Il Garante della privacy ha recentemente risposto ad una serie di quesiti posti da imprese e pubbliche amministrazioni sull'amministratore di sistema.
Una breve disamina sul ruolo degli amministratori di sistema potete trovarla qui:
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Visualizzazione post con etichetta consulente privacy milano. Mostra tutti i post
Visualizzazione post con etichetta consulente privacy milano. Mostra tutti i post
giovedì 21 maggio 2009
sabato 9 maggio 2009
E-mail e fax indesiderati: stop del Garante
Anche se i dati sono estratti dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati è obbligatorio acquisire prima il consenso dei destinatari. Continua l'azione del Garante contro lo spamming e il marketing disinvolto. L'Autorità ha vietato l'ulteriore trattamento illecito dei dati personali a cinque società che inviavano pubblicità tramite fax e posta elettronica senza il preventivo consenso degli interessati.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Privacy e libro-soci
Gli azionisti di una società per azioni hanno diritto di conoscere l'indirizzo e i dati degli altri soci, al fine di contattarli e di poter tutelare i propri legittimi interessi. La legge sulla privacy non limita la conoscibilità da parte degli azionisti dei dati personali contenuti nel libro soci e non si pone in contrasto con la trasparenza dell'attività societaria.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
lunedì 4 maggio 2009
Privacy: DPS e Amministratori di sistema
Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.
Per questo il Garante ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.
Elenco degli amministratori di sistema e loro caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.
Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Per questo il Garante ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.
Elenco degli amministratori di sistema e loro caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.
Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
lunedì 6 aprile 2009
Telemarketing e privacy
Pubblicato un provvedimento del Garante privacy mirato a porre delle limitazioni al marketing telefonico. Ci si aspettava una posizione più severa. Non potranno essere utilizzate banche dati create successivamente al 1 agosto 2005.
Obbligo di registrare immediatamente l’eventuale dissenso del chiamato e di cancellarlo dalla banca dati.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Obbligo di registrare immediatamente l’eventuale dissenso del chiamato e di cancellarlo dalla banca dati.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
domenica 15 febbraio 2009
Vendite telefoniche autorizzate
Il Senato con il voto di fiducia ha approvato ieri il 'milleproroghe'. Il provvedimento prevede tra l’altro che le società di telemarketing potranno utilizzare i numeri di telefono acquisiti prima del 2005.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Ispezioni Privacy
Con la newsletter n.319 dl 12 febbraio 2008, il Garante della Privacy ha illustrato il piano ispettivo per il primo semestre del 2009. L’ attività ispettiva sarà incentrata soprattutto su Fisco, banche e sanità.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
venerdì 16 gennaio 2009
Privacy e sicurezza informatica
Il provvedimento 27 novembre 2008 del garante della privacy ha chiarito che gli amministratori di sistema devono avere requisiti di capacità e competenza professionale in materia informatica. Inoltre le loro attività devono essere tracciabili e monitorate per garantire l’adeguamento alla normativa in materia di privacy e sicurezza informatica.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
giovedì 8 gennaio 2009
Privacy: guida alla privacy e DPS per le PMI
il Garante ha adottato anche un provvedimento che semplifica alcuni adempimenti in materia di protezione dei dati personali.
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
martedì 9 settembre 2008
Marketing telefonico: vietato dal Garante
Stop del Garante privacy al marketing selvaggio e alle telefonate promozionali indesiderate.
Ai provvedimenti inibitori [doc. web nn. 1544315, 1544326, 1544338] si è giunti dopo ripetuti richiami e ispezioni, effettuate sia presso le società che avevano formato i data base e venduto i dati sia presso operatori telefonici e aziende che li avevano acquistati e i call center che contattavano gli utenti. Numerosi sono stati gli abbonati che hanno segnalato al Garante la ricezione di chiamate promozionali indesiderate effettuate da e per conto di diversi operatori telefonici o aziende che promuovevano beni o servizi.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
Ai provvedimenti inibitori [doc. web nn. 1544315, 1544326, 1544338] si è giunti dopo ripetuti richiami e ispezioni, effettuate sia presso le società che avevano formato i data base e venduto i dati sia presso operatori telefonici e aziende che li avevano acquistati e i call center che contattavano gli utenti. Numerosi sono stati gli abbonati che hanno segnalato al Garante la ricezione di chiamate promozionali indesiderate effettuate da e per conto di diversi operatori telefonici o aziende che promuovevano beni o servizi.
