Con il Decreto Legge n. 5 del 9 febbraio 2012 (il c.d. Decreto “semplificazioni e sviluppo”), all’art. 45, il Governo Monti ha abrogato la lettera g) del comma 1 dell’articolo 44 del D.Lgs 196/2003 e s.m.i. (il c.d. “Codice della Privacy”), eliminando di fatto la necessità di redazione (od aggiornamento) del Documento Programmatico sulla Sicurezza (D.P.S.) da parte di tutti i tipi di imprese e liberi professionisti, indipendentemente dal tipo di dati trattati.
Premesso che si tratta di un Decreto Legge e, come tale, dovrà essere convertito in legge entro 60 giorni altrimenti decadrà automaticamente e la sua conversione in legge potrebbe avvenire con modifiche, si precisa quanto segue.
La soppressione dell’onere di redigere ed aggiornare il DPS entro il 31 marzo di ogni anno non abroga tutti gli altri adempimenti della privacy e l’applicazione stessa della legge. Ricordiamo che gli adempimenti ed il campo di applicazione della legge sulla privacy erano già stati ridotti con i provvedimenti emanati dal precedente Governo per le organizzazioni che non trattano dati sensibili eccetto i dati sensibili relativi ai propri dipendenti (e loro familiari) e trattano esclusivamente dati di persone giuridiche per scopi amministrativo-contabili.
Le statistiche, messe a disposizione dalla stessa Autorità dimostrano chiaramente che le multe per omessa redazione del DPS sono una percentuale numericamente minore rispetto alle altre casistiche rilevate nel corso delle ispezioni del nucleo Privacy della Guardia di Finanza. La sostanza della normativa privacy non è di fatto cambiata con l’abolizione del DPS e rimangono le stesse misure di sicurezza obbligatorie (ad es. attuazione delle misure minime di sicurezza, nomina incaricati e responsabili del trattamento di dati, ecc.) ed i provvedimenti del Garante che hanno effetto di legge (ad es. quello generale sulla videosorveglianza, quello sugli amministratori di sistema, le linee guida del Garante per posta elettronica e internet nei luoghi di lavoro) che, come atti di natura prescrittiva, se non rispettati espongono i contravventori a pesanti sanzioni.
In attesa del nuovo Regolamento europeo sulla protezione dei dati personali, che peraltro ci imporrà a breve di tornare a regole più rigide e sanzioni severe, la semplificazione attuata dal Governo, che risparmia alle imprese finora tenute l’incombenza del DPS, presenta però anche l’altra faccia della medaglia, cioè quello di essere indotti ad abolire completamente la gestione della privacy in azienda, con il potenziale rischio di rimanere “scottati” al primo imprevisto (verifiche del nucleo privacy della GdF, denunce al Garante da parte di potenziali soggetti danneggiati, perdita della sicurezza delle informazioni). La stesura del DPS, tra l’altro, era ritenuto erroneamente da molte organizzazioni una sorta di adeguamento normativo omnicomprensivo sul tema della privacy, mentre invece le dichiarazioni riportate nel DPS non hanno alcun valore se poi non sono messe in pratica.
Per questo, se un’azienda decide di continuare a redigere un disciplinare interno sulla privacy dove elencare le misure di sicurezza in essere, tutti gli interventi effettuati e la previsione di quelli da effettuare, farebbe una scelta opportuna per la gestione dei potenziali rischi derivanti dal trattamento dei dati personali.
