L'articolo 34 del Codice in materia dei dati personali (d.lgs 196/2003) sanciva che chiunque, senzaeccezioni, trattasse datisensibili o giudiziarimediante strumenti informatici era soggetto all'obbligo di redigere ed aggiornare il Documento Programmatico sulla Sicurezza.

Grazie all'art. 29 del D.L. n. 112/08, convertito, con modificazioni, dalla Legge n. 133/08 s’è integrato l'art. 34 predetto, prevedendo alcune semplificazioni che riguardano sia il D.P.S. sia, in generale, l'applicazione delle misure minime di sicurezza

S’è previsto, infatti, che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale la redazione del DPS è sostituita dall'obbligo di autocertificazione del titolare del trattamento di trattare soltanto tali dati in osservanza delle altre misure disicurezza prescritte.

Tale esonero/semplificazioneè quindisubordinataallaverifica delrispettodei limiti predetti e per non redigere il D.P.S., sarà sufficiente che il titolare del trattamento dei dati renda un’autocertificazione (DPR n.445/00), in cui dichiari di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.

Si tratta quindi, prevalentemente, degli unici dati sensibili trattati da molte piccole o medie aziende, che, prima delle modifiche, costringevano alla redazione del D.P.S.

Un’altra novità si è avuta anche in riferimento all'adozione delle misureminime di sicurezza perparticolari tipologie di trattamento specificate nell'allegato B del Codice.