E' l'unico documento
in grado di attestare l'adeguamento della struttura alla normativa sulla
tutela dei dati personali.
Il DPS è un manuale
di pianificazione della sicurezza dei dati in azienda:
descrive come si tutelano i dati personali di dipendenti, collaboratori,
clienti, utenti, fornitori ecc. e come si tuteleranno in futuro (programmazione,
implementazione misure, verifiche, analisi dei risultati ecc.). In ogni caso si
tratta di un consistente piano di gestione della
sicurezza avente data certa a prova formale dell'adeguamento sostenuto. ovviamente una ditta individuale che non si avvale di nessun
collaboratore, sarà gravata da pochi adempimenti rispetto ad una struttura
societaria.
A seconda della
dimensione e della tipologia di struttura che effettua il trattamento dei dati,
dal tipo di dati trattati (solo comuni? anche sensibili o semi-sensibili? giudiziari?) delle modalità di trattamento, dell'esistenza o
meno di una struttura informatica collegata ad internet, gli adempimenti sono
differenti.
descrivere la situazione attuale (analisi dei rischi,
distribuzione dei compiti, misure approntate, distribuzione delle
responsabilità ecc.) ed il percorso di adeguamento prescelto dalla struttura
per adeguarsi alla normativa privacy.
"chiunque tratti dati di terzi... per motivi non
personali". L'applicazione della normativa sulla privacy è una cosa
complessa che richiede una attenta analisi della
struttura. Un approccio superficiale a tale applicazione è non soltanto una
perdita di tempo e denaro ma è anche completamente inutile e a volte
rischioso per i responsabili.
le aziende
i liberi professionisti
le pubbliche amministrazioni (comuni, ospedali, scuole, enti...)
le associazioni
le cooperative
... ovvero chiunque tratti dati personali
di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci,
associati ecc.
Ovviamente gli adempimenti sono diversi a
seconda delle dimensioni della struttura e della tipologia di
trattamento dei dati.
A titolo
esemplificativo, citiamo:
a.
il nome, il cognome, l’indirizzo, il
numero di telefono, il codice fiscale, la partita I.V.A., dati bancari...
b.
informazioni circa la
composizione del nucleo familiare, la professione esercitata da un determinato
soggetto, sia fisico che giuridico, la sua formazione...
c.
fotografie, radiografie,
video, registrazioni, impronte...
d.
informazioni relative al
profilo creditizio, alla retribuzione...
e.
informazioni relative alla
salute di un soggetto, alla vita sessuale, alla partecipazione ad associazioni
di categoria, a partiti, trattenute sindacali, cartelle cliniche, rilevazioni
di presenze...
Si tratta ad
esempio di nominare le figure richieste dalla legge, di proteggere gli
elaboratori contro il rischio di intrusione e di
virus, di adottare delle misure fisiche di protezione (allarmi, stabilizzatori
di corrente, armadi chiusi a chiave ed ignifughi, accesso selezionato ai
locali...), di mettere per iscritto le procedure da seguire e soprattutto di
redigere il DPS (documento
programmatico sulla sicurezza), una documentazione che descrive quanto
fatto in materia di tutela dei dati personali ed individua
quanto ancora resta da fare. Solo il DPS fa prova dell'avvenuto adeguamento
alla normativa.
|
ILLECITI CIVILI Art. 161 Assenza informativa privacy
Assenza informativa privacy per dati sensibili o
giudiziari o in caso di trattamenti che presentano rischi specifici o di
maggiore rilevanza del pregiudizio
Art. 163 Omessa o incompleta
notificazione al Garante
Art. 164 Omissione di fornire informazioni o esibire documenti
richiesti dal Garante Privacy
ILLECITI PENALI
Art. 167 Trattamento illecito di dati personali
Art. 168 Falsità nelle dichiarazioni e notificazioni al
Garante
Art. 169 Omessa adozione di misure
necessarie alla sicurezza dei dati
Art. 170 Inosservanza dei provvedimenti del Garante Risarcimento del danno Art. 169 del Testo
Unico "36 della legge 675/96, per "omessa adozione di misure
necessarie alla sicurezza dei dati" Art. 2050 c.c. responsabilità oggettiva per esercizio di attività pericolosa |
SANZIONE Sanzione
da 3.000 a 18.000 euro. Sanzione
da 5.000 a 30.000 euro. (moltiplicabile per 3 a
seconda delle condizioni economiche del contravventore. Sanzione
da 10.000 a 60.000 euro. Sanzione
da 4.000 a 24.000 euro. Reclusione
da 6 mesi a 3 anni. Possibile estinguere il reato ex art. 169, pagando una somma di denaro
se ci si regolarizza entro il termine prescritto
(non + di 6 mesi)
Sanzione
penale, reclusione da 6 mesi a 3 anni
Arresto fino a 2 anni o sanzione amministrativa, pagamento
di una somma da 10.000 a 50.000 euro.
Arresto
da 3 mesi a 2 anni. Legge
n. 547/1993 "Crimini informatici commessi da dipendenti ed addebitabili
all’azienda" Art. 2049 c.c. responsabilità prevista in capo a padroni e
committenti |
La
legge sancisce che il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:
a.
autenticazione informatica;
b.
adozione di procedure di gestione delle credenziali di
autenticazione;
c.
utilizzazione di un sistema di autorizzazione;
d.
aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e.
protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
f.
adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
g.
tenuta di un aggiornato documento programmatico sulla sicurezza;
h.
adozione di tecniche di cifratura o di
codici identificativi per determinati trattamenti di dati idonei a rivelare lo
stato di salute o la vita sessuale effettuati da organismi sanitari.
In
caso di mancanza delle misure minime, occorre indicare nel DPS le date entro le
quali verranno adottate.
1. -proteggere i dati tramite password
da accessi non autorizzati lunghezza password 8 caratteri da rinnovare ogni 3
mesi non devono essere composte da nomi comuni o
collegati con la propria attività
2. -ogni settimana bisogna fare un back
up dei dati
3. -antivirus aggiornare ogni 6 mesi
4. -sistemi operativi aggiornamenti
ogni 6 mesi e programmi per la correzione delle falle dei sistemi operativi vedi articolo sui fingerprint di
gennaio 2005 per aggiornare le password
5. -antitroian aggiornamenti ogni 6 mesi
6. -firewall aggiornamenti ogni 6 mesi
7. -spyware aggiornamenti ogni 6 mesi
