logo

Benvenuti sul sito di Sicurdata Srl. Siamo a vostra disposizione per tutto ciò che riguarda consulenza in ambito Data Protection & E-Privacy e Compliance.

Contatti

Indirizzo:

Viale Belfiore, 42 - 50123 - Firenze (FI), Italia.
Email : info@opendata.it

 Domande?

Visita la sezione Questions & Answers

22 Giu

Aggiornamenti

Written by

Linee Guida, NewsLetter e Provvedimenti del Garante.

  • Studio e applicazione delle Linee Guida impartite dal Garante;
  • Preparazione di Lettere contenenti le newsletter del Garante che invieremo direttamente all'area interessata;
  • Applicazione dei provvedimenti impartiti da Garante laddove interessino l'attività del cliente.

I servizi offerti dallo Studio Professionale non terminano all'atto dell'allineamento e/o sottoscrizione degli adempimenti richiesti, ma è possibile effettuare delle richieste personalizzate che verranno valutate e condivise all'atto della richiesta.

Annualmente viene rivisto (se dovuta) il contenuto del documento presente sul Sito del Garante.

Verifica e Aggiornamento della notifica presente sul Sito del Garante, laddove siano cambiati i contenuti, la forma o ci siano aggiornamenti dall'autorità.

Verifica e Aggiornamento del DPS ai sensi del disciplinare tecnico in materia di misure minime di sicurezza come recitano gli articoli 33-34-35-36 del Codice e Allegato B.

Determinazione del piano di lavoro (generalmente annuale), identificato dal personale dello Studio che si affiancherà alle figure operative delle varie aree di lavoro.

Eventuale Piano di lavoro (annuale)

1) Formazione

Obbligatorietà della Formazione

INSERIMENTO NUOVO CODICE PRIVACY
Il Codice in materia di protezione dei dati personali (D. Lgs 196/03) ha apportato diverse modifiche ed integrazioni alla disciplina della privacy. Tra le novità previste c'è quella della formazione di tutti i soggetti del trattamento dei dati. L'allegato B al Codice privacy stabilisce le misure minime di sicurezza nel trattamento dati e prevede, alla norma 19, che il Titolare del trattamento rediga il Documento programmatico sulla sicurezza . Tale documento deve contenere, tra l'altro, la previsione di interventi formativi degli incaricati del trattamento per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto all’attività svolta. Tutti gli incaricati del trattamento devono ricevere un'adeguata formazione obbligatoria sulle norme di comportamento da seguire e sulle misure di sicurezza da attuare per il corretto trattamento dei dati personali. Ne deriva che la formazione degli incaricati del trattamento deve essere considerata una misura minima di sicurezza. Suddetta formazione deve essere programmata al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati. mancata adozione delle misure minime di sicurezza comporta l’applicazione di sanzioni penali a carico del Titolare del trattamento.
A tal proposito lo Studio Professionale ha redatto un piano di formazione studiato per ottimizzare gli investimenti e rendere un servizio basato sull'esperienza quindicennale nel settore. Il calendario delle sessioni di addestramento e formazione verrà preventivamente e congiuntamente deciso basandosi. Nel corso sono previste circa 10 slide e il rilascio di un attestato di frequenza (con eventuali crediti formativi) oltre ad un test conclusivo con recupero firme sul registro presenze da mettere agli atti e archiviare come prova inconfutabile di aver adempiuto e rispettato le regole imposte dal nuovo codice privacy a tutela del Datore di lavoro.