Link: Per restare aggiornato iscriviti alla nostra Newsletter!
giovedì 24 luglio 2008
DPS Privacy: esoneri e semplificazioni.
L'emendamento governativo al dl 112/08 esonera dal Dps i datori di lavoro che trattano dati sanitari e sindacali. Vengono così ridotti gli adempimenti per l’adeguamento alla normativa sulla privacy.
Privacy: rinnovate le autorizzazioni al trattamento dei dati.
Le principali autorizzazioni al trattamento dei dati sensibili sono state rinnovate per tutto il 2009 e pubblicate nella G.U. n.169 del 21 luglio 2008.
In particolar modo si segnalano: trattamento dei dati sensibili nei rapporti di lavoro, dei dati idonei a rilevare lo stato di salute o la vita sessuale, dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni, dei dati sensibili da parte dei liberi professionisti, trattamento dei dati sensibili da parte di diverse categorie di titolari e investigatori privati e dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici.
lunedì 7 luglio 2008
Privacy e marketing: informativa snella
Il Garante Privacy, con provvedimento 19 giugno 2008, snellisce gli adempimenti relativi all’informativa.
Le aziende vedono ridursi i casi in cui chiedere il consenso al cliente o potenziale tale.
Il provvedimento, inoltre, riassume altre semplificazioni degli adempimenti.
Per restare aggiornato iscriviti alla nostra Newsletter!
Le aziende vedono ridursi i casi in cui chiedere il consenso al cliente o potenziale tale.
Il provvedimento, inoltre, riassume altre semplificazioni degli adempimenti.
Per restare aggiornato iscriviti alla nostra Newsletter!
mercoledì 7 maggio 2008
PRIVACY: Illegittimo pubblicare i redditi on line
L'Autorità Garante per la privacy ha concluso l'istruttoria avviata sulla diffusione, tramite il sito web dell'Agenzia delle entrate, dei dati relativi alle dichiarazioni dei redditi dei contribuenti italiani. Il Collegio (composto da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan, Giuseppe Fortunato), nel ribadire quanto già sostenuto nel provvedimento con il quale aveva immediatamente invitato a sospendere la pubblicazione on line, ha stabilito che la modalità utilizzata dall'Agenzia è illegittima.
L'Agenzia delle entrate dovrà quindi far cessare definitivamente l'indiscriminata consultabilità, tramite il sito, dei dati relativi alle dichiarazioni dei redditi per l'anno 2005.
La decisione dell'Agenzia contrasta con la normativa in materia. In primo luogo, perché il Dpr n.600/1973 stabilisce che al direttore dell'Agenzia delle entrate spetta solo il compito di fissare annualmente le modalità di formazione degli elenchi delle dichiarazioni dei redditi, non le modalità della loro pubblicazione, che rimangono prerogativa del legislatore. Attualmente, per le dichiarazioni ai fini dell'imposta sui redditi, la legge prevede unicamente la distribuzione degli elenchi ai soli uffici territoriali dell'Agenzia e la loro trasmissione ai soli comuni interessati e sempre con riferimento ai contribuenti residenti nei singoli ambiti territoriali.
L'inserimento dei dati in Internet, inoltre, appare di per sé non proporzionato rispetto alla finalità della conoscibilità di questi dati.
