Direttive

Abolizione del DPS, le cose da sapere

Invocata a gran voce dalle imprese, l’eliminazione del Documento Programmatico sulla Sicurezza in realtà non cancella gli obblighi in materia di sicurezza e privacy. Le opinioni degli esperti in materia, con uno sguardo rivolto ai regolamenti comunitari.

Pubblicato il 01 Lug 2012

sicurezza-chiave-schermo-177686-120906155006

Il Governo ha eliminato il Documento Programmatico sulla Sicurezza (DPS), come previsto e atteso dalle imprese; ma aspettiamo a gioire: l’impatto sarà minimo; resta ancora altro da fare, secondo gli esperti.

In più, su questo stesso fronte- obblighi privacy per le imprese- adesso arriva la sfida più ardua: un nuovo regolamento che l’Unione Europea sta per approvare, con regole più stringenti sulla privacy.

Insomma, la storia del DPS va compresa nel contesto dei grossi cambiamenti che stanno attraversando le regole sulle privacy aziendali.

Che cosa sparisce
In particolare, è stato il decreto legge sulle semplificazioni (DL n. 5/2012) ad aver abrogato il Documento Programmatico sulla Sicurezza, con effetto (ovviamente) immediato. Significa che sono spariti gli obblighi dell’articolo 34 del Codice privacy, che imponeva alle aziende di redigere il Documento.

Eliminate anche la regola 19 che riguardava il contenuto del DPS, la regola 26 che imponeva di menzionare l’avvenuta adozione nella relazione di accompagnamento al bilancio di esercizio. Di conseguenza, via anche il comma 1 bis che consentiva ad alcune aziende di sostituire l’obbligo di adozione del DPS con un’autocertificazione.

“Si tratta di una misura richiesta a gran voce dalle imprese, soprattutto dalle associazioni di categoria. Il DPS era infatti visto come un’inutile aggravio di spesa”, commenta Fulvio Sarzana, avvocato esperto di diritto e privacy. Tuttavia, “dal punto di vista normativo le innovazioni sembrano decisamente modeste”, continua Sarzana.

“L’obbligo del DPS era già stato alleggerito dai governi precedenti. Alla fine l’unica innovazione reale sembra essere quella che i dati personali debbano riferirsi solo alle persone fisiche e non alle imprese, come del resto la Ue aveva sempre sostenuto. L’Italia, invece, in solitaria aveva deciso di applicare la normativa anche ai dati delle imprese», aggiunge. «Il governo ha dichiarato di aspettarsi dalla abolizione circa 313 milioni di risparmio per il sistema,  ma non si comprende come sia giunto a questi calcoli», conclude Sarzana.

Gli obblighi restanti
«Come ormai chiarito anche dal Garante della Privacy, l’obbligo di redigere e aggiornare il DPS è ormai venuto meno, ma non sono stati soppressi gli altri obblighi in materia di sicurezza a carico dei titolari del trattamento (artt. 31 ss e All. B D. Lgs. N. 196/2003)», spiega Ernesto Belisario, avvocato esperto della materia.

Per la privacy, tra le altre cose, le aziende devono quindi continuare ad aggiornare gli ambiti dei trattamenti (cartacei ed elettronici), dei dati personali e devono indicare il personale che esegue le attività di controllo circa l’uso degli strumenti elettronici aziendali.

“Faccio inoltre presente che l’abolizione del DPS è una semplificazione relativa: infatti, in una realtà (amministrativa o imprenditoriale) di medie dimensioni, come si fa ad organizzare la sicurezza senza consacrare le relative misure in un documento?”, dice Belisario “È per questo motivo che in diverse realtà un documento sulla sicurezza (a prescindere dall’obbligo di legge) continua ad essere tenuto”.

PMI e liberi professionisti possono invece continuare a ricorrere alle misure di sicurezza semplificate, che non sono state abolite. Sono rivolte a chi tratta dati personali solo a scopo amministrativo-contabile; o che tratta solo quelli relativi alla malattia di dipendenti e collaboratori, o quelli sindacali.

Le norme europee
“Bisogna tenere conto che l’Unione europea sta andando decisamente in controtendenza rispetto a quanto fatto da questo governo. Anche in questo caso l’Italia va avanti in solitaria e senza coordinamento internazionale…», avvisa Sarzana. “Il nuovo regolamento europeo sui dati personali, che entrerà in vigore direttamente nei 27 paesi dell’Unione, introdurrà infatti misure molto stringenti sulla privacy e obbligherà le imprese sopra i 250 dipendenti a dotarsi del “privacy officer”, che dovrà sovrintendere alla sicurezza”, spiega.

“È stato stimato che questo nuovo ruolo porterà alla creazione di 3.500 posti di lavoro nel comparto informatico”. Il rischio è un aggravio dei costi per le imprese.

“In Italia fa sorridere che abbiano appena abolito il DPS, visto che presto avremo le aziende sommerse di adempimenti da fronteggiare, voluti dall’Europa”, concorda Luca Bolognini, presidente dell’Istituto legale per la privacy.

“Per esempio, il principio della “privacy by design” imporrà che già in fase di ideazione e progettazione di una tecnologia sarà obbligatorio affrontare le problematiche di data protection. Si rischia di frenare l’innovazione”, aggiunge.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2