No non allego nulla, mi limito ad annotare il software utilizzato, la licenza in regola o meno non riguarda la sfera privacy ma è puramente burocratica/fiscale.

Va bene ragazzi, ho capito che la cosa interessa, ora non ho tempo ma questa sera apro un Post intitolato DPS & C. e inserisco un poco di commenti e proposte di scartafacci.

seven

Bene allora non ti invio nessun messaggio privato
Molto gentile Criceto.

Un Ex Utente

Gentilissimo criceto, sicuramente interesserà molti.

Ho cominciato la pubblicazione, speriamo non mi caccino per intasamento di forum

aleb 0

Buonasera a tutti.
Mi sono iscritto perchè ho letto questo thread e ho notato un pò di confusione.
Permettetemi di fare chiarezza.
Il DPS è il Documento programmatico sulla Sicurezza. In pratica è una fotografia dell'azienda nell'utilizzo dei dati conferiti. Non ha requisiti formali, il che significa che può essere redatto in qualsivoglia forma e su qualsivoglia supporto. Però per agevolarne la stesura il Garante della Privacy mette a disposizione delle linee guida.
Tutti coloro che trattano in qualche modo dati sensibili devono redarlo. E intendo TUTTI. Dire che che chi tratta solo dati personali (sensibili per definizione) non lo deve fare è assolutamente sbagliato, così come sostituire il DPS con l'autocertificazione (che di fatto è inutile).
Gli unici che possono esimersi dal compilarlo sono coloro che utilizzano per la loro attività dei semplici dati fiscali di fatturazione. Questo in seguito ad un chiarimento di qualche anno fa del Garante della Privacy che si era giustamente reso conto che piccole realtà, come per esempio l'idraulico, non trattavano di fatto alcun dato. Ma rimane una eccezione.
Inoltre il DPS è solo una parte degli obblighi previsti dal D.Lgs. 196/03. Restano a carico di TUTTI senza alcuna esclusione gli obblighi di informare clienti e/o soggetti terzi(tramite apposite informative) e nominare (ove necessario in base alla struttura aziendale) Responsabili, Incaricati e Amministratore di Sistema.
Fin qui ho parlato degli aspetti legislativi della normativa della Privacy ed ora passo a quelli pratici.
Non basta che il DPS sia presente in azienda, ma deve essere anche chiaro e leggibile. Nella forma che si preferisce ma CHIARO. Non serve a niente il mero elenco dei pc e degli archivi se non fotografa i trattamenti effettuati, tant'è vero che nelle linee guida ufficiali tra le varie tabelle non è neanche menzionato. Non è raro che un DPS confuso sia sanzionato seppur presente.
Il documento è annuale e va redatto entro il 31 Marzo dell'anno in corso. La validità è fino al 31 Dicembre ma nella pratica, visto i tre mesi per redarre il nuovo, l'anno si conta dal 31 Marzo al 31 Marzo successivo. Il nuovo sostituisce il vecchio ma non è certo sbagliato conservare uno storico.
Va apposta data certa e qui si aprono altri dibattiti: gli unici modi legali per apporla sono il timbro postale su ogni pagina, il timbro postale su una pagina qualsiasi di un documento NON disassemblabile, la PEC.
La raccomandata è un modo per fare presto ma l'ispettore attento noterà che il timbro è sulla busta e nessuno gli può assicurare che non si sia spedita una busta vuota.
Dulcis in Fundo. Sono un consulente e mi è capitato che ad alcuni clienti sia stata contestata la mancanza del DPS anche se si parlava di soli dati di fatturazione come ho spiegato prima. In questi casi l'ispettore è un essere umano come noi, soggetto ad errori ma anche dotato di cervello. E' stato sufficiente una breve spiegazione dell'imprenditore precedentemente istruito per chiarire il tutto. Resta però il fatto che è stato chiesto e si è comunque sfiorato il verbale. Contestabile quanto vi pare ma pur sempre una rogna. Ragion per cui adesso consiglio sempre di avere il DPS anche se inutile.

