a)L'autocertificazione non esime dall'incaricare i propri addetti o le entità esterne alla gestione dei dati.
E' ovvio che costoro debbano sapere che cosa possono/devono fare o non fare.

b)Secondo me la data certa non occorre ma cosa ti costa spedirtela per raccomandata?

Ecco una bozza di nomina di entità esterna:

Mod. C060
RESPONSABILE ESTERNO:

---

Denominazione **
CodiceFiscale
[CENTER][CENTER] **[/CENTER][/CENTER]
Egregio Signore, Gentile Signora, Spettabile Ditta, Studio, ecc…

il sottoscritto …………………… in qualità di titolare del trattamento dei dati, Le affida/affida a codesta Spettabile ditta l’incarico di **Responsabile del Trattamento dei dati in esterno. **
Accettando questo incarico Lei/la Ditta si impegna ad eseguire il trattamento dei dati conformemente al dettato legislativo, nel pieno rispetto del Documento Programmatico Sulla Sicurezza dei dati del quale riceve copia e nella piena consapevolezza degli obblighi assunti e delle responsabilità che ne derivano.
L’incarico assegnatole riguarda il trattamento dei dati e relative autorizzazioni come da allegato.

Le persone che Lei/la Ditta nominerà per l’espletamento di specifiche mansioni saranno scelte fra soggetti con comprovate qualità morali e professionali che garantiscano idonea garanzia del rispetto delle norme vigenti in materia di trattamento dei dati. Sull’operato dei soggetti incaricati Lei vigilerà costantemente al fine di evitare che vengano disattese le norme relative all’utilizzo delle banche dati, con particolare riguardo al profilo della sicurezza.

---

Oltre a quanto sopra riportato, Le sono assegnate le seguenti mansioni:

· Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Incaricati al trattamento
· Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Amministratori di sistema
· Individuare e nominare per iscritto, qualora lo ritenesse opportuno, un custode delle Password
· Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più incaricati alla manutenzione degli strumenti utilizzati per il trattamento e la custodia dei dati
· Autorizzare gli incaricati all’utilizzo degli strumenti per l’accesso alle banche dati e, con l’eventuale cooperazione dell’Amministratore del sistema, assegnare loro le credenziali di autenticazione per il superamento delle procedure di autenticazione
· Consegnare al Titolare elenco dei luoghi dove vengono trattati e custoditi i dati
· Verificare lo stato di efficienza di tutti gli strumenti informatici utilizzati per la sicurezza dei dati, pianificando con l’eventuale Amministratore di sistema la periodicità degli aggiornamenti da eseguire per quanto riguarda i programmi Antivirus o qualsiasi altra soluzione informatica ritenuta idonea a diminuire i rischi di infezioni del sistema o accessi non autorizzati
· Garantire agli interessati il pieno esercizio dei diritti previsti dall’artt. 7, 8, 9 e 10 del D. Lgs 196/2003
· Attuare gli obblighi relativi all’informativa sulla privacy in fase di acquisizione del consenso
· Collaborare con il Garante per l’espletamento delle sue funzioni di accertamento, ispezione e controllo
· Informare tempestivamente il Titolare del trattamento di qualunque circostanza rilevante in merito ai rischi sulla sicurezza dei dati, ad eventuali danni subiti dalle banche dati o dagli strumenti utilizzati per la loro gestione o custodia, alle revoche degli incarichi assegnati e a qualsiasi modifica che si renda necessaria nelle procedure elencate nel Documento Programmatico Sulla Sicurezza.
La qualifica assegnatale è da intendersi tacitamente rinnovata ogni anno sino a revoca dell’incarico comunicata dal Titolare per iscritto o con idonei mezzi informatici, o rassegnando le proprie dimissioni da comunicare nelle stesse modalità con un preavviso di almeno 30 giorni.

Addi,

Il Titolare del trattamento ______________________________

---

Il Responsabile esterno per accettazione ­_________________________

Inoltre è opportuno predisporre documentazione della prorpia infrastruttura informatica.
Trattare tale cosa sul forum però è piuttosto difficile e dispersivo.
Se la cosa viene reputata di interesse generale potrei pubblicare a sezioni la documentazione che reputo utile e che predispongo per la clientela.
(Notare bene che la nostra è una azienda informatica e non uno studio legale per cui non garantisco che quello che facciamo sia corretto ed inattaccabile)

Se interessati fatemi sapere e, a partire dalla autocertificazione illustro le altre scartoffie che reputo utili o indispensabili.

seven

Ciao criceto
io sono interessato, più che altro sono anche ben disposto ad affidarmi a te o alla tua azienda, l'importante che la consulenza offerta mi dia certezza di aver redatto i documenti corretti e secondo i termini di legge.

