Breve guida alla compilazione del documento programmatico sulla sicurezza (DPS)

La normativa, dalla legge n.675 del 1996 al decreto legislativo n.196 del 2003, ha vissuto un'accentuazione nella protezione della riservatezza del trattamento dei dati personali. Su questa corrente l'introduzione del Documento Programmatico sulla Sicurezza dei dati personali (abbreviato, DPS), vediamo di cosa si tratta e come redigerlo.

Il DPS

Cos'è il DPS? E' un Documento programmatico sulla sicurezza, introdotto dal D.lgs 196/2003, che attesta l'adeguamento di un'azienda alla normativa sulla protezione dei dati personali. Chi deve redigerlo? Qualsiasi soggetto, privato o pubblico, che tratti su dispositivi elettronici o cartacei i dati personali, sia generici che sensibili o giudiziari, di persone fisiche o giuridiche. Per trattamento s'intende "la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”
L'ultima proroga per l'adeguamento è del marzo 2006 e l'obbligo prevede un aggiornamento annuale.

Come compilarlo

Per una corretta compilazione del DPS è necessario inserire le seguenti informazioni:
1. L'elenco dei trattamenti dei dati personali effettuati, correlato dai seguenti elementi: una descrizione sintetica del trattamento dei dati come l'attività svolta e le finalità perseguite(gestione del personale, ecc..), la loro natura (se generali, sensibili o giudiziari), la struttura che se ne occupa (l'ufficio dedicato) con la distribuzione dei compiti relativi al trattamento completa dell'elenco delle mansioni e delle responsabilità relativamente a ciascun compito
e gli strumenti utilizzati per il loro utilizzo (Pc, rete internet, ecc..)
2. L'analisi dei rischi che incombono sui dati personali con l'elenco di tutti i possibili eventi dannosi (Virus, tecniche di sabotaggio, malfunzionamenti) e le relative misure da adottare per prevenirli, come ad es. le precauzioni per il salvataggio e il ripristino, atte a garantirne la disponibilità e l'integrità, nonché quelle relative alla loro custodia e all'accesso agli stessi come password di autentificazione, ecc...
3. La Pianificazione degli interventi formativi del personale, per rendere gli incaricati adatti a prevenire i rischi che incombono sui dati con le accortezze disponibili per prevenirli. La formazione è effettuata anche in relazione ai cambiamenti di mansioni o all'introduzione di nuovi strumenti (l'utilizzo di software ecc..) correlate dalla tempistica per la realizzazione.
4. L'elenco dei trattamenti effettuati all'esterno e la struttura che se ne occupa (commercialisti ecc..) con i criteri per la tutela della sicurezza in tali ipotesi (l'utilizzo per le sole finalità richieste, relazioni periodiche sulle misure di sicurezza adottate, adempimento degli obblighi previsti ecc..).
5. Circa i dati sensibili (come quelli idonei a rivelare lo stato di salute e la vita sessuale) e giudiziari l'individuazione dei criteri adottati, come la cifratura o la separazione di tali dati dagli altri dati personali dell'interessato.