L'uso di uno strumento come Internet rende indispensabili rigorose garanzie a tutela dei cittadini. L'immissione in rete generalizzata e non protetta dei dati di tutti i contribuenti italiani (non sono stati previsti "filtri" per la consultazione on line) da parte dell'Agenzia delle entrate ha comportato una serie di conseguenze: la centralizzazione della consultazione a livello nazionale ha consentito, in poche ore, a numerosissimi utenti, non solo in Italia ma in ogni parte del mondo, di accedere a innumerevoli dati, di estrarne copia, di formare archivi, modificare ed elaborare i dati stessi, di creare liste di profilazione e immettere ulteriormente dati in circolazione, ponendo a rischio la loro stessa esattezza. Tale modalità ha, inoltre, dilatato senza limiti il periodo di conoscibilità di dati che la legge stabilisce invece in un anno.
L'Autorità ha poi rilevato che non è stato chiesto al Garante il parere preventivo prescritto per legge.
L'Autorità ha altresì specificato che va ritenuta illecita anche l'eventuale ulteriore diffusione dei dati dei contribuenti da parte di chiunque li abbia acquisiti, anche indirettamente, dal sito Internet dell'Agenzia. Tale ulteriore diffusione può esporre a conseguenze di carattere civile e penale.
Resta fermo il diritto-dovere dei mezzi di informazione di rendere noti i dati delle posizioni di persone che, per il ruolo svolto, sono o possono essere di sicuro interesse pubblico, purché tali dati vengano estratti secondo le modalità attualmente previste dalla legge.
L'Autorità sottolinea, sin d'ora, che, qualora il Parlamento e il Governo intendessero porre mano ad una revisione della normativa alla luce del mutato scenario tecnologico, si porrà l'esigenza di individuare, sentita l'Autorità, soluzioni che consentano un giusto equilibrio tra forme proporzionate di conoscenza dei dati dei contribuenti e la tutela dei diritti degli interessati.
Il Garante ha stabilito, infine, di contestare all'Agenzia, con separato provvedimento, l'assenza di un'idonea informativa ai contribuenti riguardo alla forma adottata per la diffusione dei loro dati, anche al fine di determinare la relativa sanzione amministrativa.
Per dare la massima conoscibilità al provvedimento e anche per consentire a tutti di avere maggiore consapevolezza che la ulteriore messa in circolazione dei dati è un fatto illecito che può avere anche rilevanza penale, l'Autorità ha disposto la pubblicazione del provvedimento sulla Gazzetta Ufficiale.
Il Garante ha stabilito, infine, di contestare all'Agenzia, con separato provvedimento, l'assenza di un'idonea informativa ai contribuenti riguardo alla forma adottata per la diffusione dei loro dati, anche al fine di determinare la relativa sanzione amministrativa.
Per dare la massima conoscibilità al provvedimento e anche per consentire a tutti di avere maggiore consapevolezza che la ulteriore messa in circolazione dei dati è un fatto illecito che può avere anche rilevanza penale, l'Autorità ha disposto la pubblicazione del provvedimento sulla Gazzetta Ufficiale.
martedì 8 aprile 2008
Privacy, aumentano i controlli
Con la newsletter n.304 del 7 aprile 2008, il garante della privacy ha illustrato le nuove modalità di controllo e vigilanza.
Saranno sottoposti a maggiori verifiche e controlli:
- anagrafe tributaria,
- istituti di credito,
- consulenti e periti,
- sistemi di videosorveglianza.
Link: Per restare aggiornato scriviti alla nostra Newsletter!
Saranno sottoposti a maggiori verifiche e controlli:
- anagrafe tributaria,
- istituti di credito,
- consulenti e periti,
- sistemi di videosorveglianza.
Link: Per restare aggiornato scriviti alla nostra Newsletter!
martedì 12 febbraio 2008
Redazione DPS Privacy
Si ricorda che, ai sensi di quanto previsto dal punto 19 dell’allegato B, del D.Lgs. 196/2003, TESTO UNICO SULLA PRIVACY - entro il 31 marzo 2008 il titolare di un trattamento di dati sensibili o di dati giudiziari dovrà redigere o aggiornare il DOCUMENTO PROGRAMMATICO SULLA SICUREZZA - DPS.
