L’obbligo di redigere il documento programmatico per la sicurezza (DPS) è stato espunto dall’ordinamento , com’è noto, con il D.L. 9 febbraio 2012, n. 5 [1] , convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35 (in Gazzetta Ufficiale del 6 aprile 2012, n. 82).
A distanza di poco più di un anno dalla soppressione di questo adempimento, è lecito chiedersi se questa scelta è stata oportuna o meno.
Fino ad allora, a pena di reato punibile ai sensi dell’art. 169 del Codice della privacy, vigeva l’obbligo di aggiornare entro il 31 marzo di ogni anno tale documento sia per i soggetti pubblici che privati in caso di trattamento di dati personali, in particolare sensibili e giudiziari, mediante strumenti elettronici. Il DPS conteneva un censimento, sotto forma di elenco, dei dati personali trattati, le figure previste dal Codice preposte al trattamento dei dati e le rispettive responsabilità, l’analisi dei rischi per quanto riguarda gli strumenti utilizzati, gli operatori incaricati e le aree e i locali in cui i dati sono custoditi, e inoltre le misure di sicurezza adottate o da adottare per garantire l’integrità e la disponibilità dei dati.
L’abolizione dell’adempimento ha riguardato tutti i soggetti titolari del trattamento, sia pubblici che privati. Anche se per alcune tipologie di soggetti, ad esempio le piccole imprese, tale abrogazione ha comportato una riduzione dei costi per la non più necessaria tenuta del documento aggiornato, spesso effettuata da consulenti esterni, il permanere dell’obbligatorietà di adottare le misure minime e idonee di sicurezza rende comunque opportuna la redazione di un documento annuale sulla sicurezza, anche in previsione di eventuali controlli da parte dell’Autorità Garante in materia o di contestazioni di danni per violazione della privacy.
L’aggiornamento periodico del documento era infatti l’occasione per fare il punto della situazione e verificare il livello di sicurezza dei dati trattati, oltre a disporre le misure operative e gli eventuali accorgimenti da adottare per una migliore tutela dei dati e la previsione di percorsi formativi per gli incaricati del trattamento cioè per coloro che materialmente e quotidianamente gestiscono i dati.
Il fatto che non siano stati eliminati anche i contenuti del documento e le misure organizzative da adottare obbligatoriamente quando il trattamento dei dati personali avviene con l’utilizzo di strumenti elettronici, rende pertanto efficace l’abolizione dell’adempimento solo a livello formale ma non sostanziale.