Privacy: confermato l’esonero dal DPS, ma solo per pochi

Commento all’articolo 29 del DL 112/2008, convertito in Legge n. 133/2008, pubblicato in Gazzetta Ufficiale Supplemento Ordinario n. 196 alla G.U. n. 195 del 21.08.2008


di Alessandra Delli Ponti, avvocato ed articolista di NL

Fin dall’entrata in vigore del Codice Privacy (d.lgs. 197/2003) si è avvertita da più parti la necessità di semplificare la prevista redazione del DPS (Documento Programmatico per la Sicurezza) per le piccole e medie imprese e per gli artigiani. Recentemente il Governo ha tentato la via della semplificazione cercando di sostituire il DPS da una dichiarazione sostitutiva, purtroppo, a parere di chi scrive, si tratta di una semplificazione fittizia!

ECCO COSA PREVEDE LA LEGGE

Come noto il DPS è una misura di sicurezza prevista dal Codice Privacy (regola 29 dell’allegato B del Codice Privacy).
In particolare il Codice prevede l’obbligo di redigere il DPS a tutti coloro che utilizzano dati sensibili o giudiziari mediante «strumenti elettronici» (si veda art. 34, regole 1 e 19 Allegato B Codice Privacy, Parere Garante privacy 22/03/2004 punto 2.2.).
L’assenza di DPS da parte del titolare del trattamento tenuto a farlo, espone lo stesso titolare a responsabilità di tipo penale (art. 169 Codice Privacy).

Oggi, l’articolo 29 del DL 112/2008, convertito in Legge n. 133/2008 prevede la possibilità di sostituire il DPS con una dichiarazione sostitutiva.
Per poter sostituire DPS con dichiarazione sostitutiva (un’autocertificazione) , occorre trattare come UNICI dati sensibili quelli costituiti dallo stato di salute o malattia dei propri collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale.

COMMENTO

Da una semplice lettura della norma sono ben pochi i casi che possono rientrare nell’ipotesi semplificata.
Infatti.
Se il titolare del trattamento è un datore di lavoro e i trattamenti interessati sono unicamente quelli della gestione del rapporto di lavoro, allora il DPS può essere sostituito dalla dichiarazione, altrimenti no.
Quindi resta l’obbligo del DPS (ad esempio):
– se si trattano dati sensibili (ad esempio sanitari o sindacali) diversi da quelli necessari per la gestione del rapporto di lavoro, anche solo a mezzo carta, infatti l’articolo 29 non fa distinzione se i dati vengono trattati con strumenti elettronici o cartacei,
– se si trattano i dati sulla malattia con indicazione di una patologia,
– se si trattano dati sullo stato di salute non del dipendente/ collaboratore ma di un suo familiare (si pensi anche solo agli assegni familiari per i figli disabili),
– se si trattano dati giudiziali del dipendente o del collaboratore (procedimenti disciplinari, verifiche sui requisiti di onorabilità) poiché la norma parla unicamente di dati sensibili, ma i dati giudiziali sono trattati nel Codice Privacy alla stregua dei dati sensibili.

Comunque, se il datore è riuscito ad accertare che i soli trattamenti sensibili da lui realizzabili sono quelli della gestione del rapporto di lavoro, potrà evitare il DPS, ma in alternativa avrà l’obbligo di predisporre un’autocertificazione “resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte”.
In sostanza il datore di lavoro/ titolare del trattamento deve assumersi la responsabilità di dichiarare, in un atto ufficiale, dichiarazione sostitutiva di atto di notorietà, di trattare dati personali e, come dati sensibili, unicamente quelli relativi alla gestione del personale, senza indicazione della diagnosi e di trattarli in osservanza delle misure di sicurezza prescritte.
In altri termini, il titolare dichiara:
1. di non trattare dati sensibili e giudiziali al di là di quelli per la gestione dei rapporti di lavoro
2. di osservare le misure di sicurezza previste, ad eccezione, ovviamente, del DPS, e quindi: credenziali di autenticazioni, profili di autorizzazione, procedure di back up e ripristino, idonee procedure di cambio password, etc…

Ne discende che soltanto la completa consapevolezza che tutto è a posto consentirà di sottoscrivere il documento senza il rischio di incorrere in sanzioni penali per dichiarazioni false.
Se poi vogliamo valutare la semplificazione sotto il profilo dei costi delle aziende il risparmio non sembra immediatamente visibile. Sicuramente, infatti, occorrerà ricorrere al consulente per valutare la possibilità di evitare il DPS e per la redazione dell’autocertificazione.

Se questo non bastasse, vale la pena di sottolineare che ad oggi sono poche le realtà che non si sono ancora adeguate anche al “temutissimo” DPS, che oggi devono solo preoccuparsi di aggiornarlo entro il 31 marzo di ciascun anno, attività spesso facilmente realizzabile in autonomia dalle aziende.
Ma a chi proprio il DPS non piacesse, si consiglia di attendere i provvedimenti di semplificazione annunciati dal Garante e previsti dallo stesso articolo 29, probabilmente meno rischiose, anche se, ad oggi, il buon vecchio DPS non sembra poi tanto male.

printfriendly pdf button - Privacy: confermato l'esonero dal DPS, ma solo per pochi