Viaggio nel nuovo DPS semplificato

Chi non può usufruire dell’Autocertificazione (v. Provvedimento Garante n°27 Novembre 2008) può sempre confidare di rientrare nel gruppone di coloro che trattano dati personali unicamente per finalità amministrative e contabili e, pertanto, redigere un DPS decisamente alleggerito (Per individuare i Destinatari delle semplificazioni: v. Post 11 febbraio 2009).

In questo post sveleremo questo nuovo DPS Semplificato così come è stato delineato dal Garante nel Provvedimento sopra indicato.

Prima di tutto ci tengo a ricordare che nulla è cambiato in ordine al regime di gestione del Documento:

  • deve sempre essere redatto prima dell’inizio del trattamento,
  • deve essere aggiornato entro il 31 marzo di ogni anno (solo nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento).

Passiamo ora alla parte pratica: come va dunque redatto il nuovo DPS Semplificato?

Ecco un percorso dettagliato nei suoi contenuti minimi:

  1. Vanno anzitutto indicati gli estremi del Titolare;
  2. Responsabili: se nominati (la loro nomina non è mai obbligatoria) vanno indicati sia nominalmente sia specificando:
    1. compiti;
    2. se interni o esterni;
    3. e, se è prevista una modifica frequente dei Responsabili designati, vanno indicate le modalità attraverso le quali conoscere l’elenco aggiornato di tutti i Responsabili (es.: link, indirizzo email, etc.)
  3. Descrizione dei trattamenti effettuati:
    1. dati o categorie di dati trattati;
    2. categorie di persone interessate;
    3. finalità del trattamento;
    4. destinatari o categorie di destinatari a cui possono essere comunicati
  4. Incaricati del trattamento:
    1. stilarne un elenco (anche per classi omogenee d’incarico);
    2. descriverne mansioni e responsabilità.
  5. Descrizione delle misure di sicurezza adottate per prevenire i rischi di:
    1. distruzione o perdita, anche accidentale, dei dati;
    2. accesso non autorizzato;
    3. trattamento non consentito o non conforme alle finalità della raccolta.

Le misure di sicurezza descritte nel DPS Semplificato devono almeno rispettare i nuovi parametri di sicurezza minimi individuati dal Garante (v. Provvedimento Garante n°27 Novembre 2008), ovvero:

  1. le istruzioni in materia di misure minime di sicurezza previste dall’Allegato B) possono essere impartite agli Incaricati anche oralmente;
  2. Per l’accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su uno username associato a una password (come procedura di autenticazione può essere adottata anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete).

  3. Qualora sia necessario diversificare l’ambito del trattamento consentito, possono essere assegnati agli incaricati (singolarmente o per categorie omogenee)  corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

  4. Aggiornamento Antivirus: almeno annualmente (se il computer non è connesso a Internet, l’aggiornamento deve essere almeno biennale).

  5. Backup: frequenza almeno mensile (il backup può non riguardare i dati non modificati dal momento dell’ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino).

Prossimamente pubblicheremo un facsimile di DPS Semplificato.