Il Blog di Marcello Polacchini

Il 31 marzo è oramai alle spalle. La fatidica data entro la quale aggiornare il dannato Documento Programmatico sulla Sicurezza è scaduta e per un altro anno… ci si potrà dimenticare dell’odiosa e inutile privacy! Questo è ciò che pensa la maggior parte delle aziende e dei professionisti tenuti a questo “inutile” adempimento. Ma è proprio così? Si possono davvero dormire sonni tranquilli? E poi, eravamo tenuti o no ad aggiornare il DPS?
Molti sono i dubbi che assillano la maggior parte dei “titolari del trattamento”, ma per il momento una cosa è certa: il termine di legge per l’aggiornamento annuale del DPS è scaduto e quel che è fatto e fatto. Meglio non pensarci più e… dimenticarsi della privacy. O no?

Il Documento Programmatico sulla Sicurezza è lo strumento attraverso il quale il titolare del trattamento ottempera al generale obbligo di sicurezza imposto dal Codice della privacy. Il DPS è una misura “minima” di sicurezza che serve, assieme alle altre misure di sicurezza, per ridurre al minimo i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della loro raccolta. In pratica, il DPS è uno strumento operativo che descrive il sistema di sicurezza adottato dal titolare del trattamento dei dati personali per proteggerli adeguatamente nel rispetto della privacy dei soggetti interessati. Ma, siccome il DPS è una misura “minima” di sicurezza, la sua mancata redazione o il suo inadeguato aggiornamento impediscono al titolare qualsiasi trattamento lecito dei dati. Se manca il DPS, quindi, il trattamento dei dati è illecito, con tutte le conseguenze che ne derivano.

Nel 2008 però la disciplina del DPS è stata significativamente innovata, prevedendo in alcuni casi particolari la possibilità di sostituire il documento con un’autocertificazione del titolare che dichiara di non essere tenuto a tale adempimento e, in altri casi, prevedendo la possibilità di redigere un DPS semplificato rispetto a quello disciplinato dall’art. 34 del Codice e dal punto 19 del Disciplinare Tecnico ad esso allegato (v. art. 34, comma 1-bis del D.Lgs. 196/03, introdotto dall’art. 29 del D.L. 25 giugno 2008, n. 112 convertito dalla L. 6 agosto 2008, n. 133 e il conseguente provvedimento generale del Garante per la privacy del 27 novembre 2008).
Tuttavia, le innovazioni introdotte nel 2008 hanno suscitato non pochi problemi interpretativi e applicativi per i titolari del trattamento, tanto che da parte di alcuni si è arrivati persino a mettere in discussione la persistenza dell’obbligatorietà della redazione del DPS. Ma l’ampiezza della definizione di “trattamento” contenuta nell’art. 4 del Codice fa sì che rimangano tuttora forti perplessità sulla reale possibilità di rientrare in una delle categorie per le quali sussiste la possibilità dell’esonero dall’obbligo di redazione del DPS. Quindi, data anche l’oggettiva difficoltà per il titolare del trattamento di prevedere con precisione quali dati personali tratterà nel corso dell’anno, sembrerebbe opportuno che ogni titolare redigesse il suo DPS, per garantire quanto più possibile il rispetto della normativa sulla privacy e per evitare il rischio di subire le pesanti sanzioni previste dal Codice.

Coraggio dunque! Anche se la scadenza di legge è ormai passata (in ogni caso non c’è l’obbligo di apporre una “data certa” al documento), forse vale la pena di porre mano a questo benedetto documento e, sia pure in forma semplice, descrivere il sistema di sicurezza adottato per proteggere adeguatamente i dati personali trattati e garantire il rispetto della privacy dei soggetti ai quali tali dati si riferiscono.
Basta fare una semplice relazione che contenga “idonee informazioni” riguardo a ciò che è indicato nel punto 19 del Disciplinare Tecnico allegato al Codice, vale a dire:
• l’elenco dei trattamenti di dati personali, cioè, in sostanza, un censimento delle banche dati e un elenco delle operazioni compiute sui dati personali in esse contenuti;
• la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati, cioè un elenco dei responsabili e degli incaricati del trattamento, con l’indicazione dei compiti di ciascuno;
• l’analisi dei rischi che incombono sui dati;
• le misure per garantire l’integrità e la disponibilità dei dati, nonchè la protezione dei locali in cui i dati sono custoditi e trattati;
• i criteri e le modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
• gli interventi formativi degli incaricati del trattamento;
• la descrizione di come viene garantita la sicurezza in caso di trattamenti di dati personali affidati all’esterno.

Se il DPS era già stato fatto negli anni precedenti è sufficiente aggiornarlo, indicando tutte le eventuali variazioni che si siano nel frattempo verificate che hanno coinvolto il trattamento dei dati personali; dopodiché l’avvenuto aggiornamento del documento va riferito nella relazione accompagnatoria del bilancio (se il titolare del trattamento è tenuto a redigerlo).

Tweet