REGOLAMENTO INFORMATICO
Le realtà aziendali sono andate caratterizzandosi in questi ultimi anni per l’elevato uso delle tecnologie informatiche e telefoniche che se da un lato hanno consentito l'introduzione di innovative tecniche di gestione dell'impresa, dall'altro hanno anche dato origine a numerose problematiche relative all'utilizzo degli strumenti informatici/telefonici forniti dall'azienda ai propri collaboratori per lo svolgimento delle mansioni e compiti affidati. In questo senso, viene fortemente sentita dai datori di lavoro la necessità di porre in essere adeguati sistemi di controllo sull'utilizzo di tali strumenti da parte dei dipendenti/collaboratori e di sanzionare conseguentemente quegli usi scorretti che, oltre ad esporre l'azienda stessa a rischi tanto patrimoniali quanto penali, possono di per sé considerarsi contrari ai doveri di diligenza e fedeltà previsti dagli artt. 2104 e 2105 del Codice civile. I controlli sull'uso degli strumenti informatici/telefonici tuttavia, devono garantire tanto il diritto del datore di lavoro di proteggere la propria organizzazione, essendo i computer ed i telefoni aziendali strumenti di lavoro la cui utilizzazione personale è preclusa, quanto il diritto del lavoratore a non vedere invasa la propria sfera personale, e quindi il diritto alla riservatezza ed alla dignità come sanciti dallo Statuto dei lavoratori e dal Codice sulla privacy. Va peraltro segnalato che la giurisprudenza si è pronunciata solo ultimamente ed in modo non sempre concorde in merito ai limiti di tale forma di controllo e sulle caratteristiche delle possibili azioni disciplinari esercitabili nei confronti del lavoratore che abbia utilizzato in modo non corretto la strumentazione aziendale: risultano ancora poco delineati per esempio, i profili relativi all'applicazione, in materia, di quanto previsto dalla L. n. 300/1970 (Statuto dei lavoratori), in particolare dall'art. 4 sulle modalità di controllo a distanza della loro attività lavorativa e dall'art. 8 sui divieti di indagini sulle opinioni del lavoratore e sui fatti non rilevanti ai fini della valutazione dell'attitudine professionale degli stessi. I regolamenti aziendali (quali quello proposto) ed in genere le "policy" aziendali che dettano le regole sull'uso degli strumenti informatici e telematici, non sono comunque sostitutive della procedura prevista dal 2° comma dell’art. 4 dello Statuto dei lavoratori in materia di controlli leciti, nei casi in cui questa procedura sia necessaria. Si evidenzia, inoltre, che l'accesso da parte del datore di lavoro ai messaggi di posta elettronica presenti nella casella di posta assegnata ai singoli dipendenti potrebbe, potenzialmente, determinare violazione dell'art. 616 del codice penale, che punisce la violazione, sottrazione e soppressione di corrispondenza anche telematica altrui.

Tuttavia, proprio l'adozione di un regolamento aziendale che evidenzi la natura non personale della casella di posta assegnata e ne definisca le modalità d'uso ed i possibili controlli, rappresenta un utile strumento per evitare la configurabilità di tale reato.

Alla luce delle considerazioni sopra espresse e tenuto opportunamente conto delle Linee guida recentemente emanate dall'Autorità garante per la protezione dei dati personali, con propria deliberazione, sulla disciplina della navigazione in internet e sulla gestione della posta elettronica nei luoghi di lavoro, lo Studio Professionale (Privacy Consultant & Auditor Certificated), congiuntamente e dopo aver sentito il parere di alcune Associazioni di categoria dei lavoratori e con la collaborazione degli esperti delle Associazioni in materia di Information Technology, ha elaborato l'allegato schema di regolamento utilizzabile dalle imprese proprio per disciplinare le condizioni per il corretto utilizzo degli strumenti informatici/telefonici da parte dei dipendenti e/o collaboratori. Il regolamento di seguito proposto, essendo rilevante ai fini delle eventuali azioni disciplinari attivabili dal datore di lavoro nei confronti del dipendente, è stato redatto tenendo opportunamente conto da una parte delle disposizioni contenute nella Legge. n. 300/1970 in tema di provvedimenti disciplinari (art. 7), dall'altra delle indicazioni emerse nelle prime sentenze di merito e di legittimità pronunciatesi sull'argomento. Vengono inoltre considerati gli specifici obblighi previsti dal Codice della privacy (D.Lgs. n. 196/2003 e successive modifiche ed integrazioni) e dall'art. 29, 1°comma del D.Lgs. n. 242/1996 (in tema di controlli operati mediante il sistema informatico aziendale), nonché gli obblighi previsti dal disciplinare tecnico sulle misure minime di sicurezza allegato allo stesso Codice. Con riferimento alla normativa in tema di protezione dei dati personali, si ricorda come il Codice della privacy stabilisca che l'attività di controllo debba essere rispettosa dei principi fondamentali di "proporzionalità" (art. 3), debba avvenire nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato (art. 2) e soprattutto, che di tale attività, debba essere fornita adeguata e preventiva informativa (art. 13). Lo schema di regolamento ha lo scopo di informare gli interessati sulle finalità del controllo e sulle specifiche tecnologie adottate per effettuarlo. Particolare attenzione dovrà comunque venir prestata all’attività di controllo della navigazione internet qualora, mediante l'individuazione dei contenuti dei siti visitati, si determini un trattamento di dati sensibili per i quali deve sempre essere rispettato il principio dell'indispensabilità (art. 26, 4°comma lett. c) del Codice).

