Il D.P.S. è un documento che deve essere preparato per attestare l'adeguamento alla normativa sulla tutela dei dati personali (privacy). Il documento deve essere aggiornato con frequenza annuale e deve essere fatto entro il 31 di marzo di ogni anno.

Riportiamo di seguito gli artt. da 33 a 36 del D. lgs 196/2003 e Allegato sulle misure minime di sicurezza.

Il Garante della Privacy ritenuta l'esigenza di individuare alcune modalità semplificate di applicazione del disciplinare tecnico da parte dei  "soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale", nonché rispetto a "trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani"  ha provveduto ad emanare un nuovo provvedimento in data 27 Novembre 2008 (Gazzetta Ufficiale N. 287 del 9 Dicembre 2008).

L'obiettivo è garantire egualmente un idoneo livello di sicurezza tenendo conto delle ridotte dimensioni di alcune realtà organizzative, nonché della particolare natura di alcuni trattamenti a fini esclusivamente amministrativo-contabili.

Possono avvalersi della semplificazione soggetti che: 

a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;

b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese.

La procedura semplificata prevede le seguenti semplificazioni al disciplinare tecnico Allegato B del D. Lgs. 196/03

Trattamenti effettuati con strumenti elettronici: 

a) istruzioni in materia di misure minime di sicurezza previste dall'Allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione;

b) Per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (di seguito, "username"), associato a una parola chiave (di seguito: "password");

c) Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale;

Il Garante per la protezione dei dati personali è un’autorità indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996 n. 675) per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali.

É un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile.