 |
|
 |
| |
|
|
|
Illustrare
la nuova legge sulla Privacy significa affrontare il primo
indispensabile passo per essere in regola e rendere sicuri i dati
personali. Secondo la nuova normativa, infatti, dal 1° gennaio 2006
ogni impresa è tenuta a dotarsi di adeguati sistemi di sicurezza
informatica tesi all'assoluto rigore nel trattamento delle
informazioni e dei dati sensibili.
Aziende,
imprese, ditte, studi professionali, banche, assicurazioni, e tutte
le altre categorie, private e pubbliche, sono tenute a operare nel
rispetto di precise regole che riguardano la sicurezza dei dati e
dei sistemi al fine di ridurre al minimo le fonti di rischio e
garantire correttezza, integrità e aggiornamento delle informazioni.
La mancata adozione di entrambe comporta delle sanzioni. Il
risultato dovrebbe essere la realizzazione di un vero e proprio
sistema di sicurezza che protegga i dati custoditi all'interno
dell'azienda.
Altra
novità è l'importanza assunta dal Documento Programmatico annuale
per la sicurezza (D.P.S.), che dovrà essere allegato al bilancio
della società e aggiornato ogni anno.
|
|
|
La legge definisce Dato Personale: “Qualunque
informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediate
riferimento a qualsiasi altra
informazione, ivi compreso un numero di
identificazione personale”.
Di conseguenza la semplice presenza di un elenco di
clienti o fornitori su banca dati informatica, l’uso
della posta elettronica e relativa rubrica o la
gestione anche semplificata della contabilità
interna mediante l’utilizzo di software dedicati,
presuppongono la presenza di dati personali da
proteggere.
La definizione di dati sensibili fornita dalla legge
è così vasta che possono rientrarvi molti dati
personali che trattiamo quotidianamente (anche, in
alcuni casi, le stesse e.mail, qualora contengano
direttamente o indirettamente dei "requisiti di
appartenenza" a particolari categorie: es. e.mail
tizio@mail.it).
|
|
|
MOTIVO |
|
OBBLIGO |
Tutti coloro che trattano dati personali
e/o sensibili sia tramite strumenti
informatici che in forma cartacea.
|
 |
Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS)
e redigere il Documento Programmatico sulla
Sicurezza con rinnovo annuale e/o ad ogni
modifica sostanziale |
|
 |
Tutti coloro che trattano dati sensibili
e/o giudiziari tramite strumenti
informatici e rientrano nelle casistiche
definite dal Garante
|
|
Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS)
e redigere il Documento Programmatico sulla
Sicurezza con rinnovo annuale e/o ad ogni
modifica sostanziale.
NOTIFICA AL GARANTE. |
|
|
Tutti coloro che rientrano nelle
casistiche definite dal Garante e
trattano dati personali in modo
informatico o manuale
|
|
Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS)
e redigere il Documento Programmatico sulla
Sicurezza con rinnovo annuale e/o ad ogni
modifica sostanziale.
