli Incaricati al trattamento e, altres' quelli di rispettare tutte le altre disposizioni previste dal D.L.vo n° 196/03, dalle Autorizzazioni generali del garante e dai Codici di Deontologia e di Buona Condotta (per Avvocati ed Investigatori provati, l'All. "A.6." al T.U. privacy, in vigore dal 01.01.2009).
Questo il laconico comunicato del Governo Monti al riguardo:
"Privacy: eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (D.p.s.) che, oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24.10.95, rappresenta un adempimento meramente superfluo. Restano comunque ferme le misure di sicurezza previste dalla normativa vigente. Il risparmio stimato per le P-M.I. è di circa 313 milioni di euro all’anno".
La bozza del Decreto Semplifica Italia così prevede sul punto:
"Art. 47 - (Semplificazioni in materia di dati personali).
1. Al decreto legislativo 30 giugno 2003, n° 196, sono apportate le seguenti modificazioni:
a ) dopo l'art. 17 è inserito il seguente:
«17-bis. Fatto salvo quanto previsto dagli artt. 21 e 27, il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d'intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell'interno o con i suoi uffici periferici di cui all'art. 15, comma 2, del decreto legislativo 30 luglio 1999, n° 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.».
b) all'art. 34 sono soppressi la lett. g) del comma 1 e il comma 1-bis; c ) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all'Allegato B sono soppressi i paragrafi da 19 a 19.8 e 26."