Anche perchè come dici tu, sul forum è un pò difficile essere molto chiari.

"l'importante che la consulenza offerta mi dia certezza di aver redatto i documenti corretti e secondo i termini di legge."

E' questo il punto, tale certezza non l'avrai mai nel nostro paese e su tale argomento.

Io sono contrario al fatto di "fare" certe pratiche per il cliente, dato che si tratta di cosa in continua modifica ed evoluzione cerco di portre il cliente a farsi il tutto da solo (devo ammettere che i clienti su questo argomento ci sentono poco).

Forniscimi una mail via MP e ti spedisco (a rate e gratis) scartoffie ed istruzioni varie.

seven

Sono contento che finalmente qualcuno dice le cose come stanno realmente.
Fai bene a non prenderti alcuna responsabilità su leggi così troppo vaghe e in continuo mutamento.

Diversamente da te vi sono alcune professionisti che non si prendono le loro responsabilità in caso di consulenza errata.
Tipico esempio è il commercialista ... che se sbaglia, a farti dei conti o non ti invia le tasse da pagare, chi paga sei sempre tu.

ti mando il MP

Grazie

Un Ex Utente

Sì criceto, è quello che è stato detto anche a me.
Ho una domanda. Per quanto riguarda l'infrastruttura informatica, è sufficiente indicare i dati dell'hardware utilizzato, indicare sistemi di sicurezza adottati (firewall hardware software, antivirus, backup) e software installati nel sistema?
Tu alleghi anche tutte le fattura per ogni licenza software?

No non allego nulla, mi limito ad annotare il software utilizzato, la licenza in regola o meno non riguarda la sfera privacy ma è puramente burocratica/fiscale.

Va bene ragazzi, ho capito che la cosa interessa, ora non ho tempo ma questa sera apro un Post intitolato DPS & C. e inserisco un poco di commenti e proposte di scartafacci.

seven

Bene allora non ti invio nessun messaggio privato
Molto gentile Criceto.

Un Ex Utente

Gentilissimo criceto, sicuramente interesserà molti.

Ho cominciato la pubblicazione, speriamo non mi caccino per intasamento di forum

aleb 0

Buonasera a tutti.
Mi sono iscritto perchè ho letto questo thread e ho notato un pò di confusione.
Permettetemi di fare chiarezza.
Il DPS è il Documento programmatico sulla Sicurezza. In pratica è una fotografia dell'azienda nell'utilizzo dei dati conferiti. Non ha requisiti formali, il che significa che può essere redatto in qualsivoglia forma e su qualsivoglia supporto. Però per agevolarne la stesura il Garante della Privacy mette a disposizione delle linee guida.
Tutti coloro che trattano in qualche modo dati sensibili devono redarlo. E intendo TUTTI. Dire che che chi tratta solo dati personali (sensibili per definizione) non lo deve fare è assolutamente sbagliato, così come sostituire il DPS con l'autocertificazione (che di fatto è inutile).
Gli unici che possono esimersi dal compilarlo sono coloro che utilizzano per la loro attività dei semplici dati fiscali di fatturazione. Questo in seguito ad un chiarimento di qualche anno fa del Garante della Privacy che si era giustamente reso conto che piccole realtà, come per esempio l'idraulico, non trattavano di fatto alcun dato. Ma rimane una eccezione.
Inoltre il DPS è solo una parte degli obblighi previsti dal D.Lgs. 196/03. Restano a carico di TUTTI senza alcuna esclusione gli obblighi di informare clienti e/o soggetti terzi(tramite apposite informative) e nominare (ove necessario in base alla struttura aziendale) Responsabili, Incaricati e Amministratore di Sistema.
Fin qui ho parlato degli aspetti legislativi della normativa della Privacy ed ora passo a quelli pratici.
Non basta che il DPS sia presente in azienda, ma deve essere anche chiaro e leggibile. Nella forma che si preferisce ma CHIARO. Non serve a niente il mero elenco dei pc e degli archivi se non fotografa i trattamenti effettuati, tant'è vero che nelle linee guida ufficiali tra le varie tabelle non è neanche menzionato. Non è raro che un DPS confuso sia sanzionato seppur presente.
Il documento è annuale e va redatto entro il 31 Marzo dell'anno in corso. La validità è fino al 31 Dicembre ma nella pratica, visto i tre mesi per redarre il nuovo, l'anno si conta dal 31 Marzo al 31 Marzo successivo. Il nuovo sostituisce il vecchio ma non è certo sbagliato conservare uno storico.
Va apposta data certa e qui si aprono altri dibattiti: gli unici modi legali per apporla sono il timbro postale su ogni pagina, il timbro postale su una pagina qualsiasi di un documento NON disassemblabile, la PEC.
La raccomandata è un modo per fare presto ma l'ispettore attento noterà che il timbro è sulla busta e nessuno gli può assicurare che non si sia spedita una busta vuota.
Dulcis in Fundo. Sono un consulente e mi è capitato che ad alcuni clienti sia stata contestata la mancanza del DPS anche se si parlava di soli dati di fatturazione come ho spiegato prima. In questi casi l'ispettore è un essere umano come noi, soggetto ad errori ma anche dotato di cervello. E' stato sufficiente una breve spiegazione dell'imprenditore precedentemente istruito per chiarire il tutto. Resta però il fatto che è stato chiesto e si è comunque sfiorato il verbale. Contestabile quanto vi pare ma pur sempre una rogna. Ragion per cui adesso consiglio sempre di avere il DPS anche se inutile.

