Accantonare il Documento Programmatico?

A seguito dell’emanazione del  Decreto Legge 25.06.2008 n.112, il percorso di semplificazione avviato dal Governo riguardante nella fattispecie gli adempimenti in materia di privacy, in molti casi ha suscitato negli addetti ai lavori sensazioni di smarrimento e non poche perplessità sulla posizione da assumere alla luce delle novità rivolte ad alcune categorie. Sul fronte opposto, tra i diretti interessati che fino a poco tempo prima si sentivano schiacciati dalla macchina burocratica, molti imprenditori interessati dalle semplificazioni hanno esultato per la tanto agognata liberazione dall’obbligo di redigere annualmente il documento programmatico sulla sicurezza dei dati personali, visto come uno dei tanti fardelli di cui  l’impresa italiana deve, suo malgrado, farsi carico.A beneficio di tutti, ma soprattutto dei propri associati, Federprivacy ritiene opportuno esprimere, in modo più oggettivo possibile, il proprio punto di vista in merito alla questione:Senza fare in questa sede una disamina tecnico-giuridica analitica sui contenuti del predetto decreto legge, occorre premettere che, ogniqualvolta venga introdotta  una reale semplificazione per la vita dell’impesa italiana, a condizione che non faccia venir meno i diritti fondamentali del cittadino, questa deve essere accolta con soddisfazione e sollievo.Pertanto, l’esenzione dall’obbligo di redigere annualmente il documento programmatico  sulla sicurezza dei dati personali a favore di quelle aziende e di quei soggetti che non  trattano dati di natura sensibile eccetto quelli riferiti allo “stato di salute dei propri dipendenti senza indicazione della relativa diagnosi”(art. 29 DL 112/08), e soprattutto l’esenzione per queste categorie di soggetti titolari del trattamento dalle pesante sanzioni civili  e penali che comporta il mancato adempimento a questo obbligo di legge, può rappresentare un criterio di selezione ragionevole ed equilibrato introdotto dal Governo. Tuttavia, è doveroso rilevare che, poichè il requisito affinchè un titolare del trattamento non  sia più obbligato dalla legge a  redigere il DPS è limitato ad una condizione meramente circostanziale, di fatto i soggetti, enti e imprese, che realmente ne possono beneficiare, non sono che una parte. Infatti, ipotizziamo ad esempio il caso di un’azienda con dipendenti che, non trattando dati sensibili nella sua attività tipica, per rientrare nella categoria dei soggetti che non devono fare il DPS , predisponga diligentemente di accettare esclusivamente certificati di malattia  privi di diagnosi, ovvero con la sola prognosi relativa alla durata dell’assenza del lavoratore, a queste condizioni questa sarebbe in effetti legittimata ad astenersi dal redigere il documento programmatico; ma che dire se uno dei dipendenti presentasse una richiesta di adesione ad un sindacato? Oppure, nel caso in cui un lavoratore fosse vittima di un infortunio, sarebbe possibile gestire la pratica senza trattare alcun dato sensibile relativo alla diagnosi? E se l’ufficiale giudiziario notificasse un provvedimento del tribunale per il pignoramento del quinto dello stipendio di un dipendente? O ancora, nel comune caso in cui la lavoratrice comunichi il suo stato di gravidanza alla quale sussegua i periodo di maternità obbligatoria, facoltativa e permessi per allattamento? E’ evidente che in molti casi evitare lo sconfinamento che riporterebbe tale datore di lavoro nell’obbligo di redigere il DPS potrebbe essere alquanto difficile. Decidere quindi di redigere o meno il DPS in base ad un esame generico della propria struttura organizzativa eseguito in un dato momento, potrebbe essere fuorviante e  condurre ad errori di valutazione importanti.  Non ultimo aspetto da considerare, è che, essere non obbligati per legge a redigere il documento programmatico, non equivale a non essere obbligati ad adottare le misure di sicurezza minime ed ulteriori  sui dati personali trattati in azienda. Rimanendo obbligatorio e sanzionabile provvedere a tutti gli adempimenti che rimangono inalterati, ovvero ad esempio , la nomina degli incaricati al trattamento di dati personali, e la distribuzione delle responsabilità, la rete informatica adeguata con un sistema di autenticazione, un sistema antivirus efficace ed aggiornato, il cambio periodico delle password, la pianificazione della formazione del personale,etc.Pur considerando specificamente caso per caso, la linea suggerita attualmente da Federprivacy è quella di continuare a tenere comunque un aggiornato documento programmatico per la sicurezza dei dati personali, il quale, oltre che scongiurare situazioni di inimmaginata sanzionabilità, rappresenta una valida guida programmatica interna con ogni criterio di verifica per il controllo e la gestione degli adempimenti comunque obbligatori, in special modo quelli rientranti tra le misure minime, sanzionabili penalmente.Se poi, in conclusione, ricordiamo che, in sostituzione del DPS, si sarebbe  comunque obbligati a redigere annualmente una autocertiifcazione resa ai sensi dell’art. 47 del D.P.R. n. 445 del 28 dicembre 2000, nella quale si dichiari di aver attuato tutte le misure di sicurezza, (che devono essere effettivamente adottate, altrimenti a nulla servirebbe tale documento sostitutivo), allora è dissolto ogni dubbio, che in fin dei conti, è opportuno pensarci bene prima di accantonare il DPS, con l’auspicio di vedere presto ulteriori interventi in materia di privacy da parte delle istituzioni.     

Comunicato di nikspino | Pubblicato Sabato, 08-Nov-2008 | Categoria: Arte-Cultura