Il D.P.S. è l'unico documento in grado di attestare l'adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro il 30 GIUGNO 2005 ed alla scadenza fissata al 31 di marzo di ogni anno.  Il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.  Il Garante ha individuato una figura resposabile per il trattamento dei dati più una serie di punti per i quali l'azienda deve adottare tutte le misure necessarie per l'espletamento della legge. Lo scopo del D.P.S. è proprio quello di descrivere la situazione attuale con riferimento ai punti stabiliti dal garante. Ma vediamo più da vicino quali sono questi punti o regole (la numerazione è riferita al testo di legge di cui all'allegato B):

• 19.1 Elenco dei trattamenti di dati personali. Individuare i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l'indicazione della natura dei dati e della struttura (ufficio, funzione, ecc. ) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato.
• 19.2 Distribuzione dei compiti e delle responsabilità. Descrizione sintetica dell'organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari ) , indicando le precise modalità per reperirli.
• 19.3 Analisi dei rischi che incombono sui dati. Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati. 
• 19.4 Misure in essere e d a adottare. Riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire , contrastare o ridurre gl i effetti relativi ad una specifica minaccia ) , come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l'efficacia.
• 19.5 Criteri e modalità di ripristino della disponibilità dei dati. Descrivere i criteri e le procedure adottate per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. L'importanza di queste attività deriva dall' eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
• 19.6 Pianificazione degli interventi formativi previsti. Riportare le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere.
• 19.7 Trattamenti affidati all'esterno. Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l'indicazione sintetica del quadro giuridico o contrattuale (non ché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all'esterno, per garantire la protezione dei dati stessi.
• 19.8 Cifratura dei dati o separazione dei dati identificativi. Vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura o la separazione fra dati identificativi e dati sensibili, nonchè i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti.Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie.