Il Decreto Legge del 9 febbraio è intervenuto anche nel trattamento dei dati sensibili con strumenti informatici.
Cambia qualcosa nella vita quotidiana del CIO e del CSO italiani, a seconda delle loro attribuzioni, se fra queste vi era, come presumibile la redazione del Documento Programmatico sulla Sicurezza, ossia quel documento che va redatto o aggiornato entro il 31 marzo di ogni anno dal titolare dei trattamenti di dati sensibili o giudiziari con strumenti elettronici e conservato per esibirlo in caso di controllo.
Fra le novità introdotte nel nostro ordinamento dal recente Decreto Legge cosiddetto “semplificazioni“, infatti, c’è anche l’eliminazione dell’obbligo di redazione del DPS previsto dal Codice della Privacy per il trattamento di dati sensibili con strumenti informatici.
Il Decreto Legge del 9 febbraio, pubblicato in Gazzetta Ufficiale, è intervenuto sulla materia della privacy dapprima prevedendo l’eliminazione dell’obbligo di redazione del DPS previsto dal Codice della privacy.
Il provvedimento ha infatti abrogato la lettera g dell’art. 34, comma 1, del D.lgs. n.196/2003, meglio conosciuto come Codice in materia di protezione dei dati personali.
Poi ha anche disposto la contestuale eliminazione della norma che imponeva alle società di capitali di riferire nella relazione accompagnatoria al bilancio d’esercizio in merito all’avvenuta redazione o aggiornamento del DPS.
È stato infatti abrogato il n.26 dell’Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) al Codice della privacy.
Per effetto di questa doppia semplificazione le aziende non saranno più tenute, anche in caso di trattamento di dati sensibili a livello informatico, a redigere il documento.
Se l’obbligatorietà alla redazione del DPS cessa, al netto del fatto che deve essere ancora convertito in legge, le altre norme contenute nel 196/03 rimangono in vigore.
E rimane comunque aperta la questione relativa alla redazione del documento 2011, da farsi entro il 31 marzo di quest’anno.
Non è superfluo ricordare che tale abrogazione non determina per il titolare o per il responsabile del trattamento di dati l’esonero dall’obbligo di osservare tutte le misure minime di sicurezza.