Allora niente di nuovo sotto il sole.
Sono le solite voci che girano da anni.
Dopotutto tieni presente che nella Privacy così come nella Sicurezza gli obblighi sono in capo al Datore di Lavoro quindi è virtualmente impossibile creare figure e corsi obbligatori senza di fatto togliergli responsabilità.
Non basterebbe una modifica al D.Lgs. per farlo. Ci vorrebbe una vera e propria riforma.

@Bryan_Fury said:

Novità in arrivo sia proprio per chi deve redarre il dps lato ditta, sia per i consulenti veri e propri, dato che a breve dovrebbe essere inserita una sorta di figura professionale specifica che richieda certificazioni iso e specifici parametri per poter redarre il dps ed essere considerati consulenti a tutti gli effetti anche dalla legge

Detta così è molto generica: chi dovrebbe istituire cosa? Quando? E soprattutto da quale fonte hai preso la notizia?
Personalmente sono molto scettico al riguardo perchè la notizia viene riproposta da anni per pubblicizzare corsi e attestati rigorosamente privati e senza valore di legge.
In particolare vengono sfruttate due ISO:

• la ISO 27001:2005, Sistema di Gestione della Sicurezza delle Informazioni, che non ha niente a che fare con il D.Lgs. 196/03 e non prescinde dall'adozione delle misure di legge.
• la 17024:2004, "Conformity assessment- General requirements for bodies operating certification of persons" che alcuni utilizzano per conferire il titolo di "Consulente della Privacy". Serve solo a certificare un percorso formativo deciso in piena autonomia da chi organizza il corso. Ci si potrebbe certificare anche, per esempio, la mansione di saldatore perchè certifica il metodo e non il contenuto del corso.

Per finire le ISO sono ad adozione volontaria per cui finchè non vengono recepite dal legislatore non hanno valore legale. Forse è più chiaro se si pensa alla ISO 9001.

In ogni caso grazie di aver condiviso la news. Magari stavolta la fonte è attendibile e risulta necessario provvedere.

Ancora una volta quoto in pieno Bryan_Fury.

Purtroppo invece mi trovo a dissentire ancora una volta con Criceto e a chiedergli gentilmente di continuare ad intervenire sulla rivalsa perchè onestamente mi interessa molto.
Perdonami se adesso divento pedante ma devo chiarire la domanda, dato che evidentemente non sono stato in grado di farmi capire.
Una buona definizione di fonte giuridica è questa ""La fonte giuridica è ogni atto o fatto a cui l'ordinamento giuridico riconosce il potere di modificare o abrogare le norme giuridiche". In particolare le fonti sono queste: Costituzione, leggi ordinarie, leggi regionali, regolamenti, usi e consuetudini (in determinate circostanze). Le norme contrattuali non sono tra queste. Su tuo consiglio inoltre ho (ri)aperto il codice civile e ho (ri)letto l'art. 1321 c.c.. Come ricordavo definisce il contratto come l'accordo tra due o più parti per costituire, regolare o estinguere tra loro un rapporto giuridico patrimoniale.
Ha forza di legge [solo] tra le parti quindi definirlo "riferimento normativo" è sbagliato, sia dal punto di vista legale che italiano del termine.
Detto questo se un consulente si accolla volontariamente, nel contratto eventuali sanzioni e spese a carico del cliente sono affari suoi. E' liberissimo di farlo. Certo che IN QUEL CASO il cliente fa rivalsa basandosi su una clausola espressa del contratto. Non in forza di legge.
Quello che chiedevo però era se nel diritto italiano esistesse una norma risalente ad una fonte del diritto (tra quelle tassativamente indicate) che assicuri il diritto di rivalsa. Il libero incontro delle volontà sancito dal contratto è tutt'altra cosa.
Cercherò di essere ancora più chiaro: se nel contratto tra me e il cliente NON c'è la clausola a cui fai riferimento a cosa può attaccarsi il cliente che ha pagato una multa? (premesso che ovviamente non c'è dolo da parte mia).
Non voglio assolutamente spingere oltre il limite questa questione ma esprimere un mio dubbio serio e sarei grato a chiunque volesse aiutarmi a chiarirlo.
L'avvocato ha una obbligazione di prestazione e il commercialista di risultato (non sono sicuro che per lui sia sempre così ma diamolo per scontato).
Noi consulenti che ufficialmente aiutiamo a compilare i documenti senza però sostituirci ai clienti dove ci collochiamo?

