Casa:
Il documento programmatico di sicurezza
Il DPS e la sua strutturazione.
Il Documento programmatico di Sicurezza (DPS) è un espresso obbligo del titolare del trattamento, previsto dall’art. 34 e dall’allegato B del decreto legislativo n.196/03.
Esso consta di 7 paragrafi che devono riguardare rispettivamente:
- elenco dei trattamenti dei dati personali:
In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterna, con l’indicazione della natura dei dati e della struttura (ufficio, funzione etc.) interna o esterna operativamente preposta, nonché degli strumenti elettronici impiegati.
Nella redazione della lista si può anche tenere conto delle indicazioni fornite dal garante nelle eventuali precedenti notificazioni. - distribuzione dei compiti e delle responsabilità:
In questa sezione bisogna descrivere sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati.
Si possono utilizzare, anche attraverso specifici riferimenti, documenti già predisposti, (provvedimenti, ordini di servizio, circolari, regolamenti), indicando le precise modalità per reperirli. - analisi dei rischio che incombono sui dati:
In questa sezione occorre descrivere gli eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità, in relazione allo specifico contesto di riferimento e agli strumenti elettronici utilizzati. - misure in essere e da adottare per prevenire i rischi:
In questa sezione vanno riportate in misura sintetica le misure in essere o da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico o organizzativo posto in essere per prevenire, contrastare ridurre gli effetti relativi ad una specifica minaccia, come pure quelle attività di verifica e controllo nel tempo per assicurarne l’efficacia. - criteri e modalità di ripristino della disponibilità dei dati:
In questa sezione sono descritte le procedure e i criteri essenziali per il ripristino dei dati, nel caso di loro danneggiamento o inaffidabilità della base dati. L’importanza di queste attività deriva dall’eccezionalità delle situazioni in cui il ripristino ha luogo.E’ essenziale che quando sono necessarie le copie dei dati siano disponibili, e che le procedure di reinstallazione siano efficaci. Pertanto è opportuno descrivere, sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino. - pianificazione degli interventi formativi previsti:In questa sezione vanno indicati i piani degli interventi formativi che si intendono svolgere
- trattamenti affidati all’esterno:
In questa sezione deve essere descritto il quadro sintetico delle attività che si intendono affidare a terzi che comportano il trattamento dei dati con l’indicazione sintetica del quadro giuridico e contrattuale (nonché organizzativo o tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi.
Per ciascun paragrafo è opportuno inserire delle tabelle che illustrano in modo sintetico i contenuti di ciascuna sezione.