Il Decreto Legge Semplificazione n. 5 del 9.2.2012, all’art. 45, ha soppresso il comma 1 lett. g) ed il comma 1-bis dell’art. 34 D.Lgs. 196/2003, che prevedevano rispettivamente l’obbligo della tenuta di un aggiornato documento programmatico sulla sicurezza (DPS) e l’obbligo di autocertificazione, in sostituzione del DPS.
Soppressi altresì il paragrafo 19 del Disciplinare tecnico allegato B) al D.Lgs. 196/2003 che prevedeva i contenuti del DPS e l’obbligo del suo aggiornamento entro il 31 marzo di ciascun anno, nonchè il paragrafo 26 del Disciplinare stesso che imponeva di indicare nella relazione al bilancio l’avvenuta redazione e aggiornamento del Documento.
Il Decreto Legge nulla dice in relazione agli altri obblighi imposti dal D.Lgs. 196/2003 e provvedimenti integrativi per la Tutela della Privacy che dobbiamo ritenere allo stato restino in vigore, così pure le sanzioni per la loro inottemperanza.
Sulla base di tutte le altre norme non toccate dal Decreto, il Titolare dei trattamenti deve comunque dotare la propria struttura di un’organizzazione di soggetti e strumenti per la tutela dei dati personali, adottando tutte le misure di sicurezza idonee allo scopo.
Il Titolare potrà nominare il Responsabile del Trattamento e dovrà comunque, a titolo d’esempio:
1) nominare gli incaricati al trattamento per iscritto, individuando l’ambito del trattamento a ciascuno consentito ed impartendo le istruzioni necessarie;
2) adottare un sistema di autenticazione informatica degli accessi a sistemi informatici, con profili di autorizzazione per livelli;
2) adottare le altre misure minime previste dall’art. 34 D.Lgs. 196/2003, dal Disciplinare tecnico all. B) e dai provvedimenti integrativi dell’Autorità Garante, con previsione anche di specifiche procedure da attuare;
3) nominare eventuali Amministratori di sistema.
Il DPS, la cui tenuta ed aggiornamento non sono più obbligatori, appare pertanto ancora uno strumento sicuramente utile al Titolare per documentare formalmente nell’ambito della propria organizzazione una ripartizione di compiti, obblighi e responsabilità, prevedere procedure chiare e definite, prevedere sistemi di controllo e soprattuto al fine di precostituire una prova di aver ottemperato agli obblighi normativi in caso di eventuali contestazioni aministrative o penali.
Si dovranno ora attendere le eventuali modifiche che il Decreto Legge potrà subire in sede di conversione.