Gli adempimenti richiesti  dal D.Lgs. 196/2003 in materia di Privacy prevedono che i dati personali di cui viene in possesso il professionista nello svolgimento dell’attività lavorativa siano custoditi con la massima cura.

Il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto, e se sono state date all’interessato (cliente-committente) – per iscritto o verbalmente – le seguenti informazioni (art. 13 del D.Lgs. 196/2003):
• sulle finalità (per l’espletamento dell’incarico professionale) e modalità del trattamento cui sono destinati i “dati personali”
• sulla necessità del conferimento di tutti quei dati che sono indispensabili per l’assolvimento dell’incarico professionale
• circa l’ambito professionale di comunicazione o diffusione dei dati stessi
• sui diritti dell’interessato (cliente-utente) circa il trattamento dei suoi dati personali: diritti elencati nell’art. 7 del D.Lgs. 196/2003
• il nome e l’indirizzo del “responsabile” – ove sia una persona diversa dal libero professionista quale “titolare” dei dati – del trattamento dei dati

A seguito dell’approvazione della Legge n. 35/2012 “Conversione in legge, con modificazioni, del decreto-legge 9 febbraio 2012, n. 5, recante disposizioni urgenti in materia di semplificazione e di sviluppo”, è stata confermata l’abrogazione dell’obbligo di redazione del Documento Programmatico sulla Sicurezza (DPS) derivante dal DLgs. 196/2003 che prevedeva l’assolvimento di tale obbligo entro il 31 marzo di ciascun anno solare.
Viene meno dunque l’obbligo di documentare l’elenco dei trattamenti di dati personali e la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati, così come l’incombenza di predisporre un documento dedicato all’analisi dei rischi che incombono sui dati, le misure da adottare per garantire l’integrità e la disponibilità dei dati.

Tuttavia la redazione del documento programmatico sulla sicurezza è solo una delle misure di sicurezza e  l’abolizione del DPS non cambia la sostanza e gli obblighi di tutela dei dati personali previsti della normativa sulla privacy e posti a carico del soggetto che raccoglie dati personali. Tutte le misure di sicurezza obbligatorie sono rimaste, infatti, invariate e i provvedimenti del Garante che hanno effetto di legge rimasti in vigore.
Gli enti pubblici, i professionisti e in genere chi tratta i dati (i cosiddetti titolari di trattamento) devono rispettare le altre misure minime (dalla password al back up) e laddove tali obblighi non fossero rispettati, resta inalterato il sistema sanzionatorio applicabile nei confronti del trasgressore.