Il codice in materia di protezione dei dati personali impone (d.lgs. 196/2003, articolo 34, comma 1, lettera g) la tenuta del documento programmatico sulla sicurezza (D.P.S. o D.P.S.S.).
Questa direttiva rientra nelle misure minime di sicurezza da adottare nel caso in cui il titolare si avvalga di strumenti elettronici (nella fattispecie computer, server, applicativi gestionali, database) per il trattamento dei dati sensibili e/o giudiziari.
A titolo di esempio, sono tenute a redigerlo le aziende che detengono dati dei propri dipendenti, curriculum vitae per eventuali selezioni del personale: questa configurazione, ovviamente, trova facile diffusione.
L'allegato B (disciplinare tecnico in materia di misure minime di sicurezza), all'articolo 19 meglio definisce e specifica i contenuti (minimi anch'essi) che il documento deve avere ed il termine del 31 marzo di ciascun anno per tenerlo aggiornato . Nella fattispecie, dovrà indicare:
- l'elenco dei trattamenti
- l'organigramma di ruoli, responsabilità e mansioni di tutte le risorse aziendali coinvolte, dettagliando le banche dati presenti (cartacee, elettroniche), gli incaricati (interni ed esterni), i responsabili, le sedi dell'azienda, gli uffici, i luoghi di custodia e di trattamento delle banche dati
- i rischi cui sono sottoposti i dati
- le misure adottate per proteggere i locali ed i dati dai rischi
- le modalità di ripristino delal configurazione dei dati in caso di danno
- la formazione del personale dedicato ai trattamenti
- le misure adottate per proteggere i dati dai rischi in caso di trattamento esterno (outsourcing)
- metodi e tecniche adottati per i trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale degli interessati
Le aziende che hanno certificato il loro sistema di gestione per la Qualità secondo la norma UNI EN ISO 9001:2000 (aggiornata all'ISO 9001:2008), troveranno rapida l'applicazione delle direttive del codice in oggetto proprio in merito alla redazione del dps; infatti, una volta completato, questo documento presenterà in modo razionale l'azienda stessa, e le modalità adottate per i diversi trattamenti in essere.
La redazione del DPS è un obbligo legislativo, la cui violazione costituisce reato, punibile, come previsto dal codice, con l'arresto o l'ammenda di diverse migliaia di euro.
Il termine perentorio per la redazione e/o l'aggiornamento ha lasciato dubbi circa la redazione del DPS con data certa.
Leggendo attentamente il decreto legislativo non si parla di nessuna attribuzione di data certa al documento. Finanche la data ed i numeri di pagina risultano essere superflui.
Ricordiamo però che, qualora il titolare lo voglia fare, la data certa è attribuibile, tra le altre modalità, con firma digitale e marca temporale, oppure inviandolo come allegato ad un messaggio di posta elettronica certificata (PEC).
Va da sè che tutte le informazioni idonee a rendere la materia comprensibile ed accessibile a tutte le risorse aziendali potranno essere qui indicate e riportate.
Il Garante ha aggiornato il decreto originale del 2003, definendo i casi in cui il dps ordinario possa essere sostituito da un documento semplificato o, anche, una autocertificazione.
In conclusione, si ricordi che qualora l'azienda sia tenuta a presentare la relazione accompagnatoria al bilancio d'esercizio, in essa va indicato l'attività svolta sul dps nell'anno in corso.
La redazione del dps è dunque un'opportunità per l'azienda di dotarsi di uno strumento per raccogliere, razionalizzare, organizzare ed informare circa i trattamenti di dati personali effettuati in azienda, e le misure adottate a garanzia degli stessi.
Non si confonda la redazione del DPS con la notifica al Garante, atto col quale si dichiara il trattamento di dati biometrici, genetici, georeferenziali, di salute, di orientamento sessuale, idonei a rivelare abitudini dell'interessato ed, infine, dati che si trasferiranno all'estero.