Spero di essere stato chiaro e rimango a disposizione per chiarimenti. Non voglio sfruttare il forum per farmi pubblicità per cui vi dico solo che quello che ho scritto lo faccio per lavoro. E' per questo che conosco, credo bene, la materia. Per la stessa ragione però non metterò a disposizione moduli o quant'altro. Sono certo che capirete.

edit: chiarisco sull'autocertificazione. E' ammessa formalmente ma di fatto non semplifica niente. Devi redigere un atto dichiarando che tratti solo ed esclusivamente dati del dipendente relativi ai giorni di malattia (i "giorni" richiesti dal certificato medico) senza indicazioni sulla diagnosi. Altri dati che consentono l'autocertificazione sono quelli relativi ai permessi e alla delega per la riscossione dei contributi ex L.300/70. E te ne assumi tra l'altro anche la responsabilità penale nel caso dichiarassi il falso.
Qualunque altro dato trattato in qualunque altro modo ti obbliga al DPS. Facciamo degli esempi terra-terra: maternità, congedo parentale, crediti alimentari coatti sulla busta paga, permesso ex legge 104, tutti i trattamenti relativi all'ambito di attività...
In pratica ti assumi il diritto di fare un documento ufficiale in luogo di un altro documento ufficiale con in più l'obbligo di dimostrare che dici il vero all'ipotetico ispettore che non si aspetta di trovarlo.
A mio avviso semplicemente ridicolo e potenzialmente dannoso. Molto più semplice e sicuro fare il DPS. Poi come qualcuno ha detto precedentemente la sicurezza totale non esiste ma almeno in questo modo si riducono drasticamente le probabilità.

edit n°2: Non è vero che i dati devono essere trattati solo con l'ausilio di strumenti elettronici per essere oggetto del D.Lgs. 196/03. Sarebbe il colmo che si potesse fare ciò che si vuole con i dati trascritti su carta ma non con quelli archiviati su supporto informatico.

Scusate se sono stato prolisso ma la materia è complessa e c'è tanta confusione/disinformazione al riguardo.

seven

Ciao
certo che di confusione ce ne parecchia e non poca.
Quindi da quanto scrivi chi riceve contatti email o chi nei propri siti web utilizza form di contatto o ha installato software per il tracciamento dei dati, denominati software di statistiche d'accesso, dovrebbe redirigere il DPS ?

Domanda. Chi non ha redatto il DPS entro il 31 marzo e volesse farlo ora cosa deve fare ?
Redirigerlo e sperare che nessun controlli ?
In caso dovesse essere controllato dovrebbe pagare una sanzione ?

Certo che non c'è da stare tranquilli..

Grazie per il tuo intervento

seven

@AleB said:

Tutti coloro che trattano in qualche modo dati sensibili devono redarlo. E intendo TUTTI. Dire che che chi tratta solo dati personali (sensibili per definizione) non lo deve fare è assolutamente sbagliato, così come sostituire il DPS con l'autocertificazione (che di fatto è inutile).
Gli unici che possono esimersi dal compilarlo sono coloro che utilizzano per la loro attività dei semplici dati fiscali di fatturazione.

Scusa però qui stiamo ancora fermi su un concetto, almeno lo sono io, quello dei dati sensibili.

Preso direttamente dal sito del garante.

"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Indirizzo email e indirizzo IP, ottenuto dalle statistiche del sito, non mi sembrano dati PERSONALI SENSIBILI o per lo meno io non li vedo rientrare in una delle voci riportate sul sito web del garante.

Quindi non trattando questi dati non si è costretti a redirigere il DPS. Giusto ?

