Il Documento Programmatico sulla Sicurezza (DPS) è un documento di autoregolamentazione, che il soggetto titolare del trattamento dei dati è tenuto a redigere e che contiene delle norme, delle procedure per evitare la fuga, la distruzione, la sottrazione, insomma, ogni utilizzo improprio e non autorizzato, dei dati raccolti per e durante l’esercizio dell’attività d’impresa.
Esso deve avere data certa entro il 31 marzo di ogni anno.
Il legislatore suddivide i dati trattabili in tre classi:
-dati personali: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
-dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
-dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
Ebbe il legislatore espressamente prevede che i soggetti che trattano dati sensibili e dati giudiziari debbanonecessariamente dotarsi ed aggiornare il D.P.S., e ciò in ragione della delicatezza dei dati che vengono in gioco.
I soggetti che trattano solo i dati personali sono invece, in linea di massima, esonerati dalla redazione del D.P.S. Dovranno tuttavia attivarsi per l’adozione delle misure minime per evitare l’utilizzo non autorizzato dei dati personali raccolti, mediante la compilazione di documenti specifici (i.e. specifiche procedure per le password dei pc, informativa circa il trattamento dati e loro finalità, ecc.)
Non si differenzia tra trattamento dati a mezzo supporto cartaceo e trattamento informatico: sta al D.P.S. individuare gli standard specifici da porre in essere.
Se si trattano solo dati in forma cartacea, nel D.P.S. si indicheranno solo le procedure relative a questi (i.e. l’adozione di armadi a serratura con chiavi detenute solo da specifici e qualificati soggetti), se si trattano dati solo con l’ausilio di supporti informatici, il D.P.S. verrà redatto di conseguenza (i.e. procedure per la modifica delle password, crittografia dei dati, ecc.).
Se i vi sono entrambii supporti (cartaceo e informatico) il D.P.S. dovrà prevedere entrambe le modalità di immagazzinamento dati.
Pertanto:
Il 31 marzo rappresenta, per le imprese tenute alla redazione, la data limite per l’adozione, la revisione o per la redazione del D.P.S..
Il Documento Programmatico sulla Sicurezza deve avere data certa.
Lachiver Servizi S.r.l. - P.IVA: 02219800238 REA: VR 224387 - Cap. soc. € 10400 int. versato. - Informativa sulla privacy