D.Lgs. 196/2003 sulla Privacy - Eros Cappellazzo Consulente

E r o s
C a p p e l l a z z o
-
C o n s u l e n t e
I n f o r m a t i c o
Consulenza – Assistenza - Personal Computer - Server - Networking - Sicurezza Informatica
Software - Siti Web - Formazione – Consulenza D.Lgs. 196/2003 sulla Privacy
Corso Machiavelli 119/3 – 10078 Venaria Reale (TO) – Italia
Tel. +39 339.25.25.220 Fax +39 011.45.26.176
email: [email protected][email protected] – Web: www.eroscappellazzo.it
P.Iva 10278910012 – C. F. CPPRSE66E30L219Y
LINEE GUIDA PRIVACY D.LGS N. 196/2003
CODICE PRIVACY: OBBLIGHI DI LEGGE
Dal 1° Gennaio 2004 è entrato in vigore il D.LGS N. 196/2003, familiarmente definito “Codice della
privacy”, rideterminando le norme riguardanti la protezione dei dati personali e imponendo nuovi e
articolati adempimenti per tutti i soggetti (enti, imprese, associazioni, professionisti e più in generale a
tutti i soggetti profit e non profit) che trattano dati personali.
Sono richiesti adeguamenti informatici, legali ed organizzativi, e le sanzioni previste in caso di
inosservanza sono pesanti.
L’ADEGUAMENTO ALLE MISURE MINIME DI SICUREZZA A NORMA DEL CODICE DELLA PRIVACY
Le aziende, i professionisti, le scuole, i medici, le strutture sanitarie, le associazioni non profit e chiunque
detenga o tratti dati personali (elenco clienti, pazienti, alunni, dipendenti, fornitori ecc…) devono
garantire la tutela dei dati personali almeno al “livello minimo di protezione e sicurezza dei dati”.
COSA RISCHIA CHI NON SI ADEGUA IN TEMPO
• Sanzioni
In caso di violazione accertata, sono previste sanzioni di tipo amministrativo fino 50.000 Euro e la
reclusione fino a 2 anni, e risarcimento di danni ai sensi dell'art. 2050 C.C.
Art.161 Omessa o inidonea informativa: sanzione da euro 3000 a 18.000.
Art.161 Omessa informativa per dati sensibili o giudiziari: sanzioni da Euro 5.000 a 30.000.
Art.164 Omessa informazione o esibizione dei documenti richiesti dal garante: sanzione da Euro 4.000 a
24.000.
• Illeciti penali
Art.167 Trattamento illecito di dati personali: reclusione da 6 mesi a 3 anni.
Art.168 falsità nelle dichiarazioni e notificazioni al garante: reclusione da 6 mesi a 3 anni.
Art 169 Omessa adozione delle misure minime di sicurezza: arresto fino a 2 anni o sanzioni amministrative
da Euro 10.000 a 50.000.
Art.170 inosservanza dei provvedimenti del garante: reclusione da tre mesi a due anni.
• Risarcimento danni
È tenuto al risarcimento, chi non prova di avere adottato tutte le misure idonee al trattamento della
sicurezza dei dati.
Chiunque cagiona danno è tenuto al risarcimento ai sensi dell'art. 2050 C.C.
• Ispezioni
É stato siglato un protocollo d'intesa tra la Guardia di Finanza ed il Garante della Privacy per una sempre
più intensa ed efficace attività di controllo sulla raccolta dati.
La Guardia di Finanza collaborerà alle attività ispettive attraverso la partecipazione del proprio personale
ai controlli sulle banche dati (informatiche o cartacee), alle verifiche e alle altre rilevazioni nei luoghi ove
si svolge il trattamento.
Le ispezioni serviranno per cancellare sacche di non applicazione della legge e per evitare disparità di
trattamento tra i privati che hanno sopportato spese per adeguarsi e chi non lo ha fatto (Relazione
annuale al Parlamento dell'Autorità Garante. 12 aprile 1999).
Consulenza – Assistenza - Personal Computer - Server - Networking - Sicurezza Informatica Siti Web - Software - Formazione – Consulenza D.Lgs. 196/2003 sulla Privacy
E r o s
C a p p e l l a z z o
-
C o n s u l e n t e
I n f o r m a t i c o
Consulenza – Assistenza - Personal Computer - Server - Networking - Sicurezza Informatica
Software - Siti Web - Formazione – Consulenza D.Lgs. 196/2003 sulla Privacy
Corso Machiavelli 119/3 – 10078 Venaria Reale (TO) – Italia
Tel. +39 339.25.25.220 Fax +39 011.45.26.176
email: [email protected][email protected] – Web: www.eroscappellazzo.it
P.Iva 10278910012 – C. F. CPPRSE66E30L219Y
LA SICUREZZA COME VANTAGGIO COMPETITIVO
La corretta applicazione delle misure di sicurezza consente non solo di adempiere agli obblighi di legge, ma
anche di migliorare l’organizzazione aziendale ottimizzando i processi di lavoro ed operare nella
consapevolezza che i dati trattati siano corretti, integri, aggiornati – come richiesto dal Codice all’art.11 - e
costituiscano, perciò, vere informazioni d’impresa.
