Il Documento Programmatico per la Sicurezza e la Privacy

Consulenza redazione dps e gestione dati sensibili

Il DPS - Dpcumento Programmatico per la Sicurezza è un documento specificativo del comune e generale obbligo di sicurezza dei dati posto dal Codice Privacy introdotto con il d.lgs 196/2003. Il DPS, nella volontà del legislatore, risulta quale metodo per ridurre al minimo i rischi di distruzione dei dati ovvero di accesso non autorizzato o trattamento non conforme alle finalità della raccolta, attraverso la specificazione di preventive misure di sicurezza.

Precisamente l'art. 33 del d.lgs 196/03 prevede che "Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31 […] i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo […] volte ad assicurare un livello minimo di protezione dei dati personali." E' inoltre l’art. art. 34 comma 1, lettera g) del D.lg. 196/03 che prevede la "tenuta di un aggiornato documento programmatico sulla sicurezza"

Il Codice Privacy è stato oggetto nel 2008 di una profonda revisione in particolar modo su due versanti importanti:

• l’autodichiarazione sostitutiva;;
• la semplificazione.In particolare, rispetto al primo profilo, per taluni casi, è stata prevista, in via innovativa, la possibilità di sostituire il (DPS) con un documento di autocertificazione.

Dunque risultano soggetti alla tenuta di un DPS aggiornato:

• i titolari che con strumenti elettronici trattano le seguenti categorie di dati personali sensibili:- origine razziale ed etnica di clienti, fornitori e dipendenti - opinioni religiose, filosofiche o di altro genere di clienti, fornitori e dipendenti, - opinioni politiche, adesione a partiti, associazioni od organizzazioni a carattere religioso, filosofico e politico di clienti, fornitori e dipendenti, - stato di salute di clienti e fornitori - stato di salute con indicazione della relativa diagnosi di dipendenti, - vita sessuale di clienti, fornitori e dipendenti;
• i titolari che trattano dati personali giudiziari con strumenti elettronici.

Non sono invece soggetti a tale adempimento, qualora utilizzino strumenti elettronici, i titolari che trattano le seguenti categorie di dati, :

• dati personali comuni di clienti, fornitori e dipendenti;
• dati personali sensibili di dipendenti relativi allo stato di salute o malattia (solo se senza indicazione della diagnosi);
• dati personali sensibili di carattere sindacale.

Il Termine di Scadenza per la predisposizione del DPS è il 31 Marzo di ogni anno, per adempiere a tale obbligo il titolare del trattamento ha sostanzialmente tre modi diversi:

• redazione del dps;
• nei casi sopra indicati, predisposizione di autocertificazione sostitutiva;
• ove previsto dalla legge, redazione di un documento semplificato.