Il Documento programmatico per la sicurezza è il testo che annualmente ogni azienda, impresa, associazione o ente che utilizzi strumenti telematici (gran parte delle aziende eccetto alcune deroghe segnalate in chiusura di post)  deve redigere e predisporre per dimostrare di aver rispettato e di rispettare in futuro ogni obbligo di legge riguardante la tutela e il trattamento dei dati personali dei dipendenti, dei clienti, di ogni persona terza con la quale avrà a che fare. Di essere pronta quindi a rispettare nel corso della propria attività ogni adempimento previsto dalla legge.

Il documento, chiamano in acronimo DPS va preparato entro il 31 marzo di ogni anno, la data di scadenza non è derogabile e tassativa.

DPS privacy

A introdurre nel lavoro e nell’ordinamento italiano tale obbligo è stata la Legge 196 03 entrata in vigore nella normativa italiana il 1 aprile 2004.

Prima dell’entrata in vigore del Decreto legislativo 30 giugno 2003, n. 196 esisteva già in Italia un obbligo analogo a quello del “DPS previsto dalla Legge n. 675 del 31 dicembre 1996 – Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” e del “Decreto del Presidente della Repubblica 28 luglio  1999, n.318 Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali”.

Si trattava però di un obbligo che riguardava il  “predisporre e aggiornare il DPS, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico”. Attualmente l’obbligo è invece esteso a chiunque tratti dati personali e sensibili essendo ovvio e scontato l’utilizzo di reti telematiche e computer per l’archiviazione e il trattamento dei dati.

Il DPS adeguatamente redatto e compilato dovrà contenere:

• “L’elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
• l’analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni);
• la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
• la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
• per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Tale sommaria e sintetica indicazione è contenuta nell’allegato B della legge sulla privacy succitata. Rispetta inoltre quanto previsto in materia dagli articoli 33, 34 , 35 e 36 dello stesso testo nei riguardi delle “Misure minime di sicurezza” nell’ambito della gestione della “Sicurezza dei dati e dei sistemi”. In particolare nell’articolo 34 che così si esprime:

“Art. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”, le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Al fine di aiutare i soggetti per il quale l’obbligo è stato introdotto, il Garante della privacy, organo collegiale e autonomo eletto da Camera e Senato e deputato alla vigilanza, al controllo e alla sanzione sull’ordinamento attuale relativo alla protezione di dati individuali e sensibili, ha pubblicato sul proprio sito una Guida operativa per redigere il  Documento programmatico sulla sicurezza (DPS). Una guida non obbligatoria né unica a detta dello stesso Garante ai fini della redazione del testo, non una condizione sine qua non quindi, ma un aiuto per la compilazione di parti testuali e tabelle per le aziende non in grado di disporre di personale adibito esclusivamente a tale mansione.

In chiusura e come segnalato nelle prime righe del post  segnaliamo che Il DPS non è obbligatorio per la totalità delle aziende. Alcune deroghe sono state introdotte nel 2008 dall’art. 29, comma 1 del “Decreto-legge 25 giugno 2008, n. 112 “Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione Tributaria”.

 

Il testo di legge ha provveduto a integrare il Testo unico sulla privacy nell’articolo 34 succitato al DPS introducendo la possibilità di autocertificazione semplificata al posto del documento programmatico soltanto nel caso in cui si trattino:

• Dati personali non sensibili;
• e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale.

 

In questi casi la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.

Per chiudere, la pianificazione e i costi del DPS devno essere specificata anche in fase di presentazione del Bilancio di esercizio. Le sanzioni previste rientrano nelle generali del Decreto legislativo 30 giugno 2003, n. 196, le violazioni del “codice” vengono punite con ammende e reclusione dai tre mesi ai due anni.