- Navigatore |
|
|
|
|
|
|
|
 La Privacy |
|
|
Officine d'Innovazione è stata una delle prime società di consulenza campane ad occuparsi di trattamento dati personali.
Anche se quest'attività non è più preminente rispetto alle altre, Officine d'Innovazione continua a conservare la propria
specializzazione in gestione del trattamento dei dati personali e sensibili, con particolare riferimento alle strutture organizzative
complesse dal punto di vista delle dotazioni informatiche infrastrutturali.
|
|
| |
Officine d'Innovazione, propone diverse soluzioni di prodotto/servizio, capaci di soddisfare in gran parte le esigenze del
business per la piccola e media impresa, in tema finanziario, fiscale, organizzativo, gestionale.
|
PRIVACY E SICUREZZA AZIENDALE - Il nuovo Codice
La recente normativa in termini di sicurezza e conservazione dei dati personali, in vigore dal primo gennaio 2004,
pone tutte le aziende, gli enti ed i privati, IN POSSESSO DI DATI PERSONALI (anche il solo elenco dipendenti),
nella necessità di compiere un passo importante per l'adeguamento della propria struttura gestionale alla normativa.
In queste pagine potrete trovare informazioni, consigli, suggerimenti per capire e valutare l'importanza dell'adeguamento e verificare quanto è
protetto il vostro sistema informativo o il vostro archivio aziendale!
Il nuovo Codice della Privacy
Il D.Lgs n° 196 del 30/06/2003 con il quale il Consiglio dei Ministri ha approvato il Testo Unico in materia di protezione dei dati personali
denominato “Codice della Privacy”, è ispirato all'introduzione di nuove garanzie per i cittadini, alla razionalizzazione e alla semplificazione
delle normative esistenti.
La violazione delle misure minime sulla sicurezza dei dati personali, sia per colpa che per dolo, comporta gravi sanzioni amministrative e penali.
Un Protocollo d'Intesa è stato inoltre siglato tra la Guardia di Finanza ed il Garante della Privacy, per intensificare e rendere più efficace
l'attività di controllo sulla raccolta dei dati.
La Legge 196 sulla Privacy si pone in maniera estremamente severa verso tutti i trasgressori e reca come ultimo limite temporale, successivo a
diverse proroghe non più procrastinabili, per l'adeguamento delle strutture alla norma, il 31 dicembre 2005.
Officine d'Innovazione, azienda operante nei settori della assistenza tecnica, della formazione aziendale e dell'innovazione tecnologica di uffici
pubblici e privati si è posta il problema di come rendere più semplice e meno traumatico a tutti coloro che DEVONO adeguarsi alla normativa,
questo passaggio.
E' infatti obbligatorio, per ottemperare alla norma citata, che tutti coloro che sono in possesso di dati personali, sensibili, giudiziari attuino
le procedure adeguate alla protezione dei dati ponendoli al sicuro dal rischio di intrusione informatica e di utilizzo illecito e consentendo
all'operatore preposto la redazione del documento programmatico sulla sicurezza DPS (una delle misure minime previste) in maniera semplice ed
immediata, sulla base delle esigenze dell'azienda stessa.
...Ma esaminiamo nel dettaglio in che cosa consiste l'adeguamento! |
|
COSA PRESCRIVE LA LEGGE
La legge infatti prescrive che ogni anno, entro il 31 Marzo l’azienda in possesso di dati che possono essere assoggettati alla normativa deve inviare
all’ufficio del garante per la privacy una copia di detto documento.
Il trattamento illecito dei dati, la falsità nelle dichiarazioni e notificazioni al garante, l’omissione di adozione misure minime previste,
l’inosservanza di provvedimenti del garante prevedono multe e sanzioni da 3.000 a 30.000 euro (elevabile al triplo), la reclusione fino a tre anni
e ammende da 10.000 a 50.000 euro. |
|
L’ADEGUAMENTO ALLE MISURE MINIME DI SICUREZZA A NORMA DEL CODICE DELLA PRIVACY (D.LGS N.°196/2003)
Ogni azienda, ogni professionista, ogni scuola ed ogni istituzione educativa, medici, o strutture sanitarie, chiunque detenga o tratti dati personali
(elenco clienti, pazienti, alunni, dipendenti, fornitori) deve garantire la riservatezza, almeno al “livello minimo di protezione e sicurezza dei dati”.
