Esiste un obbligo di redazione del “Documento Privacy”?

La domanda sorge spontanea…

Una domanda sorge sempre spontanea: essendo stato abolito l’obbligo di redazione del DPSS entro la data del 31 marzo, le organizzazioni possono stare “tranquille” e sentirsi esentate dalla redazione di un documento?

Partiamo dalle origini del DPSS.

Il D.L. n.5 del 9 febbraio 2012 (c.d. Decreto semplificazioni) ha raccolto inizialmente un consenso generale da parte di tutti coloro che erano obbligati a districarsi nella redazione del DPSS consentendo di sgravarsi dal carico documentale della privacy.

Tuttavia a tale iniziale entusiasmo sono seguite alcune importanti riflessioni.

La prima i tutte e la più importante, è che l’abolizione del DPSS non ha cambiato la sostanza della normativa. Sono rimaste in vigore tutte le misure di sicurezza obbligatorie e i provvedimenti stabiliti del Garante sulla Privacy che continuano ad avere effetto di legge.

La mancanza del supporto documentale costituito dall’ ex-DPSS, rende sicuramente più difficile argomentare e documentare ed evidenziare in maniera oggettiva come tali misure di sicurezza siano state recepite dalle organizzazioni.

Banalmente, dimostrare l’avvenuta valutazione dell’adeguatezza delle misure informatiche, o dimostrare (come citato dagli articoli 34 e 35) l’aggiornamento periodico (periodicità che il DLgs 196/2003 identifica come annuale) dell’ambito del trattamento dei dati sia per gli incaricati che trattano dati con strumenti elettronici che per coloro che usano strumenti manuali, diventa assai difficoltoso.

Di fatto, il documento privacy (il DPSS) rendeva agevole sia per l’organizzazione che per gli organi di vigilanza, verificare il rispetto della normativa.

Infatti anche le attività ispettive oggi vanno a verificare in maniera più diretta, cioè fisicamente, l’effettiva applicazione delle misure minime di sicurezza previste.

Predisporre dunque un documento interno (il cui nome non è più DPSS ma che nella sostanza lo ricalca) che riepiloghi tutti gli aspetti illustrati in modo da attestare il rispetto da parte del Titolare del trattamento di quanto stabilito dal DLgs 196/2003 (Codice Privacy) per prevenire i reati di trattamento illecito dei dati personali, rimane di fondamentale importanza.

Oltretutto il Nuovo regolamento Europeo che sostituirà il nostro DLgs 1896/2003 prevedrà l’obbligo per le imprese di conservare specifici documenti (statements) contenenti una serie di informazioni volte a descrivere le operazioni di trattamento di dati personali, che potrà riguardare non solo i titolari del trattamento ma anche i responsabili del trattamento.

Stando a quanto sopra scritto, sarebbe quindi opportuno elaborare un documento. Anche per mantenere un adempimento che comunque nel nuovo regolamento Europeo troverà ampio spazio.