Il regolamento, inoltre, oltre a dettare una disciplina per l’utilizzo degli strumenti informatici/telefonici aziendali, vuole costituire un utile strumento per sensibilizzare il personale su altri aspetti altrettanto importanti nella gestione dei sistemi informatici aziendali, quali il rispetto della normativa sulla tutela legale del software (e quindi il controllo sulla regolarità del software presente nello stesso sistema informatico), e quella sulla tutela del know-how aziendale, quando queste importanti informazioni di proprietà dell’impresa sono custodite nel sistema informatico. Tra l’altro, se correttamente applicato e fatto rispettare, il regolamento può risultare anche un efficace strumento per limitare il rischio di insorgenza della responsabilità amministrativa a carico della società, prevista dal D.Lgs. n.231/ 2001: si ricorda infatti che, alla luce di tale normativa, il datore di lavoro può essere soggetto all’applicazione di sanzioni pecuniarie ed interdittive, nel caso di commissione da parte di un dipendente di specifici reati - anche se commessi tramite l’utilizzo di internet - dai quali la società stessa ne abbia tratto un vantaggio, seppur in modo indiretto.

A tal proposito lo Studio Professionale ha redatto una bozza di regolamento che dovrà essere sottoposto alla Vostra approvazione prima della divulgazione. Il corso sarà basato sulla spiegazione e motivi di introduzione di questo documento per un massimo di tre ore. Successivamente verrà rilasciato e raccolte le firme da archiviare. All’interno di questa attività è prevista la realizzazione personalizzata del regolamento.

Per ognuna delle aree coinvolte, verrà effettuato :

  • Definizione piano del Corso di formazione, dove vengono esaminati i provvedimenti, le news, le nuove linee guida e i casi studio emersi nell’anno precedente; Eventuali aggiornamenti sulla gestione del piano di lavoro da parte dello Studio;
  • Aggiornamento e/o emissione della documentazione per i nuovi assunti e/o collaboratori;
  • Verifica delle attività svolte dal personale soggetto a lettera d'incarico

2) Audit/Monitoraggio
Trimestralmente viene effettuato l’audit che consiste nel :

  • Verificare le aree dove avviene il trattamento, rilevare eventuali nuove unità operative o nuovi uffici;
  • Effettuare l’aggiornamento del mansionario dei dipendenti, con particolare riferimento alle autorizzazioni degli incaricati al trattamento in funzione del ruolo e delle esigenze di accesso al trattamento (ad. Es. consultazione, modifica e integrazione dei dati);
  • Verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnato agli incaricati;
  • Valutazione delle aree di dati soggetti a cifratura sulla base dell’incarico attribuito alla persona che effettua il trattamento;
  • Verifica dell’esistenza dei file-log degli accessi e delle operazioni effettuate dai soggetti incaricati del trattamento;
  • Verifica con l’amministratore dei sistemi della esistenza del sistema Audit-log, per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.

Alla fine di ogni Audit viene steso un documento che riporta quanto rilevato e gli eventuali accorgimenti da applicare.

Il primo incontro è propedeutico per raccogliere le esigenze e identificare quali siano le richieste da dover soddisfare. Al momento della intesa sia conoscitiva che economica vengono raccolti i requisiti e i riferimenti di cose e persone, propedeutici per la creazione delle componenti di lavoro.

Sulla base delle diverse modalità individuate, per la raccolta delle informazioni lo Studio Professionale Oliveri provvederà preventivamente ad inviare un questionario oppure ad indicare una user-id e password di accesso all'area riservata del portale internet per scaricare lo stesso, da utilizzare per la rilevazione delle informazioni necessarie ad una prima ricognizione sul supporto usato per il trasferimento dei dati e alle previste modalità di certificazione. Lo stesso questionario dovrà essere rinviato o elettronicamente oppure fornito in forma cartacea.