Ogni azienda dovrà quindi analizzare con attenzione la propria situazione per capire se è possibile confermare le misure minime di sicurezza dei dati indicate nel Documento Programmatico per la Sicurezza, oppure se quest’ultime necessitano di una revisione.
Il DPS ed i suoi aggiornamenti successivi sono documenti obbligatori ma non devono essere trasmessi a terzi (Autorità Garante per la Privacy) ma dovranno essere esibiti a richiesta in caso di accertamenti dal parte della Guardia di Finanza.
E' obbligatorio per gli Amministratori menzionare in maniera esplicita, nella relazione accompagnatoria al bilancio di esercizio di società di capitali, dell’avvenuta redazione o aggiornamento del DPS.
Ogni azienda dovrà quindi analizzare con attenzione la propria situazione per capire se è possibile confermare le misure minime di sicurezza dei dati indicate nel Documento Programmatico per la Sicurezza, oppure se quest’ultime necessitano di una revisione.
Il DPS ed i suoi aggiornamenti successivi sono documenti obbligatori ma non devono essere trasmessi a terzi (Autorità Garante per la Privacy) ma dovranno essere esibiti a richiesta in caso di accertamenti dal parte della Guardia di Finanza.
E' obbligatorio per gli Amministratori menzionare in maniera esplicita, nella relazione accompagnatoria al bilancio di esercizio di società di capitali, dell’avvenuta redazione o aggiornamento del DPS.
Link: Per restare aggiornato scriviti alla nostra Newsletter!
Link: Consulenti privacy Milano - Redazione DPS
martedì 5 febbraio 2008
DPS Privacy - Consulenti Privacy Milano
Il DPS (Documento Programmatico sulla Sicurezza) è un documento in cui sono descritti i trattamenti dei dati personali gestiti in azienda, l’organizzazione di sicurezza e l’analisi dei rischi.
Il DPS (Documento Programmatico sulla Sicurezza), secondo quanto previsto nell’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” (del D. Lgs. n. 196/03), deve essere redatto e aggiornato dal titolare dei dati, o da un responsabile designato entro il 31 marzo di ogni anno e deve essere menzionato nella relazione accompagnatoria del bilancio d'esercizio.
Il DPS (Documento Programmatico sulla Sicurezza), secondo quanto previsto nell’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” (del D. Lgs. n. 196/03), deve essere redatto e aggiornato dal titolare dei dati, o da un responsabile designato entro il 31 marzo di ogni anno e deve essere menzionato nella relazione accompagnatoria del bilancio d'esercizio.
venerdì 25 gennaio 2008
Internet: vanno cancellate le informazioni sulla navigazione
Ad alcuni dei maggiori gestori di servizi telefonici e telematici è stata imposta dal Garante la cancellazione di informazioni, illegittimamente conservate, riguardanti i siti Internet visitati dagli utenti.
"Questi provvedimenti – commenta Mauro Paissan, componente del Garante – affermano un principio innovativo e importante: va tutelata la riservatezza anche della navigazione in Internet e dell'uso dei motori di ricerca. I gestori telefonici non possono dunque conservare questi dati, nemmeno per ragioni di giustizia. Entro due mesi queste informazioni dovranno ora scomparire. Viene in questo modo riaffermata l'estrema delicatezza delle visite e delle ricerche in Internet".
I gestori devono conservare esclusivamente i dati di traffico telematico funzionali alla fornitura e alla fatturazione del servizio di connessione e non quei dati di traffico apparentemente "esterni" alla comunicazione (pagine web visitate o gli indirizzi Ip di destinazione), che possono coincidere di fatto con il "contenuto" della comunicazione, consentendo di ricostruire relazioni personali e sociali, convinzioni religiose, orientamenti politici, abitudini sessuali e stato di salute.
sabato 12 gennaio 2008
Privacy: E-mail, Spam e risarcimento danni
Non si possono inviare e-mail per pubblicizzare un prodotto o un servizio senza aver prima ottenuto il consenso del destinatario, ed è necessario ottenerlo prima di effettuare qualunque uso dell'indirizzo di posta elettronica.
