Il DPS (Documento Programmatico sulla Sicurezza) è un adempimento che da anni ha riguardato tutti coloro che effettuano un trattamento di dati personali, anche non sensibili ed indipendentemente dalla loro natura o ragione sociale, quindi anche imprese individuali, associazioni, comitati, imprese agricole e così via. Il documento, da redigere a cadenza annuale, doveva attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e doveva soddisfare anche determinati obblighi di legge, se previsti (se ne doveva ad esempio dare comunicazione nella relazione allegata al Bilancio d’esercizio).
Abbiamo utilizzato l’imperfetto perché il DPS sembra ormai avere le ore contate: entro fine marzo, quindi, potrebbe non essere più necessario predisporre alcun documento. E’ l’avvocato Guido Scorza, esperto in tematiche legali correlate al mondo del web, ad evidenziare la novità del “Decreto Semplificazioni“.
Il Governo ha deciso di cassare completamente un obbligo, evidentemente ritenuto inutile e costoso, per il quale – secondo le stime – gli imprenditori ed i professionisti spendevano, complessivamente, ogni anno una somma pari a circa 313 milioni di Euro.
Non c’è comunque la volontà di “sorvolare” sulle tematiche legate alla privacy ed alla tutela dei dati personali: abrogate le norme relative al DPS, resteranno comunque in vigore tutte le disposizioni che obbligano gli interessati ad implementare meccanismi di “autenticazione informatica, all’adozione di procedure di gestione delle credenziali di autenticazione, all’utilizzazione di un sistema di autorizzazione, all’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, alla protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici, all’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi, alla tenuta di un aggiornato documento programmatico sulla sicurezza e all’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari” (art. 34 del “codice sulla privacy”).