Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Basi di dati

Decreto legislativo 30 giugno 2003, n. 196

Decreto legislativo 30 giugno 2003, n. 196
PROTEZIONE DEI DATI PERSONALI
Il D.Lgs. 196/2003 in materia di protezione dei dati personali annuncia una serie di adempimenti per la
sicurezza delle informazioni raccolte dai privati e dalle società. Tra le misure di sicurezza stabilite ci sono
delle misure a difesa delle attrezzature e dei documenti. Il D.Lgs. 196/2003 sostituisce completamente la
precedente Legge 675/1996. La principale novità introdotta dal D.Lgs. n. 196 del 2003 è l'introduzione del
Documento Programmatico sulla Sicurezza tra le misure minime obbligatorie estendendo così il numero di
soggetti obbligati alla compilazione del DPS.
Nello specifico il decreto è stato aggiornato in base ai seguenti provvedimenti:




















Il decreto-legge 24 dicembre 2003, n. 354 convertito, con modificazioni, dalla legge 26 febbraio
2004, n. 45;
Il decreto legislativo 22 gennaio 2004, n. 42;
Il decreto-legge 29 marzo 2004, n. 81 convertito, con modificazioni, dalla legge 26 maggio 2004, n.
138;
Il decreto-legge 24 giugno 2004, n. 158 convertito, con modificazioni, dalla legge 27 luglio 2004, n.
188;
Il decreto-legge 9 novembre 2004, n. 66 convertito, con modificazioni, dalla legge 27 dicembre
2004, n. 306;
Il decreto-legge 30 dicembre 2004, n. 314 convertito, con modificazioni, dalla legge 1 marzo 2005,
n. 26;
Il decreto-legge 27 luglio 2005, n. 144 convertito, con modificazioni, dalla legge 31 luglio 2005, n.
155;
Il decreto legislativo 7 settembre 2005, n. 209;
Il decreto legge 30 novembre 2005, n. 245 convertito, con modificazioni, dalla legge 27 gennaio
2006, n. 21;
Il decreto-legge 30 dicembre 2005, n. 273 convertito, con modificazioni, dalla legge 23 febbraio
2006, n. 51;
Il decreto-legge 12 maggio 2006, n. 173 convertito, con modificazioni, dalla legge 12 luglio 2006, n.
228;
Il decreto-legge 28 dicembre 2006, n. 300 convertito, con modificazioni, dalla legge 26 febbraio
2007, n. 17;
La legge 18 marzo 2008, n. 48, ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla
criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento
dell'ordinamento interno;
Il decreto legislativo 30 maggio 2008, n. 109;
Il decreto-legge 25 giugno 2008, n. 112 convertito, con modificazioni, dalla legge 6 agosto 2008 n.
133;
Il decreto-legge del 30 dicembre 2008, n. 207 convertito, con modificazioni, dalla legge 27 febbraio
2009, n. 14;
La legge 4 marzo 2009, n. 15;
Il decreto-legge del 25 settembre 2009, n. 135 convertito, con modificazioni, dalla legge 20
novembre 2009, n. 166;
La legge 29 luglio 2010, n. 120;
La legge 4 novembre 2010, n. 183;
COMMENTO
Il codice sulla tutela dei dati personali spiega due diverse tipologie di dati, i “Dati Personali” ed i “Dati
Sensibili”. Viene inoltre definito “Trattamento” qualsiasi operazione svolta sui dati raccolti sia in forma
manuale che in forma automatizzata tramite elaboratori elettronici.
A seconda della classificazione di dato trattato sono fissate diverse misure di sicurezza da adottare per la
tutela dei dati. Normalmente i dati sono raccolti come archivi cartacei ad esempio schedari o in database
memorizzati su elaboratori elettronici. Un database è un insieme di informazioni di diverso tipo, organizzate
secondo criteri ben precisi che permettono una rapida consultazione. Le informazioni vengono definite
“Dati”. Un dato è costituito da simboli (numeri e lettere) da elaborare, per lo più elettronicamente,
secondo un determinato programma. Un Database quindi è una collezione di dati organizzati. Esistono dei
programmi chiamati DBMS (Database Management System), che consentono la gestione dei dati mediante
l'ausilio di strumenti informatici. Rispetto ai database cartacei, gli archivi elettronici offrono molta più
flessibilità e consentono ricerche mediante le cosiddette “chiavi multiple. Dal punto di vista informatico viene
quindi definito “database relazionale” una collezione di dati organizzata in tabelle tra loro collegate mediante
chiavi di ricerca e indici. Esempi di programmi che gestiscono un database e quindi dei dati, sono i classici
programmi di contabilità. In questo caso i programmi gestiscono degli archivi anagrafici e contabili
organizzati in tabelle tra di loro correlate con indici. Questi archivi devono essere protetti con tutti gli
strumenti previsti dal D.Lgs. 196/2003.
Come detto nell’introduzione, la principale novità introdotta dal D.Lgs. 193/2003 è il fatto di avere inserito il
Documento Programmatico sulla Sicurezza (DPS) tra le misure minime di sicurezza obbligatorie. Tutti si
trovano quindi a dovere compilare il DPS.
Documento Programmatico sulla Sicurezza
Il DPS è un manuale che contiene l’analisi dei rischi e la pianificazione della sicurezza dei dati in azienda:
descrive come si tutelano i dati personali degli interessati che sono conservati e trattati in azienda. Il Garante