NOTIFICA AL GARANTE. |
| |
|
|
|
|
|
|
|
|
|
INADEGUATEZZA DELLE MISURE DI SICUREZZA
|
|
|
|
RECLUSIONE FINO A DUE ANNI
|
|
|
OMESSA O INIDONEA INFORMATIVA
ALL'INTERESSATO
|
|
DA € 3.000 A € 18.000
per violazione dei dati ex art. 13
DA € 5.000 A € 30.000
per violazione dei dati sensibili o
giudiziari (elevabile
fino al triplo)
|
|
X
|
|
|
ALTRE FATTISPECIE (violazione art. 16,
comma 1 – cessazione del trattamento)
|
|
|
|
X
|
|
|
OMESSA O INCOMPLETA NOTIFICAZIONE
|
|
DA € 10.000 A € 60.000
+ eventuale sanzione accessoria:
pubblicazione ordinanza ingiunzione
|
|
X
|
|
|
OMESSA INFORMAZIONE O ESIBIZIONE AL
GARANTE
|
|
|
|
X
|
|
|
TRATTAMENTO ILLECITO DEI DATI
|
|
X
|
|
RECLUSIONE DA 6 MESI A 3 ANNI
in base alla gravità dell'illecito
|
|
|
FALSITA' NELLE DICHIARAZIONI O
NOTIFICAZIONI A GARANTE
|
|
X
|
|
RECLUSIONE DA 6 MESI A 3 ANNI
|
|
|
INOSSERVANZA DI PROVVEDIMENTI DEL
GARANTE
|
|
X
|
|
RECLUSIONE DA 3 MESI A 2 ANNI
|
|
|
INOSSERVANZA DELL'ART. 171
|
|
X
|
|
DA € 50 A € 500 o
ARRESTO DA 15 gg A 1 ANNO
(elevabile al
quintuplo)
|
|
|
La società deve
redigere il Documento Programmatico della Sicurezza
(DPS) contenente:
-
L'elenco dei trattamenti dei dati personali
-
Attribuzione di compiti e responsabilità
-
Analisi del rischio dei dati
-
L'elenco delle misure adottate atte a garantire
integrità, disponibilità e riservatezza dei dati
-
Formazione del personale sui temi della
sicurezza
-
Descrizione delle misure minime di sicurezza
adottate in conformità al codice
-
Descrizione delle misure adottate per la
cifratura dei dati sensibili/giudiziari
La società deve
adottare una serie di misure minime di sicurezza o
idonee
-
Dotare
il sistema di strumenti di autenticazione
-
Redigere delle procedure per la gestione delle
credenziali di autenticazione
-
Provvedere all'aggiornamento periodico del
personale preposto al trattamento dei dati e di
quello addetto ai sistemi informativi
-
Mettere in atto misure di protezione degli
elaboratori rispetto al trattamento illecito dei
dati e ad accessi non consentiti
-
Effettuare procedure per il backup dei dati ed
il loro ripristino
-
Adottare tecniche di cifratura per i dati
sensibili/giudiziari
|
|
Il D.P.S. è
l'unico documento in grado di attestare
l'adeguamento alla normativa sulla tutela dei dati
personali (privacy) e deve essere redatto entro il
31 marzo 2006 ed alla scadenza fissata al 31 di
marzo di ogni anno.
Il DPS è un manuale per la pianificazione della
sicurezza dei dati in azienda: descrive come si
tutelano i dati personali di dipendenti,
collaboratori, clienti, utenti, fornitori ecc.
Il Garante ha individuato una figura resposabile per
il trattamento dei dati più una serie di punti per i
quali l'azienda deve adottare tutte le misure
necessarie per l'espletamento della legge.
Lo scopo del D.P.S. è proprio quello di descrivere
la situazione attuale con riferimento ai punti
stabiliti dal garante.
Ma vediamo più da vicino quali sono questi punti o
regole (la numerazione è riferita al testo di legge
di cui all'allegato B):
-
19.1
Elenco dei trattamenti di dati personali
individuare i trattamenti effettuati dal
titolare, direttamente o attraverso
collaborazioni esterne, con l'indicazione della
natura dei dati e della struttura (ufficio,
funzione, ecc. ) interna od esterna
operativamente preposta, nonché degli strumenti
elettronici impiegati. Nella redazione della
lista si può tener conto anche delle
informazioni contenute nelle notificazioni
eventualmente inviate al Garante anche in
passato.
-
19.2
Distribuzione dei compiti e delle
responsabilità
descrizione sintetica
dell'organizzazione della struttura di
riferimento, i compiti e le relative
responsabilità, in relazione ai trattamenti
effettuati. Si possono utilizzare anche mediante
specifici riferimenti documenti già predisposti
(provvedimenti, ordini di servizio, regolamenti
interni, circolari ), indicando le precise
modalità per reperirli.
-
19.3
Analisi dei rischi che incombono sui
dati
Descrivere in questa sezione i
principali eventi potenzialmente dannosi per la
sicurezza dei dati, e valutarne le possibili
conseguenze e la gravità in relazione al
contesto fisico-ambientale di riferimento e agli
strumenti elettronici utilizzati.
-
19.4
Misure in essere e da adottare
Riportate, in forma sintetica, le
misure in essere e da adottare per contrastare i
rischi individuati. Per misura si intende lo
specifico intervento tecnico od organizzativo
posto in essere (per prevenire , contrastare o
ridurre gli effetti relativi ad una specifica
minaccia ), come pure quelle attività di
verifica e controllo nel tempo, essenziali per
assicurarne l'efficacia.
