DPS addio, arriva l’autocertificazione

DPS addio, arriva l’autocertificazione

<attenzione! Questo articolo potrebbe contenere informazioni non aggiornate!>

Come cambia il D.lgs 196/2003 dopo le modifiche apportate dal Decreto Legge del 25/06/2008 n. 112 artt 29 e segg. nel testo in vigore dal 25-6-2008, conversione in legge pubblicata in Gazzetta Ufficiale il 21 agosto 2008, legge 133/2008

25/08/2008 – Di Paolo Giardini e Mauro Alovisio
Il Governo ha modificato il testo dell’art. 34 del D.lgs 196/2003 eliminando di fatto l’obbligo della redazione del DPS (Documento programmatico sulla Sicurezza) per tutte quelle realtà nelle quali l’unico dato sensibile trattato è quello legato allo stato di salute dei dipendenti (con esclusione della diagnosi) o quello relativo all’adesione ad organizzazioni sindacali od a carattere sindacale effettuato per fini legati alla gestione del rapporto di lavoro anche in relazione a norme e regolamenti.


In sostituzione del DPS il Titolare del trattamento dovrà redarre una autocertificazione ai sensi del’art. 47 del DPR 445/2000, ovvero una DSAN (Dichiarazione sostitutiva di stato e condizioni) nel quale dichiara di trattare solo dati non sensibili ad eccezione dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, e che sono state messe in atto le misure di sicurezza previste dal Codice e dall’allegato B.
Sorgono alcuni dubbi sulla reale portata del provvedimento, su come debba essere recepito e non ultimo, quale eventuali sanzioni possano essere irrogate in difetto.
Ad esempio, il trattamento di dati relativi a razza o religione sembra non essere compresi pertanto resterebbe l’obbligo di redazione del DPS. In fase di conversione è invece stato soppresso il terzo comma dell’art. 29 del d.l. 112/2008 che prevedeva l’abolizione del DPS anche per i titolari che effettuano trattamento di dati sensibili se entro due mesi dalla conversione non saranno emanate nuove modalità di redazione del DPS.
Siamo in attesa di nuove disposizioni, che, come si legge nel testo pubblicato in G.U. dovranno chiarire i criteri per applicare correttamente le misure minime di sicurezza indicate nell’allegato B, misure la cui applicazione resta ovviamente obbligatoria.

D.L. 25/6/2008 n. 112 G.U. n. 147 25/6/2008 – Art. 29. Trattamento dei dati personali

1. All’articolo 34 del decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e’ aggiunto il seguente: 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e l’unico dato sensibile e’ costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, l’obbligo di cui alla lettera g) del comma 1 e di cui al punto 19 dell’Allegato B e’ sostituito dall’autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto dati personali non sensibili, che l’unico dato sensibile e’ costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, e che il trattamento di tale ultimo dato e’ stato eseguito in osservanza delle misure di sicurezza richieste dal presente codice nonche’ dall’Allegato B)..
2. Entro due mesi dall’entrata in vigore della legge di conversione del presente decreto-legge, con un aggiornamento del disciplinare tecnico adottato nelle forme del decreto del Ministro della giustizia di concerto con il Ministro per la pubblica amministrazione e l’innovazione e con il Ministro per la semplificazione normativa, ai sensi dell’articolo 36 del decreto legislativo 30 giugno 2003, n. 196, sono previste modalita’ semplificate di redazione del documento programmatico per la sicurezza di cui alla lettera g) del comma 1 dell’articolo 34 e di cui al punto 19 dell’Allegato B al decreto legislativo 30 giugno 2003, n. 196 per le correnti finalita’ amministrative e contabili.
3. Qualora il decreto di cui al comma 2 non venga adottato entro il termine ivi indicato, la disciplina di cui al comma 1 si applica a tutti i soggetti di cui al comma 2.
4. All’articolo 38 del decreto legislativo 30 giugno 2003, n. 196, il comma 2 e’ sostituito dal seguente:
La notificazione e’ validamente effettuata solo se e’ trasmessa attraverso il sito del Garante, utilizzando l’apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
1) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche’ di un responsabile del trattamento se designato;
2) la o le finalita’ del trattamento;
3) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
4) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
5) i trasferimenti di dati previsti verso Paesi terzi;
6) una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
5. Entro due mesi dall’entrata in vigore della presente legge il Garante di cui all’articolo 153 del decreto legislativo 30 giugno 2003, n. 196 adegua il modello di cui al comma 2 dell’articolo 38 del decreto legislativo 30 giugno 2003, n. 196 alle prescrizioni di cui al comma 4.

