Si avvicina la scadenza annuale per la compilazione o la revisione del Documento Programmatico della Sicurezza (DPS), previsto dall’art. 34 del Decreto Legislativo n. 196/2003 (Codice in materia di protezione dei dati personali).
Entro il 31 marzo, infatti, i soggetti che effettuano il trattamento di dati sensibili o giudiziari con strumenti elettronici devono redigere o aggiornare il citato Documento, inserendo le informazioni e i dati specificati nel Disciplinare tecnico in materia di misure minime di sicurezza, contenuto nell’allegato B) al Codice. Il DPS deve riportare nello specifico: l’elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; l’analisi dei rischi che incombono sui dati e le misure da adottare per garantirne l’integrità e la disponibilità, nonché per garantire la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; la previsione di interventi formativi degli incaricati del trattamento, per renderli consapevoli dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare; la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all’esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato. Il DPS si inserisce nell’ambito delle “misure minime di sicurezza” previste dal citato Allegato B per disciplinare il trattamento di dati con strumenti elettronici; tra queste rientrano i sistemi di autenticazione informatica, i sistemi di autorizzazione, nell’ipotesi in cui per gli incaricati siano individuati profili di autorizzazione di ambito diverso; l’adozione di strumenti elettronici in grado di proteggere i dati contro il rischio di intrusione o di danneggiamento. Sul sito del Garante per la protezione dei dati personali (www.garanteprivacy.it) è presente una guida operativa per redigere il DPS, diretta a facilitare l’adempimento nelle organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche. (D.A. per NL)
