Sicurezza sulla privacy: il DPS

/in /da

Ogni anno, entro il 31 Marzo, ogni azienda, studio professionale, ente o associazione che tratti i dati personali con strumenti elettronici ha l’obbligo di presentare il Documento Programmatico sulla Sicurezza della privacy (DPS) in base all’obbligo previsto dal DL 196/03. Chi contravvenisse a tale obbligo rischia una sanzione tra i 6000 e i 30000 euro e fino a un mese di reclusione.
Il Garante della Privacy mette a disposizione una guida operativa per la compilazione del DPS, scaricabile gratuitamente dal sito del Garante. Il DPS deve essere composto da alcune parti fondamentali:

  1. L’elenco dei trattamenti dei dati personali: vengono elencati i trattamenti effettuati dal titolare, direttamente o attraverso dei collaboratori. Vengono inoltre indicati la natura dei dati e della struttura preposta al loro trattamento.
  2. Distribuzione dei compiti e delle responsabilità: vanno descritte l’organizzazione della struttura, i compiti e le responsabilità in base al tipo di trattamento effettuato.
  3. L’analisi dei rischi che incombono sui dati: in questa sezione si descrivono gli eventi che potrebbero danneggiare in qualche modo i dati, valutando le possibili conseguenze, anche in base al contesto ambientale e alle tecnologie utilizzate.
  4. Misure in essere e da adottare: vanno riportate tutte le misure di sicurezza sia già esistenti che da adottare in futuro, contemplando anche dei controlli periodici per la valutazione della loro efficacia.
  5. Criteri e modalità di ripristino della disponibilità dei dati: in questa sezione oltre alle modalità di ripristino, vanno anche indicati i criteri e le procedure per la conservazione delle copie dei dati, necessarie per il loro ripritino in caso di eventi dannosi eccezionali.
  6. Pianificazione degli interventi formativi previsti: vanno indicati quali corsi formativi si intende far svolgere a chi si occuperà dei dati e della loro sicurezza all’interno dell’azienda.
  7. Trattamenti affidati all’esterno: vanno indicate le attività che saranno affidate a terzi, all’esterno dell’azienda, oltre che le misure di sicurezza adottate in questa attività.
  8. Cifratura dei dati o separazione dei dati identificativi: vanno indicati i criteri di cifratura o separazione per tutti i dati sensibili (vita sessuale, salute, religione, vita politica…). Questo punto è valido solo per organismi sanitari o esercenti professioni sanitarie.