Cosa è l’autocertificazione, il DPR 445/2000

art. 47 – Dichiarazioni sostitutive dell’atto di notorieta’

1. L’atto di notorieta’ concernente stati, qualita’ personali o fatti che siano a diretta conoscenza dell’interessato e’ sostituito da dichiarazione resa e sottoscritta dal medesimo con la osservanza delle modalita’ di cui all’articolo 38.
2. La dichiarazione resa nell’interesse proprio del dichiarante puo’ riguardare anche stati, qualita’ personali e fatti relativi ad altri soggetti di cui egli abbia diretta conoscenza.
3. Fatte salve le eccezioni espressamente previste per legge, nei rapporti con la pubblica amministrazione e con i concessionari di pubblici servizi, tutti gli stati, le qualita’ personali e i fatti non espressamente indicati nell’articolo 46 sono comprovati dall’interessato mediante la dichiarazione sostitutiva di atto di notorieta’.
4. Salvo il caso in cui la legge preveda espressamente che la denuncia all’Autorita’ di Polizia Giudiziaria e’ presupposto necessario per attivare il procedimento amministrativo di rilascio del duplicato di documenti di riconoscimento o comunque attestanti stati e qualita’ personali dell’interessato, lo smarrimento dei documenti medesimi e’ comprovato da chi ne richiede il duplicato mediante dichiarazione sostitutiva.
Articolo 38

Modalita’ di invio e sottoscrizione delle istanze
1. Tutte le istanze e le dichiarazioni da presentare alla pubblica amministrazione o ai gestori o esercenti di pubblici servizi possono essere inviate anche per fax e via telematica.
2. Le istanze e le dichiarazioni inviate per via telematica sono valide se sottoscritte mediante la firma digitale o quando il sottoscrittore e’ identificato dal sistema informatico con l’uso della carta di identita’ elettronica.
3. Le istanze e le dichiarazioni sostitutive di atto di notorieta’ da produrre agli organi della amministrazione pubblica o ai gestori o esercenti di pubblici servizi sono sottoscritte dall’interessato in presenza del dipendente addetto ovvero sottoscritte e presentate unitamente a copia fotostatica non autenticata di un documento di identita’ del sottoscrittore. La copia fotostatica del documento e’ inserita nel fascicolo. Le istanze e la copia fotostatica del documento di identita’ possono essere inviate per via telematica; nei procedimenti di aggiudicazione di contratti pubblici, detta facoltà è consentita nei limiti stabiliti dal regolamento di cui all’articolo 15, comma 2 della legge 15 marzo 1997, n. 59.
In pratica con l’autocertificazione viene data al cittadino la possibilità di dichiarare sotto la propria responsabilità fatti, circostanze e qualità. Questa dichiarazione viene fatta nei confronti delle istituzioni, su espressa richiesta. Il documento deve essere sottoscritto in presenza del pubblico ufficiale e corredate da fotocopoa del documento d’identità (art. 38 DPR 445/2000) oppure inviato per via telematica munito di firma digitale.

Cosa si deve fare

Se si rientra nel campo previsto della nuova norma, nel caso di un controllo o di una richiesta da parte dell’Autorità, e solo in questo caso, l’azienda il titolare del trattamento dei dati rilascia una dichiarazione sostitutiva dell’atto di notorietà, nella quale sotto la propria responsabilità penale autocertifica l’adozione delle misure di sicurezza minime ed idonee (Art. 33, 24 e allegato tecnico al codice) in sostituzione della presentazione del DPS.
Ecco una bozza del modello da utilizzare per l’autocertificazione fac simile da adattare con attenzione alle circostanze concrete e ai vari flussi di dati riscontrati

