Il Documento programmatico sulla sicurezza, previsto dall’art. 34 del d.lgs 196/2003, consiste in un piano per la sicurezza dei dati che permette ai titolari del trattamento di provare formalmente l’adeguamento alle misure minime richieste dalla legge. In questo modo è possibile garantire la tutela dei dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc… , dei dati sensibili e degli eventuali dati giudiziari conservati dall’impresa.
Lo scopo fondamentale del DPS è di descrivere la situazione attuale in cui si trova il sistema interno e il percorso scelto per l’adattamento alle disposizioni previste dal Codice della Privacy. Il documento consta di 8 paragrafi nei quali vengono raccolte tutte le informazioni necessarie all’analisi dei dati trattati, i rischi che incombono e ovviamente le misure da adottare per prevenirli. Inoltre un paragrafo è dedicato agli interventi formativi programmati per mantenere il personale costantemente aggiornato in materia di trattamento e sicurezza.
Ma chi è tenuto alla redazione e aggiornamento del DPS? Secondo il comma 1-bis dell’art. 34 del d.lgs 196/2003 possiamo affermare con certezza che sono soggetti alla tenuta di un aggiornato DPS tutti quei Titolari che trattano particolari categorie di dati personali e sensibili con strumenti elettronici, quali: origine raziale e etnica di clienti, fornitori e dipendenti; convinzioni religiose; opinioni politiche; adesioni a partiti, associazioni od organizzazioni a carattere religioso, filosofico o politico; stato di salute; vita sessuale. L’obbligo è esteso anche a tutti i Titolari che trattano dati personali giudiziari con strumenti elettronici. Nonostante ciò l’art. 4 dello stesso d.lgs fornisce una definizione di trattamento omnicomprensiva, rendendo difficile l’individuazione delle imprese esenti dall’obbligo di redigere il DPS.
Con la L. 133/2008 sono state apportate alcune rilevanti modifiche al Codice della Privacy, finalizzate al completamento del cd. processo di semplificazione previsto dal Garante. Le principali novità assumono rilevanza soprattutto all’interno di quelle PMI che trattano unicamente dati personali sensibili riguardo lo stato di salute dei propri dipendenti (es. certificati medici debitamente anonimizzati) o dati relativi all’adesione ad organizzazioni sindacali. Il legislatore ha esonerato questi Titolari dalla redazione e, conseguentemente, dall’aggiornamento del DPS, introducendo, in sostituzione, l’obbligo di autocertificazione; un documento che attesta di aver adottato tutte le misure di sicurezza previste dall’ordinamento.
Ma cosa comportano queste modifiche? I Titolari che si avvalgono dell’autocertificazione non sono più soggetti all’art. 169 del d.lgs 196/2003, il quale prevede l’arresto sino a 2 anni e, ora dopo la modifica del 2010 al pagamento di una sanzione amministrativa pecuniaria da 10.000 a 120.000 euro, nel caso omettano di adottare le misure minime di sicurezza, ma bensì ricadono nella sfera dell’art. 168 in quanto vi è falsità nelle dichiarazioni al Garante, rischiando la reclusione da 6 mesi a 3 anni. Tale reato va in concorso con quanto previsto dall’art. 76 del d.p.r. 445/2000 che richiama le disposizioni del codice penale in materia di falsità. I reati contestabili a chi dichiari il falso in un’autocertificazione possono andare dalla “falsa sottoscrizione di atto pubblico” (art.483 codice penale: reclusione fino a due anni), all'”uso di atto falso” (art.489 c.p.), alla “falsa attestazione o dichiarazione a un pubblico ufficiale sulla identità o su qualità personali proprie o di altri” (art.495 c.p.: reclusione fino a sei anni), alle “false dichiarazioni sulla identità o su qualità personali proprie o di altri” (art.496 c.p.: reclusione da uno a cinque anni).
Perciò la pena risulta essere ben superiore, che non quella prevista nel caso di erronea o omessa redazione del DPS che resta comunque lo strumento principe.
Detto ciò possiamo affermare che la redazione del DPS richiede l’intervento di persone con un’ottima preparazione in campo giuridico/informatico e una conoscenza approfondita dell’impresa. In questo modo si evitano rischi derivanti dall’inosservanza delle norme vigenti e si ha maggiore tutela da procedimenti giurisdizionali da parte di persone/imprese che hanno subito una violazione nel trattamento dei propri dati.