Ogni anno, entro il 31 Marzo, deve essere redatto il “Documento programmatico in materia di sicurezza” (DPS o DPSS). Non si tratta solo di una misura di sicurezza prevista dall’art. 34 del Codice della Privacy (Decreto Legge 196/2003), ma anche dell’occasione per fare il punto, almeno una volta all’anno, sul sistema adottato e da adottare nell’ambito della propria attività.
Il legislatore afferma all’art. 34 che il DPS deve essere redatto da tutti coloro che trattano dati con strumenti elettronici, e di seguito, all’art. 19 dell’allegato b, afferma invece che il DPS è dovuto
nel caso di trattamento di dati sensibili e giudiziari. Si tratta di una precisazione che ha generato l’interpretazione per cui il DPS è dovuto sempre nell’ipotesi di trattamento con strumenti elettronici di qualsiasi tipo di dato e nelle ipotesi di trattamento di dati sensibili e giudiziari sia con che senza l’ausilio di strumenti elettronici. Mentre nel caso di trattamento di dati senza strumenti elettronici il DPS è facoltativo anche se consigliato.
Non c’è obbligo di presentazione al Garante, ma semplicemente l’obbligo di tenere il DPS aggiornato ed a
disposizione delle autorità nel caso venisse richiesto per eventuali controlli. I destinatari interessati sono sia le aziende private che le amministrazioni pubbliche che effettuano trattamenti di dati sensibili o giudiziari con strumenti elettronici. Il Codice prevede, per omessa adozione del DPS (o di altra misura minima di sicurezza), sanzioni
severe che vanno dall’arresto sino a due anni o l’ammenda da 10.000 euro a 50.000 euro (art.169). Il Timbro Digitale messo a punto dalla Digitaltrust è applicabile al nostro contesto per dimostrare che l’aggiornamento è avvenuto con cadenza annuale, come stabilisce l’art. 19 del Disciplinare Tecnico (All.B), con la “data certa” acquisita a titolo probatorio.
Come deve essere redatto il DPS (o DPSS)?
In relazione ai trattamenti di dati personali, tra le informazioni essenziali, non possono mancare:
- una descrizione sintetica dei trattamenti specificando quale sia la finalità perseguita o l’attivtà svolta
e quali siano le categorie di persone a cui fanno riferimento i dati; - la natura dei dati trattati indicando se, tra i dati di carattere personale, si trovano dati sensibili o giudiziari;
- la struttura di riferimento, ossia l’ufficio in cui viene effettuato il trattamento;
- le altre strutture che concorrono al trattamento, da intendersi sia a livello interno che esterno all’azienda o ente;
- una descrizione degli strumenti elettronici utilizzati collegati o meno in rete locale o geografica.
Ad esempio, nel caso di una istituzione scolastica la finalità è costituita dalla gestione degli studenti iscritti: gli interessati al trattamento dei dati personali sono gli studenti, il titolare del trattamento è l’istituzione
scolastica e il responsabile è la segreteria didattica. Per quanto attiene ai trattamenti effettuati possiamo distinguere le seguenti fasi:
- Raccolta: Lo studente lascia un modulo con i propri dati anagrafici – Incaricati: Gli addetti della segreteria didattica
- Registrazione: i dati vengono inseriti in un sistema informatico – Incaricati: gli addetti della segreteria didattica
- Conservazione: il modulo viene archiviato – Incaricati: gli addetti della segreteria didattica
- Elaborazione: Per fini statistici e altri scopi relativi alla didattica – Incaricati: i responsabili del database dell’area didattica
- Estrazione: dall’archivio completo vengono estratti solo i dati richiesti dai Consigli di Classe – Incaricati: i responsabili del database dell’area didattica
- Consultazione: l’archivio viene consultato da varie figure (segreteria, docenti coordinatori, dirigente scolastico) – Incaricati: tutti coloro che hanno necessità di visualizzare i dati personali dell’interessato.
