Nei prossimi giorni sarà pubblicato in Gazzetta Ufficiale il testo definitivo del Decreto Semplificazioni che ha inciso profondamente sul contenuto del D.Lgs. 196/2003 eliminando quella che, fino ad oggi, era vista come la misura di sicurezza per antonomasia: il famigerato Documento Programmatico sulla Sicurezza.
Vengono, quindi, cancellate tutte le questioni interpretative e le discriminazioni tra titolari di dati amministrativi e dati sensibili, tra piccole e grandi aziende, tra privati e Pubbliche Amministrazioni.
L’articolo 47 del DL, infatti, recita:
Art. 47 – (Semplificazioni in materia di dati personali)
1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a ) dopo l’articolo 17 è inserito il seguente:
«17-bis. Fatto salvo quanto previsto dagli articoli 21 e 27, il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.».
b) all’articolo 34 sono soppressi la lettera g) del comma 1 e il comma 1-bis;
c ) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.
Alla luce di questa modifica, quindi, il nuovo testo dell’articolo 34 sarà il seguente:
Art. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
1-ter.(1) Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
Ma, in concreto, cosa cambierà per i titolari del trattamento? Già, perchè nonostante questa modifica sia stata pensata per agevolare le Piccole e Medie Imprese, essa opera indiscriminatamente nei confronti di tutti i Titolari: quindi trova applicazione sia nei confronti della piccola azienda commerciale che della grande struttura ospedaliera o del laboratorio di analisi cliniche.
Ma quali sono le conseguenze di questa modifica? Cosa cambia in concreto per i titolari?
E’ fondamentale capire che viene meno una delle misure prescritte, ma l’art. 34 resta comunque in vigore. I titolari del trattamento dovranno, quindi, continuare a garantire:
- l’implementazione di sistemi di autenticazione ed autorizzazione informatica;
- l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
- la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
- l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
Come ha brillantemente fatto notare Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy, questa semplificazione va a toccare l’aspetto formale e non quello sostanziale: “Intanto va detto che il DPS non è più obbligatorio, ma paradossalmente d’ora in poi sarà comunque necessaria una documentazione molto simile, che attesti l’adozione delle numerose misure di sicurezza che il Codice privacy continua ad imporre alle aziende, ai professionisti e agli enti. Si passa al principio dell’accountability, per cui il titolare ha l’onere di dimostrare di essere stato diligente. Quello che si supera è il formalismo del DPS in sé, mentre da oggi converrà badare alla sostanza dei documenti privacy aziendali.”
Come si vede, quindi, dal punto di vista pratico cambia poco: pur non essendo più espressamente previsto, nella quasi totalità dei casi sarà comunque opportuno redigere un documento che sintetizza e riassume tutte le altre misure previste dalla normativa. Questo documento, però, cambia la denominazione e, soprattutto, diventa più flessibile e meno ancorato a forme sacramentali di cui, a tutti gli effetti, ben si può far a meno.
Dopo la pubblicazione del Decreto ci occuperemo degli aspetti più pratici e operativi di questa riforma, per vedere in concreto come devono operare i titolari per evitare di farsi trovare impreparati in caso di quei controlli che, è bene ricordarlo, continueranno ad essere effettuati.