La stessa impresa avrà quindi la garanzia di operare in sicurezza e in ottemperanza della legge e potrà
godere della piena fiducia della propria clientela o utenza. In tal modo la sicurezza si trasforma da costo a
investimento e vantaggio competitivo.
D.LGS N. 196/2003 non è quindi da interpretare come un ulteriore inutile adempimento burocratico, ma
può diventare un’opportunità per rendere più sicuri i propri archivi informatici, per mettersi al sicuro dai
controlli e per evitare di perdere cospicue somme di denaro per avere sottovalutato il rischio derivante dal
sistema informatico della propria organizzazione.
COSA OFFRO
Eros Cappellazzo Consulente informatico offre un supporto a tutti i soggetti che trattano dati personali
(sensibili o meno) all’interno delle proprie strutture e che sono obbligati a regolarizzarsi nei termini di legge.
I servizi erogati coprono ogni esigenza, dalla semplice consulenza di supporto, alla formazione del personale
incaricato, alla totale gestione delle incombenze di legge.
L’obiettivo è quello di affiancare il “Titolare del Trattamento”, cioè il responsabile unico rispetto alla
corretta applicazione delle norme sulla protezione dei dati personali, affinché possa serenamente adeguare
la propria azienda.
Durante le fasi di analisi dei dispositivi e delle infrastrutture delle Aziende oggetto della consulenza relativa
all'adeguamento al Codice della Privacy, ho notato che spesso, oltre alla stesura materiale del DPS e alla
formazione degli addetti, occorre adeguare la struttura sistemistica hardware e software implementata.
Riguardo la sicurezza e all’adeguamento dei sistemi informatici, oltre alla consulenza offro anche interventi
specialistici mirati.
L’offerta in materia all'adeguamento al Codice della Privacy si articola in più livelli:
ENTRY PRIVACY
Consulenza informatica e supporto al titolare o responsabile del trattamento rispetto ai seguenti ambiti:





analisi e definizione degli inventari dei sistemi informatici;
analisi e definizioni delle banche dati;
analisi delle vulnerabilità dei sistemi;
individuazione dei rischi fisici e logici;
strategie e procedure operative per minimizzare i rischi.
Attraverso questo servizio il “Titolare del trattamento” potrà acquisire tutte le informazioni necessarie per
attuare le strategie necessarie ad adeguare il sistema rispetto alla protezione dei dati personali.
Consulenza – Assistenza - Personal Computer - Server - Networking - Sicurezza Informatica Siti Web - Software - Formazione – Consulenza D.Lgs. 196/2003 sulla Privacy
E r o s
C a p p e l l a z z o
-
C o n s u l e n t e
I n f o r m a t i c o
Consulenza – Assistenza - Personal Computer - Server - Networking - Sicurezza Informatica
Software - Siti Web - Formazione – Consulenza D.Lgs. 196/2003 sulla Privacy
Corso Machiavelli 119/3 – 10078 Venaria Reale (TO) – Italia
Tel. +39 339.25.25.220 Fax +39 011.45.26.176
email: [email protected][email protected] – Web: www.eroscappellazzo.it
P.Iva 10278910012 – C. F. CPPRSE66E30L219Y
Full Privacy
Consulenza informatica e supporto al titolare o responsabile del trattamento rispetto ai seguenti ambiti:
 analisi e definizione degli inventari dei sistemi informatici;
 censimento delle applicazioni;
 analisi e definizioni delle banche dati;
 analisi delle vulnerabilità dei sistemi;
 individuazione dei rischi fisici e logici
 strategie e procedure operative per minimizzare i rischi;
 piano di formazione del personale;
 corsi di formazione del personale;
 rilascio attestato di formazione sulla Privacy e sul DPS:
 redazione o revisione del Documento Programmatico Sulla Sicurezza (DPS);
 censimento/analisi della distribuzione dei compiti e delle responsabilità;
 analisi delle misure di sicurezza fisiche adottate e da adottare;
 analisi delle misure di sicurezza logiche adottate e da adottare;
 analisi delle misure di sicurezza organizzative adottate e da adottare;
 analisi e definizione criteri e delle modalità di ripristino dei dati;
 gestione dei trattamenti affidati all’esterno;
 definizione dei criteri per la cifratura o la separazione dei dati sensibili dai dati comuni;
 redazione della modulistica richiesta dalla legge (informativa, consenso) con definizione nomine;
 designazione dei responsabili dei sistemi informativi;
 designazione dei responsabili del trattamento dei dati;
 designazione delle risorse esterne;
 divulgazione delle procedure interne;
 gestione privacy nell'eventuale presenza su internet;
 gestione scadenziario.
