Entra in vigore oggi 10/02/2012 il DL n. 5/2012, meglio conosciuto come DL semplificazioni, per effetto della pubblicazione sulla G.U. n. 33 di ieri (nel S.O. n. 27/2012). Diventano così operative le misure contenute nel Decreto, concepite dal Governo – come si legge nell’introduzione al testo – “al fine di assicurare, nell’attuale eccezionale situazione di crisi internazionale e nel rispetto del principio di equità, una riduzione degli oneri amministrativi per i cittadini e le imprese e la crescita, dando sostegno e impulso al sistema produttivo del Paese”.
Tra le “semplificazioni” più rilevanti figurano quelle relative ai dati personali. In particolare, l’art. 45 del DL semplificazioni interviene sull’art. 34 del Codice della privacy (DLgs. 196/2003), sopprimendo la lett. g) del comma 1 e abrogando il comma 1-bis. Da oggi, quindi, non sarà più obbligatoria la tenuta di un DPS aggiornato, e viene meno anche la facoltà di avvalersi di un’autocertificazione sostitutiva o di un DPS semplificato per i soggetti che trattano unicamente dati personali non sensibili e, come soli dati sensibili, trattano quelli dei propri dipendenti e collaboratori, inclusi coniuge e parenti. La tenuta del documento programmatico sulla sicurezza è stata infatti giudicata dall’Esecutivo un adempimento superfluo, e la sua soppressione dovrebbe rispondere all’esigenza di sgravare le imprese dagli obblighi in tema di privacy non strettamente necessari.
Eliminazione dell’obbligo di tenuta di un aggiornato Documento Programmatico sulla Sicurezza (DPS) e, conseguentemente, della possibilità di avvalersi di un’autocertificazione o di un DPS semplificato. Inoltre, rimozione dell’obbligo di far riferimento nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione o aggiornamento dello stesso.
Le altre misure di sicurezza previste dalla normativa vigente non vengono abolite.
A tal proposito, si ricorda che la tenuta di un aggiornato DPS costituisce una misura “minima” di sicurezza prevista, in relazione all’obbligo generale di protezione dei dati personali, dall’art. 34, comma 1, lett. g) e dall’Allegato B, regola 19 del Codice della privacy.
Il DPS va redatto o aggiornato entro il 31 marzo di ciascun anno. Soggetto obbligato alla redazione del DPS è il titolare dei trattamenti di dati “sensibili” o giudiziari con strumenti elettronici, anche attraverso il responsabile, se designato. Il DPS non va inviato al Garante della privacy, ma deve essere conservato presso la propria struttura ed esibito in caso di controllo.
Per la mancata redazione o il mancato aggiornamento del DPS, il Codice prescriveva l’applicazione di sanzioni amministrative e penali.
La soppressione del DPS segue una serie di misure introdotte per ridurre gli oneri in materia di privacy per le imprese, fra le quali si segnala quella introdotta dal recente DL 6 dicembre 2011 n. 201 (conv. L. 214/2011).
Nello specifico, il decreto citato aveva già previsto limitazioni all’ambito di applicazione del Codice della privacy, mediante la soppressione del riferimento alle persone giuridiche, enti e associazioni da alcuni articoli del Codice della privacy. Si vedano, in particolare, le lett. b) e i) dell’art. 4, comma 1, del Codice della privacy, recanti le definizioni di “dato personale” e di “interessato”. Alla luce delle modifiche così introdotte, per “dato personale” si deve intendere qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; per “interessato” si deve intendere la persona fisica cui si riferiscono i dati personali.