Dichiarazione sostitutiva di atto di notorietà

(Art.47 D.P.R. 28 dicembre 2000, n.445)

Il Sottoscritto/a ……… nato a ……… [M] [F] Prov……… il [gg/mm/aaaa]
Residente a ………Prov. ……… Indirizzo ……… N. … in qualità di legale rappresentante /titolare della ditta individuale / società /ente con sede legale in ………… p.iva ……….
Titolare del trattamento di dati personali effettuato ai sensi del D.lgs 196/2003
Nella propria qualità di rappresentante del titolare / titolare del trattamento in conformità agli artt. 4 e 28 del D.lgs 196/03, “Codice in materia di protezione dei dati personali” redige la presente .

(Autocertificazione del Titolare del trattamento dei dati)

consapevole delle sanzioni penali richiamate dall’art.76 del d.P.R. 28.12.2000 n.445, in caso di dichiarazioni mendaci e di formazione o uso di atti falsi e dell’art. 168 D.lgs 196/2003

Dichiara

di rientrare nella tipologia indicata dall’art. 29 della legge n. 133 del 6 agosto 2008 ed in particolare di effettuare trattamenti di soli dati non sensibili e che l’unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti ovvero dall’adesione ad organizzazioni sindacali od a carattere sindacale.
Il Sottoscritto inoltre dichiara di aver provveduto a:

  • definire la finalità del trattamento dei dati
  • definire la modalità del trattamento dei dati
  • definire gli strumenti utilizzati per il trattamento dei dati
  • definire i profili di sicurezza

a tale scopo ha provveduto alla:

  • individuazione in forma scritta degli incaricati al trattamento dei dati
  • predisposizione delle misure minime di sicurezza ai sensi del D.lgs 196/2003
  • vigilanza sulla corretta osservanza degli obblighi di legge e dei diritti riconosciuti dalla legge
  • formazione del personale relativamente alle disposizioni previste dal Codice in materia di protezione dei dati personali

Il Sottoscritto dichiara infine:

  • di effettuare trattamento di dati personali in modo lecito e corretto per scopi determinati, espliciti e legittimi legati alla propria attività di ___________________;
  • di trattare esclusivamente dati personali di tipo “comune” di clienti, fornitori, dipendenti, (altro)
  • dati personale di tipo “sensibile” dei dipendenti esclusivamente relativi allo stato di salute o malattia senza indicazione della relativa diagnosi ovvero dall’adesione ad organizzazioni sindacali od a carattere sindacale.

I descritti trattamenti sono effettuati per fini legati:
1. all’esecuzione di obblighi derivanti da contratto nel quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
2. all’espletamento di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria, compresi gli obblighi in materia di gestione del rapporto di lavoro;
in relazione a trattamenti effettuati per correnti finalità di amminstrative e contabili sottraendosi pertanto all’obbligo di redazione del Documento Programmatico sulla Sicurezza così come previsto dall’art. 34 bis D.ls 196/2003.

Esente da imposta di bollo ai sensi dell’art. 37 D.P.R. 28 dicembre 2000, n. 455
Data Firma Titolare (non autenticata)

Articolo 47 del D.P.R. 28.12.2000, n.445 Dichiarazioni sostitutive dell’atto di notorietà
1. L’atto di notorietà concernente stati, qualità personali o fatti che siano a diretta conoscenza dell’interessato è sostituito da dichiarazione resa e sottoscritta dal medesimo con la osservanza delle modalità di cui all’articolo 38.
2. La dichiarazione resa nell’interesse proprio del dichiarante può riguardare anche stati, qualità personali e fatti relativi ad altri soggetti di cui egli abbia diretta conoscenza.
3. Fatte salve le eccezioni espressamente previste per legge, nei rapporti con la pubblica amministrazione e con i concessionari di pubblici servizi, tutti gli stati, le qualità personali e i fatti non espressamente indicati nell’articolo 46 sono comprovati dall’interessato mediante la dichiarazione sostitutiva di atto di notorietà.
4. Salvo il caso in cui la legge preveda espressamente che la denuncia all’Autorità di Polizia Giudiziaria è presupposto necessario per attivare il procedimento amministrativo di rilascio del duplicato di documenti di riconoscimento o comunque attestanti stati e qualità personali dell’interessato, lo smarrimento dei documenti medesimi è comprovato da chi ne richiede il duplicato mediante dichiarazione sostitutiva