La corretta gestione di tali dati passa attraverso il rispetto del nuovo codice della privacy (D.Lgs.n.196/2003) entrato in vigore dal 1°Gennaio 2004.
La normativa non è nuova in quanto si sarebbero già dovute attivare da tempo per assicurare la tutela dei dati personali in base alle disposizioni
precedenti (Legge 675/96 e DPR 318).
Perciò se nulla è stato fatto in passato occorre approfittare del nuovo termine perentorio del 31/12/2005 per adeguarsi.
Tutti coloro che trattano dati sensibili, giudiziari ed anche DATI PERSONALI COMUNI sono obbligati ad applicare le misure minime di sicurezza.
|
|
|
COSA RISCHIA CHI NON SI ADEGUA IN TEMPO
• Sanzioni
In caso di violazione accertata, sono previste sanzioni di tipo amministrativo fino 50.000 Euro e la reclusione fino a 2 anni, e risarcimento di danni
ai sensi dell'art. 2050 C.C.
Art.161 Omessa o inidonea informativa , sanzione da euro 3000 a 18.000
Art.161 Omessa informativa per dati sensibili o giudiziari sanzioni da Euro 5.000 a 30.000
Art.164 Omessa informazione o esibizione dei documenti richiesti dal garante sanziona da Euro 4.000 a 24.000
• Illeciti penali
Art.167 Trattamento illecito di dati personali sanzione Reclusione da 6 mesi a 3 anni
Art.168 falsità nelle dichiarazioni e notificazioni al garante Reclusione da 6 mesi a 3 anni
Art 169 Omessa adozione delle misure minime di sicurezza sanzioni arresto fino a 2 anni o sanzioni amministrative pagamento di una somma
da Euro 10.000 a 50.000
Art.170 innoservanza dei provvedimenti del garante reclusione da tre mesi a due anni
• Risarcimento danni
È tenuto al risarcimento, chi non prova di avere adottato tutte le misure idonee al trattamento della sicurezza dei dati.
Chiunque cagiona danno è tenuto al risarcimento ai sensi dell'art. 2050 C.C.
• Ispezioni
É stato siglato un protocollo d'intesa tra la Guardia di Finanza ed il Garante della Privacy per una sempre più intensa ed efficace attività di controllo
sulla raccolta dati.
La Guardia di Finanza collaborerà alle attività ispettive attraverso la partecipazione del proprio personale ai controlli sulle banche dati
(informatiche o cartacee), alle verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento.
Le ispezioni serviranno per cancellare sacche di non applicazione della legge e per evitare disparità di trattamento tra i privati che hanno sopportato
spese per adeguarsi e chi non lo ha fatto (Relazione annuale al Parlamento dell'Autorità Garante. 12 aprile 1999).
|
|
|
COME IMPLEMENTARE LE MISURE MINIME DI SICUREZZA RICHIESTE DAL DLGS 196/2003
Il nuovo codice impone l'implementazione di una serie di misure minime di sicurezza per la tutela e la salvaguardia dei dati trattati all'interno della
propria realtà aziendale.
Nel codice sono presenti una serie di articoli (dall'Art.31 fino all'Art 41) in cui vengono descritti cosa implementare all'interno della propria
struttura a tale scopo. La necessità di avere però un codice moderno ed aggiornato allo stato dell'arte della tecnologia ha spinto il legislatore a
separare il codice da tutti gli aspetti tecnici veri propri: per tale motivo è stato introdotto il disciplinare tecnico in materia di misure minime
di sicurezza detto anche Allegato B a cui il codice fa riferimento.
|
|
|
MA ANALIZZIAMO LE NOVITA' PRESENTI NEL CODICE
Art. 31 (Obblighi di sicurezza)
In questo articolo si stabilisce che i dati personali (quindi non si parla solo di dati sensibili) devono essere custoditi e controllati in modo da
ridurre al minimo i rischi di: distruzione perdita (anche accidentale) accesso non autorizzato trattamento non consentito o non conforme alle finalità
della raccolta
Chi tratta i dati deve a tal fine implementare misure di sicurezza idonee e preventive anche in relazione alle conoscenze acquisite in base al progresso
tecnico.
