Soluzioni Privacy 196/2003

Xion Informatica offre ai propri clienti la consulenza per la redazione e l'aggiornamento del documento programmatico sulla sicurezza informatica.

L'adozione di un documento programmatico sulla sicurezza (DPS) è un obbligo previsto dal DL 196/2003, normativa sulla protezione dei dati personali, che sostituisce ed abroga la legge 675/96. L'obbligo esiste per tutte le aziende, liberi professionisti, enti od associazioni che trattano dati personali con strumenti elettronici. Il documento, a partire dal 31/03/2006 (ultima proroga concessa per mettersi definitivamente in regola), va predisposto ed aggiornato annualmente entro il 31 marzo, affinché si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali. Se previsti, inoltre,  deve soddisfare anche ulteriori obblighi di legge (p.e. se ne deve dare comunicazione nella relazione allegata al Bilancio d'esercizio).

I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza e sono:

1. l'elenco dei trattamenti dei dati personali;
2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
3. l'analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.