Nonostante per il Documento Programmatico sulla Sicurezza (o DPS) non vi sia più l’obbligo di legge, la sua stesura sistematica è sempre consigliata in quanto rappresenta la situazione dell’azienda in materia di privacy.
Il DPS, ossia il , era previsto dall’articolo 34 del decreto legislativo 196/2003 tra le misure minime da adottare per la protezione dei dati. L’obbligo di redigere questo documento è stato eliminato dalla manovra finanziaria Monti del 2011. Il DPS prima era obbligatorio per tutti coloro che trattano dati sensibili e giudiziari attraverso l’ausilio di strumenti elettronici.
=> Leggi di più sull’eliminazione del DPS
Redazione del DPS
Il DPS può essere diviso in 8 sezioni, ognuna con contenuti specifici.
Nella prima parte del DPS devono essere elencati e descritti in maniera sintetica i tipi di trattamento che vengono effettuati, sia internamente sia da eventuali collaboratori esterni come, ad esempio, in alcuni studi professionali.
Le informazioni essenziali riguardano la natura dei dati trattati evidenziando la presenza o meno tra i dati personali di dati sensibili, la struttura interna o esterna che si occupa della gestione, gli strumenti elettronici utilizzati per il trattamento (p.es. se si utilizza un computer collegato in internet, oppure in rete interna, oppure isolato e così via).
Tra le informazioni aggiuntive, può esserci la segnalazione della banca dati o archivio dove sono contenuti i dati utilizzati, l’elenco degli strumenti utilizzati dagli incaricati e delle connessioni in rete presenti, l’indicazione del luogo fisico dove sono conservati i dati (ad es su disco rigido, su CD, su PC).
=> Leggi la guida per la privacy nelle PMI
Nella seconda parte del documento deve essere descritta la struttura organizzativa, evidenziando i compiti e le responsabilità in relazione al trattamento dei dati.
Ad esempio: «i seguenti dati personali, ragione sociale, indirizzo, recapito telefonico, la loro acquisizione, consultazione, conservazione, sono trattati dalla società Beta al fine di redigere le dichiarazioni fiscali obbligatorie, emettere fatture, tenere corrispondenza con la clientela».
Note storiche
Il DPS doveva essere redatto entro il 31/03/06 e aggiornato ogni anno entro il 31 marzo o nel momento in cui ci si trovava a trattare dati sensibili. Tanto per capire l’importanza di questo documento, le sanzioni previste per la mancata redazione del DPS erano di carattere penale, con ammenda che variava dai 10.000,00 ai 50.000,00 euro, nonché arresto fino a due anni, e civile: il titolare poteva essere esposto ad un’azione di risarcimento danni.
La redazione del DPS doveva essere effettuata dal titolare del trattamento, salvo la nomina da parte dello stesso di un responsabile. Il riferimento normativo per la redazione del documento era l’articolo 19 dell’allegato B, nel sito del Garante della privacy è disponibile una guida operativa che facilita la redazione del documento.
La terza parte del DPS è dedicata all’analisi degli eventi potenzialmente pericolosi per la sicurezza dei dati trattati e alle conseguenze che il verificarsi degli stessi potrebbe comportare. Questa analisi, deve essere effettuata prendendo in considerazione gli eventi pericolosi che possono riguardare gli operatori, gli strumenti elettronici utilizzati, l’ambiente in cui viene svolto il trattamento.
Per quanto attiene gli operatori potenziali danni potrebbero derivare da comportamenti scorretti, incuria o disattenzione, dal furto delle credenziali. Ad esempio se un operatore è notoriamente distratto, il rischio che perda la propria password è elevato, bisognerà quindi prendere le idonee precauzioni.
Gli strumenti elettronici soprattutto se collegati in rete, anche a fronte di un comportamento corretto dell’operatore, sono soggetti a tentativi di accesso da parte di persone non autorizzate (virus e programmi diretti a recare danno o a intercettare informazioni), a degrado e quindi malfunzionamento.
Per quanto riguarda l’ambiente, gli eventi che si possono verificare nei luoghi dove sono conservati i dati sono i più disparati: accesso di personale non autorizzato, sottrazione di PC, guasti all’impianto elettrico che permette il funzionamento degli elaboratori, eventi naturali come allagamenti, terremoti incendi.
In questa parte, dopo l’analisi dei possibili rischi bisogna analizzare che impatto avrebbe il loro realizzarsi sulla sicurezza dei dati (p.es.: impatto di gravità alta, media, bassa).
Nella quarta sezione del DPS vanno analizzate le misure adottate e quelle da introdurre (con indicazione orientativa dei tempi di realizzazione) per evitare ogni rischio, per limitarne gli effetti dannosi, nonché l’attività di verifica e di controllo periodico che viene effettuata dal responsabile al riguardo. Informazioni aggiuntive possono riguardare la descrizione in riferimento a ogni misura del tipo di evento che con essa si intende contrastare, il suo ambito di applicazione, se è una misura preventiva oppure contenitiva degli effetti dannosi e così via.
Nella quinta sezione, devono essere descritte le procedure da utilizzare per ripristinare i dati nel caso questi siano manomessi o danneggiati dal verificarsi di un evento dannoso. Essenziale è la descrizione delle procedure di salvataggio e ripristino dati, la procedura per individuare facilmente la banca dati o dell’archivio interessato. Come informazioni aggiuntive si possono indicare la frequenza e il modo in cui sono salvati i dati, il luogo dove sono custodite le copie degli stessi, il soggetto preposto al salvataggio periodico dei dati.
La sesta sezione deve essere dedicata agli interventi formativi, cioè alla descrizione degli interventi diretti alla formazione del personale per renderlo consapevole circa i rischi che incombono sui dati e sulle misure a disposizione per prevenirli. La formazione deve essere prevista inizialmente nel momento dell’ingresso in servizio e successivamente ogni qualvolta ci sia un cambio significativo delle mansioni oppure siano stati introdotti nuovi strumenti .
La settima parte è obbligatoria nel caso in cui i trattamenti siano affidati all’esterno, in questo caso bisogna specificare il tipo attività svolta in esterno, il tipo di trattamento, la qualifica e il ruolo ricoperto dal soggetto esterno, il quale a sua volta dovrà garantire attraverso apposite dichiarazioni che vengono rispettate nel trattamento a lui affidato tutte le prescrizioni previste dal codice della Privacy .
L’ultima parte del DPS riguarda la cifratura e la separazione dei dati sensibili e riguarda solo gli organismi sanitari e gli esercenti professioni sanitarie.
Un esempio di documento programmatico lo potete scaricare direttamente dal nostro sito.
