73
PRIVACY
R A T I O N . 1 0 / 2 0 0 8 - 6 3 2 6
varie - Manovra d’estate
􀃖 􀃖
SOSTITUIRE IL DPS CON UNA
AUTOCERTIFICAZIONE
Art. 29 D.L. 25.06.2008, n. 112, conv. L. 6.08.2008, n. 133 - D. Lgs. 30.06.2003, n. 196 - Provv.
Garante Privacy 19.06.2008, prot. 1526724
SOMMARIO
SCHEMA DI SINTESI
ULTERIORI SEMPLIFICAZIONI In aggiunta alle misure disposte con specifiche decisioni per singoli casi, il Garante è intervenuto
apportando nuove misure di semplificazione per adempiere a obblighi di legge, avvertite
come troppo onerose, e richiamando ad usare forme semplificate già previste ma non
adeguatamente utilizzate. Un’altra rilevante modifica al Codice della privacy deriva dal D.L.
112/2008, il quale prevede la possibilità di sostituire il Documento programmatico di
sicurezza (Dps) con un’autocertificazione del datore di lavoro. Tale autocertificazione deve
specificare che i dati sensibili dei dipendenti utilizzati dall’azienda sono solo quelli relativi
allo stato di salute o malattia, nonché all’adesione a sindacati e che il loro uso è protetto dalle
regole di sicurezza. Un profilo problematico è però rappresentato dalle conseguenze giuridiche
per la falsa dichiarazione sostitutiva.
SCHEMA DI SINTESI
••
􀃖
AUTOCERTIFICAZIONE
SOSTITUTIVA
DEL DPS
L’autocertificazione è resa dal titolare
del trattamento ai sensi dell’art.
47 del D.P.R. 445/2000(1).
􀃖 Soggetti
interessati
•Soggetti che trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili quelli costituiti da:
.. stato di salute o malattia dei propri dipendenti e collaboratori,
anche a progetto, senza indicazione della relativa diagnosi;
ovvero
.. adesione ad organizzazioni sindacali o a carattere sindacale.
Situazioni
escluse
•Azienda che utilizza dati sensibili diversi da quelli indicati oppure
dati giudiziari, anche se ai soli fini di gestione del rapporto di
lavoro.
•Il trattamento dei dati ha finalità diverse dall’ordinaria gestione
lavorativa.
Autocertificazione
..
.. il loro trattamento avviene in osservanza delle altre misure di
sicurezza indicate nel D. Lgs. 196/2003.

•Deve essere allegata fotocopia del
documento di identità del titolare.
􀃖
􀃖
􀃖 􀃖
􀃖 􀃖
􀃖
SEMPLIFICAZIONE
DELLE MISURE
MINIME
DI SICUREZZA
􀃖
Provvedimento
del Garante
della privacy
Il Garante, sentito il Ministro per la semplificazione normativa,
individua con proprio provvedimento, da aggiornare periodicamente,
modalità semplificate di applicazione del disciplinare tecnico
di cui all’Allegato B) del Codice della Privacy in ordine all’adozione
delle misure minime di sicurezza.
Ambito
di applicazione
Trattamenti di dati sensibili, limitatamente allo stato di salute o
malattia (senza indicazione della diagnosi) o all’adesione ad organizzazioni
sindacali.

•Trattamenti comunque effettuati per correnti finalità amministrative
e contabili, in particolare presso piccole e medie imprese,
liberi professionisti e artigiani.
Si ricorda che, invece, il Dps può essere sottoscritto anche da un responsabile appositamente designato.
•La tenuta di un aggiornato Dps(2) è sostituita dall’obbligo di
autocertificare che:
i dati sensibili dei dipendenti e collaboratori trattati dall’azienda
sono solo quelli relativi allo stato di salute o malattia, nonché
all’adesione a sindacati;
La documentazione deve
essere conservata negli
uffici dell’azienda per
essere esibita in occasione
di eventuali ispezioni.
Note
(1)
(2) Il Dps è una misura minima di sicurezza da redigere ed aggiornare entro il 31.03 di ogni anno da parte di chi tratta dati
sensibili con elaboratore elettronico.
74 R A T I O N . 1 0 / 2 0 0 8 - 6 3 2 6
PRIVACY varie - Manovra d’estate
NOTIFICAZIONE
AL GARANTE
ULTERIORI SEMPLIFICAZIONI

una descrizione della o delle categorie di persone interessate e dei dati
o delle categorie di dati relativi alle medesime;
Modalità
di trasmissione
• La notificazione è validamente effettuata solo se è trasmessa attraverso
il sito del Garante (per via telematica), utilizzando apposito modello.
• Contenuto • Il modello contiene la richiesta di fornire tutte e soltanto le seguenti
informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente,
del suo rappresentante, nonché le modalità per individuare il
responsabile del trattamento se designato;
b) la o le finalità del trattamento;
c)
d) i destinatari o le categorie di destinatari a cui i dati possono essere
comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare, in via preliminare,
l’adeguatezza delle misure adottate per garantire la sicurezza del
trattamento.
INFORMATIVA • Breve • Il Garante ha fornito indicazioni per la redazione di un’informativa
unica per il complesso dei trattamenti di dati personali a fini esclusivamente
amministrativi e contabili.
“I SUOI DATI PERSONALI - Utilizziamo -anche tramite collaboratori
esterni- i dati che la riguardano esclusivamente per nostre finalità
amministrative e contabili, anche quando li comunichiamo a terzi.
Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli
altri suoi diritti, sono riportate su...”.
• Ampia • L’informativa breve può rinviare a un testo
più articolato, disponibile agevolmente
senza oneri per gli interessati, in luoghi
e con modalità facilmente accessibili anche
con strumenti informatici e telematici.
• Tramite reti Intranet o siti
Internet, affissioni in bacheche
o locali, avvisi e cartelli
agli sportelli per la clientela,
messaggi preregistrati
disponibili digitando un
numero telefonico gratuito.
• In base ai criteri di semplificazione evidenziati dal Garante, è possibile
non inserire nell’informativa più articolata gli elementi noti all’interessato
e i riferimenti meramente burocratici o circostanze ovvie.
• Specifica • È necessario fornire un’informativa specifica
o ad hoc quando il trattamento ha
caratteristiche del tutto particolari poiché
coinvolge, ad esempio, peculiari informazioni
(dati genetici) o prevede forme inusuali
di utilizzazione di dati, specie sensibili,
rispetto alle ordinarie esigenze amministrative
e contabili, o può comportare rischi
specifici per gli interessati.
•Ad esempio, rispetto a
determinate forme di uso
di dati biometrici o di controllo
delle attività dei lavoratori.
CONSENSO
DEGLI INTERESSATI
• Il Garante invita tutti i titolari del trattamento pubblici e
privati a non chiedere il consenso degli interessati quando:
.. il trattamento dei dati è svolto, anche in relazione all’adempimento
di obblighi contrattuali, precontrattuali o normativi,
esclusivamente per correnti finalità amministrative e contabili;
.. i dati provengono da pubblici registri ed elenchi pubblici
conoscibili da chiunque, o sono relativi allo svolgimento di
attività economiche o sono trattati da un soggetto pubblico.
Ai sensi degli artt. 2, c. 2,
24 e 154, c. 1, lett. c) Codice
Privacy

Il Garante ha ricordato che la notificazione non è necessaria per perseguire
finalità amministrative e contabili, salvo che per casi eccezionali
indicati per legge (art. 37 Codice privacy).
• Gli operatori possono redigere una prima informativa breve, che può
avere la seguente formulazione:
 
Top