|
Adeguamento Privacy e DPS
Dal 31
marzo 2006 tutti i titolari di partita Iva (aziende,professionisti,
lavoratori autonomi)
devono redigere il DPS (Documento
Programmatico della Sicurezza)
ed implementare le Misure Minime (vedi
allegato B) previste dal nuovo Codice Privacy (D.Lgs.
196/03).
Il DPS
deve rispettare le direttive imposte dalla nuova Normativa Privacy (D.
Lgs. 196/03).
Le sanzioni
possono essere erogate dal Garante Privacy (su esposto), dalla
Polizia Postale (su segnalazione) o dalla Guardia di
Finanza nel corso dei normali controlli contabili e fiscali.
Il mancato
adeguamento alle misure minime entro i tempi previsti può divenire anche
oggetto di contenzioso legale
con Clienti e Fornitori che possono opporre in qualunque momento e/o anche in
maniera complementare ad altre contestazioni (es: mancato pagamento di una
fattura), un illecito trattamento dei loro dati.
N.B. Se non sono operative tutte le Misure
Minime previste dal tuo DPS, rischi una doppia sanzione:
una per la misura mancante e l'altra per la "falsa dichiarazione".
| |
|
|
Illeciti
Codice Privacy |
Sanzione |
|
Art. 161
Assenza informativa privacy
Assenza informativa privacy per il trattamento di dati sensibili o
giudiziari o in caso di trattamenti che presentano rischi specifici
o di maggiore rilevanza di giudizio
|
Sanzione
da 3.000 a 18.000 euro.
Sanzione da
5.000 a 30.000 euro. (moltiplicate per 3 a seconda delle condizioni del
contravventore)
|
|
Art. 163
Omessa o incompleta notificazione al Garante |
Sanzione da
10.000 a 60.000 euro |
|
Art. 164
Omissione di fornire informazioni o esibire documenti richiesti dal
Garante Privacy |
Sanzione da
4.000 a 24.000 euro
|
Art. 167
Trattamento illecito di dati personali
|
Reclusione da 6 mesi a 3 anni Possibile ex art. 169, pagando una
somma di denaro se ci si regolarizza entro il termine prescritto (non +
di 6 mesi) |
|
Art. 168
Falsità nelle dichiarazioni e notificazioni al Garante |
Sanzione
penale, reclusione da 6 mesi a 3 anni
|
Art. 169
Omessa adozione di misure necessarie alla sicurezza dei dati
|
Arresto fino
a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 a
50.000 euro
|
|
Art. 170
Inosservanza dei provvedimenti del Garante |
Arresto
da 3 mesi a 2 anni |
Per ogni eventuale altro dubbio, leggi
qui di seguito oppure invia una e.mail a
daniela.gelli@internetsoluzioni.com
Cosa si
intende per "trattamento di dati"?
Qualunque operazione o complesso di operazioni, effettuati anche senza
l'ausilio di strumenti elettronici (computer), concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una banca di
dati;
Anche emettere una fattura vuol dire trattare dati perchè si associa
all'anagrafica di un cliente un prodotto o servizio ed un prezzo.
Perchè devo adeguarmi adesso?
Non solo perchè te lo impone la legge, ma anche e soprattutto perchè
adesso hai la serenità e il tempo di implementare tutte le
misure minime di sicurezza.
Chi controlla che le misure minime e gli altri adempimenti previsti dalla legge
sono messi in pratica?
La Polizia Postale (con le sue 76 Sezioni sul territorio) e la
Guardia di Finanza in forza di un
protocollo di intesa con il Garante.
Quanto è concreta la possibilità di un controllo?
E' difficile prevederlo. Le sanzioni possono essere erogate dal Garante
Privacy (su esposto), dalla Polizia Postale (su
segnalazione) o dalla Guardia di Finanza nel corso dei
normali controlli contabili e fiscali.
Pur volendo considerare remota la possibilità di un controllo diretto da parte
della polizia postale o degli ispettori del Garante, và sottolineato che il
mancato adeguamento alle misure minime entro i tempi previsti può divenire
oggetto di contenzioso legale tra te e i tuoi
clienti/fornitori/dipendenti che possono opporti in qualunque momento e/o anche
in maniera complementare ad altre contestazioni, un illecito trattamento
dei loro dati.