-
19.5
Criteri e modalità di ripristino della
disponibilità dei dati
Descrivere i criteri e le procedure
adottate per il ripristino dei dati in caso di
loro danneggiamento o di inaffidabilità della
base dati.. L'importanza di queste attività
deriva dall' eccezionalità delle situazioni in
cui il ripristino ha luogo: è essenziale che,
quando sono necessarie, le copie dei dati siano
disponibili e che le procedure di
reinstallazione siano efficaci. Pertanto, è
opportuno descrivere sinteticamente anche i
criteri e le procedure adottate per il
salvataggio dei dati al fine di una corretta
esecuzione del loro ripristino.
- 19.6 Pianificazione degli interventi
formativi previsti
Riportare le
informazioni necessarie per individuare il
quadro sintetico degli interventi formativi che
si prevede di svolgere.
- 19.7
Trattamenti affidati all'esterno
Redigere un quadro sintetico delle
attività affidate a terzi che comportano il
trattamento di dati, con l'indicazione sintetica
del quadro giuridico o contrattuale (non ché
organizzativo e tecnico) in cui tale
trasferimento si inserisce, in riferimento agli
impegni assunti, anche all'esterno, per
garantire la protezione dei dati stessi.
- 19.8
Cifratura dei dati o separazione dei
dati identificativi
Vanno rappresentate le modalità di
protezione adottate in relazione ai dati per cui
è richiesta la cifratura - o laseparazione fra
dati identificativi e dati sensibili, nonchè i
criteri e le modalità con cui viene assicurata
la sicurezza di tali trattamenti.
Questo punto riguarda solo organismi sanitari e
esercenti professioni sanitarie.
I tempi
di stesura del DPS variano a secondo della
dimensione dell'azienda e dalla mole di dati da
processare, certamente non ci si mette un giorno...
il documento programmatico richiede una attenta
valutazione della situazione aziendale e dei
trattamenti effettuati. Mediamente la stesura
definitiva avviene nel giro di qualche settimana.
Il DPS deve avere data certa e deve essere
aggiornato annualmente. Il testo unico impone come
data per la redazione e l'aggiornamento il 31 marzo
di ogni anno, solo per questo anno il termine è
stato prorogato al 30/06/05. Si consiglia di non
aspettare l'ultimo mese utile, perché potrebbe non
bastare. Una copia del DPS deve essere custodita
presso la sede per essere consultabile e deve essere
esibita in caso di controlli.
Il titolare del trattamento deve dare conto nella
relazione accompagnatoria del bilancio aziendale
annuale dell'avvenuta redazione/aggiornamento del
DPS.
il Titolare del trattamento nella logica di una
gestione consapevole deve individuare tutte le
persone che hanno accesso ai dati ed a ciascuna dice
esattamente come si deve comportare. Inoltre deve
predisporre le informative da dare a tutti coloro
che gli affidano dati in cui spiega le metodiche
usate nei trattamenti. |
Itaca Consulting Srl offre per le aziende, i professionisti, gli enti
e le associazioni che trattano dati personali, una
completa consulenza per essere in regola con il
D.Lgs 196/2003 secondo le ultime disposizioni del
Garante Privacy
Servizio MYNET Privacy
-
sopralluogo in sede;
-
informazioni sulla normativa;
-
informazioni sulle misure minime di
sicurezza da adottare;
-
redazione del DPS (Documento
Programmatico sulla Sicurezza) personalizzato;
-
corsi di formazione per la sicurezza
informatica rivolti a titolari,
responsabili ed incaricati;
-
redazione dei documenti richiesti
(informativa, check list etc)
Costi: su
preventivo specifico dopo sopralluogo in
struttura.
Forniamo anche servizi continuativi con visite
periodiche di controllo programmate.
Contattaci senza
impegno
utilizzando il form dedicato! |
|
|
 |
|
 |
|
|
|
Prenota ora il tuo
dominio internet! |
|
Web Hosting
e registrazione domini
|
|
|
|