Grazie

aleb 0

Il garante stesso ha fatto un pò di confusione nel dare le definizioni. Confusione mai chiarita perchè però tutto sommato non ce n'è bisogno in chiave di una maggiore tutela. Mi spiego:
L'obbligo delle misure minime (tra cui ma non solo il DPS) scatta se si effettua il trattamento di dati personali la cui definizione è "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;" art. 4 D.Lgs 196/03.
In pratica si redige DPS quando si effettua un qualsiasi trattamento di dati idonei ad identificare un soggetto, non solo quando questi dati sono "sensibili". E questa definizione è volutamente estensiva. Significa maggiore tutela nelle intenzioni del legislatore verso i titolari dei dati e maggiore tutela nei tuoi confronti riguardo alla ipotetica sanzione.
E con questo ho risposto ad alcune delle tue domande.
Per il resto: se al momento della visita c'è un DPS aggiornato, seppur in ritardo, la multa non ci dovrebbe essere. Il condizionale è d'obbligo dal momento che si parla comunque di una irregolarità accertata e sanzionabile fino a 180 mila euro (eh si, leggi l'art 161 e ss.) ma che sarebbe del tutto fuori luogo visto che non porterebbe a niente se non ad una mera punizione e alla ovvia considerazione che farlo in ritardo o non farlo per niente sarebbe la stessa cosa.
Se non c'è proprio invece le cose sono ben peggiori, così come se mancano le informative e/o le eventuali nomine (tutte misure minime di sicurezza).

Per esperienza personale concludo che molte volte se c'è un controllo te lo chiedono a prescindere e poi sta a te spiegare perchè non ce l'hai.

Mi permetto di dissentire sulla "data certa"
La storia è annosa e riguarda esclusivamente la proroga concessa agli albori ...

VI - "ATTO A DATA CERTA" E "DPS" A CONFRONTO

La possibilità di avvalersi di questa ulteriore proroga, per l'implementazione delle misure minime, ha creato però notevoli problemi interpretativi da parte dei titolari, sia relativamente ai termini da rispettare che ai documenti da rediger. L'errore più comunemente riscontrato finora, infatti, è quello di confondere il DPS con l'"atto a data certa".

Come specificato dal Garante in un parere del 5 dicembre 2000: "il documento previsto dalla legge n. 325/2000 va distinto dal documento programmatico sulla sicurezza disciplinato dall'art 6 del d P.R. n. 318/1999".

La redazione del DPS è un obbligo legislativo, la cui violazione costituisce reato, punibile con l'arresto sino a de anni o l'ammenda da 10 mila euro a 50 mila euro, come previsto dall'articolo 169 del Codice Privacy.

La redazione dell'atto a data certa, invece, è facoltativo e non è direttamente rilevante ai fini della responsabilità civile per danno derivante da mancata o inidonea adozione di misure di sicurezza, essendo utile, solo ai titolari del trattamento che intendano beneficiare di un differimento del termine per adottare le misure minime di sicurezza.

Dal punto di vista normativo i due documenti sono differenti ed hanno origine da finti normative diverse:

• "L'atto a data certa" è previsto dall'articolo 1 della Legge 3 novembre 200, n. 325 e dall'articolo 180 comma 2 e 3 del Decreto Legislativo 30 giugno 2003, n. 196.

• Il DPS è previsto dall'articolo 6 del Decreto del Presidente della Repubblica 28 luglio 1999, n. 318; dall'articolo 34, comma 1 punto g) del Decreto Legislativo 30 giugno 2003, n. 196; dalla regola 19 dell'Allegato B) - Decreto Legislativo 30 giugno 2003, n. 196.

I due documenti hanno inoltre, anche finalità e modalità di redazione completamente differenti:

• Il DPS serve per definire le misure minime che il titolare intende adottare per il trattamento dei dati personali con strumenti elettronici. Esso va aggiornato entro il 31 Marzo di ogni anno.

• "L'Atto a data certa" serve invece, per avere ulteriori tre mesi di tempo per implementare quanto previsto dal DPS o stabilito in sede di definizione delle misure minime da adottare. esso va redatto una sola volta ed esclusivamente secondo i termini e le modalità previste dall'articolo 180 del Codice Privacy.

