DPS: Documento programmatico sulla sicurezza - 31 marzo 2011

Scade il 31 marzo il termine annuale per la redazione e l’aggiornamento del documento programmatico sulla sicurezza (DPS).

L’obbligo di redazione del DPS ricorre in caso di trattamento di dati personali, “sensibili” o giudiziari, con strumenti elettronici (ad esempio, mediante computer).

Dati sensibili: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.


Si elencano brevemente alcuni dei principali adempimenti previsti dalla normativa sulla privacy. Non adeguarsi alla normativa sulla privacy significa rischiare pesanti sanzioni.

Notificazione al Garante (se dovuta): Prima di iniziare il trattamento e valutare le relative autorizzazioni (D. Lgs. n. 196/03 art. 37).

DPS (Documento Programmatico sulla Sicurezza): all’interno del DPS deve essere previsto un “Piano di formazione per gli incaricati” che dovrà essere rivisto annualmente.


Adempimenti a cadenza almeno annuale:

• aggiornare l’individuazione dell’ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente;
• verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’acceso ai dati particolari per gli incaricati; 
• fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente;
• programmare interventi di formazione per gli incaricati del trattamento;
• provvedere all’aggiornamento delle patch dei programmi per computer, nel caso di trattamento dei dati comuni (regola 17, Allegato B del D. Lgs n. 196/03).

Adempimenti a cadenza periodica:

• Aggiornare i software antivirus, per tutti i tipi di dati (regola 16, Allegato B del D. Lgs n. 196/03);
• Aggiornamento dei software, nel caso di trattamento di dati sensibili (regola 17, Allegato B del D. Lgs n. 196/03)
• Salvataggio dei dati (regola 18, Allegato B del D. Lgs n. 196/03)
• Aggiornare le password assegnate agli incaricati (regola 5, Allegato B del D. Lgs n. 196/03)

Il contenuto del DPS - documento programmatico sulla sicurezza:

• elenco dei trattamenti di dati personali;
• distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
• analisi dei rischi che incombono sui dati;
• misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché alla protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
• previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare; la formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
• descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice della privacy, all’esterno della struttura del titolare;
• per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, all’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Semplificazione
Per i soggetti che trattano con strumenti elettronici soltanto dati personali “non sensibili” e come unici dati “sensibili” quelli costituiti dallo stato di salute o di malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, l’obbligo di redigere e aggiornare il DPS è sostituito da un’autocertificazione in cui si attesta di trattare solo tali dati in osservanza delle altre misure di sicurezza prescritte.
Modalità semplificate sono previste anche per i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008).

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

Social Network e Privacy

Riportiamo una breve guida predisposta dal garante privacy e che potete trovare insieme ad ulteriori commenti su www.garanteprivacy.it

Social Network e Privacy

View more documents from Studio panato Dottori commercialisti .

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

E-mail e fax indesiderati: stop del Garante

Anche se i dati sono estratti dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati è obbligatorio acquisire prima il consenso dei destinatari. Continua l'azione del Garante contro lo spamming e il marketing disinvolto. L'Autorità ha vietato l'ulteriore trattamento illecito dei dati personali a cinque società che inviavano pubblicità tramite fax e posta elettronica senza il preventivo consenso degli interessati.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

Privacy e libro-soci

Gli azionisti di una società per azioni hanno diritto di conoscere l'indirizzo e i dati degli altri soci, al fine di contattarli e di poter tutelare i propri legittimi interessi. La legge sulla privacy non limita la conoscibilità da parte degli azionisti dei dati personali contenuti nel libro soci e non si pone in contrasto con la trasparenza dell'attività societaria.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

Privacy: DPS e Amministratori di sistema

Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.

Per questo il Garante ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.

Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.

Elenco degli amministratori di sistema e loro caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.

Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

DPS Privacy: semplificazioni e nuovi obblighi

La circolare n. 20 del 28 aprile 2009 di Assonime analizza le novità in materia di privacy.
Tra le principali semplificazioni si segnala la possibilità di fornire anche solo oralmente le istruzioni ai dipendenti. Si ribadisce comunque l’opportunità di fornire istruzioni scritte ai fini probatori.

