l 4 aprile 2012 è stata approvata dalla Camera la legge di conversione del decreto legge n.5 del 9 febbraio 2012 noto come “Semplifica Italia”. E’ dunque definitiva l’abolizione dell’obbligo imposto dal d.lgs. 196 del 2003 di redigere entro il 31 marzo di ogni anno il Documento Programmatico sulla Sicurezza, ovvero la mappa delle misure minime di sicurezza adottate per la tutela della privacy da soggetti pubblici e privati che trattano dati personali, sensibili e/o giudiziari.
Sin dalla pubblicazione del decreto legge e dalla sua entrata in vigore, la notizia è stata commentata soprattutto osservando che l’abolizione del DPS avrebbe determinato un considerevole risparmio di tempo e di denaro per i titolari del trattamento dei dati. Tuttavia, tale lettura della innovazione normativa appare decisamente superficiale e anche pericolosamente fuorviante. Infatti, basta esaminare la normativa dettata dal d.lgs. n.196 del 2003 per verificare che la redazione del DPS costituiva solo uno degli adempimenti documentali imposti al fine di garantire il corretto trattamento dei dati. E’ d’uopo ricordare che a fronte dell’abrogazione del solo art.34 I comma lett. g del citato decreto legislativo resta obbligatorio adottare tutte le altre misure minime di sicurezza indicate dall’art.29, dall’art. 30, dall’art.34 comma I lett. a, b, c, d, e, f, h e dall’art.35, così come specificate dall’Allegato B.
In particolare preme segnalare che, da un punto di vista documentale, resta fermo l’obbligo di tenere accuratamente aggiornate le nomine dei responsabili e degli incaricati del trattamento dei dati. Chi, in conformità con quanto disposto dalla legge, negli anni passati ha redatto per ciascun responsabile ed incaricato, delle nomine specifiche dalle quali si evinca con chiarezza l’ambito del trattamento dei dati consentito, le funzioni svolte, gli obblighi da rispettare, l’elenco delle banche dati cartacee e informatiche alle quali è permesso l’accesso e gli estremi del pc utilizzato da ciascun soggetto, dovrà comunque continuare a farlo. Ed è evidente che la redazione e l’aggiornamento di tali nomine costituisce il lavoro prodromico ed essenziale per la redazione del DPS.
In altri termini, fermi restando tutti gli adempimenti imposti dal d.lgs. n.196 del 2003, si eviterà solo di sintetizzarli in un documento unico. Pertanto, i titolari del trattamento, soprattutto di dati sensibili, non possono sentirsi in alcun modo autorizzati a ritenere che a seguito dell’abolizione del DPS, entro il 31 marzo di ogni anno, non ci sia più nulla da fare. Anzi dovranno anche essere consapevoli che nel caso di un controllo da parte delle autorità competenti oppure in sede contenziosa, su di loro incomberà comunque l’onere della prova di aver adempiuto agli obblighi imposti dalla legge a tutela della privacy entro la data stabilita. Mentre finora tale onere poteva essere adempiuto esibendo il DPS con data certa, per effetto dell’abolizione del documento, sarà molto più difficile dimostrare di essere in regola.
A ciò si aggiunga che la legge di conversione del decreto “Semplifica Italia” nulla statuisce in merito alla formazione dei responsabili e degli incaricati. Atteso che la norma abrogata, nel definire il contenuto del DPS, prevedeva che in tale documento si facesse espresso riferimento alla formazione annuale dei responsabili e degli incaricati, si è sbrigativamente concluso che anche questo impegno non dovesse essere più assolto. Tuttavia, per esperienza personale, ho verificato che gli incontri formativi, soprattutto se intesi come un momento di confronto dinamico con tutti coloro che quotidianamente trattano i dati personali, sensibili e giudiziari, sono più utili di qualsiasi altro adempimento. Infatti, permettono di esaminare tematiche e questioni che spesso appaiono astratte e di sensibilizzare le persone rispetto alla necessità di sviluppare un interesse maggiore per la tutela della riservatezza e, dunque della personalità dell’individuo, e di trasmettere il messaggio soprattutto ai più giovani. Inoltre, in sede formativa emergono i dubbi e si trovano le soluzioni alle problematiche applicative del d.lgs. 196 del 2003.
Concludendo, dunque, è decisamente consigliabile continuare ad adempiere agli obblighi imposti dal d.lgs. 196 del 2003 adottando le misure minime di sicurezza in esso indicate aggiornando regolarmente la documentazione e, quindi, soprattutto le nomine dei responsabili e degli incaricati del trattamento, il registro che attesta il cambiamento delle password e le informative.