Forse questa è la volta buona, dopo il clamore che sollevò nel giugno del 2008 il decreto che introduceva l’autocertificazione in vece del DPS (il famigerato Documento programmatico sulla sicurezza dei dati personali, ne parlai qui) questa volta si fa sul serio.
Via dal Codice la lettera g) del comma 1 dell’art. 34 e via tutto il comma 1 bis sempre dell’art. 34.
Di conseguenza, via dall’allegato B, il disciplinare tecnico, tutto il paragrafo dedicato al DPS, ovvero dal punto 19 al punto 19.7, (dove venivano dettagliate le modalità di redazione del DPS) oltre all’obbligo di annotare l’aggiornamento del DPS nelle relazioni di bilancio (il punto 26).
Attenzione però. Eliminare l’obbligo del DPS non significa che non vi sia più l’obbligo delle misure di sicurezza.
E il dubbio che rimane è: se non ho un DPS che raccoglie tutte le informazioni sui trattamenti effettuati, su chi li effettua, con quali strumenti, quali sono i rischi individuati e le relative contromisure,… come farò a dimostrare, in caso di necessità, di avere adottato tutte le misure di sicurezza minime e soprattutto le misure di sicurezza adeguate? Eh. Già. Ho come l’impressione che torneremo sull’argomento.
Ricordiamoci inoltre che entro 60 giorni dalla data di pubblicazione in Gazzetta Ufficiale del decreto approvato oggi sarà necessaria la sua conversione in legge. Questo il testo del comunicato sul sito del governo:
PRIVACY – eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) che, oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento meramente superfluo. Restano comunque ferme le misure di sicurezza previste dalla normativa vigente. Il risparmio stimato per le PMI è di circa 313 milioni di euro all’anno.