Il DPS descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.. L’Autorità Garante per la Protezione dei Dati Personali ha definito una serie di punti per i quali l'azienda deve adottare tutte le misure necessarie per l'espletamento della legge.
Lo scopo del DPS è proprio quello di descrivere la situazione attuale dell’azienda con riferimento ai parametri individuati dalla legge sopra citata. Vengono inoltre individuate la figura del Titolare e dei Responsabili del trattamento dei dati.
La legge non specifica in dettaglio quali sono le misure di sicurezza adeguate, ma impone ad ogni azienda l'obbligo di classificare i propri dati, rilevare i rischi di possibili perdite e trattamenti non conformi, e realizzare l'opportuna struttura informatica e organizzativa per proteggerli. Tra le misure minime è prevista la redazione del DPS, che va tenuto costantemente aggiornato ed esibito all'autorità giudiziaria in caso di richiesta.