Il Clusit ricorda che in qualche caso è possibile evitare il Documento programmatico per la sicurezza
La newsletter del Clusit, l’Associazione italiana per la sicurezza informatica, ricorda che in alcuni casi è possibile sostituire il Documento programmatico per la sicurezza con un’autocertificazione.
L’articolo 29 del decreto legge 25 giugno 2008 n.112, convertito, con modificazioni, in legge 6 agosto 2008, n. 133 (Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione Tributaria) ha integrato l’articolo 34 del Codice in materia dei dati personali (d.lgs 196/2003) prevedendo alcune semplificazioni che riguardano il Documento programmatico sulla sicurezza (Dps) ed in generale l’applicazione delle misure minime di sicurezza per particolari tipologie di trattamento.
Prima della modifica, dal combinato disposto dell’art. 34 comma 1 lettera g) e del numero 19 dell’Allegato B del Codice emergeva che chiunque, senza eccezioni, trattasse dati sensibili o giudiziari mediante strumenti informatici era soggetto all’obbligo di redarre ed aggiornare il Dps.
Il d.l. 112/2008 ha invece aggiunto all’art. 34 del codice un nuovo articolo 1 bis in base al quale per “i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale” la redazione del Dps è sostituita dall’obbligo di autocertificazione del titolare del trattamento (es azienda titolare del rapporto di lavoro) di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
