LA SOPPRESSIONE DELLA TENUTA DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

L’articolo 45 del D.L. n.5/12, c.d. Decreto “semplificazioni”, ha abrogato l’art.34, comma 1, lett. g) e il comma 1-bis del D.Lgs. n.196/03, sopprimendo l’obbligo di redazione o aggiornamento del Documento Programmatico sulla Sicurezza, a decorrere già dalla prossima scadenza del 31 marzo 2012. È stata eliminata anche la necessità di indicare nella relazione accompagnatoria al bilancio d’esercizio l’adozione o l’aggiornamento del citato D.P.S.. Tale novità non impatta sull’obbligo di adozione delle misure minime di sicurezza previste dal Codice della Privacy (che rimangono in vigore) ma solamente sugli obblighi di rendicontazione annuale dell’adozione delle medesime misure di sicurezza. Imprese, professionisti, enti privati e pubblici ed in generale chi tratta dati personali (anche solo di tipo comune, non necessariamente dati sensibili o giudiziari) devono rispettare le misure minime di sicurezza previste dall’art.34, co.1 del D.Lgs. n.196/03.
L’adempimento principale della normativa introdotta dal D.Lgs. n.196/03 era costituito dalla tenuta e dall’aggiornamento del Documento programmatico sulla Sicurezza, che implicava per imprese e professionisti il sostenimento di costi gestionali per predisporre la stesura del rendiconto annuale delle misure di sicurezza adottate. Tutti coloro che trattano dati personali devono predisporre adeguati controlli in materia di sicurezza, sulla base di uno specifico protocollo previsto dal c.d. Disciplinare Tecnico della norma (allegato B del citato D.Lgs. n.196/03).
La norma obbliga alla realizzazione di diversi adempimenti, tra cui:

• la nomina del titolare del trattamento dei dati, che generalmente coincide con la Società, nella persona del suo Legale rappresentante;
• la nomina dei responsabili del trattamento dei dati;
• la nomina degli incaricati al trattamento dei dati;
• la nomina dell’amministratore di sistema;
• il rilascio di apposita informativa;
• la preventiva richiesta del consenso al trattamento dei dati;
• la notificazione al Garante della Privacy, quando ricorra l’obbligo;
• l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine, il rischio di:
  • sottrazione, alterazione, perdita degli stessi,
  • di accesso non autorizzato da parte di terzi,
  • trattamento di dati non consentito e non conforme a quanto normativamente previsto.

È quanto mai opportuno ricordare che chi non adempie a questi obblighi si espone al rischio di vedersi condannato, oltre che a pesanti sanzioni anche di natura penale, all’eventuale risarcimento dei danni che i terzi potrebbero lamentare come conseguenza dell’inefficiente controllo dell’attività di trattamento dei dati personali.

Fino alla scadenza del 31 marzo 2011, le modalità per redigere il Documento Programmatico sulla Sicurezza erano, alternativamente e a seconda delle tipologie di dati personali trattati, le seguenti:

• la modalità ordinaria di tenuta del D.P.S., con la quale rendicontare l’elenco analitico di tutti i trattamenti di dati effettuati;
• la modalità semplificata di tenuta del D.P.S., facoltà che era prevista per imprese e professionisti che trattano quali unici dati sensibili quelli relativi a dipendenti o collaboratori esclusivamente per finalità amministrative;
• l’autocertificazione sostitutiva del D.P.S., se gli unici dati sensibili e giudiziari detenuti erano quelli relativi ai dipendenti, collaboratori o loro parenti.