P.S. Stiamo andando OT quindi forse sarebbe meglio aprire un nuovo topic. Ho risposto qui per seguire il filo del ragionamento ma se si intende continuare forse sarebbe meglio spostarsi.

No anzi, ti capisco in pieno.
A volte è frustrante per me che sono del settore cercare di capire, figurarsi per chi si avvicina come utente.
Fai benissimo ad informarti e a proporre dubbi e questioni. Inoltre le tue domande sono uno strumento utilissimo per chi come me ha necessità di avere sempre le idee chiare.
Se ne hai la possibilità quando chiedi informazioni fatti dire su cosa basano i loro ragionamenti i tuoi interlocutori. Per quanto sia autorevole chi ti parla, senza un riferimento normativo opponibile in sede di controllo "le chiacchiere stanno a zero".

@criceto said:

Non posso quindi che suggerire a chi ha dubbi di rivolgersi ad esperti del ramo e far fare a loro le pratiche relative e seguire scrupolosamente il loro dettato senza dimenticare di far firmare liberatoria e presa di responsabilità ai compilatori della pratica stabilendo in modo chiaro il diritto di rivalsa in caso di sanzioni, allora si che potrete stare tranquilli (almeno finanziariamente).

Partendo dal presupposto che la Responsabilità Penale è personale anche la civile per la legge è in capo al cliente e non al consulente. La prima è non delegabile per definizione , la seconda lo è per quanto scritto nel D.Lgs. 196 (hai trovato qualche passo del decreto che faccia riferimento al consulente? Da quando in qua i documenti della Privacy li firma il consulente?)
A mio avviso quindi non esistono liberatorie e/o diritto di rivalsa ma se mi indichi la fonte normativa mi posso informare.

x one_to_one: hai ragione ad essere confuso.
Neanche il consulente più bravo e rinomato del mondo può darti la certezza di essere a posto al 100%. Secondo me ad articolo si risponde solo ed esclusivamente con articolo e, nel dubbio, tutelo il cliente interpretando nel modo più stringente possibile la legge.
Ma un altro consulente può essere talmente sicuro delle proprie idee da non ritenere di dover attuare quello che per me invece è fondamentale.
Non esiste un modo assoluto di vedere le cose, altrimenti non staremmo qui a parlare. Anzi proprio perchè siamo tre consulenti del settore portiamo avanti ognuno un nostro ragionamento basandoci sulla nostra formazione legale. Tu puoi solo leggerli tutti e tre ed arrivare ad una tua personale conclusione. Supporto migliore non penso si possa dare.
Personalmente ti garantisco che risponderò a tutte le tue domande come fatto fino adesso, ma ricorda sempre che è solo la MIA opinione.

Sulla data certa abbiamo detto tutto ormai e Bryan_Fury ha sintetizzato bene il problema. Non è un obbligo. E' l'unico mezzo che attesta sicuramente la data del DPS, che comunque una data la deve avere per forza.
Sulla "Probabile" assenza della sanzione per il DPS in ritardo possiamo essere d'accordo (e l'ho anche detto in precedenza) ma devo smentire criceto quando dice che l'ispettore non ha l'ultima parola. Purtroppo per il cliente invece ce l'ha. La legge la fa e la chiarisce (non sempre) il garante ma la applica l'ispettore. Se al cliente non sta bene quanto scritto sul verbale può sempre contestare ma penso che sappiamo tutti cosa significhi. Per questo rinnovo la domanda di Bryan_Fury: te la sentiresti di evitare una semplice PEC?

Dal punto di vista strettamente legale: che l'autocertificazione possa essere fatta sul momento è quanto di più illogico a mio avviso ci possa essere, proprio perchè va a sostituirsi ad un atto che segue tempistiche ben precise. Normalmente, quando si modifica qualcosa in una legge, si mantiene fermo ciò che non è stato espressamente cambiato. Perchè qui dovrebbe essere diverso? E poi: se non la fai sei sanzionabile (e qui penso che siamo tutti d'accordo) ma se puoi tranquillamente farla davanti all'ispettore allora sarebbero sanzionabili solo coloro che si rifiutano di farla al momento. Onestamente non vedo come ciò sia possibile. (mie opinioni s'intende)

P.S. Criceto scrive "la baggianata della data certa che si continua terroristicamente a proporre al volgo."
Faccio notare che a sostenere l'opportunità della data certa siamo due consulenti con una propria professionalità e che non abbiamo nessun fine terroristico al riguardo. Seppur con pochi messaggi all'attivo sto cercando di dare un contributo senza offendere nessuno e mi sembra che Bryan_Fury stia facendo lo stesso. Per me la cosa finisce qui ma non vorrei che i toni si alzassero nuovamente.