Si tratta del documento necessario per l'indispensabile ricognizione preliminare propedeutica all'espletamento dell'incarico affidato e riguarda:

  • apparecchiature informatiche e dei luoghi fisici in cui sono custoditi i dati;
  • dei dati trattati al fine della identificazione tipologica degli stessi;
  • identificazione dei dati trattati e delle misure di sicurezza già poste in essere;
  • della presenza degli eventuali soggetti esterni a cui vengono comunicati i dati personali ai sensi del codice sul trattamento dei dati personali;
  • delle banche dati soggette a protezione;
  • della tipologia di dispositivi di accesso e dei rischi che incombono sui dati;
  • delle misure già poste in essere e di quelle ulteriori che si riveleranno necessarie;
  • degli strumenti preesistenti e di quelli, ulteriori, necessari per predisporre il disaster recovery;
  • del grado di conoscenza della materia e dei relativi rischi da parte del personale e pianificazione contestuale degli interventi formativi previsti dal codice sul trattamento dei dati personali;
  • redazione di una check list necessaria alla compilazione del Documento Programmatico della Sicurezza;

Successivamente verranno pianificate visite ispettive da concordare preventivamente e congiuntamente.

Durante questo periodo lo Studio Professionale Oliveri erogherà il necessario supporto e affiancamento ai Responsabili e al referente del progetto individuato dalla struttura.

Il supporto consiste, oltre che alle visite per la raccolta dati, anche alla gestione di eventuali aggiornamenti e assistenza continuativa:

  • Aggiornamenti in materia di codice Privacy : con la stesura di lettere e invio news a referenti individuati;
  • Help Desk Telefonico, via mail e fax;
  • Help Desk tramite canale dedicato Skype
08 Giu

