Analisi dettagliata e analitica del DPS: il documento in cui si rispecchia la situazione dell'azienda in tema di privacy
Il DPS, ossia il Documento Programmatico sulla Sicurezza, è previsto dall'articolo 34 del decreto legislativo 196/2003 tra le misure minime da adottare per la protezione dei dati. L'obbligo di redigere questo documento riguarda coloro che trattano dati sensibili e giudiziari attraverso l'ausilio di strumenti elettronici. Tuttavia è sempre consigliata la sua stesura sistematica in quanto rappresenta la situazione dell'azienda in materia di privacy.
Il DPS doveva essere redatto entro il 31/03/06 e aggiornato ogni anno entro il 31 marzo o nel momento in cui ci si trova a trattare dati sensibili. Le sanzioni previste per la mancata redazione del DPS sono di carattere penale, con ammenda che varia dai 10.000,00 ai 50.000,00 Euro, nonché arresto fino a due anni, e civile, il titolare può essere esposto ad un'azione di risarcimento danni.
La redazione del DPS è a carico del titolare del trattamento, salvo la nomina da parte dello stesso di un responsabile. Il riferimento normativo per la redazione del documento è l'articolo 19 dell'allegato B, nel sito del Garante della privacy è disponibile una guida operativa che facilita la redazione del documento.
Il DPS può essere diviso in 8 sezioni, ognuna con contenuti specifici.
Nella prima parte del DPS devono essere elencati e descritti in maniera sintetica i tipi di trattamento che vengono effettuati, sia internamente sia da eventuali collaboratori esterni come, ad esempio, in alcuni studi professionali. Le informazioni essenziali riguardano la natura dei dati trattati evidenziando la presenza o meno tra i dati personali di dati sensibili, la struttura interna o esterna che si occupa della gestione, gli strumenti elettronici utilizzati per il trattamento (p.es. se si utilizza un computer collegato in internet, oppure in rete interna, oppure isolato e così via). Tra le informazioni aggiuntive, può esserci la segnalazione della banca dati o archivio dove sono contenuti i dati utilizzati, lelenco degli strumenti utilizzati dagli incaricati e delle connessioni in rete presenti, l'indicazione del luogo fisico dove sono conservati i dati (ad es su disco rigido, su CD, su PC)
Nella seconda parte del documento deve essere descritta la struttura organizzativa, evidenziando i compiti e le responsabilità in relazione al trattamento dei dati. Ad esempio: «i seguenti dati personali, ragione sociale, indirizzo, recapito telefonico, la loro acquisizione, consultazione, conservazione, sono trattati dalla società Beta al fine di redigere le dichiarazioni fiscali obbligatorie, emettere fatture, tenere corrispondenza con la clientela».