Fine del DPS. Il decreto legge sulle semplificazioni (DL n. 5/2012) ha infatti abrogato il Documento Programmatico sulla Sicurezza. L’effetto è immediato e non prevede più l’aggiornamento previsto per il 31 marzo. Con l’abrogazione del documento saltano anche le sanzioni previste.
Gli articoli abrogati
Nel dettaglio sono stati abrogati gli obblighi derivanti dall’articolo 34 del Codice privacy che imponevano la redazione del Documento. In soffitta è andata anche la regola 19 che riguardava il contenuto del DPS, la regola 26 che stabiliva l’obbligo menzione dell’avvenuta adozione nella relazione di accompagnamento al bilancio di esercizio e il comma 1 bis che prevedeva la possibilità – per alcune aziende – di sostituire l’obbligo di adozione del DPS con un’autocertificazione.
La conferma dell’abolizione è arrivata anche dal sito del garante della Privacy. La decisione arriva dopo che altri provvedimenti avevano ridotto i soggetti che dovevano produrre il Documento. In origine, infatti, il DPS era obbligatorio per tutti coloro che trattavano i dati sensibili o giudiziari mediante l’impiego di strumenti elettronici (indipendentemente dalla natura e dal tipo di ragione sociale).
Le norme da seguire
L’eliminazione del Documento comporta comunque l’obbligo di rivedere alcuni adempimenti relativi alla privacy che erano realizzati al momento della redazione del DPS. Per esempio bisognerà continuare a:
- eseguire periodicamente un aggiornamento degli ambiti dei trattamenti sia cartacei che elettronici che normalmente confluivano nei cosiddetti elenchi dei trattamenti costituenti anche l’occasione per l’aggiornamento delle nomine ad incaricato al trattamento;
- indicare il personale che esegue le attività di controllo circa l’uso degli strumenti elettronici aziendali;
- seguire gli obblighi per la nomina degli amministratori di sistema,
- tenere l’elenco dei soggetti nominati responsabili
- preparare per i soggetti pubblici un piano di disaster recovery.
Secondo gli esperti è poi conveniente tenere un documento che raccolga le misure di sicurezza adottate negli anni dall’azienda in caso di eventuali contestazioni.
L’eliminazione del comma 1 bis dell’art 34 del Codice privacy non comporta l’abolizione delle misure di sicurezza semplificate. Di queste misure infatti potranno continuare ad avvalersi le piccole e medie imprese e i liberi professionisti che eseguono i trattamenti per finalità amministrativo-contabile e quei soggetti che trattano come soli dati sensibili quelli relativi alla malattia di dipendenti e collaboratori e quelli sindacali.