Spero di essere stato chiaro e rimango a disposizione per chiarimenti. Non voglio sfruttare il forum per farmi pubblicità per cui vi dico solo che quello che ho scritto lo faccio per lavoro. E' per questo che conosco, credo bene, la materia. Per la stessa ragione però non metterò a disposizione moduli o quant'altro. Sono certo che capirete.

edit: chiarisco sull'autocertificazione. E' ammessa formalmente ma di fatto non semplifica niente. Devi redigere un atto dichiarando che tratti solo ed esclusivamente dati del dipendente relativi ai giorni di malattia (i "giorni" richiesti dal certificato medico) senza indicazioni sulla diagnosi. Altri dati che consentono l'autocertificazione sono quelli relativi ai permessi e alla delega per la riscossione dei contributi ex L.300/70. E te ne assumi tra l'altro anche la responsabilità penale nel caso dichiarassi il falso.
Qualunque altro dato trattato in qualunque altro modo ti obbliga al DPS. Facciamo degli esempi terra-terra: maternità, congedo parentale, crediti alimentari coatti sulla busta paga, permesso ex legge 104, tutti i trattamenti relativi all'ambito di attività...
In pratica ti assumi il diritto di fare un documento ufficiale in luogo di un altro documento ufficiale con in più l'obbligo di dimostrare che dici il vero all'ipotetico ispettore che non si aspetta di trovarlo.
A mio avviso semplicemente ridicolo e potenzialmente dannoso. Molto più semplice e sicuro fare il DPS. Poi come qualcuno ha detto precedentemente la sicurezza totale non esiste ma almeno in questo modo si riducono drasticamente le probabilità.

edit n°2: Non è vero che i dati devono essere trattati solo con l'ausilio di strumenti elettronici per essere oggetto del D.Lgs. 196/03. Sarebbe il colmo che si potesse fare ciò che si vuole con i dati trascritti su carta ma non con quelli archiviati su supporto informatico.

Scusate se sono stato prolisso ma la materia è complessa e c'è tanta confusione/disinformazione al riguardo.

seven

Ciao
certo che di confusione ce ne parecchia e non poca.
Quindi da quanto scrivi chi riceve contatti email o chi nei propri siti web utilizza form di contatto o ha installato software per il tracciamento dei dati, denominati software di statistiche d'accesso, dovrebbe redirigere il DPS ?

Domanda. Chi non ha redatto il DPS entro il 31 marzo e volesse farlo ora cosa deve fare ?
Redirigerlo e sperare che nessun controlli ?
In caso dovesse essere controllato dovrebbe pagare una sanzione ?

Certo che non c'è da stare tranquilli..

Grazie per il tuo intervento

seven

@AleB said:

Tutti coloro che trattano in qualche modo dati sensibili devono redarlo. E intendo TUTTI. Dire che che chi tratta solo dati personali (sensibili per definizione) non lo deve fare è assolutamente sbagliato, così come sostituire il DPS con l'autocertificazione (che di fatto è inutile).
Gli unici che possono esimersi dal compilarlo sono coloro che utilizzano per la loro attività dei semplici dati fiscali di fatturazione.

Scusa però qui stiamo ancora fermi su un concetto, almeno lo sono io, quello dei dati sensibili.

Preso direttamente dal sito del garante.

"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Indirizzo email e indirizzo IP, ottenuto dalle statistiche del sito, non mi sembrano dati PERSONALI SENSIBILI o per lo meno io non li vedo rientrare in una delle voci riportate sul sito web del garante.

Quindi non trattando questi dati non si è costretti a redirigere il DPS. Giusto ?

Grazie

aleb 0

Il garante stesso ha fatto un pò di confusione nel dare le definizioni. Confusione mai chiarita perchè però tutto sommato non ce n'è bisogno in chiave di una maggiore tutela. Mi spiego:
L'obbligo delle misure minime (tra cui ma non solo il DPS) scatta se si effettua il trattamento di dati personali la cui definizione è "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;" art. 4 D.Lgs 196/03.
In pratica si redige DPS quando si effettua un qualsiasi trattamento di dati idonei ad identificare un soggetto, non solo quando questi dati sono "sensibili". E questa definizione è volutamente estensiva. Significa maggiore tutela nelle intenzioni del legislatore verso i titolari dei dati e maggiore tutela nei tuoi confronti riguardo alla ipotetica sanzione.
E con questo ho risposto ad alcune delle tue domande.
Per il resto: se al momento della visita c'è un DPS aggiornato, seppur in ritardo, la multa non ci dovrebbe essere. Il condizionale è d'obbligo dal momento che si parla comunque di una irregolarità accertata e sanzionabile fino a 180 mila euro (eh si, leggi l'art 161 e ss.) ma che sarebbe del tutto fuori luogo visto che non porterebbe a niente se non ad una mera punizione e alla ovvia considerazione che farlo in ritardo o non farlo per niente sarebbe la stessa cosa.
Se non c'è proprio invece le cose sono ben peggiori, così come se mancano le informative e/o le eventuali nomine (tutte misure minime di sicurezza).

Per esperienza personale concludo che molte volte se c'è un controllo te lo chiedono a prescindere e poi sta a te spiegare perchè non ce l'hai.

Mi permetto di dissentire sulla "data certa"
La storia è annosa e riguarda esclusivamente la proroga concessa agli albori ...

VI - "ATTO A DATA CERTA" E "DPS" A CONFRONTO

La possibilità di avvalersi di questa ulteriore proroga, per l'implementazione delle misure minime, ha creato però notevoli problemi interpretativi da parte dei titolari, sia relativamente ai termini da rispettare che ai documenti da rediger. L'errore più comunemente riscontrato finora, infatti, è quello di confondere il DPS con l'"atto a data certa".

Come specificato dal Garante in un parere del 5 dicembre 2000: "il documento previsto dalla legge n. 325/2000 va distinto dal documento programmatico sulla sicurezza disciplinato dall'art 6 del d P.R. n. 318/1999".

La redazione del DPS è un obbligo legislativo, la cui violazione costituisce reato, punibile con l'arresto sino a de anni o l'ammenda da 10 mila euro a 50 mila euro, come previsto dall'articolo 169 del Codice Privacy.

La redazione dell'atto a data certa, invece, è facoltativo e non è direttamente rilevante ai fini della responsabilità civile per danno derivante da mancata o inidonea adozione di misure di sicurezza, essendo utile, solo ai titolari del trattamento che intendano beneficiare di un differimento del termine per adottare le misure minime di sicurezza.

Dal punto di vista normativo i due documenti sono differenti ed hanno origine da finti normative diverse:

• "L'atto a data certa" è previsto dall'articolo 1 della Legge 3 novembre 200, n. 325 e dall'articolo 180 comma 2 e 3 del Decreto Legislativo 30 giugno 2003, n. 196.

• Il DPS è previsto dall'articolo 6 del Decreto del Presidente della Repubblica 28 luglio 1999, n. 318; dall'articolo 34, comma 1 punto g) del Decreto Legislativo 30 giugno 2003, n. 196; dalla regola 19 dell'Allegato B) - Decreto Legislativo 30 giugno 2003, n. 196.

I due documenti hanno inoltre, anche finalità e modalità di redazione completamente differenti:

• Il DPS serve per definire le misure minime che il titolare intende adottare per il trattamento dei dati personali con strumenti elettronici. Esso va aggiornato entro il 31 Marzo di ogni anno.

