Dall’ 1 gennaio 2004 è in vigore il Testo Unico in materia di tutela di dati personali che obbliga tutte le aziende all'adozione di specifiche misure organizzative e di sicurezza nel trattamento dei dati al fine di evitare pesanti sanzioni amministrative e penali.
Tutte le aziende sia private che pubbliche, sono tenute ad operare nel rispetto di precise regole che riguardano la sicurezza dei dati e dei sistemi al fine di ridurre al minimo le fonti di rischio e garantire correttezza, integrità ed aggiornamento delle informazioni.
Con le recenti riforme introdotte dal nuovo Governo Monti il panorama degli obblighi aziendali in materia di privacy e di trattamento dei dati personali, ha subìto una rivoluzione introducendo nuove normative:
• La Manovra Finanziaria Monti (L. n. 214 del 22/12/11) ha aggiornato la definizione di “dati personali” escludendo l’applicabilità del Codice per la protezione dei dati personali (Codice Privacy) alle informazioni concernenti persone giuridiche, Enti e associazioni.
• Il Decreto Semplificazioni (D. Lgs. n.5 del 09/02/12, art. 45) interviene inoltre cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (Documento Programmatico sulla Sicurezza) sia in forma ordinaria che semplificata.
Tuttavia per sua natura, è una norma temporanea che deve essere convertita in legge entro 60 giorni altrimenti decade come se non fosse mai esistito. In quei 60 giorni può essere modificato e integrato (succede spessissimo) ma soprattutto quei 60 giorni scadono dopo la fatidica data del 31 Marzo entro la quale il DPS va aggiornato.
Possiamo quindi dire addio al DPS?
Supponendo che il decreto venga convertito in legge senza modifiche ai contenuti pubblicati, è importante evidenziare che è stata abolita la redazione strutturata del Documento Programmatico sulla Sicurezza e di conseguenza anche la scadenza della sua presentazione entro il 31 marzo, ma le misure minime di sicurezza (previste dal D. Lgs. 196/2003 e dall’allegato B) sono comunque obbligatorie con anche le relative sanzioni.
vediamo nei dettagli cosa è cambiato
L’art. 45 del D. Lgs. 5/2012 al comma c) dispone la soppressione della lettera g) dell'articolo 34, comma 1, del codice della privacy. Questo significa che per il trattamento dei dati con strumenti elettronici non è più necessaria la tenuta di un aggiornato documento programmatico sulla sicurezza. L'abolizione riguarda tutti i titolari di trattamento senza distinzione.
Questa abolizione implica che la mancata adozione del DPS non è più reato punibile ai sensi dell'articolo 169 del codice della privacy (contravvenzione punita con l'arresto sino a due anni).
Il decreto liberalizzazioni ha abrogato anche le disposizioni di dettaglio sul DPS inserite nell'allegato B) al codice della privacy e in particolare i paragrafi da 19 a 19.8. Salta quindi la necessità di documentare l'elenco dei trattamenti di dati personali e la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati. Salta anche l'incombenza di mettere nero su bianco l'analisi dei rischi che incombono sui dati, le misure da adottare per garantire l'integrità e la disponibilità dei dati.
A questo punto, tuttavia, è normale chiedersi come si effettueranno i controlli in materia di sicurezza, visto che esibire il DPS costituiva un presupposto fondamentale per dimostrare l’attenzione del Titolare del trattamento dei dati sull’applicazione delle misure a fronte di controlli delle Autorità.
Le imprese e i professionisti dovranno concentrarsi su altri elementi, come la verifica effettiva dell’applicazione dell’art. 34 (disciplinare tecnico in materia di misure minime di sicurezza), il tema delle nomine di incaricati e responsabili al trattamento dei dati, la nomina dell’amministratore di sistema, le informative o il tema della formazione.
L’evoluzione della normativa
E’ in arrivo un Regolamento Comunitario che andrà a sostituire la normativa di riferimento dei singoli Stati Europei. che renderà molto più incisive le regole in materia di tutela dei dati personali.
Sarà introdotto il principio di responsabilità (Accountability) che comporterà l'onere di dimostrare l'adozione di tutte le misure e cautele privacy in capo a chi tratta i dati, con un impianto sanzionatorio che prescriverà sanzioni parametrate al fatturato.
Dovranno essere costituite e conservate apposite documentazioni attestanti il “modello organizzativo e di sicurezza privacy”, saranno necessarie “valutazioni d'impatto sulla protezione dei dati personali” (“privacy impact assessment”) in caso di trattamenti rischiosi, e verifiche preliminari da parte del Garante in diverse circostanze.
Altra grande novità verrà dall'obbligo, per le imprese sopra i 250 dipendenti e per tutti gli enti pubblici, di dotarsi di un “data protection officer” (incaricato della protezione dei dati), interno o anche esterno, indipendente, competente e in relazione diretta con il vertice dell'organizzazione.
Cosa fare per sentirsi sicuri?
La sostanza della normativa privacy non è di fatto cambiata con l’abolizione del DPS e rimangono le stesse misure di sicurezza obbligatorie, che, se non rispettate, espongono i contravventori a pesanti sanzioni.
Da adesso il Titolare dovrà preoccuparsi della sostanza e, quindi, della predisposizione di uno o più documenti privacy creati “su misura”, da revisionare almeno annualmente a seguito di attività ispettive o di auditing interno.
Così facendo, il Titolare potrà dimostrare efficacemente la propria diligenza e perizia nell’adeguamento della propria struttura al D. Lgs. n.196/2003.
L’intervento dell’esecutivo, quindi, ci ha liberati da inutili formalismi, ma non dall’applicazione delle misure di sicurezza a tutela dei dati personali, che, alla luce dell’articolo 15 del Codice Privacy in materia di responsabilità, richiedono al Titolare del trattamento di comportarsi con estrema diligenza e perizia.
Pertanto, aziende, enti e professionisti, per essere previdenti, dovranno avere sempre un documento che tenga conto delle misure privacy in azienda, con il vantaggio che l’attenzione si concentrerà sul contenuto e non su adempimenti formali e di stile.
Solo in questo modo ogni singola organizzazione potrà garantire un’efficace tutela dei dati personali e prepararsi efficacemente alla rivoluzione, che ci attende, con l’entrata in vigore del Regolamento Europeo.
Da non perdere