---

Quanto ai dati che rendono necessario il DPS faccio notare che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante (e non certo solo gli idraulici).
Occorre anche considerare che tali dati non sono poi "personali" in senso stretto e possono essere comunicati a terze parti senza formalità, vedasi per esempio l'anticipo fatture, l'emissione di RiBa o la cessione di crediti che avviene senza consenso del cliente che NON HA IL DIRITTO PER LEGGE di opporsi a tali comunicazioni che quindi NON TRATTANO DATI PERSONALI.
Vedasi a questo riguardo gli archivi tipo CRIF o ESPERIAN e consideriamo il fatto che i propri dati che li finiscono possono essere divulgati a cani e porcelli privati senza che gli interessati possano opporsi.

Ecco il riferimento normativo:
Col Provvedimento di semplificazione del 27/11/2008, il Garante ha dispensato una buona fetta di Titolari del trattamento dall’obbligo di redazione del DPS.
Più precisamente, possono redigere un’autocertificazione in luogo del DPS le amministrazioni pubbliche e le società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano, come unici dati sensibili dei dipendenti e collaboratori anche a progetto, quelli relativi allo stato di salute senza indicazione della relativa diagnosi o all’adesione a organizzazioni sindacali

Passando poi alle sanzioni per l'eventuale ritardo nell'aggiornamento ed escludendo quindi la "data certa" non vedo come sarebbe possibile all'eventuale ispettore rilevare che un documento "targato" ufficialmente 31/3/xxxx sia stato invece redatto in data successiva ..... cerchiamo di non fare terrorismo psicologico.

Sul fatto poi di compilarlo ed implementarlo "a prescindere" non ho nulla da eccepire .... male non fa ...... può anzi essere utile per individuare manchevolezze o vulnerabilità del proprio sistema informatico.

seven

Ok per una maggiore tutela. Tu intendi meglio fare il DPS che l'autocertificazione, oltre a tutto il resto, in quanto siamo certi di essere al sicuro. L'obbligo delle misure minime di sicurezza penso che le debbano adottare chiunque, anche chi fa della semplice fatturazione.

Ora il Garante riporta questo

2.1 Anche la redazione del DPS è una "misura minima", prevista dall?Allegato B.

Quindi con questo non si intende che chi debba adottare delle misure minime è obbligato a redarre il DPS, ma semplicemente che il DPS è una misura minima.
Daltronde sul sito del Garante è riportato quanto segue:

2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l?organo, ufficio o persona fisica a ciò legittimata in base all?ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell?Allegato B)).

Non è per fare polemiche, senza ombra di dubbio ne sapete più di me e sapete interpretare meglio le leggi.

Ma al 2.2 viene spiegato che deve essere adottato da chi tratta dati sensibili o giudiziari. Quindi se il garante definisce dati sensibili i dati personali idonei a rivelare l'origine razziale.... ecc ecc

perchè se io non tratto questi dati sono soggetto a sanzioni perchè ho prodotto un'autocertificazione?

Scusate forse sono più gnocco di quanto so già d'esserlo, ma su questa pagina del garanteprivacy.it/garante/doc.jsp?ID=771307 è scritto quanto vi riporto.

Per la data certa, da quanto ho letto, c'è stata un'errata interpretazione dei testi legislativi. Ora a mio avviso per essere certi è meglio apporre la data certa, ma sai è un appliglio per chi ......

Per la data certa meglio andare in posta a farsi timbrare tutte le pagine del documento...

@AleB said:

