Si rammenta che tale documento deve essere adottato obbligatoriamente dal Titolare del trattamento dei dati, come previsto dal Codice in materia di protezione dei dati personali, nel momento in cui viene effettuato un trattamento di dati ed ogni anno, entro il 31 marzo, deve essere sottoposto a verifica per l’annotazione di eventuali modificazioni.

Il DPS non deve essere inviato al Garante della Privacy e nemmeno ad altro Ente. Va soltanto conservato presso lo studio o la struttura ed esibito in caso di richiesta da parte degli organi di verifica e controllo.

Riassumendo il DPS deve contenere:

	l’elenco dei trattamenti di dati personali;
	la distribuzione dei compiti e delle responsabilità nell’ambito della struttura preposta al trattamento;
	l’analisi dei rischi che incombono sui dati;
	le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
	la descrizione dei criteri a delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento degli stessi in tempi compatibili con i diritti degli interessati e non superiore ai sette giorni;
	la previsione di interventi formativi degli incaricati al trattamento, per renderli edotti dei rischi e delle misure disponibili per prevenire eventi dannosi (la formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni);
	la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamento di dati personali affidati, in conformità al codice, all’esterno della struttura da parte del Titolare;
	per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la separazione di tali dati da altri dati personali relativi a diversi soggetti.

Per maggiori informazioni è possibile consultare la specifica sezione presente sul sito alla voce Privacy e Sanità.