Le definizioni che dai di dati sensibili e personali sono corrette e tratte dall'art 4 del D.Lgs. 196/03.
L'art.34 dello stesso D.Lgs recita:
" Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
[...]
g) tenuta di un aggiornato documento programmatico sulla sicurezza;"

L'Allegato B, art 19 invece stabilisce che debba fare il DPS solo chi tratta dati Sensibili e Giudiziari.

Quale delle due si applica? Nell'incertezza e per cercare di tener fede alla ratio della legge, che vorrebbe tutelare l'utente e non l'azienda, si tende a considerare il sottogruppo più ampio, cioè i dati personali. Forse chi hai interpellato non la pensa così. (Legittimo per carità. Speriamo però che l'ispettore sia d'accordo perchè è lui ad avere l'ultima parola).

Nel 2007 poi (se non erro) c'è stato il primo chiarimento ufficiale che attestava che se i dati raccolti erano solo quelli utili alla fatturazione e l'uso che se ne faceva (trattamento) era effettivamente solo quello allora e solo in quel caso si poteva fare l'autocertificazione. Infine a luglio 2008 è stata aggiunto il comma 1 bis all'art 34 che introduceva ufficialmente l'autocertificazione anche per "i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale [...] In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili [...]" Qui si parla di trattamenti oltre che di dati e tu i dati non li utilizzi ai soli fini della fatturazione, quindi ti collochi decisamente al di fuori dell'ambito dell'autocertificazione.

Inoltre l'autocertificazione è la prova dell'avvenuta valutazione del rischio (per rubare un'espressione alla sicurezza) e non può essere in alcun modo prodotta davanti all'ispettore. Non avrebbe neanche senso, non trovi? A che servirebbe farlo con lui? Dimostrerebbe solo che non hai fatto NIENTE per essere in regola, neanche verificare in quale regime rientri. E sempre a rigor di logica se sostituisce il DPS ne segue i tempi e la periodicità annuale.
Non so e non voglio sapere a chi hai chiesto ma IO come consulente preparo i clienti all'interpretazione più restrittiva della legge da parte dell'Ispettore. Cioè nel dubbio faccio la cosa che lo protegge di più dall'andare in contestazione. Il DPS. (nota bene: lo faccio per scrupolo e non per soldi, perchè alla fine facendo anche sicurezza nel conto finale che presento al cliente incide ben poco.)
Però aggiungo che, per me, da te non ci sono dubbi, anzi!!
Torno a dire che non mi spiego come hai potuto avere queste risposte. Per me sono a dir poco assurde. Non sono però la massima autorità in materia e non pretendo di avere la verità in tasca. Anzi se potessi indicarmi le fonti normative di queste opinioni magari potrei scoprire che sono io a sbagliare.

P.S. Scusa se ho riportato in modo un pò pedante le fonti ma mi serviva per chiarire il concetto.

Nessun problema per i dubbi e le domande, se non accettassi di mettermi in gioco non scriverei su un forum.
E mi piace quando si parla a viso aperto. La franchezza è da preferirsi ad inutili giri di parole.
Perchè l'operatrice con cui tu hai parlato ti abbia detto quelle cose onestamente non lo so. Per me la legge è chiara e tu ci rientri in pieno senza bisogno di interpretazioni.
Forse, ma è solo una ipotesi, ti ha risposto in modo "elastico" applicando la normativa nel modo più accomodante verso di te, mentre noi consulenti siamo abituati a vederla nel modo più restrittivo. Non so trovare una spiegazione migliore.
Hai ragione sull'autocertificazione: per tutto quello che hai letto e che non starò qui a ripetere è uno strumento difficilmente utilizzabile e di dubbia utilità, oltre che pericoloso.
Notifica: per me rientri negli esoneri, quindi niente notifica.

Quello che è da considerare per verificare se si deve fare o meno il DPS lo hai scritto nella descrizione dei dati.
In particolare:
Se utilizzassi i dati esclusivamente per il punto 1 potresti fare l'autocertificazione (dati di fatturazione), ma il punto 3 e il 4 la escludono di sicuro. Qualche dubbio sul punto 2 ma visto il resto non vale la pena ragionarci.

Inoltre l'utilizzo dei dati per campagne promozionali ti obbliga già di per se stesso a fare il DPS, indipendentemente dal consenso che deve comunque essere prestato.
Insomma per me devi fare il DPS senza alcun dubbio. E pure in fretta visto che sei in ritardo. Restano ferme le altre misure minime tranne la nomina del Responsabile e dell'Incaricato perchè lavori da solo.

Piccolo OT. Al momento sei da solo ma quando passerai ad azienda e prenderai un dipendente (o socio lavoratore o qualsiasi altra figura stabilmente integrata anche non retribuita) sarai soggetto anche agli obblighi riguardanti la Sicurezza sul Lavoro (D.Lgs. 81/08)

Se rileggi la discussione ti sarà più chiaro quali sono gli obblighi e i casi in cui potresti utilizzare l'autocertificazione o il DPS semplificato. In ogni caso almeno una autocertificazione la devono avere tutti.
Fanno parte delle misure minime di sicurezza previste dal D.Lgs. 196/03.
L'informativa fa parte delle altre misure minime che devi approntare.
La scadenza è il 31 Marzo di ogni anno. Ormai sei in ritardo ma anche per questo rileggendo indietro troverai parecchie cose.
Nel tuo caso penso ancora tu debba fare il DPS ma se volessi spiegarci meglio cosa fai con quei dati ti potrei/potremmo dare una risposta più precisa.

@Bryan_Fury said:

Quoto tutto al 100%.
E' il messaggio che ho cercato di far passare fino adesso.

Per me non ci sono dubbi al riguardo. Lo devi fare. I dati possono anche essere gli stessi della fatturazione ma il trattamento che ne fai lo impone: campagne di internet marketing.

Torno a chiedere scusa se ho offeso e/o sminuito qualcuno, a partire da Criceto.
Non era assolutamente mia intenzione. Quel che è stato estrapolato dal contesto sembra più forte di quello che effettivamente voleva essere all'interno della discussione portata avanti civilmente allo stesso modo sia da me che da Criceto. Tra l'altro anche con delle parti scherzose che a mio avviso denotano la tranquillità d'animo da parte di entrambi (PIU' PILU PER TUTTI).
Dal mio punto di vista si trattava di uno scambio di opinioni e non di una competizione o tantomeno un tentativo di sminuire l'altra persona. Difendere le proprie opinioni non è automaticamente una competizione.
Se così agli occhi di chi leggeva non è sembrato lo ritengo solo una mia colpa perchè evidentemente non sono stato in grado di esprimermi meglio e me ne scuso ancora.
In futuro starò più attento e cercherò di fare in modo di non essere frainteso.

Rimango della mia idea riguardo al titolo che ho proposto di cambiare. E' fuorviante per molti di coloro che cercano informazioni sul web. Ma è solo una mia opinione e mi rimetto senza polemiche e ulteriori richieste in tal senso a quanto stabilito dai mod.
Spero di essere riuscito a riportare sui giusti toni la discussione e di poterla chiudere qui.
Buona serata.

@bsaett said:

Infatti è per questo che non voglio commentare il lavoro di un altro. Ognuno ha la sua professionalità e va rispettata il più possibile.
Quello che proponevo era cambiare il titolo dell'altro thread da "DPS & C." a "DPS secondo Criceto & C." (per esempio). Questo perchè l'utente medio che cerca chiarimenti potrebbe pensare che quello che trova scritto lì sia LA soluzione, quando invece è solo UNA soluzione delle tante possibili.
Tutto qui.
E aggiungo anche che in uno dei miei primi interventi ho specificatamente detto che non avrei pubblicato guide o moduli di alcun tipo.
Non riesco quindi a ravvisare alcuna forma di competizione, nè da parte mia nè di nessun altro.
Spero di non aver offeso nessuno, nel qual caso me ne scuso. Non era mia intenzione.

