D.P.S. Documento programmatico sulla Sicurezza
Il D.P.S. è un documento che serviva per attestare l’adeguamento dell’azienda (Titolare dei Dati) alla normativa sulla tutela dei dati personali (privacy). Il documento doveva essere aggiornato con frequenza annuale e doveva essere redatto entro il 31 di marzo di ogni anno.
L’uso del verbo “dovere” al passato si rende necessario a seguito del decr. legge 201 del 6/12/2011 convertito con modificazioni dalla legge 204 del 22/12/2011. Questa nuova normativa ha reso obsoleto questo documento.
L’orientamento comune degli addetti ai lavori è che un documento analogo al DPS sia bene farlo sempre e comunque in quanto strumento utile a descrivere la situazione in essere riferita alla detenzione, trattamento e sicurezza applicata ai dati e che consente di dimostrare e descrivere una specifica attenzione e presa di coscienza nel gestire la riservatezza dei dati degli interessati presenti in azienda.
Di seguito, in carattere corsivo, sono elencate alcune informazioni “ante legge 204” che lo scrivente ritiene utile evidenziare, anche se di fatto superate, ma che descrivono una situazione che sarebbe opportuno mantenere malgrado la semplificazione consentita dal Garante.
Il DPS è un manuale che contiene l’analisi dei rischi e la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali degli interessati che sono conservati e trattati in azienda.
Il Garante ha individuato una figura di responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge. Lo scopo del D.P.S. è proprio quello di descrivere la situazione aziendale con riferimento ai punti stabiliti dal garante sopra citati.
La complessità ed il tempo di stesura del DPS variano a secondo della dimensione dell’azienda e dalla mole e tipologia dei dati (comuni, sensibili e/o giudiziari) da processare.
La preparazione del documento programmatico richiede una attenta valutazione ed analisi della situazione aziendale, dei trattamenti effettuati e degli operatori a cui è consentito l’accesso ed il trattamento dati.
Chi deve adeguarsi?
Una recente interpretazione dell’Ufficio del Garante indica che sono obbligate quelle entità che fanno un trattamento di dati sensibili mediante strumenti elettronici (in questa categoria ricade anche la gestione del Personale). Anche in assenza di un D.P.S. devono comunque essere identificati e nominati per iscritto gli Incaricati del Trattamento dati ed eventuali Responsabili dei dati interni o esterni all’azienda.
E’ utile evidenziare come il Titolare dei dati sia tenuto a norma di codice (Artt. 31 e 33) ad adottare sempre e comunque le “misure minime” di sicurezza (sia per i dati comuni che per i dati sensibili e/o giudiziari) richieste dal Codice PRIVACY affinché venga tutelata la riservatezza e la sicurezza dei dati personali contenuti negli archivi, siano questi archiviati elettronicamente o in qualunque altro modo, incluso il cartaceo.
L’omissione di queste misure comporta per il Titolare dei Dati delle pesanti sanzioni economiche oltre che una responsabilità penale a norma dell’art. 169 del codice Privacy.
Scarica il decreto legislativo DLGS 196/03 sulla privacy