|
Cos'è il DPS ?
Il DPS (Documento Programmatico sulla Sicurezza), secondo la regola 19 dell’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” (del D. Lgs. n. 196/03), deve essere redatto e aggiornato dal titolare dei dati, o da un responsabile designato entro il
31 marzo di ogni anno e deve essere menzionato nella relazione accompagnatoria del bilancio d'esercizio.
Il D. Lgs. n. 196/03 all’art. 34 lett. g, fa rientrare il DPS tra le misure minime di sicurezza in caso di trattamento dei dati personali con strumenti elettronici, confermandone l’ obbligo di redazione e di aggiornamento.
Il Legislatore affida, sostanzialmente, al DPS il ruolo di dichiarazione di adeguamento dell’ azienda e/o dello studio professionale.
In sintesi, il DPS contiene informazioni riguardo a:
- l’elenco del trattamento dei dati personali (regola 19.1, Allegato B);
- la distribuzione dei compiti e delle responsabilitá nell’ambito delle strutture preposte al trattamento dei dati (regola 19. 2, Allegato B);
- l’analisi dei rischi che incombono sui dati (regola 19.3, Allegato B);
- le misure da adottare per garantire l’integritá e la disponibilitá dei dati e della protezione delle aree e dei locali, rilevanti ai fini della loro custodia ed accessibilitá (regola 19.4, Allegato B);
- la descrizione dei criteri e delle modalitá per il ripristino della disponibilitá dei dati in seguito a distruzione o danneggiamento, adottando idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni (regole 19.5 e 23, Allegato B);
- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsbilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare (regola 19.6, Allegato B);
- la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformitá al codice, all’esterno della struttura del titolare (regola 19.7, Allegato B);
- l’individuazione dei criteri da adottare per la cifratura o per la separazione di dati personali idonei a rivelare lo stato di salute e la vita sessuale (contenuti in elenchi, registri o banche di dati trattati da organismi sanitari ed esercenti le professioni sanitarie) dagli altri dati personali dell’interessato (regole 19.8 e 24, Allegato B).
Il D. Lgs. n. 196/03
prevede la redazione obbligatoria del DPS (Documento Programmatico sulla Sicurezza), la cui mancata produzione è perseguibile dalla legge come reato penale (art. 169).
Chi deve redigere il DPS?
Nella tabella riportata di seguito, in ordine crescente di adempimenti richiesti, vengono definite le categorie di Titolari del trattamento dati, che sono tenuti all'obbligo di redazione ed aggiornamento del DPS.
| Titolare (tipologia) |
DPS (tipologia) |
Legge di riferimento |
|
Soggetti che trattano Dati Personali senza l’ausilio di strumenti elettronici
|
Non è richiesta la tenuta del DPS
|
art. 34 punto g, del D. Lgs. n. 196/03
|
|
Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori (anche a progetto), senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale
|
Decade l’obbligo della tenuta del DPS, che viene sostituito da una autocertificazione, resa dal Titolare del Trattamento ai sensi dell'articolo 47 del T.U. di cui al Decreto del Presidente della Repubblica n. 445/2000, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte
|
art. 29 della Legge n. 133/2008, recepito dall'art. 34 comma 1-bis del D. Lgs. n. 196/03
|
|
Soggetti pubblici e privati, che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso Liberi Professionisti, Artigiani e Piccole e Medie Imprese e non rientranti nella tipologia di cui al punto precedente
|
Tali soggetti possono redigere un DPS semplificato
|
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al D. Lgs. n. 196/03 (27 novembre 2008)
(provvedimento del Garante Privacy)
|
|
Tutti gli altri Titolari non rientranti nelle tipologie del punto precedente
|
DPS completo secondo le indicazioni del Codice Privacy e dell’Allegato B
|
- art. 34 punto g, del D. Lgs. n. 196/03
- regola 19 dell’Allegato B, al D. Lgs. n.196
|
|
|