Cosa significa? Vuol dire che le aziende devono implementare all'interno tutti quei sistemi di sicurezza (dall'antivirus, al firewall, ad una corretta
politica di accesso ai terminali) tali da garantire i punti accennati sopra. Diventa quindi chiaro e ben definito il salto di qualità a cui devono
sottoporsi aziende ed enti pubblici con l'entrata in vigore di questa legge. Stiamo parlando di tutela degli interessati al trattamento, ma stiamo
parlando soprattutto di tutela del nostro lavoro.
Art. 36 (adeguamenti)
Viene stabilito che il disciplinare tecnico (allegato B) relativo alle misure minime è aggiornato periodicamente con decreto del Ministro della giustizia
di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica ed all'esperienza maturata nel settore.
Quindi il legislatore con questo articolo impone adeguamenti alle evoluzioni dei rischi legati al trattamento dei dati: come non approvare tale politica
in funzione di tutti i rischi a cui i nostri sistemi elettronici sono giornalmente sottoposti?
Art. 34 (Trattamenti con strumenti elettronici)
Cosa fare se si gestiscono dati con strumenti elettronici?
Il legislatore stabilisce con questo articolo che il trattamento dei dati è consentito solo se sono adottate, in funzione di quanto stabilito
nell'allegato B, le seguenti misure minime:
• autenticazione informatica
• adozione di procedure che gestiscono l'autenticazione
• utilizzazione di un sistema di autorizzazione
• verifica ed aggiornamento periodico delle autorizzazioni
• protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti ed a determinati programmi informatici
• politiche di custodia di copie backup per eventuali ripristini dei dati e dei sistemi
• tenuta di un aggiornato documento programmatico sulla sicurezza
• adozione di particolari tecniche di cifratura per tutto quello che concerne dati sullo stato
di salute o la vita sessuale effettuati da organismi sanitari
E' NECESSARIO:
• compilare e stampare la documentazione per le figure previste dalla normativa (lettere d'incarico per Responsabile della Sicurezza Dati
Personali, Incaricati per i trattamenti, ecc...);
• proteggere tutte le banche dati (di qualsiasi tipologia) da intrusioni o utilizzi non autorizzati;
• adottare le misure minime di sicurezza previste dalla normativa (password, sistemi antintrusione, antivirus, copie di backup, ecc...);
• compilare e stampare il DPSS (Documento Programmatico Sulla Sicurezza) con cadenza annuale apportando di anno in anno le opportune modifiche
(solo il DPSS fa prova dell'avvenuto adeguamento alla norma);
• adottare le misure fisiche di protezione (allarmi, stabilizzatori di corrente, armadi chiusi a chiave ed ignifughi, accesso selezionato
ai locali...);
• inventariare i dati personali, adottare le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative), adeguandosi agli obblighi
di informativa, consenso, nomina figure.
|
|
|
RESPONSABILITA'
Il titolare è tenuto a garantire che le misure minime di sicurezza siano adottate sia all'interno dell'azienda, sia dai terzi a cui abbia ceduto,
in tutto o in parte, l'attività di elaborazione dati (es. Studi Professionali).
I dati personali
I dati personali oggetto di trattamento devono essere custoditi e controllati anche in relazione alle conoscenze acquisite, al progresso tecnico,
alla natura dei dati ed alle specifiche caratteristiche del trattamento.
La sicurezza e l'accesso ai dati
I dati debbono essere trattati in modo da ridurre al minimo, mediante la adozione di idonee e preventive misure di sicurezza, i rischi,
anche accidentali, di distruzione o perdite.
