L’art. 46 del Decreto semplificazioni fa sparire il Documento programmatico sulla sicurezza (il DPS) ovvero il documento principale che soggetti pubblici e privati che trattano dati sensibili e giudiziari. L’art. 46 ha infatti eliminato dall’art. 34 del Codice privacy – che enunnzia le misure minime di sicurezza per i trattamenti elettronici – e dal relativo allegato B del codice (relativo alle misure minime di sucirezza) le di disposizioni che facevano riferimento all’obbligo di adozione del DPS. Nello specifico, il decreto ha eliminato la lettera g) che prevedeva proprio l’obbligo di tenere un documento programmatico sulla sicurezza (da aggiornare entro il 31 marzo di ogni anno), la regola 19 relativa al contenuto del DPS, la regola 26 che prevedeva l’obbligo di dare atto dell’avvenuta adozione del DPS nella relazione di accompagnamento al bilancio di esercizio nonché il comma 1 bis che, invece, prevede per alcune aziende la possibilità di autocertificare l’adozione del DPS. Tuttavia, nonostante l’eliminazione del DPS rimangono, comunque, invariati tutta una serie di obblighi previsti dall’art. 34 e dall’Allegato B del codice Privacy, in materia di sicurezza dei dati quali, a titolo esemplificativo:
a) l’autenticazione informatica;
b) l’adozione di procedure di gestione delle credenziali di autenticazione;
c) l’utilizzazione di un sistema di autorizzazione;
d) l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – dovendo fornire istruzioni chiare e formarli laddove necessario per l’effettiva protezione dei dati;
e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Sembrerebbe quindi che la vera differenza sia dunque nel nome: pur non chiamandosi più DPS il titolare sarà comunque tenuto alla redazione di un documento atto ad attestare l’adozione delle misure di cui all’art. 34 del codice Privacy ed all’Allegato B, attività che veniva proprio soddisfatta in occasione della redazione del DPS.
Seguimi su twitter @Micol Mimun