Il Decreto Semplificazioni ha eliminato dal Codice privacy (DLgs 196/2003) l’obbligo della stesura del DPS (il Documento programmatico sulla sicurezza).
Il DPS è un adempimento che dal 2003 ha riguardato tutti coloro che effettuano il trattamento di dati personali, anche non sensibili ed indipendentemente dalla loro natura o ragione sociale.
Il documento, da redigere a cadenza annuale (da aggiornare entro il 31 marzo di ogni anno), doveva attestare la corretta adozione di tutte le procedure che riguardano il trattamento dei dati personali e doveva soddisfare anche determinati obblighi di legge, se previsti, ad esempio se ne doveva dare comunicazione nella relazione allegata al Bilancio d'esercizio.
L'art. 46 del D.L. ha, dunque, eliminato l'obbligo di tenere un documento programmatico sulla sicurezza, nonché il comma 1 bis che, invece, prevedeva la possibilità, per alcune aziende, di sostituire l'obbligo di adozione del DPS con un'autocertificazione.
Abrogate le norme relative al DPS, resteranno comunque in vigore tutte le regole dell’art.34 dell’Allegato B, pertanto il responsabile della sicurezza dovrà sempre produrre un documento che attesti di aver messo in pratica in modo corretto tutte le misure di cui all’art. 34.
La decisione del Governo di eliminare definitivamente il DPS arriva dopo un lungo tragitto normativo che ha importato una graduale e sostanziale riduzione dei soggetti effettivamente tenuti alla redazione del DPS.
Originariamente l'obbligo di adozione del DPS era sancito per tutti coloro che trattavano dati sensibili o giudiziari con l'impiego di strumenti elettronici.
Nel 2008, era stato poi previsto abolizione di tale obbligo per coloro che trattavano come unici dati sensibili i dati relativi alla salute o malattia dei dipendenti o collaboratori senza l'indicazione della diagnosi nonché i dati relativi all'adesione sindacale.
Il DPS era comunque uno strumento che consentiva di dare evidenza, in caso di controllo, di un approccio positivo all'applicazione normativa.
In occasione controlli esibire il DPS costituiva un presupposto fondamentale per dimostrare l'attenzione del Titolare alle misure richieste dalla normativa.
D’ora in avanti i controlli certamente si concentreranno in modo più approfondito su altri elementi.
Le aziende non dovranno più redigere il DPS, ma sicuramente in futuro , saranno investite da adempimenti molto più pesanti e onerosi.
In particolare ora le aziende ed i professionisti dovranno concentrarsi sulla verifica effettiva dell'applicazione dell'art. 34 orfano del DPS.
L’abolizione del DPS paradossalmente, impegnerà dunque, le aziende, i professionisti e gli enti, nel predisporre una documentazione dalla quale si evinca chiaramente l’adozione delle numerose misure di sicurezza che il Codice privacy continua ad imporre.
In concreto, saranno le aziende a dover dimostrare la conformità del loro operato alle regole comunitarie, in caso di controlli.
Anche le sanzioni infine saranno molto più pensanti delle attuali, perché saranno proporzionate in funzione del fatturato globale annuo dell’impresa.
Autore
Tiziana Colucci
Administrative office manager
Faccio parte della SNAP dal 2005 ed attualmente sono responsabile dell’ ...