Non capisco. Proponi "esempi di DPS", con tanto di copertina, indice e allegati da implementare. Inoltre nel titolo scrivi DPS & C..
Sono perplesso. Se non è un modello di DPS questo allora non so che pensare.
Dico solo che sarebbe da chiarire fin dal titolo che quello che illustri è il DPS come lo faresti tu, e che esistono altri modelli ugualmente validi.

Ti ringrazio veramente quando dici che sarebbe gradito intervenire ma non mi sentirei a mio agio a scrivere li.
Non ho intenzione di commentare quanto proposto da chi, come me, lo fa per lavoro. Sarebbe come chiedere ad uno scrittore di correggere l'ortografia di un altro e, per di più, in pubblico. (Non sto dicendo che ci sia qualcosa da correggere. Dico solo che non mi voglio trovare nell'eventualità di farlo).
Spero capirai.

@bsaett said:

All'interessante dibattivo comunque aggiungo un paio di considerazioni.
La data certa per il DPS NON è prevista da alcuna norma, anche se è bene farla apporre per evitare possibili contestazioni. Non sarebbe il primo caso di multe appioppate per norme non chiare (siamo in Italia).

ESATTO!!! E' appunto questo che sto dicendo:
La data certa è l'unico MEZZO che puoi utilizzare per metterti al riparo immediatamente dalla multa. Non un obbligo normativo del D.Lgs.196/03. Se poi ti va di metterti a discutere con l'ispettore o di contestare il verbale fai come ti pare.
Il metodo della posta è senz'altro valido ma vuoi mettere la comodità di spedirti un PDF con la PEC? Niente bolli, timbri e code. (SI la data va su ogni pagina se il documento è fisicamente disassemblabile. Altro problema risolto con la PEC)

Quello che Criceto ha sentito con le sue interrogazioni è indubbiamente corretto ma va saputo leggere: la redazione annuale è un aggiornamento nel senso *italiano *del termine ma un nuovo documento dal punto di vista formale del dettato della legge. Forse non ci siamo capiti fino adesso perchè non era stato chiarito questo punto. Nessun ispettore penso sia tanto pignolo da elevare una sanzione per aver scritto "aggiornamento" sulla copertina ma tant'è la legge almeno su questo punto è chiara. Comunque qui si cavilla e non serve a nessuno.

Il pregresso non è obbligatorio proprio perchè ogni anno ne fai uno FORMALMENTE nuovo.

L'ho detto prima: se non cambia nulla ristampi tutto uguale cambiando la data. Non è un escamotage. Lo prevede la legge. Se non cambia niente perchè dovrebbe cambiare il DPS? Basta che dimostri di aver fatto la tua valutazione annuale semplicemente riproponendo il vecchio documento con una nuova data.

In merito ai commercialisti e ai consulenti fai da te: purtroppo oggi in Italia chiunque può improvvisarsi consulente. La privacy poi, ampiamente sottovalutata, è stata vista per parecchio tempo come business facile. Risultato parecchie multe in capo al cliente che rimane l'unico responsabile. Nella mia zona la linea generale è che i commercialisti non solo non fanno più privacy ma neanche si prendono la briga di consigliare questo o quel consulente per non avere grane. Non mi riferisco al commercialista di Seven direttamente ma alla mia personale esperienza.
L'unica difesa è affidarsi a consulenti seri che si preoccupano di formarsi e aggiornarsi. Purtroppo però spesso i clienti vogliono spendere poco e qui proliferano quelli che ti vendono semplice aria fritta. Insomma un circolo vizioso.
In ogni caso per la legge sei TU e solo TU responsabile dei tuoi obblighi.

Ho risposto in questa sede ma volendo si può continuare nell'altro thread. Ditemi voi.
Penso che però sarebbe più giusto continuare qui la discussione e cambiare il titolo dell'altro chiarendo che quello è il modello di DPS proposto da Criceto. Ce ne sono infiniti, comprese le Linee guida del Garante. In quel thread c'è una sua personale interpretazione del modo di redarre il DPS mentre qui cerchiamo di fare chiarezza sulla legge. Sono due cose diverse. (Inoltre scrivere lì da parte mia significherebbe commentare il lavoro di un collega e non mi sembra una bella cosa da fare su un forum). Comunque mi rimetto alla volontà dei MOD.

