Già a partire dalla metà 2011 era stato eliminato l’obbligo del DPS (Documento Programmatico sulla Sicurezza dei dati personali) per tutti i soggetti che trattavano unicamente dati sensibili relativi ai rapporti di lavoro con i propri dipendenti.
Il recente Decreto sulle semplificazioni ha introdotto un’importante novità, rimuovendo generalmente dal “Codice della Privacy” (D.Lgs. 196/2003) gli obblighi relativi alla redazione del DPS (Documento Programmatico sulla Sicurezza).
Permangono gli obblighi relativi alla gestione dei trattamenti svolti dai soggetti, che prevedono le nomine di responsabili e incaricati, oltre all’individuazione delle specifiche competenze e responsabilità. Restano i doveri inerenti al backup almeno settimanale per gli archivi di dati sensibili e/o giudiziari, oltre alle indicazioni relative a informative e richieste di consenso. Permangono i vincoli relativi agli Amministratori di Sistema e ai trattamenti in outsourcing.
A questi impegni, per le Pubbliche Amministrazioni si aggiungono gli adempimenti in tema di Disaster Recovery e Business Continuity introdotti con l’art. 50-bis del Codice dell’amministrazione digitale.
Eliminato il DPS e il relativo obbligo di revisione entro il 31 marzo di ogni anno, che nella teoria costringeva i soggetti che trattano dati sensibili e/o giudiziari a un riesame e verifica nell’organizzazione dei trattamenti, diventa importante pianificare metodi di gestione e verifica dei piani di attuazione