Privacy Faq

Written by

Domande e risposte frequenti - Privacy Faq

La precedente legge 675/96 è ancora in vigore ?
No, è stata abrogata con l'entrata in vigore del D.Lgs. 196/2003. Il nuovo Codice ha, infatti, riunito in un nuovo testo la L.675/96, le varie leggi e i Decreti che, nel corso degli anni, sono stati emanati sul trattamento dei dati personali.
Chi è tenuto ad applicare la normativa sul trattamento dei dati personali ?
Devono adeguarsi tutti coloro che trattano dati personali, sia in formato elettronico che cartaceo, e quindi: le aziende, i professionisti (commercialisti, medici, avvocati, notai, architetti, geometri…), i comuni, le pubbliche amministrazioni, gli ospedali, le scuole, i sindacati, le associazioni, le case di riposo e case di cura (pubbliche e private), le cooperative. In ultima analisi chiunque tratti dati personali di clienti, fornitori, dipendenti, soci, cittadini, pazienti, associati ecc ?
Cosa si intende per 'Strumenti Elettronici' ?
Sono gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. Es.: Computers, cellulari con fotocamera, macchine fotografiche digitali, e tutti gli altri strumenti elettronici che la tecnologia mette a disposizione.
E' necessario inviare l'informativa a tutti i clienti presenti in archivio ? Va inviata anche se attualmente non sussistono rapporti lavorativi ?
L'informativa deve essere resa prima di iniziare un trattamento ed ha il fine di rendere edotto l'interessato del posizionamento dei dati che lo riguardano e di come intervenire per l’eventuale correzione, aggiornamento,  cancellazione, ecc. L'articolo 4 del D.Lgs. 196/2003 definisce "trattamento" anche la conservazione dei dati, che devono comunque essere trattenuti, ex art.11, per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono  stati raccolti e trattati.
L'informativa deve avere obbligatoriamente la forma scritta?
In base a quanto stabilito dall'art. 13 l’informativa può essere validamente fornita anche in forma verbale. Tuttavia si consiglia l'utilizzo della forma scritta (in caso di contestazione, infatti, può essere difficile  provare di avere reso un'informativa orale), possibilmente controfirmata per ricezione dall'interessato.
L'informativa deve essere resa anche ai clienti/fornitori esteri?
Non sono previste delle differenze di trattamento per i dati relativi a soggetti stranieri quindi è obbligatorio rendere anche in questo caso idonea informativa.
Il consenso deve essere rilasciato necessariamente per iscritto?
L'art. 23 richiede che il consenso sia documentato per iscritto. Questo significa che il consenso può anche essere rilasciato oralmente ma deve essere annotato con cura (ad esempio prendendo nota del giorno e del nome della persona  che ha dato il consenso in un registro, un data base o un file). Viceversa il consenso al trattamento dei dati sensibili deve essere obbligatoriamente rilasciato in forma scritta.
Che differenza c'è fra il 'titolare' e il responsabile del trattamento?
Il "titolare" del trattamento è la persona fisica o giuridica alla quale competono, anche insieme ad altro titolare, le decisioni in ordine alle finalità del trattamento, alle modalità ed all’adozione delle misure di sicurezza.  Il titolare può facoltativamente designare un "responsabile" preposto al trattamento dei dati.
I dati presenti nelle buste paga rientrano nella nozione di dati sensibili?
Alcuni dati possono avere natura sensibile come ad esempio i sussidi di cura, l'iscrizione al sindacato, l’indennità missione handicappati, lo stato di salute del lavoratore ecc...
Quali sono i Dati Giudiziari?
Sono le informazioni riportate nel casellario giudiziale nonché la qualità di imputato o di indagato.
Cosa si intende per Dato sensibile?
Sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere  religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Es: cartelle cliniche, radiografie, dati relativi alle malattie dei dipendenti, l'iscrizione ad un sindacato?
A cosa serve l'informativa?
L'informativa ha la finalità di attuare i principi della correttezza, lealtà e trasparenza del trattamento. Non può essere generica in quanto deve fornire all'interessato una serie di informazioni relative alle finalità  del trattamento, modalità, natura obbligatoria o facoltativa del conferimento, soggetti che possono conoscere i dati ecc. Deve essere fornita preventivamente e permette all’interessato di esprimere un consenso valido al trattamento dei dati  nei casi in cui è richiesto.
Cosa stabilisce il Codice sulla Privacy relativamente all'indirizzo di posta elettronica?
L'indirizzo elettronico va considerato un dato personale a tutti gli effetti, e, pertanto, la sua raccolta ed utilizzo, in assenza dell'informativa ed eventualmente del consenso dell'interessato, costituiscono operazioni  di trattamento illecite. Parimenti la raccolta di indirizzi e-mail da aree pubbliche su internet rappresenta un cambio di finalità, nel senso che se un interessato lascia il proprio indirizzo in un newsgroup o per ricevere risposte a precedenti sue  richieste non per questo può essere contattato da un soggetto terzo per altri fini senza il suo consenso.
Cosa è il Documento Programmatico sulla Sicurezza (DPS)?