Piccoli chiarimenti:

1. Non esiste un riferimento normativo diretto riguardo la data certa. Esiste un discorso di opportunità: se c'è la puoi opporre all'ispettore e chiudere immediatamente la questione. Se non c'è farai valere le tue ragioni attraverso prove indiziarie come la fattura, ma in questo caso il 99% delle volte lo fai in sede di contestazione.
2. Il DPS non è la somma di tutte le misure minime. Nomine, informative, lettere di incarico etc. vanno fatte solo una volta per tutta la durata del rapporto. Non avrebbe senso ogni anno rinominare tutti. (sai che rottura!)
3. Le uniche firme da apporre ogni anno sono quella del Titolare del Trattamento e, se coinvolto, del Responsabile sul Dps nuovo. E tra l'altro QUESTO non è stabilito da nessuna parte per cui se vuoi se ne può fare anche a meno. E' solo una questione di "bella figura" visto che comunque è sempre e solo lui il responsabile (legalmente parlando e non come figura) di quanto scritto, per cui è giusto che se lo firmi.
4. Ci vuole un DPS nuovo ogni anno secondo quanto scritto all'art.19 dell'Allegato B *"Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, *un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:[...]".
5. Non ha valore lo storico. Il nuovo sostituisce il precedente ma è ovvio che devi averlo a portata di mano se ci fai riferimento. Non sei quindi sanzionabile per non aver fatto niente prima. Ma devi essere in regola per l'anno in corso. Quando viene l'ispezione (speriamo mai) se gli presenti un DPS in ritardo la tua unica irregolarità sarebbe appunto il ritardo ma le misure minime prescritte dal decreto sarebbero comunque state rispettate. Nel D.Lgs. 196/03 non è sanzionato direttamente il ritardo ma l'ispettore può comunque farlo per vie traverse perchè rimane una mancanza amministrativa. Devo dire che però nella mia esperienza e parlando con colleghi è una eventualità mai verificatasi. In ogni caso a rigor di logica sarebbe una multa molto piccola. L'ultima parola rimane sempre però all'ispettore., che torno a dire è un essere umano, capisce l'italiano e non ha alcun interesse a fare multe per sadico piacere.
6. Occhio alla forma del DPS: Moduli generici con Allegati che specificano la situazione aziendale possono essere visti male dall'Ispettore zelante nel caso non li capisca. Non ci sono obblighi formali e ognuno fa, giustamente, come gli pare ma in ogni caso la leggibilità è Fondamentale e la poca chiarezza è sanzionata ex art.19 All.B. " [...] idonee informazioni [...]"(caso successo realmente. Fortunatamente non era mio cliente)
7. La norma sulla relazione integrativa al bilancio è nata con la ratio di evidenziare i costi della Sicurezza del Lavoro (D.Lgs.81/08) e poi estesa. Il legislatore non pensava principalmente al DPS quando ha redatto la norma perchè il* Doc. Prog sulla SICUREZZA* in realtà riguarda la Privacy (D.Lgs. 196/03). Ovviamente poi ci è rientrato anche lui.
8. Il commercialista non sempre ha tempo di informarsi di tutto. Dopotutto non è un consulente in questo senso e la normativa sulla Privacy è ampiamente sottovalutata.
9. Sono d'accordo in pieno: PIU' PILU PER TUTTI

@criceto said:

Attenzione a non perdere di vista il particolare "insignificante" che i documenti in questione non avendo data certa (come anche le stampe dei bollati fiscali) possono essere predisposti in un qualsiasi momento PRIMA dell'ispezione, anche nell'intervallo tra la suonata alla porta e l'arrivo all'ufficio amministrativo.

Attenzione anche al fatto che tale "aggiornamento" consiste di fatto (se non sono intervenute modificazioni) all'apposizione della dicitura

31/3/2011 - aggiornamento annuale

nella pagina degli aggiornamenti.