Si ricorda inoltre che entro il 30 giugno 2009 le imprese sono tenute a nominare un amministratore di sistema.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

Telemarketing e privacy

Pubblicato un provvedimento del Garante privacy mirato a porre delle limitazioni al marketing telefonico. Ci si aspettava una posizione più severa. Non potranno essere utilizzate banche dati create successivamente al 1 agosto 2005.
Obbligo di registrare immediatamente l’eventuale dissenso del chiamato e di cancellarlo dalla banca dati.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

Ispezioni Privacy

Con la newsletter n.319 dl 12 febbraio 2008, il Garante della Privacy ha illustrato il piano ispettivo per il primo semestre del 2009. L’ attività ispettiva sarà incentrata soprattutto su Fisco, banche e sanità.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

Privacy: guida alla privacy e DPS per le PMI

il Garante ha adottato anche un provvedimento che semplifica alcuni adempimenti in materia di protezione dei dati personali.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

Privacy più facile per le PMI

Il decreto legge n. 112/2008 e il provvedimento del Garante del 27 novembre 2008 hanno ridotto gli adempimenti sulla privacy per le PMI ed i professionisti.

Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni, volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a contenere i costi.

In base al provvedimento del Garante, le categorie interessate:

• possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente,;
• possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione);
• in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile);
• devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici.

Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici, procreazione assistita, ecc.).

Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

DPS Privacy: esoneri e semplificazioni.

L'emendamento governativo al dl 112/08 esonera dal Dps i datori di lavoro che trattano dati sanitari e sindacali. Vengono così ridotti gli adempimenti per l’adeguamento alla normativa sulla privacy.

Link: Per restare aggiornato iscriviti alla nostra Newsletter!

Privacy, semplificazioni manovra TREMONTI

Semplificazione degli adempimenti previsti in materia di privacy a favore dei soggetti che trattano dati personali non sensibili e l’unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti, senza indicazione della relativa diagnosi.

Per tali soggetti viene meno l’obbligo di tenuta del Documento Programmatico sulla Sicurezza (DPS), in sostituzione del quale è sufficiente stilare un’autocertificazione del titolare del trattamento dei dati, attestante l’osservanza delle misure di sicurezza richieste dal Codice della privacy.

È inoltre prevista l’emanazione di un apposito decreto per l’introduzione di ulteriori semplificazioni per la redazione del DPS ai fini amministrativo-contabili.
Sono state semplificate anche le informazioni contenute nella notificazione dei trattamenti di dati personali al Garante, che deve essere trasmessa attraverso il sito del Garante stesso, in luogo della trasmissione telematica mediante firma digitale, utilizzando l’apposito modello (che sarà adeguato alle nuove prescrizioni).

Per restare aggiornato iscriviti alla nostra Newsletter!

Privacy e internet

Le società private non possono svolgere attività di monitoraggio sistematico per individuare gli utenti che si scambiano file musicali o giochi su Internet.

La direttiva europea sulle comunicazioni elettroniche vieta ai privati di poter effettuare monitoraggi, ossia trattamenti di dati massivi, capillari e prolungati nei riguardi di un numero elevato di soggetti. É stato, poi, violato il principio di finalità: le reti P2P sono finalizzate allo scambio tra utenti di dati e file per scopi personali. L'utilizzo dei dati dell'utente può avvenire, dunque, soltanto per queste finalità.

Infine non sono stati rispettati i principi di trasparenza e correttezza, perché i dati sono stati raccolti ad insaputa sia degli interessati sia di abbonati che non erano necessariamente coinvolti nello scambio di file.

Link: Per restare aggiornato scriviti alla nostra Newsletter!

Documento programmatico sulla sicurezza (DPS privacy)

Il 31 marzo 2008 scade l’obbligo di redazione del documento programmatico sulla sicurezza (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196)

I consulenti-privacy per predisporre correttamente la bozza del documento DPS Privacy, hanno bisogno di una concreta e tangibile collaborazione dell'Azienda interessata, per rappresentare le informazioni relative all’organizzazione della Società, nonché delle possibili problematiche di sicurezza da gestire e delle misure di sicurezza del trattamento già applicate o da applicare.

Nel documento programmatico devono essere definiti i compiti e le responsabilità in materia di sicurezza e descritti i criteri utilizzati per la valutazione dei rischi, al fine di adottare un piano di interventi per la tutela e la protezione.

Link: Consulenti privacy Milano

Privacy: fax indesiderati

Il Garante della privacy è intervenuto nuovamente sul fenomeno dei fax indesiderati

Per poter inviare fax commerciali o promozionali occorre prima aver ottenuto il preventivo e specifico consenso del destinatario, anche se il numero di telefono viene estratto da elenchi telefonici cosiddetti "categorici”, quali Pagine Gialle, da registri pubblici o da banche dati online. Il Garante ha ricordato che tale garanzia non può essere elusa inviando un primo fax che, nel richiedere il consenso, abbia già un contenuto promozionale o pubblicitario.

Il Garante ha spiegato, invece, che quando si utilizzano sistemi automatizzati, oppure posta elettronica, sms o fax, anche se si tratta di elenchi categorici è necessario ottenere prima il consenso del destinatario, mediante contatto telefonico.