Il documento programmatico per la sicurezza (DPS) fotografa le banche dati presenti in azienda e le misure di sicurezza adottate. Si compone dei seguenti punti:
a) elenco dei trattamenti eseguiti; b) distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; c) analisi dei rischi che incombono sui dati; d) misure adottate per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; e) criteri e modalità per il ripristino della disponibilità dei dati in seguito ad eventuali episodi di distruzione o danneggiamento; f) interventi formativi degli incaricati del trattamento; g) criteri per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; h) per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Inoltre una delle questioni dibattute in dottrina riguarda proprio l'adozione del Documento programmatico sulla sicurezza (di seguito DPS), nell'ambito specifico del trattamento di dati per via elettronica. In merito si riscontrano due orientamenti: da una parte si sostiene che deve essere adottato solo nel caso di trattamento di dati sensibili e giudiziari e dall'altra che deve essere adottato in ogni caso stante l’obbligo generale sancito dal Codice per il trattamento dei dati personali. Dalla lettura del Decreto appare chiaro come il Legislatore abbia predisposto una tutela più stringente per i dati sensibili e giudiziari rispetto ai dati personali. Sarebbe però incongruente interpretare quanto scritto sul Disciplinare tecnico solo nel senso dell’adozione del DPS in caso di trattamento di dati sensibili e giudiziari. In primo luogo perché si verificherebbe un contrasto tra obbligo generale (sancito dall'art. 34 dove si parla di «dati personali») e obbligo specifico sancito dall'Allegato B (c.d. Disciplinare tecnico) all'art. 19 (in cui si parla di «dati sensibili» e «giudiziari»). L'art. 34 precisa che la redazione del DPS deve avvenire «nei modi» previsti dal Disciplinare tecnico ma non specifica "in conformità" ossia nei limiti da esso previsti. A mio avviso, dunque, l'art.19 stabilisce semplicemente una indicazione temporale sull'aggiornamento del DPSS in caso di trattamento di dati sensibili e giudiziari fermo restando l'obbligo generale di aggiornamento sancito dall'art. 34. Tale lettura trova conforto nella sistematica del Codice: se, per esempio, analizziamo il Disciplinare tecnico si riscontra una statuizione di tempi più brevi per l’adozione di misure relative al trattamento dei dati sensibili e giudiziari e più lunghi per le altre tipologie di dati. In tal senso si vedano l'art. 5 in cui si stabilisce un aggiornamento almeno semestrale della parola chiave (password) in caso di trattamento di dati personali e almeno trimestrale in caso di trattamento di dati sensibili e giudiziari. Allo stesso modo l'art. 17 prevede un aggiornamento dei programmi di protezione almeno annuale nel caso di trattamento di dati personali e almeno semestrale in caso di trattamento di dati sensibili e giudiziari.
In secondo luogo, è palese l'incongruenza se leggiamo quanto scritto all'art. 19.7, Allegato B, il quale sancisce l'obbligo di descrivere, all'interno del DPS, i «criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamento di dati personali» (senza ulteriori specifiche) «affidati (…) all'esterno della struttura del titolare». Se la lettura fosse nel senso di un obbligo di redigere il DPS gravante solo sui titolari di trattamenti di dati sensibili e giudiziari si configurerebbe una situazione di disparità di trattamento, che suscita dubbi sul piano della ragionevolezza. Non si comprende infatti il motivo per cui l'affidamento del trattamento di dati personali (per esempio dati comuni) all'esterno della struttura, diventi rilevante solo nel caso in cui si trattino anche dati sensibili e giudiziari. Per finire, continuando la lettura del Disciplinare tecnico ogni incertezza sembra fugata dal titolo «Ulteriori misure da adottare in caso di trattamento di dati sensibili o giudiziari» (art. 20 ss.). Se analizziamo la sistematica del Codice appare evidente che il Legislatore utilizza l'aggettivo "ulteriori" per disciplinare un ambito specifico di trattamento, dopo aver dettato la disciplina generale. In tal senso si veda il Capo II «Regole ulteriori per i soggetti pubblici» (art. 18 ss.) che detta, appunto, "ulteriori" regole per il trattamento effettuato da soggetti pubblici dopo aver dettato quelle generali per tutti i trattamenti (si veda il Capo I «Regole per tutti i trattamenti»). L'interpretazione estensiva, qui sostenuta, sembra essere corretta anche riflettendo sui profili operativi del Codice. Il DPS, infatti, non è altro che una "fotografia" degli adempimenti eseguiti dal soggetto e quindi in caso di un controllo da parte delle Autorità competenti risulta essere un importante strumento di tutela dalle sanzioni penali e dalle richieste di risarcimento danni per violazione della privacy. Anche dal punto di vista pratico, quindi, sembra ragionevole sostenere che il Legislatore abbia voluto stabilire un obbligo generale di adozione del DPS riservando un’attenzione particolare al trattamento dei dati sensibili e giudiziari per il quale si prevede un aggiornamento del Documento in tempi più ristretti o comunque ben determinati («entro il 31 marzo di ogni anno»).
Poi, Sul Sito del Garante, nella cartella "disposizioni del 1 Marzo 2005", c'é il parere del Garante proprio in merito a questa nuova disposizione poi pubblicato in gazzetta n. 50 del 2-3-2005.
Altra fonte "il sole 24 ore" del 6 di Marzo 2005 ci sono ben 5 pagine in merito a questo argomento.
Interpretazione e abolizione del DPSS (Leggi il pdf)

