Si ricorda che anche quest'anno entro il 31 marzo è necessario provvedere alla redazione o all'aggiornamento del Documento Programmatico sulla Sicurezza (Dps), attribuendo allo stesso data certa (ad es. tramite marcatura temporale, autoprestazione presso gli uffici postali). Si ritiene peraltro che l'aggiornamento debba essere effettuato anche se non sussistono variazioni: in tal caso sarà sufficiente replicare il Dps redatto l'anno precedente aggiornando solo la data certa.
Il punto 19 dell'Allegato B al D.Lgs. n. 196 del 30 giugno 2003 (Codice Privacy), nell'ambito dei trattamenti effettuati con strumenti elettronici, prevede infatti che:
"Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari, redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:..."
Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:…”
Si ritiene pertanto che ogni anno il Documento Programmatico sulla Sicurezza debba essere redatto, anche se non sussistono variazioni.
Sebbene il D.Lgs. 196/2003 non preveda nello specifico l’obbligo di attribuire data certa al DPS, è necessario riuscire a dimostrare, in caso di contestazione, che tale documento è stato redatto o aggiornato entro il termine ultimo.
Le norme civilistiche prevedono, all’art. 2704, che “la data della scrittura privata della quale non è autenticata la sottoscrizione non è certa” fino al “giorno in cui non si verifichi un fatto che stabilisca in modo egualmente certo l’anteriorità della formazione del documento”. Tutto ciò premesso, la situazione è risolta con l’apposizione della "data certa” sul documento. Tra i mezzi idonei ad assegnare la data certa ricordiamo:
- il ricorso alla cosiddetta "autoprestazione", presso gli uffici postali con apposizione del timbro direttamente sul documento, anzichè sull'involucro che lo contiene;
- l’adozione, per le amministrazioni pubbliche, di una delibera di cui sia certa la data in base alla concreta disciplina della formazione, numerazione e pubblicazione dell'atto;
- l’apposizione della cosiddetta "marca temporale" sui documenti informatici;
- l’apposizione di autentica, deposito del documento o vidimazione di un verbale presso un notaio;
- la registrazione o produzione del documento presso un ufficio pubblico.
Per quanto riguarda gli altri documenti obbligatori previsti dal Codice Privacy, essi non hanno un termine previsto per legge: ad esempio l’informativa deve essere rivista solo se varia uno degli elementi fondamentali inseriti. Per le nomine dei responsabili e degli incaricati è obbligatoria la modifica se cambiano i compiti o i trattamenti previsti nella nomina.
Pertanto, entro il 31 di marzo di ogni anno, dovrà essere rivisto solo il Documento Programmatico sulla Sicurezza.
