D.P.S.

La legge 196 del 2003 prevede nuovi adempimenti in merito alla protezione dei dati personali in particolare l´obbligo di redazione del Documento Programmatico della Sicurezza, la cui mancata produzione è perseguibile dalla legge come reato penale.
La legge impone dei requisiti minimi da rispettare per una adeguata protezione dei dati, dando però la possibilità di dichiarare nel DPS che, ove mancanti, verranno messi a norma entro una data prestabilita.

Il D.P.S. è l´unico documento in grado di attestare l´adeguamento alla normativa sulla tutela dei dati personali e deve essere redatto entro la scadenza fissata al 31 di marzo di ogni anno.
Il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.
Il Garante ha individuato una figura resposabile per il trattamento dei dati più una serie di punti per i quali l´azienda deve adottare tutte le misure necessarie per l´espletamento della legge.
Lo scopo del D.P.S. è proprio quello di descrivere la situazione attuale con riferimento ai punti stabiliti dal garante.

Tutti coloro che trattano dati personali e/o sensibili sia tramite strumenti informatici che in forma cartacea.

Tutti coloro che trattano dati sensibili e/o giudiziari tramite strumenti informatici e rientrano nelle casistiche definite dal Garante
Tutti coloro che rientrano nelle casistiche definite dal Garante e trattano dati personali in modo informatico o manuale

Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale
Nei casi dei dati giudiziari e in quelli specifici indicati dal garante è fatto obbligo la comunicazione specifica del dps al garante

La società deve redigere il Documento Programmatico della Sicurezza (DPS) contenente:

L´elenco dei trattamenti dei dati personali
Attribuzione di compiti e responsabilità
Analisi del rischio dei dati
L´elenco delle misure adottate atte a garantire integrità, disponibilità e riservatezza dei dati
Formazione del personale sui temi della sicurezza
Descrizione delle misure minime di sicurezza adottate in conformità al codice
Descrizione delle misure adottate per la cifratura dei dati sensibili/giudiziari

La società deve adottare una serie di misure minime di sicurezza o idonee, sia per il trattamento dei dati con strumenti elettronici, che per il trattamento di dati su supporto cartaceo.

Dotare il sistema di strumenti di autenticazione
Redigere delle procedure per la gestione delle credenziali di autenticazione
Provvedere all´aggiornamento periodico del personale preposto al trattamento dei dati e di quello addetto ai sistemi informativi
Mettere in atto misure di protezione degli elaboratori rispetto al trattamento illecito dei dati e ad accessi non consentiti
Effettuare procedure per il backup dei dati ed il loro ripristino
Adottare tecniche di cifratura per i dati sensibili/giudiziari

Procedure per la gestione e la custodia di atti e documenti
Analisi del rischio
Formazione del personale sui temi della sicurezza
Descrizione delle misure minime di sicurezza adottate in conformità al codice