Mi sa che non hai letto o capito quello che ho scritto prima.
Il particolare "insignificante" te lo stai inventando di sana pianta. La data certa è obbligatoria per dimostrare che il DPS rispetta i termini. Pensavo di essere stato chiaro.
Ti vuoi impuntare sul fatto che manca la parola "certa" nel dettato del 196?
Fai pure ma intanto l'ispettore ti fa il verbale e ha pienamente ragione perchè per quello che ne sa lui hai redatto il DPS mentre saliva le scale.
E inoltre dato che cerchi spudoratamente e maldestramente di farlo fesso magari si incavola pure e ti appioppa la dichiarazione di falso che ha delle conseguenze penali (!)
Inoltre non esiste dal punto di vista legislativo un aggiornamento del precedente DPS. Esiste solo un nuovo DPS ogni anno che SOSTITUISCE integralmente il precedente (o autocertificazione se scegli a tuo rischio e pericolo di farla). Nulla vieta poi che sia identico ogni anno che passa se la situazione aziendale non muta.

@criceto said:

Dato poi che non è prescritto di tenere traccia del regresso si deduce che l'apposizione di una scritta di questo tipo:

11/4/2011 - effettuato aggiornamento infraannuale

non configura compilazione in ritardo dato che si tratterebbe di un NUOVO aggiornamento fatto in corso di anno DOPO quello del 31/3/2011 di cui NON E' PRESCRITTO DI TENERE TRACCIA e sarebbe inoltre fatto per eccesso di zelo PRIMA di quello dell'anno successivo.

Qui invece siamo nella fantascienza più pura.
E' vero che non è scritto di tener traccia del Pregresso ma se a uno dici che un documento è uguale o aggiorna quello precedente ti chiederà di tirarlo fuori. E non serve scomodare un minimo di fondamenti di diritto per arrivarci ma solo la semplice logica. Inoltre tu durante l'anno puoi fare tutti gli aggiornamenti che vuoi (termine e concetto relativo sbagliati come precedentemente spiegato. Al massimo fai degli allegati) se mutano le condizioni relative ai trattamenti dei dati (anzi saresti OBBLIGATO a farli) ma nessuno configura di per se il DPS dell'anno dopo. Ma che scherziamo?

Un consiglio serio: non cercate di fregare gli ispettori. Per prima cosa al mondo le persone non sono tutte stupide e poi, guarda un pò, sono estremamente preparati. Sicuramente più di voi che ricevete l'ispezione. Se chiedono qualcosa hanno (quasi) sempre ragione. E anche se si sbagliano vi fanno il verbale e a voi resta solo di portarlo in giudizio (il verbale. NON l'ispettore). La multa la pagate subito, gli avvocati li pagate subito, spesso pagate le spese processuali e SE vincete riprendete dopo ANNI i soli soldi della multa. Vi conviene?

L'autocertificazione sostituisce la redazione del DPS per cui ne consegue che i tempi sono gli stessi (31 Marzo) e ne va prodotta una nuova ogni anno. Chi non ha l'uno o l'altra è in ritardo. Avere un documento in ritardo però non è neanche paragonabile a non averlo affatto quindi consiglio ai ritardatari di sbrigarsi.
In ogni caso resta ferma l'adozione delle altre misure minime oltre che una analisi dettagliata del proprio sistema aziendale e dei trattamenti effettuati per poter far fronte alle inevitabili e più che legittime domande dell'Organo di Controllo.
L'appiglio purtroppo non serve in sede di controllo, semmai in sede di contestazione dove è preferibile non arrivare mai. Non è compito dell'ispettore discutere di leggi fatte più o meno bene.

E' questa la confusione di cui parlavo.

