La redazione del documento programmatico
per la sicurezza definito anche DPS è una “misura minima” prevista
dalla legge e si traduce in un rapporto di analisi contenente la
distribuzione dei compiti, l'analisi dei rischi sul trattamento dei dati e
la documentazione di alcune soluzioni adottate ed altro ancora.
La precedente disciplina (la legge 675/96
detta legge sulla privacy) prevedeva
già l’obbligo di predisporre e aggiornare il DPS, almeno annualmente, in
caso di trattamento di dati
sensibili o relativi a
determinati provvedimenti giudiziari effettuato mediante elaboratori
accessibili mediante una rete di telecomunicazioni disponibili al pubblico.
I soggetti tenuti a predisporre il DPS hanno potuto redigerlo per la prima
volta entro il 29 marzo 2000 o, al più tardi, entro il 31 dicembre 2000;
dovendo rispettare l’obbligo di revisione almeno annuale, hanno dovuto
aggiornare il rapporto negli anni successivi,
anche nel 2003.
In base al nuovo Codice della privacy,
la misura minima del DPS deve essere ora adottata dal titolare
di un trattamento di dati sensibili o
giudiziari effettuato con strumenti elettronici.
Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi erano
precedentemente tenuti (ad esempio, da chi trattava dati sensibili o
giudiziari, ma con elaboratori non accessibili mediante una rete di
telecomunicazioni disponibili al pubblico).
Infine, il contenuto stesso del DPS è arricchito da nuovi elementi che si
aggiungono a quelli necessari in base alla precedente disciplina o ne
specificano alcuni aspetti. Ad esempio, nel DPS occorre descrivere ora i criteri e le modalità per ripristinare la
disponibilità dei dati in caso di distruzione o
danneggiamento delle informazioni o degli strumenti elettronici.
Il DPS deve essere aggiornato entro
il 31 marzo di ogni anno, non deve essere inviato a nessun ente e nemmeno al
Garante per la Privacy. Andrà conservato presso l'impresa e verrà esibito
in caso di richiesta da parte degli organi di verifica (Guardia di Finanza).
Scarica