Il documento programmatico sulla sicurezza stabilisce la gestione di dati personali e sensibili e illustra le misure necessarie per la messa in sicurezza del sistema informativo dell'azienda.
Non è obbligatorio per tutte le organizzazioni; chi tratta i dati solo manualmente su supporto cartaceo, non è tenuto ad avere il documento programmatico sulla sicurezza, ma deve comunque provvedere alla nomina degli Incaricati e dei Responsabili.
Il documento programmatico sulla sicurezza è obbligatorio per quelle organizzazioni che trattano dati personali (anche non sensibili) con l'impiego di elaboratori elettronici.
Esso rappresenta lo strumento di riferimento per l'azienda in materia di trattamento dei dati personali, e in generale, di definizione delle strategie di sicurezza, che tutti i dipendenti, collaboratori, partner e fornitori devono adottare.
E' obbligatorio preparare un D.P.S. che contenga una analisi dei rischi per tutte le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori elettronici.
Il documento programmatico sulla sicurezza deve essere redatto, per la prima volta, e rinnovato tassativamente entro il 31 marzo di ogni anno.
La normativa non impone una data certa, ma essendo un documento legale che và redatto entro una scadenza prefissata sarebbe opportuno apporvi una data certa attraverso la sottoscrizione con Firma Digitale o la bollatura presso le Poste Italiane per evitare contestazioni.
Il DPS è l'ultima fase di un percorso per l'adeguamento privacy, in esso vengono formalizzate le procedure e le misure minime di sicurezza (antivirus, backup, firewall, nomine degli incaricati) di cui l'azienda deve essere già dotata.
Il controllo di tali adempimenti è espletato da Polizia Postale e Guardia di Finanza in forza di un protocollo di intesa con il Garante.
In particolare tutte le società, imprese individuali, cooperative, professionisti, possessori di partita IVA , ONLUS e tutti i soggetti giuridici che conservano anagrafiche su elaboratori elettronici sono tenuti a redigere ed aggiornare annualmente il D.P.S. così, come è fatto loro obbligo di informare i titolari dei dati trattati.
Obiettivo Impresa offre il servizio di stesura del D.P.S. in maniera continuativa, in quanto tale documento è obbligatorio, non soltanto per i soggetti esistenti, ma anche per quelli di nuova costituzione.