• "L'Atto a data certa" serve invece, per avere ulteriori tre mesi di tempo per implementare quanto previsto dal DPS o stabilito in sede di definizione delle misure minime da adottare. esso va redatto una sola volta ed esclusivamente secondo i termini e le modalità previste dall'articolo 180 del Codice Privacy.

---

Quanto ai dati che rendono necessario il DPS faccio notare che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante (e non certo solo gli idraulici).
Occorre anche considerare che tali dati non sono poi "personali" in senso stretto e possono essere comunicati a terze parti senza formalità, vedasi per esempio l'anticipo fatture, l'emissione di RiBa o la cessione di crediti che avviene senza consenso del cliente che NON HA IL DIRITTO PER LEGGE di opporsi a tali comunicazioni che quindi NON TRATTANO DATI PERSONALI.
Vedasi a questo riguardo gli archivi tipo CRIF o ESPERIAN e consideriamo il fatto che i propri dati che li finiscono possono essere divulgati a cani e porcelli privati senza che gli interessati possano opporsi.

Ecco il riferimento normativo:
Col Provvedimento di semplificazione del 27/11/2008, il Garante ha dispensato una buona fetta di Titolari del trattamento dall’obbligo di redazione del DPS.
Più precisamente, possono redigere un’autocertificazione in luogo del DPS le amministrazioni pubbliche e le società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano, come unici dati sensibili dei dipendenti e collaboratori anche a progetto, quelli relativi allo stato di salute senza indicazione della relativa diagnosi o all’adesione a organizzazioni sindacali

Passando poi alle sanzioni per l'eventuale ritardo nell'aggiornamento ed escludendo quindi la "data certa" non vedo come sarebbe possibile all'eventuale ispettore rilevare che un documento "targato" ufficialmente 31/3/xxxx sia stato invece redatto in data successiva ..... cerchiamo di non fare terrorismo psicologico.

Sul fatto poi di compilarlo ed implementarlo "a prescindere" non ho nulla da eccepire .... male non fa ...... può anzi essere utile per individuare manchevolezze o vulnerabilità del proprio sistema informatico.

seven

Ok per una maggiore tutela. Tu intendi meglio fare il DPS che l'autocertificazione, oltre a tutto il resto, in quanto siamo certi di essere al sicuro. L'obbligo delle misure minime di sicurezza penso che le debbano adottare chiunque, anche chi fa della semplice fatturazione.

Ora il Garante riporta questo

2.1 Anche la redazione del DPS è una "misura minima", prevista dall?Allegato B.

Quindi con questo non si intende che chi debba adottare delle misure minime è obbligato a redarre il DPS, ma semplicemente che il DPS è una misura minima.
Daltronde sul sito del Garante è riportato quanto segue:

2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l?organo, ufficio o persona fisica a ciò legittimata in base all?ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell?Allegato B)).

Non è per fare polemiche, senza ombra di dubbio ne sapete più di me e sapete interpretare meglio le leggi.

Ma al 2.2 viene spiegato che deve essere adottato da chi tratta dati sensibili o giudiziari. Quindi se il garante definisce dati sensibili i dati personali idonei a rivelare l'origine razziale.... ecc ecc

perchè se io non tratto questi dati sono soggetto a sanzioni perchè ho prodotto un'autocertificazione?

Scusate forse sono più gnocco di quanto so già d'esserlo, ma su questa pagina del garanteprivacy.it/garante/doc.jsp?ID=771307 è scritto quanto vi riporto.

Per la data certa, da quanto ho letto, c'è stata un'errata interpretazione dei testi legislativi. Ora a mio avviso per essere certi è meglio apporre la data certa, ma sai è un appliglio per chi ......

Per la data certa meglio andare in posta a farsi timbrare tutte le pagine del documento...

