Con l’art. 29 del decreto legge n. 112 del 25/06/2008, convertito in legge 6 agosto 2008 n. 133, sono state introdotte ulteriori misure di semplificazione destinate ai soggetti che trattano esclusivamente dati personali non sensibili, quando gli unici dati sensibili di cui sono in possesso sono quelli relativi allo stato di salute o di malattia dei propri dipendenti o collaboratori, senza indicazione della relativa diagnosi, oppure all’adesione ad organizzazioni sindacali o a carattere sindacale.
Queste misure, che in pratica interessano una larga fetta di piccole e medie imprese e datori di lavoro, sono inserite in un nuovo comma (1-bis) dell’articolo 34 del codice della privacy (D.Lgs. 196/2003).
La principale novità è data dall’abolizione dell’obbligo di tenere un aggiornato DPS, ossia il documento programmatico della sicurezza e dalla sua sostituzione con una autocertificazione, resa ai sensi dell’art. 47 del D.P.R 445/2000, con la quale il titolare dovrà dichiarare di:
– trattare generalmente solo dati personali non sensibili
– essere in possesso dei soli dati sensibili previsti
– trattare questi ultimi nell’osservanza delle misure previste dal codice e dall’allegato B.
A scanso di equivoci e di pericolose sottovalutazioni è bene ribadire che:
- l’obbligo del DPS decade soltanto se risultano trattati dati sensibili della stessa specie di quella prevista, mentre in presenza anche di un solo altro dato sensibile di natura differente (ad es. quelli relativi all’adesione a partiti politici, organizzazioni di carattere religioso, ecc…) tutto rimane come prima;
- non viene meno l’obbligo di applicare le altre misure di sicurezza previste;
- l’autocertificazione non è un semplice adempimento burocratico, poichè in caso di false attestazioni (ad es. sulla natura dei dati trattati e/o sull’osservanza delle misure di sicurezza) comporta una responsabilità da parte del titolare dei dati.
Lo stesso decreto prevede che, entro due mesi dall’entrata in vigore della legge di conversione, sarà aggiornato il disciplinare tecnico del codice della privacy in modo da prevedere delle misure semplificate per la redazione del DPS, in favore di coloro che trattano dati personali per le sole finalità amministrative e contabili.
Il decreto contiene anche la seguente modifica del comma 2° dell’art. 38 del codice della privacy (Modalità di notifica):
La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l’apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
- le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché di un responsabile del trattamento se designato;
- la o le finalità del trattamento;
- una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
- i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
- i trasferimenti di dati previsti verso Paesi terzi;
- una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.