da quello che ho capito è come la legge 626 solo che applicata ai dati sensibili.
Io ho trovato un azienda che mi ha fatto una sorta di intervista e mi stà redigendo il dps, in questo documento bisogna scrivere chi e come ha accesso ai dati raccoliti (personale dipendente, commercialista, tecnico hardware, ecc...)
In più bisogna anche tutelarsi da questa normativa, infatti se non si mette alcun "regolamento" non puoi utilizzare questi dati, ad esempio se un cliente non ti paga tu non puoi andare da un'avvocato a dire che tizio nn ti ha pagato perchè non hai il permesso di utilizzare questi dati per quella questione, quindi bisonga scrivere anche un regolamento generico sul possibilie utilizzo dei dati.
Oltre a quello bisogna mettere la password per il sistema operativo (possibilmente xp professional), e tenere tutti i documenti cartacei sotto chiave (io pensavo i contenitori blindati ma mi hanno detto che basta tenerli sotto chiave, l'importante è che se devono rubarti qualcosa devono forzare la serratura).

Una volta compilato il dps, lo si deve portare alla posta a farlo timbrare.