Con la legge n° 133/2008 (di conversione del D.L. n° 122/2008), pubblicata in G.U. del 21 agosto 2008, sono state apportate alcune modifiche al Codice in materia di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196). Le modifiche in questione prevedono, a carico di coloro che versano in una delle seguenti ipotesi:
1) soggetti (es, imprese, professionisti, enti) che nel corso della loro attività trattano soltanto dati personali non sensibili;
2) soggetti che trattano come unici dati sensibili quelli relativi allo stato di salute o malattia dei propri dipendenti e collaboratori (compresi quelli a progetto), a condizione che tali dati non includano anche le relative diagnosi,
3) soggetti che trattano dati sensibili relativi all'adesione di dipendenti e collaboratori (anche a progetto) ad organizzazioni sindacali o a carattere sindacale,
l’esonero dalla tenuta del Documento Programmatico sulla Sicurezza (DPS), il quale viene sostituito dall'obbligo di emettere un’autocertificazione, da rendere ai sensi del DPR 445/2000, nella quale si dichiara di aver adottato tutte le misure minime di sicurezza previste dall’art. 34 del D.Lgs. 196/2003, nonchè le altre misure previste dall’Allegato B di detto decreto.
Si ricorda che “dato sensibile”, ai sensi del Codice sulla Privacy, è ogni dato personale idoneo a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Sono dati sensibili ad esempio le trattenute sindacali, i dati relativi ad infortuni o malattie, a permessi per ore di assemblea sindacale, i dati delle cartelle cliniche, radiografie e registrazioni, ecc.
Nell’autocertificazione in oggetto l’azienda o l’ente dovrà attestare che essa tratta per l’appunto i dati relativi di cui ai punti 1-3 sopra e, conseguentemente, dichiarare di aver adottato tutte le misure di sicurezza previste dal Codice della Privacy diverse dal DPS.
La mancata adozione od aggiornamento del DPS di conseguenza, non comporta più la sanzione penale (ex art. 169 Codice Privacy) dell’arresto fino a 2 anni o dell’ammenda da 10.000 a 50000 euro. Tale sanzione infatti scatterà per il futuro solo in caso di accertata violazione delle altre misure minime di sicurezza diverse dal DPS da parte dell’organizzazione tenuta ad adottarle.
In conseguenza della nuova disciplina, d’ora in avanti tutti coloro che trattano dati di cui al sopracitato elenco, rischiano di vedersi infliggere una pesante sanzione se si accerta che nell’autodichiarazione sono contenute false attestazioni riguardo l’avvenuta adozione di tutte le misure di sicurezza previste dal Codice Privacy.
Desiderio Consultants Ltd., 46, Rhapta Road, Westlands
KENY