Transmenu powered by JoomlArt.com - Mambo Joomla Professional Templates Club

Il documento programmatico per la sicurezza (DPS)

Il DPS, già presente nel precedente DPR 318/99, è stato modificato e rientra sempre tra le misure minime da adottare segnalate nell'art. 34; vi è poi una sua ampia descrizione al punto 19 dell'allegato B sul Disciplinare Tecnico.
Il DPS deve essere redatto da tutti coloro che trattano dati sensibili e giudiziari, e non solo, come era indicato nella precedente normativa, da coloro che trattano questi dati con l'ausilio di strumenti elettronici.
Il documento deve avere data certa e deve essere aggiornato ogni anno (per quest'anno la scadenza è stata posticipata al 30-06-2004; dal prossimo anno in poi il termine sarà il 31 marzo) e deve essere data la notizia della sua redazione nella relazione di accompagnamento al bilancio dell'azienda.
Una sua copia deve essere custodita presso la sede principale ed esibita in caso di controlli.
Il Garante della Privacy metterà a disposizione un fac-simile di modello di DPS utile soprattutto alle piccole aziende che spesso non dispongono di consulenti interni o esterni per la privacy.
Ma, considerando che i tempi calcolati per la stesura di tale documento si aggirano sui 30 giorni e che la mole di lavoro è vasta (mediamente 150-200 pagine), viene da chiedersi se vale la pena attendere tale pubblicazione o non è il caso di iniziare a muoversi da soli.
Il DPS deve contenere:
1) l'elenco dei dati trattati, il loro inquadramento e le modalità di trattamento
2) l'elaborazione di un grafico dell'organizzazione delle persone che accedono ai dati e la descrizione dei ruoli e delle responsabilità di ciascuno di loro.
3) l'analisi dei rischi che incombono sui dati: rischi di distruzione o perdita intenzionale o accidentale; rischi di violazione dell'integrità dei dati; rischi di accesso non autorizzato; rischi connessi alla rete. (Questo è un punto di particolare importanza)
4) le misure da adottare per garantire l'integrità e la disponibilità dei dati (misure di prevenzione, di contenimento e riduzione del danno, assicurazioni atte a coprire patrimonialmente il danno), la protezione delle aree e dei locali adibiti a custodia dei dati.
5) la descrizione dei criteri e delle modalità per il ripristino dei dati in seguito a distruzione o danneggiamento: continency planning e disaster recovery
6) la stesura di un dettagliato programma di formazione degli incaricati del trattamento a cui venga impedito tale trattamento prima del termine della formazione inserita nell'orario di lavoro :analisi della legge, e in particolare del Disciplinare