Decreto legislativo 30 giugno 2003, n. 196
(G.U. 29 luglio 2003, n. 174 - Supplemento ordinario
n. 123/L)
IL DPSS - Documento
Programmatico sulla Sicurezza
il Manuale DPSS è il principale documento nel
panorama della sicurezza del sistema. Esso attesta
che la struttura ha effettuato la valutazione dei
rischi dei trattamenti ed ha adottato un "piano"
per la riduzione e misura dei rischi derivanti dal
trattamento, che funge da prova in caso di controlli.
Il manuale deve avere data certa ed ogni anno necessita
entro il 31 marzo di aggiornamento.
Deve essere conservato e custodito presso la struttura
ed esibito alle competenti autorità in caso
di controlli.
Nel DPSS è descritta ed analizzata l'adozione
delle misure minime di sicurezza ed il loro miglioramento
strutturale nel tempo finalizzato a recepire il nuovo
codice sulla privacy.
Per la predisposizione del manuale si rende quindi
necessaria una attenta valutazione dei trattamenti
di dati effettuati e per la sua stesura possono essere
impiegate svariate settimane.
Nota.
Vi ricordiamo che il punto 26 del disciplinare tecnico
prescrive che i titolari debbano indicare nella relazione
accompagnatoria del bilancio, se dovuta, di esercizio
l'avvenuta predisposizione del manuale DPS.
Il punto 19 Del Disciplinare
Tecnico (all. B) del DL 196/2003 riporta :
Documento
programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di
un trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato,
un documento programmatico sulla sicurezza contenente
idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento
dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità
e la disponibilità dei dati, nonchè
la protezione delle aree e dei locali, rilevanti ai
fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità
per il ripristino della disponibilità dei dati
in seguito a distruzione o danneggiamento di cui al
successivo punto 23;
19.6. la previsione di interventi formativi degli
incaricati del trattamento, per renderli edotti dei
rischi che incombono sui dati, delle misure disponibili
per prevenire eventi dannosi, dei profili della disciplina
sulla protezione dei dati personali più rilevanti
in rapporto alle relative attività, delle responsabilità
che ne derivano e delle modalità per aggiornarsi
sulle misure minime adottate dal titolare. La formazione
è programmata già al momento dell'ingresso
in servizio, nonchè in occasione di cambiamenti
di mansioni, o di introduzione di nuovi significativi
strumenti, rilevanti rispetto al trattamento di dati
personali;
19.7. la descrizione dei criteri da adottare per garantire
l'adozione delle misure minime di sicurezza in caso
di trattamenti di dati personali affidati, in conformità
al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato
di salute e la vita sessuale di cui al punto 24, l'individuazione
dei criteri da adottare per la cifratura o per la
separazione di tali dati dagli altri dati personali
dell'interessato.