E' vero che è obbligatorio per tutte le organizzazioni avere un DPS
(Documento Programmatico della Sicurezza)?
No! Il D.P.S. è obbligatorio (Art. 34 del Testo Unico) solo per quelle
organizzazioni che trattano dati personali (anche non sensibili) con l'impiego
di elaboratori elettronici. Chi tratta i dati solo manualmente su supporto
cartaceo, non è tenuto ad avere il DPS, ma deve comunque nominare tutti gli
Incaricati e i Responsabili.
E' obbligatorio preparare un D.P.S. (Documento Programmatico sulla Sicurezza)
che contenga una analisi dei rischi?
Si, è esplicitamente richiesto dal comma 19.6 dell'Allegato B del D.Lgs. 196/03
per tutte le organizzazioni che trattano dati con l'ausilio di elaboratori
elettronici.
A cosa serve il Documento Programmatico della Sicurezza (DPS)?
Il Documento Programmatico per la Sicurezza identifica gli aspetti
dell'infrastruttura tecnologica aziendale coinvolti nella gestione di dati
personali e sensibili, verificandone l'aderenza a quanto disposto dalle più
recenti normative (Dlgs. N.196 del 30 Giugno 2003). Inoltre, il DPS definisce e
descrive le misure necessarie per una vera "messa in sicurezza" del sistema
informativo aziendale.
Il documento è solo un adempimento legale?
Il documento rappresenta non solo un adempimento legale ma un vero e proprio
strumento di riferimento per l'azienda in materia di trattamento dei dati
personali, e in generale di definizione delle strategie di sicurezza, e delle
conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori
devono adottare.
Quali sono i risultati per il Cliente di un progetto DPS?
Il DPS evidenzia i punti di forza e di debolezza dell'infrastruttura esistente,
evidenziando anche i rischi normativi (legati ad eventuali inadempimenti
richiesti dalla legge) e funzionali (legati al proprio modello di business
derivanti da una gestione della sicurezza non ottimale). Formalizza inoltre le
policy di lavoro, costituendo un valido riferimento per l'utilizzo
dell'infrastruttura informativa, e formalizza le procedure di intervento in caso
di problemi o guasti.
Non siamo collegati ad internet, non siamo già sicuri?
No. Il collegamento ad internet è solo una delle minacce e neanche la più
importante. Secondo le statistiche di istituti di ricerca e polizie, circa tre
quarti degli incidenti sono generati all'interno delle organizzazioni. Di
questi, oltre la metà sono involontari.
Possiamo scegliere di ignorare questo dispositivo di legge e correre il rischio?
No. La sensibilità dell'opinione pubblica sul tema della privacy è molto alta.
Se le probabilità di ricevere un'ispezione da parte degli ispettori del Garante
della Privacy sono basse, in caso di incidenti anche banali (p.e. il furto di un
disco o di un computer contenente dati personali nella vostra azienda) potreste
non essere in grado di dimostrare che trattavate i dati in conformità alla
legge. In questo caso vi esponete al rischio di sanzioni anche penali (e la
responsabilità penale è personale).
Le misure minime di sicurezza richieste dal Dlgs.196/2003 non sono esagerate
rispetto alle necessità ed alle possibilità di una piccola azienda?
No. Probabilmente molte delle misure richieste dalla legge sono già prassi
comune nella vostra azienda. Ai fini della conformità al Codice della Privacy ,
si tratta per lo più di formalizzare quanto già fate grazie al Documento
Programmatico sulla Sicurezza. Eventuali misure addizionali non sono di norma
molto onerose ne da un punto di vista economico ne da un punto di vista
organizzativo.
I dati personali che abbiamo li facciamo elaborare da uno studio esterno, non
è lui il titolare?
No. Anche se tutti i trattamenti (per esempio di paghe e contributi o contabili)
sono effettuati all'esterno, i titolari di quei trattamenti siete voi e quindi
voi ne risponderete in merito alla loro privacy e sicurezza.
