Privacy – Abrogazione del DPS per chi tratta solo dati sensibili relativi alla salute dei dipendenti

Come già annunciato  dal Garante per la Protezione dei dati personali, il governo mediante il Decreto Legge 25 giugno 2008 n.112 "Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria" (in Gazzetta Ufficiale n.147 del 25 giugno 2008) ha abrogato l’obbligo della redazione del Documento Programmatico sulla sicurezza (DPS) per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi. Semplificazione anche per la notificazione dei trattamenti. Di seguito il testo dell’articolo 29  del decreto legge che riguarda la privacy.

Articolo 29 del decreto legge

Modifica dell’articolo 34 del Codice

1. All'articolo 34 del decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e' aggiunto il seguente:
«1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e l'unico dato sensibile e' costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, l'obbligo di cui alla lettera g) del comma 1 e di cui al punto 19 dell'Allegato B e' sostituito dall'autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto dati personali non sensibili, che l'unico dato sensibile e' costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, e che il trattamento di tale ultimo dato e' stato eseguito in osservanza delle misure di sicurezza richieste dal presente codice nonché dall'Allegato B).».
2. Entro due mesi dall'entrata in vigore della legge di conversione del presente decreto-legge, con un aggiornamento del disciplinare tecnico adottato nelle forme del decreto del Ministro della giustizia di concerto con il Ministro per la pubblica amministrazione e l'innovazione e con il Ministro per la semplificazione normativa, ai sensi dell'articolo 36 del decreto legislativo 30 giugno 2003, n. 196, sono previste modalità semplificate di redazione del documento programmatico per la sicurezza di cui alla lettera g) del comma 1 dell'articolo 34 e di cui al punto 19 dell'Allegato B al decreto legislativo 30 giugno 2003, n. 196 per le correnti finalità amministrative e contabili.
3. Qualora il decreto di cui al comma 2 non venga adottato entro il termine ivi indicato, la disciplina di cui al comma 1 si applica a tutti i soggetti di cui al comma 2. 4.

Modifica dell’articolo 38 del Codice

All'articolo 38 del decreto legislativo 30 giugno 2003, n. 196, il comma 2 e' sostituito dal seguente: «La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni: 1) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché di un responsabile del trattamento se designato; 2) la o le finalità del trattamento; 3) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime; 4) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; 5) i trasferimenti di dati previsti verso Paesi terzi; 6) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.». 5. Entro due mesi dall'entrata in vigore della presente legge il Garante di cui all'articolo 153 del decreto legislativo 30 giugno 2003, n. 196 adegua il modello di cui al comma 2 dell'articolo 38 del decreto legislativo 30 giugno 2003, n. 196 alle prescrizioni di cui al comma 4.

Link

• Decreto Legge 25 giugno 2008 n.112
• Gazzetta Ufficiale n.147 del 25 giugno (pdf, 85 K, 3 pp)

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI Servizi) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it

Altri articoli di Panfilo Marcelli

• Privacy – nuove semplificazioni del Garante per la PMI
• Privacy – guida pratica: videosorveglianza e registrazione di immagini
• Privacy: un esempio di DPS per la PMI (con licenza aperta)
• Glossario della Privacy
• La privacy nella piccola e media impresa:
  • parte prima: il quadro di riferimento
  • parte seconda: analisi dei rischi e misure di sicurezza
  • parte terza: la formazione
• Cos’è la privacy? (parte prima – le domande più frequenti, parte seconda - il DPS)
• Privacy: 10 errori da evitare nella redazione o aggiornamento del DPS (prima e seconda parte)
• Privacy e Compliance: di cosa occorre tenere conto nell'aggiornamento del DPS, 2-03-2008
• Privacy: le novità normative di cui tener conto nel DPS, 27-02-2008
• Privacy: gli adempimenti per le aziende entro il 31 marzo, 18-02-2008