Cos'è il DPS
Tutte le aziende, pubbliche e private, sono tenute a trattare i dati personali secondo "misure minime di sicurezza", come dal Decreto Legislativo 30 giugno 2003 n. 196 ("Testo Unico sulla Privacy").

Tali misure devono essere descritte all’interno del Documento Programmatico sulla Sicurezza (DPS o DPsS), che conterrà le regole del trattamento e della conservazione dei dati personali e sensibili nell’ambito dell’azienda.

Il DPS rappresenta perciò lo strumento di riferimento per il trattamento dei dati personali e sensibili, ma soprattutto indica la strategia di sicurezza che devono seguire tutti i dipendenti, collaboratori, partner e fornitori.

Entro il 31 marzo di ogni anno il DPS deve essere aggiornato e allegato al bilancio annuale.

Le misure di sicurezza adeguate non sono state specificate in dettaglio dalla legge, ma ordina alle aziende la classificazione dei propri dati, la realizzazione di un organizzazione informatica per proteggerli, il rilevamento dei rischi per eventuali perdite dati e trattamenti non conformi. Tra queste misure appunto la redazione del DPS da mantenere sempre aggiornato e, in caso di richiesta, sottoposto all’autorità giudiziaria.


Chi deve farlo
Per legge lo devono redigere tutti i soggetti pubblici o privati, con sede nel territorio italiano, che effettuano trattamento di dati personali.

"Per trattamento di dati personali si intende qualsiasi operazione effettuata con o senza l'ausilio di strumenti elettronici, riguardanti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. E' sufficiente anche una sola delle operazioni elencate per ritenere in corso un trattamento di dati personale".

Perciò ogni soggetto munito di un sistema informativo (di qualsiasi dimensione) che opera su dati non di sua proprietà (p.e. l’archivio fornitori con l’indicazione d’informazioni quale nome, cognome e indirizzo di una persona fisica di riferimento).

Il DPS è obbligatorio anche se le informazioni sono inserite all’interno di un PC, non collegato in rete.

Se non dovesse essere redatto sono previste pesanti sanzioni.


Responsabilità e Sanzioni
Gli obblighi di legge prevedono che il titolare del trattamento debba adottare tutte le misure necessarie per garantire un livello di sicurezza adeguato al valore dei propri dati, e che tali misure siano costantemente aggiornate allo stato dell'arte e correttamente funzionanti. Ciò significa che il titolare del trattamento non risponde solo dei danni causati direttamente, ma anche di quelli provocati da tutti i propri dipendenti e persino da terzi, se non ha correttamente implementato le giuste misure di sicurezza per impedirli.
In questo caso si applica l'inversione dell'onere della prova: non è necessario che chi ha subito il danno debba provare la responsabilità oggettiva del titolare del trattamento, ma toccherà a questi provare di avere adottato tutte le misure idonee ad evitare il danno.

Nel caso di mancato adeguamento, le responsabilità in cui si rischia di incorrere sono sia di tipo civile che penale con multe da 3000 a 60000 euro e reclusione dai 6 mesi ai 3 anni.

Le pene pecuniarie possano subire sensibili modifiche in casi particolari, con penale massima aumentabile sino a tre volte o, al contrario, riduzioni della pena qualora il soggetto s'impegni ad adeguarsi alla normativa in tempi brevi.

Il Garante per la Privacy, in caso di infrazione alla normativa, può ordinare all'azienda la sospensione di ogni attività di trattamento dei dati personali fino a che non saranno risolti i problemi emersi.