ha individuato una figura di responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda
deve adottare tutte le misure necessarie per l’espletamento della legge. Lo scopo del D.P.S. è proprio quello
di descrivere la situazione aziendale con riferimento ai punti stabiliti dal garante. La complessità ed il tempo
di stesura del DPS variano a seconda della dimensione dell’azienda e dalla mole di dati da processare. La
preparazione del documento programmatico, quindi, richiede una attenta valutazione ed analisi della
situazione aziendale e dei trattamenti effettuati.
Dal codice: “Art. 34. Trattamenti con strumenti elettronici”
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei
modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e
addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei
sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili
quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza
indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la
tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto
del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle
altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati
per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi
professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio
provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico
di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1.
In sintesi, possiamo dire che il DPS rappresenta non solo un adempimento legale ma un vero e proprio
strumento di riferimento per l'azienda in materia di trattamento dei dati personali e sensibili, e più in
generale di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti,
collaboratori, partner e fornitori devono adottare. È un documento che deve descrivere i sistemi adottati per
garantire la sicurezza delle informazioni. Deve dettagliare i compiti e le responsabilità, contenendo un'analisi
dei dati e le misure prese per la loro protezione. Il decreto in analisi non distingue tra piccole organizzazioni
come gli studi professionali e le grandi organizzazioni aziendali e le due realtà sono profondamente diverse.
Nelle grandi organizzazioni l'applicazione del D.Lgs. 196/2003 segue fedelmente l'organigramma aziendale,
cioè, in base alle funzioni, le risorse umane saranno dotate di differente accesso ai database aziendali. Nel
caso di piccole realtà come gli studi professionali l'attività è organizzata in modo diverso e ciò prevede anche
un differente approccio all'applicazione del D.Lgs. 196/2003.La prima grande diversità è che nelle grandi
organizzazioni il singolo ha una possibilità di visualizzazione abbastanza ridotta sulle informazioni aziendali,
mentre negli studi professionali, generalmente, tutti possono accedere a tutte le informazioni. E' molto raro,
infatti, che ci siano diversi accessi alle informazioni secondo il ruolo delle persone. Può capitare che, in alcuni
casi, ci siano limitazioni all'accesso ai dati contabili della fatturazione, limitazioni dettate più da criteri di
competenza che di reale segretezza. Per un piccolo studio spesso è il professionista che si occupa
direttamente dell'emissione delle parcelle, ad esempio, lasciando poi all'eventuale segretaria la gestione
dell'iter operativo. Gli eventuali collaboratori sono a volte lasciati esterni alla gestione della fatturazione. La
contabilità dei piccoli studi professionali comunque in genere è tenuta all'esterno, dai commercialisti e le
uniche operazioni svolte all'interno sono quelle relative alla fatturazione dei clienti, che il più delle volte è
gestita con i fogli di calcolo. La protezione delle fatture clienti, comunque, è solo di interesse del
professionista, per quanto riguarda il D.Lgs. 196/2003 si tratta di documenti necessari per adempiere ad un
obbligo di Legge.Per quanto riguarda i progetti veri e propri svolti dagli studi professionali in genere sono
accessibili a tutti i dipendenti e/o collaboratori. Per il D.Lgs. 196/2003 è quindi necessario identificare una
sola figura. Il D.P.S. scade il 31 marzo di ogni anno.
Documenti correlati
Scarica il file - Farmacovigilanza
Scarica il file - Farmacovigilanza
Assicurazione per i rischi derivanti dall`attività professionale in
Assicurazione per i rischi derivanti dall`attività professionale in
agenzia italiana del farmaco
agenzia italiana del farmaco
liberaprof
liberaprof
Pay back del prezzo dei farmaci
Pay back del prezzo dei farmaci
Decreto-legge 28 agosto 2008, n
Decreto-legge 28 agosto 2008, n
Aggiornamento dell`elenco dei medicinali, istituito con il
Aggiornamento dell`elenco dei medicinali, istituito con il
ORDINANZA N
ORDINANZA N
Legge 26 luglio 2005 n. 149
Legge 26 luglio 2005 n. 149
Analisi dei principali adempimenti di carattere organizzativo
Analisi dei principali adempimenti di carattere organizzativo
lettera d`incarico al responsabile della gestione e della manutenzione
lettera d`incarico al responsabile della gestione e della manutenzione
Piano Operativo
Piano Operativo
Scarica