Il garante stesso ha fatto un pò di confusione nel dare le definizioni. Confusione mai chiarita perchè però tutto sommato non ce n'è bisogno in chiave di una maggiore tutela. Mi spiego:
L'obbligo delle misure minime (tra cui ma non solo il DPS) scatta se si effettua il trattamento di dati personali la cui definizione è "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;" art. 4 D.Lgs 196/03.
In pratica si redige DPS quando si effettua un qualsiasi trattamento di dati idonei ad identificare un soggetto, non solo quando questi dati sono "sensibili". E questa definizione è volutamente estensiva. Significa maggiore tutela nelle intenzioni del legislatore verso i titolari dei dati e maggiore tutela nei tuoi confronti riguardo alla ipotetica sanzione.
E con questo ho risposto ad alcune delle tue domande.
Per il resto: se al momento della visita c'è un DPS aggiornato, seppur in ritardo, la multa non ci dovrebbe essere. Il condizionale è d'obbligo dal momento che si parla comunque di una irregolarità accertata e sanzionabile fino a 180 mila euro (eh si, leggi l'art 161 e ss.) ma che sarebbe del tutto fuori luogo visto che non porterebbe a niente se non ad una mera punizione e alla ovvia considerazione che farlo in ritardo o non farlo per niente sarebbe la stessa cosa.
Se non c'è proprio invece le cose sono ben peggiori, così come se mancano le informative e/o le eventuali nomine (tutte misure minime di sicurezza).

Per esperienza personale concludo che molte volte se c'è un controllo te lo chiedono a prescindere e poi sta a te spiegare perchè non ce l'hai.

aleb 0

E' questa la confusione di cui parlavo.

1. Nel Disciplinare tecnico in materia di misure minime di sicurezza si dice all'art.19 "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza". E' vero che manca la parola "certa" ma il senso è chiaro e daltronde la Data Certa è l'unico strumento per poter opporre la data del documento all'organo di controllo. Come pensi di poter dimostrare che il tuo DPS sia stato fatto in tempo? L'ispettore ha tutto il diritto di chiederti di provare di averlo fatto nei termini stabiliti.
   La citazione di criceto riguarda il periodo transitorio e fa riferimento ad una polemica nata all'indomani dell'entrata in vigore del 196/03. Oggi questo punto è stato ampiamente discusso e superato.
   Si tratta di elementare osservanza delle leggi e, in caso di vuoto legislativo, delle prassi consolidate.
2. Devo correggere anche quando si fa il paragone tra DPS e Atto a data certa. La data certa è un mezzo per poter stabilire con certezza l'osservanza di un termine e poter poi opporre ciò in sede legale. Il DPS è un atto, nel caso fosse prevista espressamente (effettivamente così non è) sarebbe un Atto a Data Certa. Ci sono atti a data certa e atti che non la prevedono ma è opinione consolidata in ambito amministrativo e legale apporre la data certa anche a tutti quegli atti che prevedono generica data, intendendo implicita la richiesta del legislatore. E' come paragonare una macchina e una ruota: la macchina senza la ruota non cammina. Si spostano emtrambi ma non sono entrambi mezzi di trasporto, per cui se ti vuoi spostare prendi la macchina.
   Senza polemica e senza voglia alcuna di insultare ma quanto scritto prima è frutto di semplice ignoranza, intesa come mancanza di conoscenza della materia.
3. Sono stato tacciato di terrorismo psicologico. Non alimento la polemica inutile e chiedo solo cosa da la certezza "che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante". Questa interpretazione è frutto di una superficiale interpretazione. Torno a fare esempi per chiarire. Come tratti i dati ex. Legge 104/92? Oppure come consideri i congedi parentali? In entrambi i casi la ditta sa esattamente il motivo per cui il dipendente è assente quindi usciamo dall'ambito dell'autocertificazione. E ancora: se ci sono provvedimenti esecutivi coatti sulla busta paga? (cosa molto comune di questi tempi purtroppo)
   Inoltre, ammesso e non concesso di ricadere in una fattispecie assolutamente e senza alcun dubbio entro i limiti previsti dalla autocertificazione, nel momento in cui la situazione cambia sei comunque obbligato a redegire il DPS. Quindi che convenienza hai avuto a farla? In ogni caso l'opportunità è valutabile solo dal cliente e dal suo consulente.
4. Finisco dicendo che il miglior modo per apporre la data certa è la PEC. Rapido veloce e avente forza di legge. Alle poste oltre a perdere molto tempo si rischia l'ira funesta di chi sta allo sportello (ma è comunque un metodo valido)

