DL 112/2008. CONFERMATO ESONERO DAL DPS (DOCUMENTO PROGRAMMATICO PER LA SICUREZZA)

Fin dall’entrata in vigore del Codice Privacy (d.lgs. 197/2003) si è avvertita la necessità di semplificare la prevista redazione del DPS (Documento Programmatico per la Sicurezza) per le piccole e medie imprese e per gli artigiani. Il Governo, con il DL 112/2008, convertito in Legge n. 133/2008, ha tentato la via della semplificazione cercando di sostituire il DPS con una dichiarazione sostitutiva ma, secondo alcuni, si tratterebbe di una semplificazione fittizia.
La redazione del DPS è una misura di sicurezza prevista dal Codice Privacy (regola 29 dell’allegato B del Codice Privacy) ed è obbligatoria per tutti coloro che utilizzano dati sensibili o giudiziari mediante «strumenti elettronici». L’omissione espone il titolare del trattamento a responsabilità di tipo penale (art. 169 Codice Privacy). Con l’articolo 29 del DL 112/2008 è prevista la possibilità di sostituire il DPS con un’autocertificazione.
Per poter sostituire DPS con la dichiarazione sostitutiva , occorre trattare come “unici” dati sensibili quelli costituiti dallo stato di salute o malattia dei propri collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale.
Purtroppo sono ben pochi i casi che possono rientrare nell’ipotesi semplificata. Infatti, se il titolare del trattamento è un datore di lavoro e i trattamenti interessati sono unicamente quelli della gestione del rapporto di lavoro, allora il DPS può essere sostituito dalla dichiarazione, altrimenti no. Resta quindi l’obbligo del DPS (ad esempio): se si trattano dati sensibili (ad esempio sanitari o sindacali) diversi da quelli necessari per la gestione del rapporto di lavoro; se si trattano i dati sulla malattia con indicazione di una patologia; se si trattano dati sullo stato di salute non del dipendente/ collaboratore ma di un suo familiare (si pensi anche solo agli assegni familiari per i figli disabili); se si trattano dati giudiziali del dipendente o del collaboratore (procedimenti disciplinari, verifiche sui requisiti di onorabilità) poiché la norma parla unicamente di dati sensibili, ma i dati giudiziali sono trattati nel Codice Privacy alla stregua dei dati sensibili.
Se il datore riesce ad accertare che i soli trattamenti sensibili da lui realizzabili sono quelli della gestione del rapporto di lavoro, potrà evitare il DPS, ma in alternativa avrà l’obbligo di predisporre un’autocertificazione “resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte”.
Ne discende che soltanto la completa consapevolezza che tutto è a posto consentirà di sottoscrivere il documento senza il rischio di incorrere in sanzioni penali per dichiarazioni false. Se poi vogliamo valutare la semplificazione sotto il profilo dei costi delle aziende il risparmio non sembra immediatamente visibile. Sicuramente, infatti, occorrerà ricorrere al consulente per valutare la possibilità di evitare il DPS e per la redazione dell’autocertificazione.
Fabiana Cammarano