Il “Documento Programmatico sulla Sicurezza” (di seguito DPS), predisposto ai sensi dell’art. 34 del Decreto Legislativo 196/03 nei modi previsti dal punto 19 dell’Allegato B dello stesso, deve essere redatto qualora vengano trattati dati sensibili o giudiziari con strumenti elettronici. Tale documento deve essere tenuto sempre aggiornato.

La sua finalità è sia proteggere il patrimonio informativo degli Enti da attività che possono comportare il maltrattamento dei dati personali, sia limitare gli effetti causati dall’eventuale occorrenza di tali cause.

Il DPS deve contenere idonee informazioni riguardo:

a) l’elenco dei trattamenti di dati personali;

b) la distribuzione dei compiti e delle responsabilità;

c) l’analisi dei rischi che incombono sui dati;

d) le misure da adottare:

i) l’integrità e la disponibilità dei dati,

ii) la protezione delle aree e dei locali;

e) la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati;

f) la previsione di interventi formativi degli incaricati del trattamento;

g) la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all’esterno della struttura del titolare;

h) l’individuazione dei criteri da adottare per la cifratura o per la separazione dei dati personali idonei a rilevare lo stato di salute e la vita sessuale dagli altri dati personali dell’interessato (per organismi sanitari e gli esercenti le professioni sanitarie).

N.B. Il disciplinare tecnico allegato al codice obbliga il Titolare del trattamento a riferire dell’avvenuta redazione o aggiornamento del DPS nella relazione accompagnatoria del bilancio d’esercizio (se dovuta ai sensi dell’art. 2435 bis, comma 1 c.c.)