Chiedo ancora scusa se ho offeso qualcuno. Non voglio alimentare polemiche ma solo essere estremamente chiaro sui punti che difendo.

edit: cito sempre criceto:"Quanto ai dati che rendono necessario il DPS faccio notare che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante (e non certo solo gli idraulici).
Occorre anche considerare che tali dati non sono poi "personali" in senso stretto e possono essere comunicati a terze parti senza formalità, vedasi per esempio l'anticipo fatture, l'emissione di RiBa o la cessione di crediti che avviene senza consenso del cliente che NON HA IL DIRITTO PER LEGGE di opporsi a tali comunicazioni che quindi NON TRATTANO DATI PERSONALI.
Vedasi a questo riguardo gli archivi tipo CRIF o ESPERIAN e consideriamo il fatto che i propri dati che li finiscono possono essere divulgati a cani e porcelli privati senza che gli interessati possano opporsi."
Quanto riportato è un esempio di legge interpretata da chi la legge non la conosce: non esistono in nessun testo di legge i dati personali ma non in senso stretto. O sono personali o non lo sono. E il fatto che vengano comunicati non legittima niente e nessuno a continuare a farlo. Domani o tra dieci anni potrebbe esserci un chiarimento o una nuova legge che lo avalla o lo vieta. Per il momento si fa e basta. Il vuoto legislativo, una legge non sanzionata o la semplice abitudine (si fa così da sempre) non li qualificano assolutamente a posteriori (assurdo!) come DATI NON PERSONALI. Inoltre le fattispecie da considerare sono tante e il D.Lgs. 196/03 non riesce a coprirle tutte. E' fisiologico della legge in generale non poter cristallizzare tutto alla data di emissione. Vedasi i successivi aggiustamenti come quello appunto dell'autocertificazione.
E non sta scritto neanche da nessuna parte che nei rapporti tra privati sei obbligato a comunicare i tuoi dati se questi riguardano esclusivamente la fatturazione (lo avevo letto precedentemente). Semplicemente può essere impossibile erogare il servizio in oggetto del contratto se mancano tali dati, nel qual caso il rapporto non si costituisce per mancanza del requisito della volontà oppure si scioglie se precostituito. E si può richedere la cancellazione dei propri dati nei limiti degli obblighi di legge superiori (per esempio conservare registri/fatture o quant'altro per il tempo stabilito ai fini fiscali) da quel momento in poi.

seven

io non sono ne un commercialista e ne avvocato, sono solo un poveretto che cerca di capire, quindi ringrazio chi ne sa più di me ed è qui per fare chiarezza.

AlexB
Nel punto 1) hai riportato l'articolo 19, quindi sappiamo che il 13 marzo c'è la scadenza per redarre o aggiornare il DPS. La ragione mi dice che per dare certezza della produzione di tale documento, a chi mi controllerà, devo applicare una data certa al documento.
Pensandoci bene è giusto porre una data certa per confermare che il documento sia stato redatto/aggiornato entro la data di scadenza fissata al 31 marzo.

Però da perfetto ignorante in materia di leggi, mi chiedo, dato che è un obbligo perchè non viene specificato.
Dato che non è specificato di apporre una data certa, non potrebbe essere un appliglio in caso di un eventuale controllo?
Io potrei pensare che sono tutelato a non avere il DPS o non averlo aggiornato al 31 marzo, ma che però sono obbligato ad averlo il giorno 1 aprile in caso di controllo.

Avrei una domanda da farti. Nel caso si è nelle condizioni di poter redarre l'autocertificazione, bisognerebbe apporre anche su questa la data certa ?

