Con la legge n° 133/2008 (di conversione del D.L. n° 122/2008), pubblicata in G.U. del 21 agosto 2008, sono state apportate alcune modifiche al Codice in materia di protezione dei dati personali (d.lgs 30 giugno 2003, n. 196). Le modifiche in questione prevedono, a carico di coloro che versano in una delle seguenti ipotesi:
1) soggetti (es, imprese, professionisti, enti) che nel corso della loro attività trattano soltanto dati personali non sensibili;
2) soggetti che trattano come unici dati sensibili quelli relativi allo stato di salute o malattia dei propri dipendenti e collaboratori (compresi quelli a progetto), a condizione che tali dati non includano anche le relative diagnosi,
3) soggetti che trattano dati sensibili relativi all'adesione di dipendenti e collaboratori (anche a progetto) ad organizzazioni sindacali o a carattere sindacale,
l’esonero dalla tenuta del Documento Programmatico sulla Sicurezza (DPS), il quale viene sostituito dall'obbligo di emettere un’autocertificazione, da rendere ai sensi del DPR 445/2000, nella quale si dichiara di aver adottato tutte le misure minime di sicurezza previste dall’art. 34 del D.Lgs. 196/2003, nonchè le altre misure previste dall’Allegato B di detto decreto.