Si deve ridurre al minimo il rischio di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Il nuovo codice impone la preparazione di questa relazione che, come già accennavamo in precedenza, scaturisce da una attenta analisi all'interno
dell'azienda sulle modalità con cui vengono trattati i dati. Questa fase è particolarmente delicata e prevede un pieno coinvolgimento delle aziende
o degli enti pubblici.
Ecco in sintesi cosa andremo a definire e ad analizzare all'interno della nostra struttura: le figure del titolare, dei responsabili e degli incaricati
del trattamento dei dati.
In particolar modo dovranno essere documentate le nomine per i responsabili e per gli incaricati al trattamento;
• i luoghi fisici e dove risiedono i dati (sedi, uffici);
• gli hardware su cui risiedono i dati (computer, armadi..);
• i software con cui vengono trattati i dati ( se i dati sono in formato elettronico);
• i piani di formazione per i responsabili e gli incaricati al trattamento;
• le misure minime di sicurezza implementate all'interno dell'azienda per la salvaguardia dei dati;
• una analisi dei rischi che verrà eseguita in funzione di quanto definito nei punti precedenti;
• un piano per l'adeguamento alla legge o comunque per un miglioramento dei livelli di sicurezza e di tutela dei dati.
|
|
|
CHE COSA E' IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPSS)
Siamo in grado di capire a questo punto la funzione fondamentale del documento programmatico sulla sicurezza:
• attestare l'adeguamento della azienda alla normativa. Il DPSS è un manuale della sicurezza dei dati in azienda avente una data certa stabilita
che comprova gli sforzi sostenuti dall'azienda.
• descrivere la situazione attuale ed il piano di adeguamento che l'azienda prevede di implementare per adeguarsi alla normativa.
Diventa chiaro che il lavoro di preparazione di questo manuale non può essere breve, anzi spesso solamente reperire e collettare le informazioni
riguardo alla locazione dei dati può richiedere settimane o mesi.
Inoltre da questa breve descrizione del lavoro si capisce che l'azienda deve essere totalmente coinvolta nell'operazione e poiché l'azienda stessa è
la titolare del trattamento dei dati tutte le operazioni di consulenza devono essere eseguite in simbiosi con essa.
I legislatori hanno fatto un passo in più: per essere sicuri che questo nuovo modo di tutelare i dati all'interno delle aziende venga recepito hanno
imposto l'obbligo di allegare il DPSS al bilancio annuale.
In realtà, il legislatore introducendo il concetto di misura minima di sicurezza ha imposto delle norme che serviranno a salvaguardare le aziende stesse
ed il loro lavoro: quindi questo nuovo codice non deve essere visto come una imposizione in senso stretto, ma come qualcosa che possa anche servire a
difendere l'operato delle aziende da attacchi di pirati informatici, virus, da denunce da parte di clienti e fornitori e ulteriori forme di pericolo per
i dati.
Alla luce di tutte le novità introdotte dalla legge e di quanto abbiamo visto non è facile per l'utente capire come agire e cosa deve fare per rispettare
gli adempimenti previsti.
Le Officine d’Innovazione effettuano una analisi approfondita sul sistema trattamento dati all'interno della vostra azienda e dopo aver seguito passo
per passo la legge arrivano a redigere il documento programmatico sulla sicurezza.
In tal modo l'Azienda non viene distolta dagli impegni delle proprie attività, non investe risorse sulla comprensione della complessità legale e
tecnica dell’adeguamento – ma al contrario viene coinvolta e sensibilizzata al problema -, può richiedere, se interessata,
opportuna certificazione a margine della redazione del Documento, così da condividere le responsabilità del trattamento ed avere un costante
riferimento nella risoluzione delle problematiche che quotidianamente possono presentarsi sulla gestione dei dati, può chiedere di ottenere la piena
consapevolezza dei rischi del trattamento dei dati all'interno dell'azienda e il pieno coinvolgimento dell'azienda negli adempimenti di legge
attraverso la fornitura ai responsabili ed agli incaricati del trattamento di tutte le informazioni necessarie per seguire gli adempimenti
nonché di un software a basso costo che però consente l’automazione della definizione delle specifiche di sicurezza della propria azienda.
|
|
|
IL NUOVO CODICE DELLA PRIVACY: CHE COSA FARE ? CHI DOVRA' ADEGUARSI E COME
Dovranno adeguarsi tutti coloro che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali,
enti pubblici ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.).
