CHIARIMENTI IN MATERIA DI PRIVACY
Ai sensi dell’art. 34, comma 1, lett. G D.Lgs. 196/03 entro il 31 Marzo di ogni anno, i
soggetti che effettuano il trattamento elettronico di dati sensibili o giudiziari sono tenuti
alla redazione o all’aggiornamento del DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA (DPS), vale a dire di un documento in cui vengono riportate le informazioni
inerenti le modalità di trattamento dei dati ed alle misure di sicurezza adottate dal
titolare per la salvaguardia dei dati medesimi. Tale Documento deve essere redatto
secondo le norme del Codice della Privacy, custodito in azienda ed esibito in caso di
eventuali accertamenti ispettivi della Guardia di Finanza.
La mancata redazione o il mancato aggiornamento del DPS configura illecito penale ai
sensi dell’art. 33 del D.Lgs. 196/2003 che può comportare sanzioni penali (arresto fino a
due anni), sanzioni pecuniare da 10.000 a 50.000 Euro oltre a sanzioni civili.
Il titolare del trattamento è inoltre tenuto a riferire nella relazione sulla gestione
accompagnatoria al bilancio di esercizio (se dovuta) dell’avvenuta redazione o
aggiornamento del DPS.
NUOVE MODALITA’ DAL 2009: AUTOCERTIFICAZIONE
Con l’attuazione dell’art.29 del D.L. 112/2008, a decorrere dall’anno 2009 è prevista la
possibilità di usufruire di nuove modalità semplificate, sostitutive ed alternative alla
tenuta del DPS. Inoltre il Garante della Privacy con provvedimento n.99 del Novembre
2008 ha dettato nuove misure semplificate per l’applicazione delle misure minime di
sicurezza nel trattamento di dati personali a favore di determinati soggetti.
I soggetti che trattano soltanto dati personali non sensibili (che si riferiscono
genericamente a persone fisiche, persone giuridiche, enti o associazioni identificati) e,
quali unici dati sensibili, quelli relativi allo stato di salute o malattia dei propri
dipendenti/collaboratori senza però l’indicazione della relativa diagnosi, possono, in
alternativa alla redazione del DPS predisporre un’apposita autocertificazione sotto forma
di dichiarazione sostitutiva dell’atto di notorietà rilasciata dal legale rappresentante o da
responsabile autorizzato.
Per DATI SENSIBILI si intendono “i dati personali idonei a rivelare l’origine razziale ed
etcnica, convinzioni religiose, filosofiche o di altro genere, opinioni politiche, adesioni a
partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la via sessuale”.
ESCLUSIONE DALL’AUTOCERTIFICAZIONE. Tutti i soggetti che non rientrano nella
previsione di legge di cui sopra continuano ad essere tenuti all’obbligo di redazione del
DPS e saranno tenuti ad aggiornare annualmente tale documento.
Nell’ambito delle Associazioni Sportive Dilettantistiche è necessario valutare con molta
attenzione ed esaminare attentamente i dati sanitari con diagnosi inseriti nella
documentazione per la gestione delle pratiche infortunistiche. L’applicabilità del beneficio
dell’autocertificazione semplificata con riferimento a tali dati va approfondita di volta in
volta e sarà sempre opportuno verificare che i dati così trattati riguardino solamente lo
stato di salute o di malattia senza l’indicazione della diagnosi. In sostanza dovrà
comparire solo una informazione senza il motivo dell’idoneità o inidoneità e senza i
dettagli sull’infortunio dai quali emerga il tipo di trauma riportato. Si ricorda che l’errata
valutazione potrà comportare responsabilità penali a carico del responsabile del
trattamento dei dati.
L’art.29 del D.L. 112/2008 non modifica l’obbligo e le responsabilità connesse
all’osservanza delle altre misure minime di sicurezza prescritte dall’art. 34 del Codice
sulla Privacy dedicato alle misure di sicurezza nel trattamento dei dati con strumenti
elettronici.
L’AUTOCERTIFICAZIONE presuppone che tutte le misure minime di sicurezza siano state
implementate. La mancata adozione delle stesse potrebbe comportare conseguenze di
rilevanza penale.
NUOVE MODALITA’ DAL 2009: DPS SEMPLIFICATO
(allegato B del D.Lgs. 196/03)
E’ prevista la semplificazione della gestione delle misure minime di sicurezza (tra
cui rientra la redazione del DPS) a favore dei soggetti che trattano dati personali
per ordinarie finalità amministrative e contabili. La norma interessa in particolare
le piccole medie imprese, i liberi professionisti, gli artigiani e ad avviso di chi scrive
anche le Associazioni Sportive Dilettantistiche che oltre all’attività istituzionale svolgono
attività commerciale.
I soggetti di cui sopra potranno redigere un DPS semplificato prima dell’inizio del
trattamento e aggiornato al 31 marzo ogni anno.
