FACCIAMO IL PUNTO SULLE NOVITÀ NORMATIVE 2011-2012:• La Manovra Finanziaria Monti (L. n. 214 del 22/12/11) ha aggiornato la definizione di “dati personali” escludendo l’applicabilità del Codice per la protezione dei dati personali (Codice Privacy) alle informazioni concernenti persone giuridiche, Enti e associazioni (quindi ai dati di società, imprese, enti pubblici).
• Il Decreto Semplificazioni (D. Lgs. n.5 del 09/02/12, art. 45) interviene inoltre cancellando le norme relative all’obbligo di redazione e aggiornamento del DPS (Documento Programmatico sulla Sicurezza) sia in forma ordinaria che semplificata.

Il decreto-legge è efficace a partire dal 10 febbraio. Tuttavia per sua natura, è una norma temporanea che deve essere convertita in legge entro 60 gg altrimenti decade come se non fosse mai esistito. In quei 60 giorni può essere modificato e integrato (succede spessissimo) ma soprattutto quei 60 gg scadono DOPO la fatidica data del 31 Marzo entro la quale il DPS va aggiornato.

POSSIAMO QUINDI DIRE ADDIO AL DPS?Supponendo che il decreto venga convertito in legge senza modifiche ai contenuti pubblicati, è importante evidenziare che è stata abolita la redazione strutturata del Documento Programmatico sulla Sicurezza e di conseguenza anche la scadenza della sua presentazione entro il 31 marzo, ma le misure minime di sicurezza (previste dal D. Lgs. 196/2003 e dall’allegato B) sono comunque obbligatorie con anche le relative sanzioni.

VEDIAMO NEL DETTAGLIO COSA È CAMBIATOL’art. 45 del D. Lgs. 5/2012 al comma c) dispone la soppressione della lettera g) dell'articolo 34, comma 1, del codice della privacy. Questo significa che per il trattamento dei dati con strumenti elettronici non è più necessaria la tenuta di un aggiornato documento programmatico sulla sicurezza. Ricordiamo che l'aggiornamento era annuale, entro la fine di marzo. L'abolizione riguarda tutti i titolari di trattamento senza distinzione. Questa abolizione implica che la mancata adozione del DPS non è più reato punibile ai sensi dell'articolo 169 del codice della privacy (contravvenzione punita con l'arresto sino a due anni).

Il decreto liberalizzazioni ha abrogato anche le disposizioni di dettaglio sul DPS inserite nell'allegato B) al codice della privacy e in particolare i paragrafi da 19 a 19.8. Salta quindi la necessità di documentare l'elenco dei trattamenti di dati personali e la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati. Salta anche l'incombenza di mettere nero su bianco l'analisi dei rischi che incombono sui dati, le misure da adottare per garantire l'integrità e la disponibilità dei dati. (Scarica i testi della normativa aggiornata)

A questo punto, tuttavia, è normale chiedersi come si effettueranno i controlli in materia di sicurezza, visto che esibire il DPS costituiva un presupposto fondamentale per dimostrare l’attenzione del Titolare del trattamento dei dati sull’applicazione delle misure a fronte di controlli delle Autorità.

Le imprese e i professionisti dovranno concentrarsi su altri elementi, come la verifica effettiva dell’applicazione dell’art. 34 (disciplinare tecnico in materia di misure minime di sicurezza), il tema delle nomine di incaricati e responsabili al trattamento dei dati, la nomina dell’amministratore di sistema, le informative o il tema della formazione.

L’EVOLUZIONE DELLA NORMATIVAE’ in arrivo un Regolamento Comunitario che andrà a sostituire la normativa di riferimento dei singoli Stati Europei. Si tratta di un regolamento importante perché oltre ad uniformare le norme a livello europeo, renderà molto più incisive le regole in materia di tutela dei dati personali.

Sarà introdotto il principio di responsabilità (Accountability) che comporterà l'onere di dimostrare l'adozione di tutte le misure e cautele privacy in capo a chi tratta i dati, con un impianto sanzionatorio che prescriverà sanzioni parametrate al fatturato.

Dovranno essere costituite e conservate apposite documentazioni attestanti il “modello organizzativo e di sicurezza privacy”, saranno necessarie “valutazioni d'impatto sulla protezione dei dati personali” (“privacy impact assessment”) in caso di trattamenti rischiosi, e verifiche preliminari da parte del Garante in diverse circostanze.

Altra grande novità verrà dall'obbligo, per le imprese sopra i 250 dipendenti e per tutti gli enti pubblici, di dotarsi di un “data protection officer” (incaricato della protezione dei dati), interno o anche esterno, indipendente, competente e in relazione diretta con il vertice dell'organizzazione.

COSA FARE PER SENTIRSI SICURI?La sostanza della normativa privacy non è di fatto cambiata con l’abolizione del DPS e rimangono le stesse misure di sicurezza obbligatorie, che, se non rispettate, espongono i contravventori a pesanti sanzioni.
Da adesso il Titolare dovrà preoccuparsi della sostanza e, quindi, della predisposizione di uno o più documenti privacy creati “su misura”, da revisionare almeno annualmente a seguito di attività ispettive o di auditing interno.
Così facendo, il Titolare potrà dimostrare efficacemente la propria diligenza e perizia nell’adeguamento della propria struttura al D. Lgs. n.196/2003.
L’intervento dell’esecutivo, quindi, ci ha liberati da inutili formalismi, ma non dall’applicazione delle misure di sicurezza a tutela dei dati personali, che, alla luce dell’articolo 15 del Codice Privacy in materia di responsabilità, richiedono al Titolare del trattamento di comportarsi con estrema diligenza e perizia.
Pertanto, aziende, enti e professionisti, per essere previdenti, dovranno avere sempre un documento che tenga conto delle misure privacy in azienda, con il vantaggio che l’attenzione si concentrerà sul contenuto e non su adempimenti formali e di stile.
Solo in questo modo ogni singola organizzazione potrà garantire un’efficace tutela dei dati personali e prepararsi efficacemente alla rivoluzione, che ci attende, con l’entrata in vigore del Regolamento Europeo.

Per maggiori Informazioni contattateci telefonicamente allo 0721 452269 o scriveteci all’indirizzo email privacy@minitech.it.