@AleB said:

Il garante stesso ha fatto un pò di confusione nel dare le definizioni. Confusione mai chiarita perchè però tutto sommato non ce n'è bisogno in chiave di una maggiore tutela. Mi spiego:
L'obbligo delle misure minime (tra cui ma non solo il DPS) scatta se si effettua il trattamento di dati personali la cui definizione è "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;" art. 4 D.Lgs 196/03.
In pratica si redige DPS quando si effettua un qualsiasi trattamento di dati idonei ad identificare un soggetto, non solo quando questi dati sono "sensibili". E questa definizione è volutamente estensiva. Significa maggiore tutela nelle intenzioni del legislatore verso i titolari dei dati e maggiore tutela nei tuoi confronti riguardo alla ipotetica sanzione.
E con questo ho risposto ad alcune delle tue domande.
Per il resto: se al momento della visita c'è un DPS aggiornato, seppur in ritardo, la multa non ci dovrebbe essere. Il condizionale è d'obbligo dal momento che si parla comunque di una irregolarità accertata e sanzionabile fino a 180 mila euro (eh si, leggi l'art 161 e ss.) ma che sarebbe del tutto fuori luogo visto che non porterebbe a niente se non ad una mera punizione e alla ovvia considerazione che farlo in ritardo o non farlo per niente sarebbe la stessa cosa.
Se non c'è proprio invece le cose sono ben peggiori, così come se mancano le informative e/o le eventuali nomine (tutte misure minime di sicurezza).

Per esperienza personale concludo che molte volte se c'è un controllo te lo chiedono a prescindere e poi sta a te spiegare perchè non ce l'hai.

aleb 0

E' questa la confusione di cui parlavo.

1. Nel Disciplinare tecnico in materia di misure minime di sicurezza si dice all'art.19 "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza". E' vero che manca la parola "certa" ma il senso è chiaro e daltronde la Data Certa è l'unico strumento per poter opporre la data del documento all'organo di controllo. Come pensi di poter dimostrare che il tuo DPS sia stato fatto in tempo? L'ispettore ha tutto il diritto di chiederti di provare di averlo fatto nei termini stabiliti.
   La citazione di criceto riguarda il periodo transitorio e fa riferimento ad una polemica nata all'indomani dell'entrata in vigore del 196/03. Oggi questo punto è stato ampiamente discusso e superato.
   Si tratta di elementare osservanza delle leggi e, in caso di vuoto legislativo, delle prassi consolidate.
2. Devo correggere anche quando si fa il paragone tra DPS e Atto a data certa. La data certa è un mezzo per poter stabilire con certezza l'osservanza di un termine e poter poi opporre ciò in sede legale. Il DPS è un atto, nel caso fosse prevista espressamente (effettivamente così non è) sarebbe un Atto a Data Certa. Ci sono atti a data certa e atti che non la prevedono ma è opinione consolidata in ambito amministrativo e legale apporre la data certa anche a tutti quegli atti che prevedono generica data, intendendo implicita la richiesta del legislatore. E' come paragonare una macchina e una ruota: la macchina senza la ruota non cammina. Si spostano emtrambi ma non sono entrambi mezzi di trasporto, per cui se ti vuoi spostare prendi la macchina.
   Senza polemica e senza voglia alcuna di insultare ma quanto scritto prima è frutto di semplice ignoranza, intesa come mancanza di conoscenza della materia.
3. Sono stato tacciato di terrorismo psicologico. Non alimento la polemica inutile e chiedo solo cosa da la certezza "che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante". Questa interpretazione è frutto di una superficiale interpretazione. Torno a fare esempi per chiarire. Come tratti i dati ex. Legge 104/92? Oppure come consideri i congedi parentali? In entrambi i casi la ditta sa esattamente il motivo per cui il dipendente è assente quindi usciamo dall'ambito dell'autocertificazione. E ancora: se ci sono provvedimenti esecutivi coatti sulla busta paga? (cosa molto comune di questi tempi purtroppo)
   Inoltre, ammesso e non concesso di ricadere in una fattispecie assolutamente e senza alcun dubbio entro i limiti previsti dalla autocertificazione, nel momento in cui la situazione cambia sei comunque obbligato a redegire il DPS. Quindi che convenienza hai avuto a farla? In ogni caso l'opportunità è valutabile solo dal cliente e dal suo consulente.
4. Finisco dicendo che il miglior modo per apporre la data certa è la PEC. Rapido veloce e avente forza di legge. Alle poste oltre a perdere molto tempo si rischia l'ira funesta di chi sta allo sportello (ma è comunque un metodo valido)

Chiedo ancora scusa se ho offeso qualcuno. Non voglio alimentare polemiche ma solo essere estremamente chiaro sui punti che difendo.

