Il Decreto Legge del 9 febbraio 2012 n.5, recante "Disposizioni urgenti in materia di semplificazione e di sviluppo", pubblicato nella Gazzetta Ufficiale n.33 del 9 febbraio 2012, eliminando l’obbligo del DPSS al 31 marzo 2012, elimina di fatto un aspetto formale della normativa, ma lascia in vigore tutto il resto (informative quando previste, incarichi, misure minime, amministratore di sistema ecc).
Fino ad oggi, nei controlli effettuati dal Garante e dalla Guardia di Finanza, la presenza di un DPSS significava in molti casi una presunzione di conformità del sistema alla normativa Privacy; spesso ci si limitava ad osservare l’esistenza di un DPSS aggiornato al 31/03/2012.
Oggi, in sua assenza o in assenza di un qualche altro documento sostitutivo, il personale addetto alle verifiche è, evidentemente, costretto a verificare non la forma, ma la sostanza del rispetto della normativa, entrando quindi più nel merito delle misure prese, che prima erano riassunte nel documento appena eliminato.
In quale modo infatti potrebbero verificare che gli adempimenti siano stati recepiti ed aggiornati secondo le periodicità indicate nel DLgs 196/2003, se non verificando nei fatti che essi vengano gestiti?
Da questo punto di vista, la redazione di un Documento alternativo al DPSS, che contenga tutti gli elementi che forniscano evidenza oggettiva di quanto fatto in conformità alla legislazione Privacy e di quanto continuamente aggiornato e revisionato, dovrebbe aiutare sia l’organizzazione auditata, che i verificatori stessi.