Il Decreto legge "Disposizioni urgenti in materia di semplificazione e di sviluppo", entrato in vigore il 10 febbraio ha semplificato anche le norme sulla privacy. All'art. 45 (Semplificazioni in materia di dati personali) si legge infatti che: "all'articolo 34 e' soppressa la lettera g) del comma 1 ed e' abrogato il comma 1-bis". E inoltre che "nel disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B sono soppressi i paragrafi da 19 a 19.8 e 26."
Ovvero tutti i riferimenti al Documento Programmatico sulla Sicurezza dei dati personali o, nei casi in cui è possibile, all'autocertificazione che lo sostituisce.
In pratica - spiega Giorgio Neri consulente ANMVI per la privacy- si modifica il Codice in materia di protezione dei dati personali, sopprimendo la tenuta del Documento Programmatico sulla Sicurezza dei dati personali, finora obbligatorio per chi trattava dati sensibili e/o giudiziari con mezzi elettronici.
Un adempimento gravoso per le piccole realtà che trattano raramente o in quantità esigua dati sensibili e giudiziari nel corso della loro attività, come appunto le strutture veterinarie.
Di seguito le disposizioni soppresse relative al Documento programmatico:
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo - contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.
Ulteriori adempimenti soppressi:
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilita' nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrita' e la disponibilita' dei dati, nonche' la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita';
19.5. la descrizione dei criteri e delle modalita' per il ripristino della disponibilita' dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu' rilevanti in rapporto alle relative attivita', delle responsabilita' che ne derivano e delle modalita' per aggiornarsi sulle misure minime adottate dal titolare. La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita' al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.