L’aggiornamento del documento programmatico sulla sicurezza (DPS) entro il 31 marzo

L’adozione e il successivo aggiornamento del documento programmatico sulla sicurezza (DPS) rientra tra le “misure minime” previste dall’art. 34 del decreto legislativo 196 del 2003, in caso di trattamento di dati personali “effettuato con strumenti elettronici”, da parte di aziende, liberi professionisti, enti o associazioni

Il documento va aggiornato ogni anno entro il 31 marzo e deve contenere, come previsto al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza:

1. l’elenco dei trattamenti di dati personali;

2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;

3. l’analisi dei rischi che incombono sui dati;

4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento…;

6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;

8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale …l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Il DPS può essere sostituito da un’autocertificazione, “per i soggetti che trattano soltanto dati personali non sensibili  e che trattano come unici dati sensibili quelli costituiti dallo   stato   di   salute   o  malattia  dei  propri dipendenti  e collaboratori  anche  a  progetto,  senza  indicazione della relativa diagnosi,  ovvero  dall’adesione  ad  organizzazioni  sindacali  o  a carattere   sindacale” (art. 19 cit. co. 1-bis).

Per ulteriori approfondimenti, si rinvia a Michele Iaselli, Prossima la scadenza degli adempimenti sulla privacy.

Redazione

Lo studio legale Giurdanella & Partners dedica, tutti i giorni, una piccola parte del proprio tempo all'aggiornamento del sito web della rivista. E' un'attività iniziata quasi per gioco agli albori di internet e che non cessa mai di entusiasmarci. E' anche l'occasione per restituire alla rete una parte di tutto quello che essa ci ha dato in questi anni. I giovani bravi sono sempre i benvenuti nel nostro studio legale. Per uno stage o per iniziare la pratica professionale presso lo studio, scriveteci o mandate il vostro cv a segreteria@giurdanella.it