Il documento programmatico sulla sicurezza e il trattamento dei dati personali delle persone fisiche: evoluzione di un sistema di protezione, pienamente applicabile in tutti gli Stati membri dell’Unione Europea.
Dal 25 maggio 2018 è entrato in vigore in Italia e in Europa il nuovo regolamento sulla Privacy, ai sensi del Regolamento (UE) 2016/679. Noto come GDPR (General Data Protection Regulation) e pienamente applicabile in tutti gli Stati membri dell’Unione Europea, il regolamento riguarda la protezione, il trattamento e la libera circolazione dei dati personali delle persone fisiche.
Il Documento Programmatico sulla Sicurezza (DPS) ha rappresentato per molti anni uno dei capisaldi della privacy aziendale in Italia.
Successivamente, con l'avvento di normative nazionali ed europee, l'obbligo di redigerlo sembrava essere venuto meno. Ciò non significa, però, che il sistema di protezione di dati personali si sia è affievolito, anzi. Si è semplicemente evoluto, continuando a imporre ai titolari del trattamento degli obblighi particolarmente stringenti per la salvaguardia della privacy e dei dati personali di ogni persona fisica.
Il Documento Programmatico sulla Sicurezza dei dati personali (DPS): una breve storia [GDPR]
Il Documento Programmatico sulla Sicurezza dei dati personali nasce con il Decreto Legislativo n. 196/2003 (c.d. Codice della Privacy).
Il suo art. 34, infatti, prevedeva che, in caso di trattamento di dati personali per mezzo di strumenti elettronici, era obbligatorio predisporre e aggiornare un documento programmatico sulla sicurezza informatica. Il punto 19 dell'Allegato B dello stesso decreto ne imponeva la redazione, anche attraverso un responsabile appositamente designato, entro il 31 marzo di ogni anno, indicando altresì tutte le informazioni da inserirvi.
Nello specifico il documento programmatico sulla sicurezza dei dati personali doveva contenere:
l'elenco di tutti i trattamenti di dati personali;
la distribuzione e il riparto di competenze delle strutture di trattamento dei dati;
l'analisi dei rischi incombenti sui dati;
le descrizione delle misure da disporre al fine di garantire l'integrità e la disponibilità dei dati e la protezione dei locali dove questi sono custoditi;
la descrizione di criteri e modalità di ripristino della disponibilità dei dati in casi di distruzione o danneggiamento;
la previsione di un'adeguata formazione per gli incaricati del trattamento, circa i rischi, le misure preventive, le responsabilità e le misure da adottare;
l'elenco dei criteri idonei a garantire misure minime di sicurezza in caso di affidamento del trattamento a strutture esterne;
le descrizione dei criteri adottati per la cifratura e la separazione dei dati relativi alla salute e alla vita sessuale dell'interessato.
In buona sostanza, il Documento Programmatico sulla Sicurezza informatica (DPS) consentiva all'azienda o al professionista di supervisionare il corretto trattamento e la sicurezza dei dati, così da prevenire ogni perdita, dispersione o violazione e evitare le possibili sanzioni del Garante.
Il Documento Programmatico sulla Sicurezza informatica (DPS): la soppressione dell'obbligo [GDPR]
Successivamente, con il Decreto Legge n. 5/2012 (c.d. Decreto Semplificazioni) l'obbligo di redazione del Documento Programmatico sulla Sicurezza dei dati personali fu soppresso, nell'ottica di una sburocratizzazione e semplificazione dei processi aziendali.
Nonostante ciò, però, la normativa sostanziale in materia di privacy, relativa alle varie misure di sicurezza informatica da adottare, è rimasta immutata, così come le eventuali gravose sanzioni comminate dal Garante della Privacy in caso di inadempimento.
Di conseguenza, in particolare per le medie-grandi aziende, restava (e resta tuttora) indispensabile dotarsi di un documento simile al Documento Programmatico sulla Sicurezza dei dati personali, per motivi di organizzazione e di gestione e per prevenire ogni inadempimento (e le conseguenti sanzioni).
Il GDPR e il Registro delle Attività di Trattamento
Con l'avvento del GDPR (Regolamento Europeo n. 679/2016, entrato in vigore nel maggio 2018) la situazione si è ulteriormente evoluta. Il GDPR, al suo art. 30, ha introdotto l'obbligo di tenuta di un apposito Registro dei Trattamenti.
Con questa disposizione, l'Unione Europea ha imposto ai titolari del trattamento l'obbligo di predisporre un documento che rendiconti le attività in materia di tutela dei dati personali, così da dimostrare di aver adottato tutto le misure prescritte dal Regolamento.
Lo stesso articolo, al suo considerando 82, descrive tutte le informazioni da accludere al documento, andando a integrare quanto già precedentemente disposto dal Codice della Privacy e rendendo gli obblighi di rendicontazione a carico del titolare del trattamento ancora più stringenti.
Con questa fondamentale disposizione europea è stato quindi ri-confermato (e rafforzato) l'obbligo di documentazione delle attività di trattamento dei dati personali svolte e delle misure di sicurezza e prevenzione adottate, attraverso la redazione, fondamentale per imprese, pubbliche amministrazioni e liberi professionisti, personalmente o appoggiandosi a consulenti esterni, di un documento simile al DPS, a prescindere dal nome che gli si voglia dare.
Per evitare di incappare in qualsiasi errore di valutazione o svista è cosa buona e giusta affidarsi ai consulenti esperti. Attraverso la presenza costante e il monitoraggio delle attività, il professionista ha la tranquillità che tutti i punti della normativa siano presidiati e che la conformità sia mantenuta nel corso del tempo.