Il nostro ruolo
Il nostro lavoro inizia con una visita presso la Vostra sede. Durante tale incontro il personale Vi aggiornerà sulle novità normative, rispondendo
alle Vostre domande, chiarendo gli eventuali dubbi, rischi e possibili conseguenze degli inadempimenti, in modo che possiate decidere consapevolmente
come agire.
Gli interventi di adeguamento:
1. Analisi della struttura informatica dell'azienda e stesura di un elenco di tutti le azioni da adottare per adeguare la struttura alla nuova legge;
2. Determinazione dei dati: comuni, sensibili, ecc;
3. Analisi della sicurezza dei dati;
4. Analisi strutturata dei rischi;
5. Redazione della modulistica richiesta dalla legge (informativa, consenso);
6. Definizione nomine (responsabile del trattamento, incaricati interni ed esterni, amministratore di password ecc.);
7. Elaborazione di un vademecum per dipendenti, che contiene le indicazioni pratiche da seguire per il corretto trattamento dei dati (per aziende
con strutture complesse);
8. Gestione privacy nell'eventuale presenza su internet;
9. Approntamento o implementazione delle misure di sicurezza minime ed idonee per la protezione dei dati;
10. Adeguamento alle nuove modifiche dei requisiti tecnici;
11. Notifica ed Autorizzazione al trattamento dei dati;
12. Redazione o revisione del Documento Programmatico Sulla Sicurezza (DPSS);
13. Consulenza aperta, ovvero assistenza di un tecnico-professionista personale per ogni dubbio e problema.
Le Officine di’Innovazione vi aiutano a comprendere tutta la normativa e vi guidano nell'organizzazione e nella predisposizione delle misure minime di
sicurezza obbligatorie tra cui:
- l'inventario delle apparecchiature
- l'inventario degli archivi di Dati Personali
- il Documento Programmatico sulla Sicurezza
- le lettere d'incarico
- le istruzioni per il personale
ed inoltre
- tutta la normativa aggiornata
- il modello e le istruzioni per la compilazione dei modelli
- la guida per l'adozione delle “misure minime”
- la gestione delle scadenze e degli adempimenti relativi alla sicurezza del trattamento
- l'accesso diretto al nostro sito Web per essere sempre aggiornati sulla normativa.
|
|
|
OFFICINE D'INNOVAZIONE PER LA PRIVACY
La Legge 196 sulla Privacy non è da vedersi come un inutile appesantimento burocratico, ma potremmo portare le testimonianze di molti imprenditori che
hanno mal valutato il rischio informatico ed hanno perso ingenti somme di denaro, oltre al fatto che si è passibili di denunce, spesso da parte di anonimi,
con le quali ci si può trovare a battagliare, investendo ulteriori risorse di tempo e di denaro!
La Legge 196 sulla Privacy è un’opportunità per rendere più sicuri i propri archivi informatici e per mettersi al sicuro dai controlli.
Applicare la Legge sulla Privacy non significa però solo disporre del Documento Programmatico sulla Sicurezza, significa essere in grado di attuare
nel tempo le procedure inserite nel documento legislativo e così costituire un sistema che è in grado di tenere al sicuro tutti i dati di coloro che ce
li hanno affidati e noi dalle pesanti sanzioni amministrative e penali previste dalla legge.
Le Officine d’Innovazione offrono pertanto:
• assistenza tecnica all’installazione,
• formazione del personale addetto al trattamento dei dati personali,
• assistenza futura per tutti quelli che possono essere gli aggiornamenti richiesti in materia normativa dalla legge e
dal sistema di gestione.
Per testare se il tuo sistema necessita di adeguamento e fare una prima verifica GRATUITA compila la
nostra check list!(tempo richiesto: 2 minuti circa)
Ti risponderemo nel più breve tempo possibile!
|
|
| |
Servizi Telematici