Link: Consulenza privacy e DPS in Milano

Documento programmatico sulla sicurezza

Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

• l'elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
• l'analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
• la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
• la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
• per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Link: Per restare aggiornato scriviti alla nostra Newsletter!

Privacy: modalità del trattamento dei dati

Secondo la vigente normativa sulla Privacy, I dati personali oggetto di trattamento devono essere:

1. trattati in modo lecito e secondo correttezza;
2. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
3. esatti e, se necessario, aggiornati;
4. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
5. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Link: Per restare aggiornato scriviti alla nostra Newsletter!

Redazione DPS Privacy

Si ricorda che, ai sensi di quanto previsto dal punto 19 dell’allegato B, del D.Lgs. 196/2003, TESTO UNICO SULLA PRIVACY - entro il 31 marzo 2008 il titolare di un trattamento di dati sensibili o di dati giudiziari dovrà redigere o aggiornare il DOCUMENTO PROGRAMMATICO SULLA SICUREZZA - DPS.

Ogni azienda dovrà quindi analizzare con attenzione la propria situazione per capire se è possibile confermare le misure minime di sicurezza dei dati indicate nel Documento Programmatico per la Sicurezza, oppure se quest’ultime necessitano di una revisione.

Il DPS ed i suoi aggiornamenti successivi sono documenti obbligatori ma non devono essere trasmessi a terzi (Autorità Garante per la Privacy) ma dovranno essere esibiti a richiesta in caso di accertamenti dal parte della Guardia di Finanza.

E' obbligatorio per gli Amministratori menzionare in maniera esplicita, nella relazione accompagnatoria al bilancio di esercizio di società di capitali, dell’avvenuta redazione o aggiornamento del DPS.

Link: Per restare aggiornato scriviti alla nostra Newsletter!
Link: Consulenti privacy Milano - Redazione DPS

DPS Privacy - Consulenti Privacy Milano

Il DPS (Documento Programmatico sulla Sicurezza) è un documento in cui sono descritti i trattamenti dei dati personali gestiti in azienda, l’organizzazione di sicurezza e l’analisi dei rischi.

Il DPS (Documento Programmatico sulla Sicurezza), secondo quanto previsto nell’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” (del D. Lgs. n. 196/03), deve essere redatto e aggiornato dal titolare dei dati, o da un responsabile designato entro il 31 marzo di ogni anno e deve essere menzionato nella relazione accompagnatoria del bilancio d'esercizio.

Link: Consulenti privacy Milano - redazione DPS

Privacy: E-mail, Spam e risarcimento danni

Non si possono inviare e-mail per pubblicizzare un prodotto o un servizio senza aver prima ottenuto il consenso del destinatario, ed è necessario ottenerlo prima di effettuare qualunque uso dell'indirizzo di posta elettronica.

Il destinatario di fax, e-mail, sms e mms indesiderati può rivolgersi al giudice civile e chiedere un risarcimento per la lesione dei propri diritti.

Lo ha affermato in un recente provvedimento il Garante che prosegue in questo modo nell'azione di contrasto allo spam. L'Autorità ha vietato l'uso illecito di dati personali a fini di marketing ad una società che inviava in modo sistematico e ad una molteplicità di persone, materiale pubblicitario e comunicazioni commerciali senza il consenso dei destinatari.

Altri Precedenti:

• In un caso il Garante [doc. web n. 1424068], in seguito alla segnalazione di un utente che lamentava la ricezione di e-mail pubblicitarie indesiderate, ha vietato il trattamento dei dati ad un sito Internet che promuoveva libri.
• In altri due casi [doc. web nn. 1433939, 1433896], invece, i segnalanti lamentavano la ricezione di pubblicità indesiderata via fax da parte di aziende che promuovevano servizi. Di fronte all'Autorità, le società hanno dichiarato che i messaggi pubblicitari erano rivolti a soggetti economici presenti negli elenchi "categorici" (es. pagine gialle) e non a consumatori e, quindi, ritenevano di potersi avvalere di una disposizione di carattere generale del Codice della privacy che permette di prescindere dal consenso degli interessati, quando il trattamento riguarda informazioni relative allo svolgimento di attività economiche. Tuttavia, secondo quanto affermato dai segnalanti, i dati personali erano presenti solo su elenchi telefonici ordinari e utilizzabili quindi solo per comunicazioni interpersonali, non avendo fornito alcun consenso per il loro uso a fini di marketing. Né, dalla documentazione è risultato che sia stato richiesto un successivo consenso dei destinatari.

Link: Consulenza privacy Milano