+ Cos'è il DPS?

 + Chi deve adeguarsi?

 + Adempimenti

 + Sanzioni

 + Domande Frequenti

 + Legge 196/2003
 

  GESTIONE PRIVACY - DECR.LEGISLATIVO 196/2003
Il D.P.S. è l'unico documento in grado di attestare l'adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro il 31 DICEMBRE 2005 ed alla scadenza fissata al 01 di gennaio di ogni anno.
Il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.
Il Garante ha individuato una figura resposabile per il trattamento dei dati più una serie di punti per i quali l'azienda deve adottare tutte le misure necessarie per l'espletamento della legge.
Lo scopo del D.P.S. è proprio quello di descrivere la situazione attuale con riferimento ai punti stabiliti dal garante.
Ma vediamo più da vicino quali sono questi punti o regole (la numerazione è riferita al testo di legge di cui all'allegato B):
  • 19.1 Elenco dei trattamenti di dati personali
    individuare i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l'indicazione della natura dei dati e della struttura (ufficio, funzione, ecc. ) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate a l Garante anche in passato.
  • 19.2 Distribuzione dei compiti e delle responsabilità
    descrizione sintetica dell'organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari ) , indicando le precise modalità per reperirli.
  • 19.3 Analisi dei rischi che incombono sui dati
    Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati.
  • 19.4 Misure in essere e d a adottare
    Riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire , contrastare o ridurre gl i effetti relativi ad una specifica minaccia ) , come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l'efficacia.
  • 19.5 Criteri e modalità di ripristino della disponibilità dei dati
    Descrivere i criteri e le procedure adottate per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati . L'importanza di queste attività deriva dall' eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
  • 19.6 Pianificazione degli intervent i formativi previsti
    Riportare le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere.
  • 19.7 Trattamenti affidati all'esterno
    Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l'indicazione sintetica del quadro giuridico o contrattuale (non ché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all'esterno, per garantire la protezione dei dati stessi.
  • 19.8 Cifratura dei dati o separazione dei dati identificativi
    Vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura - o laseparazione fra dati identificativi e dati sensibili, nonchè i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti.
    Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie.

I tempi di stesura del DPS variano a secondo della dimensione dell'azienda e dalla mole di dati da processare, certamente non ci si mette un giorno... il documento programmatico richiede una attenta valutazione della situazione aziendale e dei trattamenti effettuati. Mediamente la stesura definitiva avviene nel giro di qualche settimana.
Il DPS deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l'aggiornamento il 31 marzo di ogni anno, solo per questo anno il termine è stato prorogato al 31/12/05. Si consiglia di non aspettare l'ultimo mese utile, perché potrebbe non bastare. Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli.
Il titolare del trattamento deve dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell'avvenuta redazione/aggiornamento del DPS.
il Titolare del trattamento nella logica di una gestione consapevole deve individuare tutte le persone che hanno accesso ai dati ed a ciscuna dice esattamente come si deve comportare. Inoltre deve predisporre le informative da dare a tutti coloro che gli affidano dati in cui spiega le metodiche usate nei trattamenti.

 

Fonte: www.pianosicurezza.it