La normativa in materia di protezione dei dati personali, il Decreto Legislativo 196/03 prevede che si debba individuare la tipologia di dati che si trattano in Azienda, i punti critici nei quali la protezione dei dati potrebbe venire meno, e le misure attuate per evitare la perdita dei dati, la fuga dei dati.
Si procede quindi ad individuazione dei responsabili dell’infrastruttura hardware-software (amministratore di sistema), di chi fornisce e resetta le password per l’accesso ai dati (custode delle credenziali) dei trattamenti effetuati in azienda, dei reparti (strutture) coinvolti nel trattamento dati.
Si procede poi ad individuazione dei software in uso, ed alle persone che utilizzano tali strumenti; si verifica se esistono banche dati, dove sono ubicate (ad esempio interno azienda, su pc dedicato o archivio rimovibile o archivio di rete, o esterno azienda, mediante servizio di storage remoto).
Si analizzano inoltre i rischi che possono incombere sui dati, legati alla possibilità di comportamenti errati o fraudolenti del personale interno, ad accessi esterni non autorizzati, a furto, alla possibilità di calamità naturali, alla perdita di dati (con indicazione delle procedure di backup e restore attuate).
Il Documento Programmatico sulla Sicurezza (DPS) va quindi, in sostanza, a riassumere quali sono le tipologie di dati in uso, chi fa cosa e come (per mantenere il controllo del flusso di dati).
La normativa ha recentemente stabilito l’abolizione del Documento Programmatico sulla Sicurezza (DPS); l’abolizione del DPS non implica però l’abolizione delle “buone norme” in merito al trattamento dei dati: è comunque necessario avere individuato l’amministratore di sistema, il custode delle credenziali, l’addetto al trattamento dei dati, ed avere in essere le misure atte a prevenire la perdita e/o la distruzione dei dati.
Autore: Longo Massimo
Fonte: Normativa, Garante Privacy