Documento Programmatico sulla Sicurezza

Entro il 31 marzo enti, professionisti e aziende, che non si trovino nelle condizioni previste dalla legge per l’adozione di misure semplificate, dovranno aggiornare il Documento Programmatico sulla Sicurezza.

L’art. 34 del Codice per la protezione dei dati personali infatti, prevede tra le misure minime l’adozione del c.d. Documento Programmatico sulla Sicurezza (DPS).

In materia di semplificazione invece l’art. 29, comma 1, D.L. 25 giugno 2008, n. 112, come modificato dalla relativa legge di conversione ha introdotto il comma 1-bis del-l’art. 34 del Codice della protezione dei dati personali, prevede che per i soggetti che, trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione.

L'autocertificazione, sostituita dall’obbligo di redazione ed aggiornamento documento programmatico sulla sicurezza, è resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. In relazione ad aziende che ripondono ai requisiti sopra schematicamente sintetizzati, nonché a trattamenti comunque effettuati per correnti finalità mministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, ha emanato il 27 novembre 2008 un proprio provvedimento, che prevede modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1 dell’art. 34 del Codice.

Tuttavia nonostante i provvedimenti di semplificazione dell’Autorità Garante, è consigliabile la stesura di un DPS anche in caso di trattamento di dati comuni con strumenti elettronici. Detta stesura risponde infatti a quei criteri di misure idonee (non minime) che mettono al riparo il titolare dalle responsabilità civili ex art. 2050 c.c., e – comunque - risponde all’osservanza di criteri di buona organizzazione aziendale.

Infatti il DPS ha il compito specifico di indurre a fare, almeno una volta all’anno, il punto sul sistema di sicurezza adottato e da adottare nell’ambito della propria attività; tale documento ha una funzione meramente descrittiva, eppure per la sua violazione il Codice prevede sanzioni estremamente severe, che vanno dall’arresto fino a due anni ed al possibile pagamento di somme da 20.000 a 120.000 euro, sanzioni rispettivamente previste dell'art. 169 ed art. 162 co. 2-bis del Codice.