edit: cito sempre criceto:"Quanto ai dati che rendono necessario il DPS faccio notare che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante (e non certo solo gli idraulici).
Occorre anche considerare che tali dati non sono poi "personali" in senso stretto e possono essere comunicati a terze parti senza formalità, vedasi per esempio l'anticipo fatture, l'emissione di RiBa o la cessione di crediti che avviene senza consenso del cliente che NON HA IL DIRITTO PER LEGGE di opporsi a tali comunicazioni che quindi NON TRATTANO DATI PERSONALI.
Vedasi a questo riguardo gli archivi tipo CRIF o ESPERIAN e consideriamo il fatto che i propri dati che li finiscono possono essere divulgati a cani e porcelli privati senza che gli interessati possano opporsi."
Quanto riportato è un esempio di legge interpretata da chi la legge non la conosce: non esistono in nessun testo di legge i dati personali ma non in senso stretto. O sono personali o non lo sono. E il fatto che vengano comunicati non legittima niente e nessuno a continuare a farlo. Domani o tra dieci anni potrebbe esserci un chiarimento o una nuova legge che lo avalla o lo vieta. Per il momento si fa e basta. Il vuoto legislativo, una legge non sanzionata o la semplice abitudine (si fa così da sempre) non li qualificano assolutamente a posteriori (assurdo!) come DATI NON PERSONALI. Inoltre le fattispecie da considerare sono tante e il D.Lgs. 196/03 non riesce a coprirle tutte. E' fisiologico della legge in generale non poter cristallizzare tutto alla data di emissione. Vedasi i successivi aggiustamenti come quello appunto dell'autocertificazione.
E non sta scritto neanche da nessuna parte che nei rapporti tra privati sei obbligato a comunicare i tuoi dati se questi riguardano esclusivamente la fatturazione (lo avevo letto precedentemente). Semplicemente può essere impossibile erogare il servizio in oggetto del contratto se mancano tali dati, nel qual caso il rapporto non si costituisce per mancanza del requisito della volontà oppure si scioglie se precostituito. E si può richedere la cancellazione dei propri dati nei limiti degli obblighi di legge superiori (per esempio conservare registri/fatture o quant'altro per il tempo stabilito ai fini fiscali) da quel momento in poi.

seven

io non sono ne un commercialista e ne avvocato, sono solo un poveretto che cerca di capire, quindi ringrazio chi ne sa più di me ed è qui per fare chiarezza.

AlexB
Nel punto 1) hai riportato l'articolo 19, quindi sappiamo che il 13 marzo c'è la scadenza per redarre o aggiornare il DPS. La ragione mi dice che per dare certezza della produzione di tale documento, a chi mi controllerà, devo applicare una data certa al documento.
Pensandoci bene è giusto porre una data certa per confermare che il documento sia stato redatto/aggiornato entro la data di scadenza fissata al 31 marzo.

Però da perfetto ignorante in materia di leggi, mi chiedo, dato che è un obbligo perchè non viene specificato.
Dato che non è specificato di apporre una data certa, non potrebbe essere un appliglio in caso di un eventuale controllo?
Io potrei pensare che sono tutelato a non avere il DPS o non averlo aggiornato al 31 marzo, ma che però sono obbligato ad averlo il giorno 1 aprile in caso di controllo.

Avrei una domanda da farti. Nel caso si è nelle condizioni di poter redarre l'autocertificazione, bisognerebbe apporre anche su questa la data certa ?

Io comunque condivido il pensiero di AlexB, meglio avere qualcosa in più che trovarsi nella situazione di dover fare fronte ad un controllo e vedersi notificare una sansazione per mancanza di un banale documento.
Ma è anche verò però che nessuno può darci certezza di essere sempre in piena regola.

ciao e grazie

aleb 0

L'autocertificazione sostituisce la redazione del DPS per cui ne consegue che i tempi sono gli stessi (31 Marzo) e ne va prodotta una nuova ogni anno. Chi non ha l'uno o l'altra è in ritardo. Avere un documento in ritardo però non è neanche paragonabile a non averlo affatto quindi consiglio ai ritardatari di sbrigarsi.
In ogni caso resta ferma l'adozione delle altre misure minime oltre che una analisi dettagliata del proprio sistema aziendale e dei trattamenti effettuati per poter far fronte alle inevitabili e più che legittime domande dell'Organo di Controllo.
L'appiglio purtroppo non serve in sede di controllo, semmai in sede di contestazione dove è preferibile non arrivare mai. Non è compito dell'ispettore discutere di leggi fatte più o meno bene.