Il testo del decreto-Legge “Disposizioni urgenti in materia di semplificazione e sviluppo” del 03/02/2012, n.5 è stato pubblicato sulla Gazzetta Ufficiale n. 33 del 09/02/2012. Vi sono state apportate alcune modifiche ma il testo dell’ art. 45, quello che modifica in qualche modo la percezione, più che la sostanza, della necessità di protezione dei dati personali, non è stato toccato. Questo è il testo dell’Art. 45.
(Semplificazioni in materia di dati personali)
1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a) all’articolo 21 dopo il comma 1 è inserito il seguente:
«1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.»;
b) all’articolo 27, comma 1, è aggiunto, in fine, il seguente periodo:
“Si applica quanto previsto dall’articolo 21, comma 1-bis.”;
c) all’articolo 34 è soppressa la lettera g) del comma 1 ed è abrogato il comma 1-bis;
d) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.
La parte che riguarda il DPS la lettera c) e la lettera d).
La prima cosa da dire, anzi da sottolineare ben bene, è che questo non significa assolutamente che siano aboliti gli obblighi delle misure di sicurezza (art. 34 del codice) ne alcuno degli altri obblighi sanciti dal d.lgs 196/2003 (informativa, consenso, lettere di nomina…) oltre a quanto previsto specificatamente nel disciplinare tecnico e dai provvedimenti del Garante (p.e. internet e posta elettronica, Amministratori di sistema, videosorveglianza…). Anzi, è prevedibile che in mancanza del DPS, gli eventuali controlli si focalizzeranno sulla verifica delle effettive misure di sicurezza applicate.
E’ evidente comunque che pur non esistendo più un obbligo di redazione di un DPS ne tanto meno un modello a cui dover rispondere, sarà comunque necessario, specialmente per le realtà più complesse, la redazione di un “documento riepilogativo” (chiamiamolo pure come vogliamo) che riassuma la situazione dei trattamenti effettuati, degli strumenti utilizzati e delle misure di sicurezza adottate.
A questo proposito, quanti si sono fatti rilasciare dal consulente, dal tecnico, dalla ditta che fa assistenza informatica, l’attestato di conformità previsto dal punto 25 del disciplinare tecnico? Adesso questo documento assumerà valore ancora maggiore, dato che sarà forse l’unico documento obbligatorio che attesti l’adozione di misure di sicurezza.
Questo avrà sicuramente il suo peso nel caso in cui ci si trovi a dover rispondere di danni causati dal trattamento di dati personali a norma dell’art. 15 del codice:
art. 15 -1 Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile.
che detto per inciso, è famoso per il ribaltamento del concetto dell’onere della prova. Ovvero, in caso di richiesta di risarcimento danni sarò io a dover dimostrare di aver messo in atto tutte le misure atte a far si che l’evento dannoso non si verifichi.
E questo è anche uno dei motivi per i quali il miglior consiglio che si può dare è questo: non buttate alle ortiche il DPS. Magari semplificatelo, ma continuate ad aggiornarlo al variare dei vostri trattamenti, degli strumenti, delle misure di sicurezza adottate.
Tenete pure presente che chi è soggetto alla legge 231/2000 potrà utilmente impiegare il proprio DPS (o comunque lo abbiate chiamato) come parte della documentazione a corredo delle attività previste .