Cosa sono le "Lettere di Incarico"?
Le Lettere di Incarico sono documenti formali ed obbligatori che
la normativa privacy impone per la nomina
dei Responsabili e degli Incaricati interni (dipendenti) ed esterni al
trattamento dei dati.
Cosa sono le "Informative"?
L'informativa è un documento con cui il soggetto che detiene un dato (personale,
sensibile o giudiziario) informa l'interessato (persona fisica o giuridica)
della natura del dato e del tipo di trattamento che effettuerà.
Devo inviare le Informative a tutti i Clienti/Fornitori?
SI. L'informativa deve essere inviata a tutti i soggetti che hanno
rapporti con ll'azienda.
Solo se tratti dati sensibili e giudiziari devi anche richiedere
per iscritto il consenso al trattamento.
Il consiglio è di richiedere sempre il
consenso per iscritto anche se si trattano dati esclusivamente personali poichè
in caso di contenzioso legale e/o sanzione non sarebbe possibile dimostrare di
possedere l'autorizzazione al trattamento.
La nostra rete
è protetta dal "firewall", non siamo già sicuri?
No. Il firewall è un dispositivo utile, ma che, quando ben gestito, svolge solo
una funzione ben precisa: proteggere la vostra rete informatica aziendale da
specifici tipi di incidenti di origine esterna. Questo ha poco a che vedere con
la Privacy ed il Dlgs.196/2003, che in particolare mira anche a proteggere i
dati personali (informatici e non) e la vostra azienda sia da incidenti interni
che esterni, deliberati o accidentali. Per esempio, il firewall non vi serve a
proteggere i dati in caso di perdita accidentale per guasto o furto del computer
e tantomeno a proteggere i vostri archivi cartacei dalle conseguenze di un
incendio.
Come faccio a gestire le "password temporizzate" previste dalla
normativa sul mio computer?
Semplicemente intervenendo sulla configurazione dei sistemi operativi Windows
2000 e XP, senza sostenere alcun costo aggiuntivo.
Se utilizzi Windows 95/98/ME devi cambiare sistema operativo o implementare un
sistema di accesso (login) con smart card.
Esiste un "obbligo di formazione" del DPS attraverso corsi
specialistici e certificati?
No. La legge non parla di "obbligo di effettuare un corso di formazione
certificato", ma prevede che il Responsabile della Sicurezza informi tutti gli
incaricati delle procedure di protezione e gestione dei dati contenute nel DPS
predisponendo un piano di formazione interno.
Il piano di formazione è affidato all'autonomia gestionale
dell'imprenditore/professionista, che può deciderne contenuti, tempi e modalità.
E' vero che la documentazione cartecea deve essere protetta in "armadi
ignifughi"?
Assolutamente no. Il cartaceo deve essere archiviato in normali armadi e/o
cassetti il cui accesso (la chiave) è posto sotto la il controllo del
Responsabile della Sicurezza.
Il DPS deve avere "data certa"?
La normativa non
impone un data certa, ma essendo un documento legale che và redatto entro una
scadenza prefissata sarebbe opportuno apporvi una data certa attraverso la
sottoscrizione con Firma Digitale o la "bollatura" presso le Poste Italiane per
evitare contestazioni.
Una volta redatto cosa devo fare il DPS?
Stamparne una copia cartacea da tenere presso la sede legale, far controfirmare
agli incaricati le Lettere di Incarico. Per le società di capitali che redigono
il bilancio in forma ordinaria esiste l'obbligo di menzionare il DPS
nella relazione al bilancio.
Una volta redatto e stampato il DPS sono in regola?
Non ancora.
Infatti, per essere a norma col D.Lgs. 196/03 devi implementare fisicamente
le misure minime e le procedure previste dal DPS. Quello che è scritto nel DPS
deve corrispondere alla realtà, altrimenti rischi una doppia sanzione:
- una per il mancato adeguamento
- una per la falsa dichiarazione (il DPS è un documento legale posto sotto la
responsabilità del legale rapp.te). |
