Cos’è il D.P.S. Documento programmatico sulla Sicurezza?
Il D.P.S. è l’unico documento in grado di attestare l’adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro il 30 GIUGNO 2005 ed alla scadenza fissata al 31 di marzo di ogni anno.
Il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.
Il Garante ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge.
Lo scopo del D.P.S. è proprio quello di descrivere la situazione attuale con riferimento ai punti stabiliti dal garante.
Ma vediamo più da vicino quali sono questi punti o regole (la numerazione è riferita al testo di legge di cui all’allegato B):
- 19.1 Elenco dei trattamenti di dati personali
individuare i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc. ) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate a l Garante anche in passato. - 19.2 Distribuzione dei compiti e delle responsabilità
descrizione sintetica dell’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari ) , indicando le precise modalità per reperirli. - 19.3 Analisi dei rischi che incombono sui dati
Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati. - 19.4 Misure in essere e d a adottare
Riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire , contrastare o ridurre gli effetti relativi ad una specifica minaccia ) , come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. - 19.5 Criteri e modalità di ripristino della disponibilità dei dati
Descrivere i criteri e le procedure adottate per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati . L’importanza di queste attività deriva dall’eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino. - 19.6 Pianificazione degli interventi formativi previsti
Riportare le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. - 19.7 Trattamenti affidati all’esterno
Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (non ché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi. - 19.8 Cifratura dei dati o separazione dei dati identificativi
Vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura – o la separazione fra dati identificativi e dati sensibili, nonché i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti.
Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie.
I tempi di stesura del DPS variano a secondo della dimensione dell’azienda e dalla mole di dati da processare, certamente non ci si mette un giorno… il documento programmatico richiede una attenta valutazione della situazione aziendale e dei trattamenti effettuati. Mediamente la stesura definitiva avviene nel giro di qualche settimana.
Il DPS deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l’aggiornamento il 31 marzo di ogni anno, solo per questo anno il termine è stato prorogato al 30/06/05. Si consiglia di non aspettare l’ultimo mese utile, perché potrebbe non bastare. Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli.
Il titolare del trattamento deve dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell’avvenuta redazione/aggiornamento del DPS.
il Titolare del trattamento nella logica di una gestione consapevole deve individuare tutte le persone che hanno accesso ai dati ed a ciscuna dice esattamente come si deve comportare. Inoltre deve predisporre le informative da dare a tutti coloro che gli affidano dati in cui spiega le metodiche usate nei trattamenti.