Io comunque condivido il pensiero di AlexB, meglio avere qualcosa in più che trovarsi nella situazione di dover fare fronte ad un controllo e vedersi notificare una sansazione per mancanza di un banale documento.
Ma è anche verò però che nessuno può darci certezza di essere sempre in piena regola.

ciao e grazie

aleb 0

L'autocertificazione sostituisce la redazione del DPS per cui ne consegue che i tempi sono gli stessi (31 Marzo) e ne va prodotta una nuova ogni anno. Chi non ha l'uno o l'altra è in ritardo. Avere un documento in ritardo però non è neanche paragonabile a non averlo affatto quindi consiglio ai ritardatari di sbrigarsi.
In ogni caso resta ferma l'adozione delle altre misure minime oltre che una analisi dettagliata del proprio sistema aziendale e dei trattamenti effettuati per poter far fronte alle inevitabili e più che legittime domande dell'Organo di Controllo.
L'appiglio purtroppo non serve in sede di controllo, semmai in sede di contestazione dove è preferibile non arrivare mai. Non è compito dell'ispettore discutere di leggi fatte più o meno bene.

seven

Immagino
Grazie molto gentile per l'interessamento.

Attenzione a non perdere di vista il particolare "insignificante" che i documenti in questione non avendo data certa (come anche le stampe dei bollati fiscali) possono essere predisposti in un qualsiasi momento PRIMA dell'ispezione, anche nell'intervallo tra la suonata alla porta e l'arrivo all'ufficio amministrativo.

Attenzione anche al fatto che tale "aggiornamento" consiste di fatto (se non sono intervenute modificazioni) all'apposizione della dicitura

31/3/2011 - aggiornamento annuale

nella pagina degli aggiornamenti.

Dato poi che non è prescritto di tenere traccia del regresso si deduce che l'apposizione di una scritta di questo tipo:

11/4/2011 - effettuato aggiornamento infraannuale

non configura compilazione in ritardo dato che si tratterebbe di un NUOVO aggiornamento fatto in corso di anno DOPO quello del 31/3/2011 di cui NON E' PRESCRITTO DI TENERE TRACCIA e sarebbe inoltre fatto per eccesso di zelo PRIMA di quello dell'anno successivo.

seven

Eccola buona scappatoia !!

@criceto said:

---

aleb 0

@criceto said:

Attenzione a non perdere di vista il particolare "insignificante" che i documenti in questione non avendo data certa (come anche le stampe dei bollati fiscali) possono essere predisposti in un qualsiasi momento PRIMA dell'ispezione, anche nell'intervallo tra la suonata alla porta e l'arrivo all'ufficio amministrativo.

Attenzione anche al fatto che tale "aggiornamento" consiste di fatto (se non sono intervenute modificazioni) all'apposizione della dicitura

31/3/2011 - aggiornamento annuale

nella pagina degli aggiornamenti.

Mi sa che non hai letto o capito quello che ho scritto prima.
Il particolare "insignificante" te lo stai inventando di sana pianta. La data certa è obbligatoria per dimostrare che il DPS rispetta i termini. Pensavo di essere stato chiaro.
Ti vuoi impuntare sul fatto che manca la parola "certa" nel dettato del 196?
Fai pure ma intanto l'ispettore ti fa il verbale e ha pienamente ragione perchè per quello che ne sa lui hai redatto il DPS mentre saliva le scale.
E inoltre dato che cerchi spudoratamente e maldestramente di farlo fesso magari si incavola pure e ti appioppa la dichiarazione di falso che ha delle conseguenze penali (!)
Inoltre non esiste dal punto di vista legislativo un aggiornamento del precedente DPS. Esiste solo un nuovo DPS ogni anno che SOSTITUISCE integralmente il precedente (o autocertificazione se scegli a tuo rischio e pericolo di farla). Nulla vieta poi che sia identico ogni anno che passa se la situazione aziendale non muta.

@criceto said:

Dato poi che non è prescritto di tenere traccia del regresso si deduce che l'apposizione di una scritta di questo tipo:

11/4/2011 - effettuato aggiornamento infraannuale

non configura compilazione in ritardo dato che si tratterebbe di un NUOVO aggiornamento fatto in corso di anno DOPO quello del 31/3/2011 di cui NON E' PRESCRITTO DI TENERE TRACCIA e sarebbe inoltre fatto per eccesso di zelo PRIMA di quello dell'anno successivo.

