Entro il 31.03.2010, se ne ricorrono le condizioni, andrà aggiornato il DPS. Infatti, entro tale data gli enti, i professionisti e le aziende, che non si trovino nelle condizioni previste dalla legge per l’adozione di misure semplificate, dovranno aggiornare il Documento Programmatico sulla Sicurezza. In particolare, è l’art. 34, del Codice per la protezione dei dati personali, che prevede tra le misure minime l’adozione del c.d. Documento Programmatico sulla Sicurezza (DPS). Il DPS, che ha una funzione meramente descrittiva, impone di fare, una volta all’anno, l’analisi sul sistema di sicurezza (adottato e da adottare) nell’ambito della propria attività.
Semplificazioni
Il comma 1-bis dell’art. 34 del Codice della protezione dei dati personali (introdotto dall’art. 29, comma 1, del D.L. n. 112/2008) prevede che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione (resa dal titolare del trattamento ai sensi dell’art. 47 del D.P.R. n. 445/2000) di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. Per tali finalità (trattamenti effettuati per fini amministrativi e contabili condotti da piccole e medie imprese, liberi professionisti e artigiani) il Garante della protezione dei dati personali ha emanato il 27.11.2008 un proprio provvedimento, che prevede modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1 dell’art. 34 del Codice.
Sanzioni
Chi intende fruire delle misure semplificate (autocertificazione) dovrà valutare attentamente la circostanza di trovarsi nelle condizioni previste dalla legge. Ciò poiché per le eventuali violazioni del Codice sono previste pesanti sanzioni, che vanno dall’arresto fino a due anni al possibile pagamento di somme da 20.000 a 120.000 euro (art. 169 ed art. 162 co. 2-bis del Codice). Nonostante i provvedimenti di semplificazione dell’Autorità Garante, ritengo sempre consigliabile la stesura di un DPS anche in caso di trattamento di dati comuni con strumenti elettronici. Detta stesura risponde infatti a quei criteri di misure idonee (non minime) che mettono al riparo il titolare dalle responsabilità civili ex art. 2050 c.c., e – comunque - risponde all’osservanza di criteri di buona organizzazione aziendale.

Fac simile di autocertificazione (redatta ai sensi dell’art. 47 del D.P.R. n. 445/2000)

Il sottoscritto……………………………….….consapevole di……………………., ai fini della Codice per la protezione dei dati personali

Dichiara sotto la propria personale responsabilità

Di trattare soltanto dati personali non sensibili ed, eventualmente, di trattare come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi.

Ciò per fini amministrativi e contabili.

Data In fede

______________ ________________

Indipendentemente da ciò, parte di Dottrina consiglia comunque di redigere il DPS anche nei casi in cui non sia dovuto l’obbligo.