1. Nel Disciplinare tecnico in materia di misure minime di sicurezza si dice all'art.19 "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza". E' vero che manca la parola "certa" ma il senso è chiaro e daltronde la Data Certa è l'unico strumento per poter opporre la data del documento all'organo di controllo. Come pensi di poter dimostrare che il tuo DPS sia stato fatto in tempo? L'ispettore ha tutto il diritto di chiederti di provare di averlo fatto nei termini stabiliti.
   La citazione di criceto riguarda il periodo transitorio e fa riferimento ad una polemica nata all'indomani dell'entrata in vigore del 196/03. Oggi questo punto è stato ampiamente discusso e superato.
   Si tratta di elementare osservanza delle leggi e, in caso di vuoto legislativo, delle prassi consolidate.
2. Devo correggere anche quando si fa il paragone tra DPS e Atto a data certa. La data certa è un mezzo per poter stabilire con certezza l'osservanza di un termine e poter poi opporre ciò in sede legale. Il DPS è un atto, nel caso fosse prevista espressamente (effettivamente così non è) sarebbe un Atto a Data Certa. Ci sono atti a data certa e atti che non la prevedono ma è opinione consolidata in ambito amministrativo e legale apporre la data certa anche a tutti quegli atti che prevedono generica data, intendendo implicita la richiesta del legislatore. E' come paragonare una macchina e una ruota: la macchina senza la ruota non cammina. Si spostano emtrambi ma non sono entrambi mezzi di trasporto, per cui se ti vuoi spostare prendi la macchina.
   Senza polemica e senza voglia alcuna di insultare ma quanto scritto prima è frutto di semplice ignoranza, intesa come mancanza di conoscenza della materia.
3. Sono stato tacciato di terrorismo psicologico. Non alimento la polemica inutile e chiedo solo cosa da la certezza "che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante". Questa interpretazione è frutto di una superficiale interpretazione. Torno a fare esempi per chiarire. Come tratti i dati ex. Legge 104/92? Oppure come consideri i congedi parentali? In entrambi i casi la ditta sa esattamente il motivo per cui il dipendente è assente quindi usciamo dall'ambito dell'autocertificazione. E ancora: se ci sono provvedimenti esecutivi coatti sulla busta paga? (cosa molto comune di questi tempi purtroppo)
   Inoltre, ammesso e non concesso di ricadere in una fattispecie assolutamente e senza alcun dubbio entro i limiti previsti dalla autocertificazione, nel momento in cui la situazione cambia sei comunque obbligato a redegire il DPS. Quindi che convenienza hai avuto a farla? In ogni caso l'opportunità è valutabile solo dal cliente e dal suo consulente.
4. Finisco dicendo che il miglior modo per apporre la data certa è la PEC. Rapido veloce e avente forza di legge. Alle poste oltre a perdere molto tempo si rischia l'ira funesta di chi sta allo sportello (ma è comunque un metodo valido)

Chiedo ancora scusa se ho offeso qualcuno. Non voglio alimentare polemiche ma solo essere estremamente chiaro sui punti che difendo.

edit: cito sempre criceto:"Quanto ai dati che rendono necessario il DPS faccio notare che la maggior parte delle aziende tratta solamente dati contabili e amministrativi nonchè le presenze che non lo richiedono secondo ESPLICITA affermazione del Garante (e non certo solo gli idraulici).
Occorre anche considerare che tali dati non sono poi "personali" in senso stretto e possono essere comunicati a terze parti senza formalità, vedasi per esempio l'anticipo fatture, l'emissione di RiBa o la cessione di crediti che avviene senza consenso del cliente che NON HA IL DIRITTO PER LEGGE di opporsi a tali comunicazioni che quindi NON TRATTANO DATI PERSONALI.
Vedasi a questo riguardo gli archivi tipo CRIF o ESPERIAN e consideriamo il fatto che i propri dati che li finiscono possono essere divulgati a cani e porcelli privati senza che gli interessati possano opporsi."
Quanto riportato è un esempio di legge interpretata da chi la legge non la conosce: non esistono in nessun testo di legge i dati personali ma non in senso stretto. O sono personali o non lo sono. E il fatto che vengano comunicati non legittima niente e nessuno a continuare a farlo. Domani o tra dieci anni potrebbe esserci un chiarimento o una nuova legge che lo avalla o lo vieta. Per il momento si fa e basta. Il vuoto legislativo, una legge non sanzionata o la semplice abitudine (si fa così da sempre) non li qualificano assolutamente a posteriori (assurdo!) come DATI NON PERSONALI. Inoltre le fattispecie da considerare sono tante e il D.Lgs. 196/03 non riesce a coprirle tutte. E' fisiologico della legge in generale non poter cristallizzare tutto alla data di emissione. Vedasi i successivi aggiustamenti come quello appunto dell'autocertificazione.
E non sta scritto neanche da nessuna parte che nei rapporti tra privati sei obbligato a comunicare i tuoi dati se questi riguardano esclusivamente la fatturazione (lo avevo letto precedentemente). Semplicemente può essere impossibile erogare il servizio in oggetto del contratto se mancano tali dati, nel qual caso il rapporto non si costituisce per mancanza del requisito della volontà oppure si scioglie se precostituito. E si può richedere la cancellazione dei propri dati nei limiti degli obblighi di legge superiori (per esempio conservare registri/fatture o quant'altro per il tempo stabilito ai fini fiscali) da quel momento in poi.