Chi deve comunque fare il DPS

I titolari di trattamenti di dati personali che effettuino trattamenti di dati sensibili con strumenti elettronici che non siano relativi al solo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi ovvero dall’adesione ad organizzazioni sindacali od a carattere sindacale sono comunque soggetti all’obbligo di redazione del DPS. Allo stesso modo non è stata prevista esenzione per quanto riguarda gli obblighi relativi al trattamento di qualunque tipo di dato effettuato con strumenti diversi da quelli elettronici.

Cosa si rischia con la nuova normativa

L’autocertifcazione può essere resa solo dal titolare.
L’art. 168 del D.lgs 196/2003 prevede il reato di falsità nelle dichiarazioni al Garante, pertanto dichiarare ad esempio di aver messo in atto misure minime di sicurezza o di effettuare solo trattamento di dati non sensibili o relativi allo stato di salute o all’adesione a sindacati dei propri dipendenti e che il trattamento e’ stato eseguito in osservanza delle misure di sicurezza richieste dal codice nonché dall’Allegato B) quando questo non corrisponde al vero costituisce reato punibile con la reclusione da 6 mesi a 3 anni.
La medesima dichiarazione rilasciata a pubblico ufficiale ad esempio durante una visita ispettiva oppure producendo il documento per partecipare ad un bando viene punita ai sensi delle norme previste dal cp.
– Falsa attestazione di fatti in atto pubblico art.483 C.P.: reclusione fino a 2 anni
– Uso di atto falso art.489 C.P.: reclusione fino a 1 anno e 4 mesi
– Dichiarazione mendace resa al pubblico ufficiale in atto pubblico: reclusione fino a 3 anni (Art.495 C.P.: dichiarare il falso direttamente in un atto pubblico o in una dichiarazione destinata a esservi riprodotta, dinanzi al pubblico ufficiale, relativamente all’identità, allo stato o a qualità personali proprie o di altri).

Estratto dalla gazzetta ufficiale n.195 del 21-8-2008 – Suppl. Ordinario n.196 legge 133/2008 del 6 agosto 2008

Art. 29. Trattamento dei dati personali
1. All’articolo 34 del (( codice in materia di protezione dei dati personali, di cui al )) decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e’ aggiunto il seguente:
1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e’ sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonche’ a trattamenti comunque effettuati per correnti finalita’ amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalita’ semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1.
2. In sede di prima applicazione del presente decreto, il provvedimento di cui al comma 1 e’ adottato entro due mesi dall’entrata in vigore della legge di conversione del decreto stesso.
4. All’articolo 38 del decreto legislativo 30 giugno 2003, n. 196, il comma 2 e’ sostituito dal seguente:
2. La notificazione e’ validamente effettuata solo se e’ trasmessa attraverso il sito del Garante, utilizzando l’apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche’ (( le modalita’ per individuare il )) responsabile del trattamento se designato;
b) la o le finalita’ del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.».

5. Entro due mesi (( dalla data di entrata in vigore della legge di conversione del presente decreto )) il Garante di cui all’articolo 153 del decreto legislativo 30 giugno 2003, n. 196 adegua il modello di cui al comma 2 dell’articolo 38 del decreto legislativo 30 giugno 2003, n. 196 alle prescrizioni di cui al comma 4. (( 5-bis. All’articolo 44, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, sono aggiunte le seguenti parole: «o mediante regole di condotta esistenti nell’ambito di societa’ appartenenti a un medesimo gruppo. L’interessato puo’ far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all’inosservanza delle garanzie medesime». All’articolo 36, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: «Ministro per le innovazioni e le tecnologie» sono inserite le seguenti: «e il Ministro per la semplificazione normativa )) .

