DPS – Documento programmatico sulla sicurezza
Dispone il nuovo comma 1 bis dell’art.34 del D.Lgs. 30-6-2003 n. 196 (Codice in materia di protezione dei dati personali:
“Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1”.
Il Garante della Privacy ha previsto tre distinte situazioni sulla base delle quali può essere necessario –o meno- predisporre il documento programmatico sulla sicurezza.
In primo luogo vi sono le aziende che trattano dati personali, sensibili e giudiziari: tale ipotesi è la più semplice in quanto esse saranno tenute a predisporre ed aggiornare un “DPS completo”, come siamo ormai abituati a conoscere.
Nel Giugno/Luglio 2008, con la modifica dell’articolo sopra riportata, è stata introdotta una nuova possibilità ovvero quella di non redigere affatto il DPS, sostituendolo con una “autocertificazione”. Qualora ricorrano le condizioni previste nel primo paragrafo dell’articolo sopra richiamato, il titolare del trattamento potrà limitarsi ad adottare un testo (che impropriamente è definito “autocertificazione”, in realtà si tratta di una dichiarazione sostitutiva di atto notorio, giusto il richiamo al DPR 445/2000) con il quale dovrà semplicemente dare atto di trattare, con le modalità prescritte dalla normativa attualmente in vigore, solo quei dati per i quali non è previsto il DPS. Tale scrittura dovrà avere data certa e dovrà essere rinnovata annualmente.
Con successivo provvedimento del Novembre 2008, il Garante ha previsto una ulteriore soluzione, ibrida rispetto alle due citate, consistente in un “DPS semplificato”, il cui ambito di applicabilità non è del tutto chiaro e definito. Scrive il Garante: “i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate. …”
Il DPS semplificato deve essere redatto prima dell’inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento. Il documento deve avere i seguenti contenuti (minori rispetto al “DPS completo”):
a) le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento;
b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
c) l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento con le relative responsabilità;
d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
La scelta tra adottare il “DPS completo”, piuttosto che il “DPS semplificato” o la sola “autocertificazione” spetterà alla azienda che dovrà valutare attentamente il tipo di dati effettivamente trattati. Sottolineiamo che la scelta tra DPS ed autocertificazione deve essere attentamente valutata poiché le conseguenze in caso di omessa tenuta del DPS (qualora necessario) possono essere spiacevolmente gravi.