Qui invece siamo nella fantascienza più pura.
E' vero che non è scritto di tener traccia del Pregresso ma se a uno dici che un documento è uguale o aggiorna quello precedente ti chiederà di tirarlo fuori. E non serve scomodare un minimo di fondamenti di diritto per arrivarci ma solo la semplice logica. Inoltre tu durante l'anno puoi fare tutti gli aggiornamenti che vuoi (termine e concetto relativo sbagliati come precedentemente spiegato. Al massimo fai degli allegati) se mutano le condizioni relative ai trattamenti dei dati (anzi saresti OBBLIGATO a farli) ma nessuno configura di per se il DPS dell'anno dopo. Ma che scherziamo?

Un consiglio serio: non cercate di fregare gli ispettori. Per prima cosa al mondo le persone non sono tutte stupide e poi, guarda un pò, sono estremamente preparati. Sicuramente più di voi che ricevete l'ispezione. Se chiedono qualcosa hanno (quasi) sempre ragione. E anche se si sbagliano vi fanno il verbale e a voi resta solo di portarlo in giudizio (il verbale. NON l'ispettore). La multa la pagate subito, gli avvocati li pagate subito, spesso pagate le spese processuali e SE vincete riprendete dopo ANNI i soli soldi della multa. Vi conviene?

seven

Scusa la mia ignoranza in merito.
Quindi posso chiedermi il DPS dell'anno precedente ?
Se si chiudo baracca e burattini non avendo mai fatto.

Probabilmente sbaglio ed in tal caso faccio ammenda in anticipo, si potrebbe avere l'esatto riferimento normativo a riguardo della data certa? O un chiarimento del Garante?Nel caso dei miei clienti abbiamo sempre considerato sufficiente la nostra fattura datata febbraio o marzo per il servizio di aggiornamento/stesura.
Per quanto riguarda la stesura COMPLETAMENTE nuova ogni anno ..... non ho trovato nulla che preveda di rompere le sfere a collaboratori e dipendenti OGNI anno con nomine e firme varie (parte integrante del DPS), a me risulta che le nomine e relative accettazioni di incarichi interne ed esterne siano valide fino a revoca o dimissioni, quello che è "certo" è che se i miei clienti chiedessero ogni anno a fornitori, collaboratori e dipendenti di rinnovare le varie autorizzazioni sarebbero benignamente mandati a spannocchiare meliga o stendere panni dai soggetti in questione. Il nostro DPS consiste in poche pagine generiche sempre eguali per tutti più una caterva di allegati e di riferimenti a documentazione aziendale ovviamente diversi nel contenuto per ciascuna realtà aziendale e tali documenti evolvono nel tempo indipendentemente dal DPS stesso che si limita a prenderne atto annualmente o anche più spesso se lo si ritiene opportuno.
Notare che il legislatore ha implicitamente escluso la data certa inserendo l'obbligo di citare l'aggiornamento nella relazione integrativa da allegare al bilancio nel caso di società di capitali.
Non intendo in ogni caso litigare su una sciocchezza del genere, per cui smetto di intervenire sull'argomento della "data certa" e "rifacimento annuale totale" la soluzione per chi ha dei dubbi in merito è semplicissima ...
Basta chiedere direttamente al garante.
Quanto all'obbligatorietà o meno per alcune tipologie di utenti ..... neppure per quello ho voglia di litigare, ho ben detto che compilare il documento in questione non è difficile e male non fa (a me no di sicuro visto che mi rende anche qualche soldino) per cui ....

            PIU' PILU E DPS PER TUTTI!!!.

seven

E non si deve litigare

Però a me piacere sapere se chi non ha mai fatto negli anni precedenti è sanzionabile. Se viene richiesto il DPS degli anni precedenti sono guai ?

Certo che però se devo andare nelle grane perchè il mio commercialista mi ha sempre detto che non ero tenuto a redarre un bel niente mi girano un pò le ODP e non poco.