Riferimenti normativi:
– Si riporta il testo dell’art. 38 del gia’ citato decreto legislativo n. 196 del 2003, cosi’ come modificato
dalla presente legge:
«Art. 38 (Modalita’ di notificazione). – 1. La notificazione del trattamento e’ presentata al Garante
prima dell’inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e puo’ anche riguardare uno o piu’ trattamenti con finalita’ correlate.
2. La notificazione e’ validamente effettuata solo se e’ trasmessa attraverso il sito del Garante, utilizzando l’apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante,
nonche’ le modalita’ per individuare il responsabile del trattamento se designato;
b) la o le finalita’ del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
3. Il Garante favorisce la disponibilita’ del modello per via telematica e la notificazione anche attraverso
convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali.
4. Una nuova notificazione e’ richiesta solo anteriormente alla cessazione del trattamento o al
mutamento di taluno degli elementi da indicare nella notificazione medesima.
5. Il Garante puo’ individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni
tecnologiche previste dalla normativa vigente.
6. Il titolare del trattamento che non e’ tenuto alla notificazione al Garante ai sensi dell’art. 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.»
– Si riporta il testo dell’art. 153 del gia’ citato decreto legislativo n. 196 del 2003:
«Art. 153 (Il Garante). – 1. Il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione.
2. Il Garante e’ organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e
due dal Senato della Repubblica con voto limitato. I componenti sono scelti tra persone che assicurano
indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell’informatica, garantendo la presenza di entrambe le qualificazioni.
3. I componenti eleggono nel loro ambito un presidente, il cui voto prevale in caso di parita’. Eleggono altresi’ un vice presidente, che assume le funzioni del presidente in caso di sua assenza o impedimento.
4. Il presidente e i componenti durano in carica quattro anni e non possono essere confermati per piu’ di
una volta; per tutta la durata dell’incarico il presidente e i componenti non possono esercitare, a pena di decadenza, alcuna attivita’ professionale o di consulenza, ne’ essere amministratori o dipendenti di enti pubblici o privati, ne’ ricoprire cariche elettive.
5. All’atto dell’accettazione della nomina il presidente e i componenti sono collocati fuori ruolo se
dipendenti di pubbliche amministrazioni o magistrati in attivita’ di servizio; se professori universitari di ruolo, sono collocati in aspettativa senza assegni ai sensi dell’art. 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, e successive modificazioni. Il personale collocato fuori ruolo o in aspettativa non puo’ essere sostituito.
6. Al presidente compete una indennita’ di funzione non eccedente, nel massimo, la retribuzione spettante al primo presidente della Corte di cassazione. Ai componenti compete un’indennita’ non eccedente nel massimo, i due terzi di quella spettante al presidente. Le predette indennita’ di funzione sono determinate dall’art. 6 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501, in
misura tale da poter essere corrisposte a carico degli ordinari stanziamenti.
7. Alle dipendenze del Garante e’ posto l’Ufficio di cui all’art. 156.
– Si riporta il testo del comma 1 dell’art. 44 del gia’ citato decreto legislativo n. 196 del 2003, cosi’ come
modificato dalla presente legge:
«Art. 44 (Altri trasferimenti consentiti). – 1. Il trasferimento di dati personali oggetto di trattamento,
diretto verso un Paese non appartenente all’Unione europea, e’ altresi’ consentito quando e’ autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato:
a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di
condotta esistenti nell’ambito di societa’ appartenenti a un medesimo gruppo. L’interessato puo’ far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine ll’inosservanza delle garanzie medesime.
b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio, con le quali la Commissione
europea constata che un Paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.»
– Si riporta il testo del comma 1 dell’art. 36 del gia’ citato decreto legislativo n. 196 del 2003, cosi’ come
modificato dalla presente legge:
«Art. 36 (Adeguamento). – 1. Il disciplinare tecnico di cui all’allegato B), relativo alle misure minime di cui al presente capo, e’ aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa in  relazione all’evoluzione tecnica e all’esperienza maturata nel settore.»

