news / imprese attenzione, è stato abolito il dps, non il codice privacy

Imprese attenzione, è stato abolito il Dps, non il Codice Privacy

“Imprese attenzione, è stato abolito il Dps, non il Codice Privacy!
(Articolo pubblicato a febbraio 2012 su “Il Corriere della privacy” )

Con la soppressione del documento programmatico, il Decreto Semplificazioni fa felice milioni di imprenditori, ma di riflesso cresce il rischio di farsi trovare “scoperti” in caso di verifica del Nucleo Privacy della GdF per la mancata adozione di tutte le altre misure di sicurezza del Dlgs 196/2003 rimaste in vigore insieme ai provvedimenti emessi dallo stesso Garante.
L’annuncio del Governo Monti sull’abolizione dell’obbligo di predisposizione e aggiornamento del documento programmatico sulla sicurezza (Dps), ha recato un generalizzato sollievo per tutte quelle aziende che entro il 31 marzo di ogni anno dovevano ottemperare a questa prescrizione del D.lgs 30 giugno 2003 n.196, e la necessità di alleggerire i carichi burocratici a cui è soggetto un imprenditore nel nostro Paese è da tempo assodata. D'altra parte, quali sono i pericoli derivanti dall’interpretare erroneamente la semplificazione introdotta dal Governo sull’abrogazione del Dps, come se non si dovesse fare più niente per la privacy?
Simili a quelli che ci sarebbero nell’intendere che da oggi per guidare la macchina non fosse più necessaria la patente, mentre il governo avesse invece annunciato che prendere la patente sarà più facile perché sono stati semplificati gli esami:
-pericolo di un brusco risveglio appena la polizia ti ferma per controllarti e ti fa sanzioni amministrative da capogiro a volte anche penali
-pericolo di fare un brutto incidente causando danni a te stesso e ad altri perché in realtà non eri idoneo per guidare la macchina
La sostanza della normativa privacy non è di fatto cambiata con l’abolizione del Dps, e rimangono le stesse misure di sicurezza obbligatorie, i provvedimenti del Garante che hanno effetto di legge, (tanto per citarne qualcuno tra i più diffusi, quello generale sulla videosorveglianza, quello sugli amministratori di sistema, le linee guida del Garante per posta elettronica e internet nei luoghi di lavoro), e come atti di natura prescrittiva, se non rispettati espongono i contravventori a pesanti sanzioni.

Tutta questa confusione nelle aziende nasce dal fatto che per tutti questi anni ci siamo abituati a vendere il DPS per mettersi in regola con la legge sulla privacy! Troppi i consulenti che hanno utilizzato lo spauracchio delle multe e la sola redazione del documento programmatico, facendo perdere di vista l’aspetto normativo più importante. Ad avvalorare questo occorre ricordare che il DPS non era altro che un “raccoglitore” di documenti che ancora oggi le aziende DEVONO comunque redigere e al momento esibire in caso di controlli. Ci si riferisce in particolare all’elenco dei trattamenti, il censimento delle misure minime adottate in funzione della tipologia dei dati trattati e in quali archivi, le informative con i relativi consensi (non esistono informative copiate, ma esse variano al variare del soggetto interessato e del tipo di trattamento) e tutte le formule di tutela e garanzia.

Capire fischi per fiaschi può costare quindi davvero caro anche quando si parla di privacy, basti pensare che, secondo i dati presentati dal Garante in occasione della relazione annuale lo scorso giugno, su 424 procedimenti sanzionatori avviati nel 2010 dall’Autorità, 239 riguardavano l’omessa o inidonea informativa, 124 sono stati comminati per trattamento di dati illecito,e altri 61 a causa di inosservanza delle disposizioni in materia di conservazione dei dati di traffico, omesse notificazioni, inosservanza di provvedimenti dello stesso Garante, ed altre violazioni sull’utilizzo di banche dati.
Le statistiche, messe a disposizione dalla stessa Autorità dimostrano chiaramente che le multe per omessa redazione del Dps sono una percentuale numericamente minore rispetto alle altre casistiche. In attesa del nuovo Regolamento europeo sulla protezione dei dati personali, che peraltro ci imporrà a breve di tornare a regole più rigide e sanzioni severe, la semplificazione attuata dal Governo, (apprezzata per carità), che risparmia alle imprese finora tenute l’incombenza del Dps, presenta però anche l’altra faccia della medaglia, cioè quello di essere indotti ad “allentare” o addirittura a “mollare” la gestione della privacy aziendale, con il potenziale rischio di una doccia fredda al primo imprevisto.
Per questo, se un’azienda decide di continuare a redigere un disciplinare interno sulla privacy – denominato anche manuale organizzativo sulla privacy -  dove elencare tutti gli interventi effettuati e la previsione di quelli da effettuare, farebbe una scelta opportuna per la gestione dei potenziali rischi derivanti dal trattamento dei dati personali.”