Fasi
 Audit - Raccolta informazioni ed individuazione dei responsabili del trattamento dei dati personali.
Questa attività viene svolta a diretto contatto con i responsabili dell'azienda e serve a identificare la tipologia
dei dati trattati, i luoghi fisici nei quali essi vengono custoditi (computer, archivi) e le persone coinvolte nel
trattamento dei dati personali, ed è finalizzata ad evidenziare le procedure operative utilizzate all'interno
della struttura del cliente. Da tale fase nasce la redazione dell'Informativa sul trattamento dati che va fornita
agli Interessati.
 Rilevazione e sicurezza dei dati.
Questa fase consiste nell’ inventariare tutte le banche dati, cartacee e informatiche, che contengono dati
personali. Tale attività viene svolta intervistando tutti gli incaricati al trattamento dei dati ed ispezionando
con loro le postazioni e gli ambienti di lavoro al fine di verificare il livello di sicurezza e che siano garantite le
misure minime di sicurezza previste dalla legge.
 Analisi dei rischi
In base alle rilevazioni fatte nelle fasi precedenti, a questo punto è possibile incrociare i dati con quanto
previsto dal d.lgs. 196/2003 ed individuare eventuali rischi (hardware, software, sui sistemi operativi e
banche dati) sul trattamento dati.
 Redazione documento programmatico sulla sicurezza DPS
A questo punto è possibile redigere il documento programmatico sulla sicurezza, denominato comunemente
DPS o DPSS. Ad esso sono allegate le lettere d'incarico per il personale, le lettere di nomina dei Responsabili.
Il documento programmatico sulla sicurezza - viene fornito in formato cartaceo per la conservazione in
azienda/ studio ed in formato elettronico per l'eventuale presentazione telematica su esplicita richiesta del
Garante della privacy.
Consulenza – Assistenza - Personal Computer - Server - Networking - Sicurezza Informatica Siti Web - Software - Formazione – Consulenza D.Lgs. 196/2003 sulla Privacy
E r o s
C a p p e l l a z z o
-
C o n s u l e n t e
I n f o r m a t i c o
Consulenza – Assistenza - Personal Computer - Server - Networking - Sicurezza Informatica
Software - Siti Web - Formazione – Consulenza D.Lgs. 196/2003 sulla Privacy
Corso Machiavelli 119/3 – 10078 Venaria Reale (TO) – Italia
Tel. +39 339.25.25.220 Fax +39 011.45.26.176
email: [email protected][email protected] – Web: www.eroscappellazzo.it
P.Iva 10278910012 – C. F. CPPRSE66E30L219Y
SCADENZE PRIVACY
MISURE DI SICUREZZA
SCADENZA
ANNUALE
Aggiornamento dell’ambito del
trattamento
X
Cambio Password
(Password Complesse)
DPS
Aggiornamento Antivirus
Aggiornamento dei programmi
volti a prevenire vulnerabilità
(Patch)
Disattivazione delle credenziali
di autenticazione per inutilizzo
Disattivazione delle credenziali
di autenticazione in caso di
perdita dei requisiti
Verifica della sussistenza delle
condizioni per la conservazione
dei profili di autorizzazione
SCADENZA
SEMESTRALE
ULTERIORI
SCADENZE
Incaricare le persone che, a
qualunque titolo, lavorano
presso l’azienda.
X
dati comuni
X
Dati sensibili o
giudiziari
X
entro il 31
marzo
X
AVVERTENZE
Cambiare password
obbligatoriamente anche al
primo utilizzo
Solo se si trattano dati sensibili
o giudiziari con strumenti
elettronici
X
X
dati sensibili
o giudiziari
X
X
immediata
X
Indicazione dell’Avvenuta
redazione del DPS
X
alla redazione
del bilancio
d’esercizio
SCADENZIARIO SPECIFICO PER LE SCUOLE
Adempimenti Annuali
 All'inizio dell'anno scolastico aggiornare le nomine degli incaricati
 Entro il 31 marzo aggiornare il DPS.
 In fase di approvazione del bilancio di esercizio, dichiarare l’avvenuto aggiornamento.
 Pianificare gli interventi di formazione per gli incaricati.
 Verificare l’esistenza dei requisiti per gli incaricati e i responsabili.
 Aggiornare le procedure per una corretta custodia di atti e documenti affidati agli incaricati e per la
conservazione degli atti in archivi ad accesso selezionato e disciplinare le modalità di accesso finalizzate
all’identificazione degli incaricati.
 Effettuare l’analisi d’efficacia delle misure adottate
Adempimenti Semestrali – Trimestrali per Dati Sensibili
 Aggiornare gli antivirus
 Aggiornare le password
 Disattivare le password in disuso
Adempimenti giornalieri
 Backup
Consulenza – Assistenza - Personal Computer - Server - Networking - Sicurezza Informatica Siti Web - Software - Formazione – Consulenza D.Lgs. 196/2003 sulla Privacy