8 thoughts on “DPS addio, arriva l’autocertificazione

  1. Olinto Punti Lenzi

    Sono il proprietario di un agriturismo,( senza dipendenti ) non ho ancora capito se sono tenuto a fare il DPS ?
    Non tratto dati sensibili, faccio firmare ( oltre alla scheda di notifica che mando in questura ) il trattamento privacy per i dati da loro forniti: nome cognome luogo e data di nascita.
    Che devo fare ?
    Mi stanno stressando per fare il DPS a pagamento ( € 180 )
    Grazie Olinto
    Mi sembra di capire da quello che ho letto che devo fare solo un autocertificazione

  2. Paolo Giardini Post author

    Salve.
    Il DPS è dovuto solo per chi tratta dati sensibili con strumenti elettronici (che non significa esclusivamente computer).
    Questo in generale. Poi sarebbe bene verificare i trattamenti effettuati sui dati raccolti. Non c’è solo il DPS: ad esempio le nomine al commercialista od altri collaboratori esterni (sito web, agenzie,…?), le informative a clienti e fornitori, … Se effettua trattamenti che esulano da quanto previsto per legge (fatturazione, schedine di notifica, ecc.) deve raccogliere il consenso (vedi il caso di attività di marketing) ma deve essere resa una adeguata informativa. Noto ad esempio che sul vostro sito l’informativa non c’è.
    A questo punto ricorrere al consiglio di un esperto sarebbe cosa da prendere in considerazione. Tenga presente che l’adeguamento alla normativa non è semplicemente “redigere il DPS” ma effettuare una analisi ed agire di conseguenza.
    Alla larga da chi vorrebbe spacciare a prezzi da saldo DPS preconfezionati facendoli passare per consulenza professionale!

  3. Andrea Gualtierotti

    salve,
    che risposta a avuto Olinto Ponti Lenzi
    con l’agriturismo
    distinti saluti andrea
    p.s. sono nelle medesime condizioni

  4. Paolo Giardini Post author

    Se la domanda è solo “DPS o autocertificazione”, la risposta in genere è “DPS”.
    Se non altro per un semplice motivo. In caso di errori od omissioni, ad esempio non corrispondenza di quanto dichiarato con la realtà effettiva, se l’errore sta nel DPS si rischia una ammenda, se invece l’errore è nell’autocertificazione si rischia il reato penale di falsa dichiarazione, come previsto dall’art 76 del DPR 445/2000, con conseguenze molto peggiori.
    Il consiglio, al solito, è di rivolgersi ad un professionista esperto nella tematica.

  5. frazzini maria antonietta

    Sono una commerciante, senza elaboratore elettronico,senza dipendenti,non emetto fatture.Come devo comportarmi, per la privacy,devo fare il dps. grazie.

  6. Paolo Giardini Post author

    Il DPS è obbligatorio solo per chi tratta dati personali tramite strumenti elettronici (in teoria non si parla solo di computer quindi).
    Valuti insieme al suo commercialista se rientra nelle semplificazioni previste dai provvedimenti del Garante Privacy, ma in linea generale (ogni situazione va valutata a se), dovrà provvedere all’informativa per i soggetti dei quali tratta i dati personali (ad esempio i fornitori ecc., si veda questo articolo). Si dovrà valutare se nominare il commercialista Responsabile in outsourcing (in genere è la soluzione adottata). In questo caso dovrà farsi rilasciare una dichiarazione nella quale egli conferma di avere adottato tutte le misure di sicurezza necessarie, redatto il DPS (lui si, dato che certamente utilizzerà dei computer) ecc.

  7. Renato

    sono legale rappresentante di uno studio dentistico monospecialistico il geometra dell’ASL mi ha chiesto il DPS non ho il compiuter come devo comportarmi? devo fare un corso o basta l’autocertificazione, Cordialmente Sanguinetti

  8. Paolo Giardini Post author

    Forse non era proprio il “DPS” che intendeva il geometra.
    Il DPS è stato abolito (ed anche l’autocertificazione, che in ogni caso era valida solo per certi casi) dall’art. 45, comma 1, lett. c), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35.
    Dovete comunque provvedere all’adeguamento al d.lgs 196/2003 (informativa, consenso, nomine, istruzioni,…)
    Non c’è alcun obbligo di corsi (non è come il d.lgs 81/2008 per intenderci) ma è bene che siate seguiti da un professionista per valutare correttamente la vostra situazione.