Il destinatario di fax, e-mail, sms e mms indesiderati può rivolgersi al giudice civile e chiedere un risarcimento per la lesione dei propri diritti.
Lo ha affermato in un recente provvedimento il Garante che prosegue in questo modo nell'azione di contrasto allo spam. L'Autorità ha vietato l'uso illecito di dati personali a fini di marketing ad una società che inviava in modo sistematico e ad una molteplicità di persone, materiale pubblicitario e comunicazioni commerciali senza il consenso dei destinatari.
Altri Precedenti:
- In un caso il Garante [doc. web n. 1424068], in seguito alla segnalazione di un utente che lamentava la ricezione di e-mail pubblicitarie indesiderate, ha vietato il trattamento dei dati ad un sito Internet che promuoveva libri.
- In altri due casi [doc. web nn. 1433939, 1433896], invece, i segnalanti lamentavano la ricezione di pubblicità indesiderata via fax da parte di aziende che promuovevano servizi. Di fronte all'Autorità, le società hanno dichiarato che i messaggi pubblicitari erano rivolti a soggetti economici presenti negli elenchi "categorici" (es. pagine gialle) e non a consumatori e, quindi, ritenevano di potersi avvalere di una disposizione di carattere generale del Codice della privacy che permette di prescindere dal consenso degli interessati, quando il trattamento riguarda informazioni relative allo svolgimento di attività economiche. Tuttavia, secondo quanto affermato dai segnalanti, i dati personali erano presenti solo su elenchi telefonici ordinari e utilizzabili quindi solo per comunicazioni interpersonali, non avendo fornito alcun consenso per il loro uso a fini di marketing. Né, dalla documentazione è risultato che sia stato richiesto un successivo consenso dei destinatari.
venerdì 21 dicembre 2007
Il Garante contro lo spamming
Nuovi interventi del Garante contro l'invio di e-mail e fax pubblicitari indesiderati. L'Autorità ha vietato l'uso illecito di dati personali a fini di marketing a tre società che operavano senza consenso dei destinatari. Nel primo caso il Garante [doc. web n. 1424068], in seguito alla segnalazione di un utente che lamentava la ricezione di e-mail pubblicitarie indesiderate, ha vietato il trattamento dei dati ad un sito Internet che promuoveva libri. Chiamata a dar conto del proprio operato l'azienda dichiarava di utilizzare una mailing list per l'invio mensile di un messaggio "memo" relativo ai libri presentati sul sito e, ritenendolo lecito, inviava ai nuovi utenti, reperiti in rete, un messaggio pubblicitario, insieme alla richiesta del consenso.
Nel vietare il trattamento dei dati il Garante ha ribadito non si possono inviare e-mail per pubblicizzare un prodotto o un servizio senza aver prima ottenuto il consenso del destinatario, e che è necessario ottenerlo prima di effettuare qualunque uso dell'indirizzo di posta elettronica. Negli altri due casi [doc. web nn. 1433939, 1433896], invece, i segnalanti lamentavano la ricezione di pubblicità indesiderata via fax da parte di aziende che promuovevano servizi. Di fronte all'Autorità, le società hanno dichiarato che i messaggi pubblicitari erano rivolti a soggetti economici presenti negli elenchi "categorici" (es. pagine gialle) e non a consumatori e, quindi, ritenevano di potersi avvalere di una disposizione di carattere generale del Codice della privacy che permette di prescindere dal consenso degli interessati, quando il trattamento riguarda informazioni relative allo svolgimento di attività economiche.
Tuttavia, secondo quanto affermato dai segnalanti, i dati personali erano presenti solo su elenchi telefonici ordinari e utilizzabili quindi solo per comunicazioni interpersonali, non avendo fornito alcun consenso per il loro uso a fini di marketing. Né, dalla documentazione è risultato che sia stato richiesto un successivo consenso dei destinatari.
Iscriviti a:
Post (Atom)
