PRIVACY, MISURE MINIME E D.P.S.

Prorogati i termini al 31 dicembre 2005.


Il Testo Unico sulla Privacy cambia profondamente il quadro delle misure di sicurezza che devono essere adottate nel trattamento dei dati personali.



Proprio in relazione alla complessità' delle nuove misure minime di sicurezza imposte, E' stato concesso ai soggetti cha trattano dati personali una proroga per la loro adozione:

 per tutti i soggetti, il termine ultimo per adottare le nuove misure minime diventa il 31 Dicembre 2005 (invece del 30 giugno 2004).

Il termine nuove misure minime va cosi inteso:


 nel solo caso in cui si possiedano strumenti elettronici tecnicamente inadeguati, viene differito al 31marzo 2006 (in precedenza era il 31 dicembre 2004) il termine ultimo entro cui si devono adottare le nuove misure minime.

Il Documento Programmatico sulla Sicurezza

Con il nuovo codice, l'obbligo di redigere il Documento Programmatico sulla Sicurezza viene generalizzato a tutti i casi in cui si trattino dati sensibili (quelli idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o i altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale) o giudiziari (quelli idonei a rivelare i provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato) con l'utilizzo di strumenti elettronici.

Viene inoltre fissato un termino generale, il 31 marzo di ogni anno, per l'aggiornamento periodico di tale documento. Il termine ultimo entro cui redigere il Dps per l'anno 2005 e' stato invece spostato al 31 dicembre 2005.

Una novità di ordine assoluto e' prevista dal punto 26 del disciplinare tecnico, ai sensi del quale il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del Dps. Tale disposizione e' finalizzata a rafforzare l'obbligo di redigere ed aggiornare il Dps.
Per i soggetti che non sono invece tenuti a redigerlo, poiche' non trattano dati sensibili o giudiziari con l'utilizzo di strumenti elettronici, e' opportuno che nelle relazione accompagnatoria al bilancio di esercizio attestino comunque di non essere tenuti alla redazione del Dps, in quanto non trattano dati sensibili o giudiziari con strumenti elettronici.

Il documento deve essere redatto dal titolare del trattamento, anche attraverso un responsabile per la sicurezza. In questo caso il titolare e' comunque tenuto in prima persona ad assumersi le responsabilità inerenti la sicurezza privacy, ivi incluse quelle legate alla redazione del documento sulla sicurezza, ed alla corretta realizzazione e gestione delle misure in esso descritte. L'onere di firmare il documento, assumendo le relative responsabilità, sarà' percio' a carico sia del titolare che del responsabile. Nell'ipotesi in cui la redazione sia affidata ad un soggetto esterno, nominato responsabile per la sicurezza, troveranno inoltre applicazione le previsioni del punto 25 del disciplinar tecnico, per cui il soggetto esterno dovrà attestare la conformità del documento redatto, alle disposizioni del disciplinare tecnico stesso.

Un ulteriore aspetto concerne l'opportunità di attribuire al Dps data certa. Per ottenerla si puo' ricorrere a:
- autoprestazione presso gli uffici postali, con apposizione del timbro sul documento;
- per le amministrazioni pubbliche, adozione di una delibera di cui sia certa la data;
- apposizione della cosiddetta marca temporale sui documenti informatici;
- apposizione di autentica, deposito del documento o vidimazione di un verbale presso un notaio;
- registrazione o produzione di un documento presso un pubblico ufficio.

Si ricorda infine che il Dps non deve essere inviato al Garante, ma deve essere tenuto negli uffici del titolare, per esibirlo in caso di eventuali richieste da parte delle Autorità.


 Ambito applicativo

Devono adeguarsi tutti i soggetti che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati e quanto altro).

Per "trattamento" deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

Per "dato personale" si deve intendere qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

Le nuove disposizioni si applicano a tutto il territorio dello stato, anche da parte di soggetti extra-europei, salvo non si tratti di mero transito sul territorio dello stato.



 Le misure minime di sicurezza (Allegato B)

Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solamente se sono adottate alcune misure minime di sicurezza tra cui:

autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.


Pesantissime le sanzioni

 sanzioni penali da un minimo di due mesi ad un massimo di tre anni

 sanzioni amministrative fino a 120.000 euro

 risarcimento del danno provocato, compreso il risarcimento del danno morale arrecato.


 Per ulteriori informazioni non esitate a contattarci, tramite e-mail.

Scarica Gratuitamente D.P.S. e Linee Guida sulla Privacy.

 
 
Home  |   Chi Siamo  |   Mission  |   Settori  |   Contatti
Lauda.net © 2003 | Privacy Policy | Sportello Informativo