lunedì 6 febbraio 2012

Privacy, il DPS non serve più

L'art. 46 del D.L. sulle semplificazioni e sviluppo abroga l'obbligo di redigere il Documento programmatico sulla sicurezza, ovvero il documento cardine per soggetti pubblici e privati che trattano dati sensibili e giudiziari. 

 
Le novità
In vista di ulteriori tagli delle spese per le imprese e per gli enti pubblici, il Governo ritorna sulla normativa a tutela dei dati personali provvedendo all'eliminazione dell'obbligo di redazione del Documento programmatico sulla sicurezza.
L'eliminazione del DPS
L'art. 46 del pacchetto sulle semplificazioni, infatti, sopprime l'art. 34 del Codice privacy che presenta le misure minime di sicurezza per i trattamenti elettronici e le norme che facevano riferimento all'obbligo di adozione del Documento programmatico sulla sicurezza.
In particolare, con il DL sono state eliminate la lettera g) che prevede l'obbligo di redigere un documento programmatico sulla sicurezza (aggiornato entro il 31 marzo di ogni anno), la regola 19 sul contenuto del DPS, la regola 26 che prevedeva  l'obbligo menzione dell'avvenuta adozione del DPS nella relazione di accompagnamento al bilancio di esercizio nonché il comma 1 bis che, invece, stabiliva la possibilità di sostituire l'obbligo di adozione del DPS con un'autocertificazione.
L'eliminazione del DPS, tuttavia, obbliga le aziende a rimodellare gli adempimenti sulla privacy che venivano osservati proprio in occasione del DPS.
Si pensi ad esempio:
- all'obbligo per le aziende di eseguire periodicamente un aggiornamento degli ambiti dei trattamenti sia cartacei che elettronici che normalmente confluivano nei cosiddetti elenchi dei trattamenti costituenti anche l'occasione per l'aggiornamento delle nomine ad incaricato al trattamento (cfr. artt. 34 lett. d) e 35 lett. a) del Codice privacy);
- all'obbligo, per le aziende, di indicare il personale che esegue le attività di controllo circa l'uso degli strumenti elettronici aziendali di cui alle Linee Guida per l'uso di internet e posta elettronica del 1° marzo 2007;
- agli obblighi inerenti la nomina degli Amministratori di sistema (v. provvedimento del Garante del 27 novembre 2008);
- all'obbligo di tenere un elenco aggiornato dei soggetti nominati responsabili in modo da metterlo a disposizione dei soggetti interessati (art. 13);
- all'obbligo per i soggetti pubblici di tenere piani di disaster recovery.

Nessun commento:

Posta un commento