Qual è lo scopo del DPS?
Descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilità ecc…) ed il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa privacy.  L'obbligo di redazione del DPS coinvolge tutti i soggetti che trattino dati sensibili o giudiziari con l'ausilio di strumenti elettronici (può però essere opportuno predisporre comunque il Documento programmatico per la sicurezza, soprattutto nelle  strutture di una certa complessità).
Quali sono le principali sanzioni previste?
Le sanzioni variano a seconda dei casi. Vedi paragrafo SANZIONI
Cosa contiene l'allegato B?
È il Disciplinare tecnico in materia di misure minime di sicurezza, che indica in 29 punti quali sono le misure minime di sicurezza da adottare. È aggiornato periodicamente con Decreto del Ministro della Giustizia di concerto con il Ministro  per le Innovazioni e le Tecnologie.
Cosa deve fare chi tratta i dati senza l'ausilio di strumenti elettronici?
Chi tratta dati personali senza tali mezzi è tenuto ad adottare le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati; b) prevedere procedure per una idonea  custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) prevedere procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplinare le modalità di accesso finalizzata all' identificazione degli incaricati.
Cosa sono le Misure Minime?
Sono il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano  il livello minimo di protezione richiesto in relazione ai rischi previsti dalla legge. Sono differenziate a seconda che il trattamento sia effettuato con strumenti elettronici o cartacei.
08 Giu

Piano Ispettivo

Written by

Piano Ispettivo

Dopo il primo piano ispettivo semestrale, che prevedeva controlli serrati su Investigatori privati, servizi informatici (in specifico se forniti attraverso "cloud computing"), istituti bancari, carte di credito e marketing sia per mezzo di sms ed di e-mail, enti previdenziali, il Garante ha varato il secondo piano per le ispezioni e controllo. Saranno interessati i settori del telemarketing e quelli dove l'uso di fax indesiderati risulta massivo; saranno ancora sotto la lente del garante le attività di customer care, società di recupero crediti ed enti previdenziali. Durante le ispezioni le società sia pubbliche che private dovranno fornire tutte le informazioni date agli interessati in relazione all'uso dei dati personali, quelle relative alle misure di sicurezza adottate ed ai tempi di conservazione dei dati. Gli accertamenti (ne sono previsti 225) verteranno inoltre sul consenso da richiedere nei casi previsti dalla legge e sull'obbligo di notificazione al Garante.

A seguito di segnalazioni da parte degli interessati, l'Autorità Garante, in collaborazione con il Nucleo privacy della Guardia di Finanza, procederà anche a verificare la liceità dell'attività di quelle società che avranno commesso maggior violazioni del diritto di opposizioni dei soggetti iscritti al registro istituito presso Ministero dello sviluppo economico.

Se nel primo semestre su 230 ispezioni effettuate, addirittura 181 sono stati i procedimenti sanzionatori, con un totale di le entrate di 1 milione e 160 mila euro, ci si chiede quale sarà l'esito di questi nuovi controlli?
Il risultato saranno ancora sanzioni così alte o se le società italiane avranno finalmente adottato le misure di sicurezza minime?

08 Giu

Scadenze

Written by

Le Scadenze

Garante Privacy: prorogato al 30 novembre il termine per la nomina a responsabile di agenti svolgenti attività promozionali
Il Garante Privacy con provvedimento del 7 settembre n. 327 ha prorogato fino al 30 novembre 2011 il termine per adempiere alle prescrizioni previste nel provvedimento n. 230 del 15 giugno 2011, relativo alla "Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali". Tale decisione è stata adottata a seguito di note formali inviate da parte di varie società di telefonia che hanno rilevato la loro difficoltà nel portare a compimento entro il termine previsto le prescrizioni del provvedimento n. 230-2011, pur avendo "avviato il processo di adeguamento" tempestivamente, e a seguito della manifestazione informale all'Autorità delle medesime preoccupazioni da parte di società di molti altri settori economici.

Amministratori di Sistema: scade il 15 dicembre l'obbligo annuale di redazione della relazione
Si porta all'attenzione di tutti i soggetti interessati dal Provvedimento del Garante Privacy del 27 novembre 2008, e dalle successive modifiche, che il prossimo 15 dicembre scade l'obbligo di redazione della relazione annuale in materia di amministratore di sistema.

Scade al 31 Dicembre l'eventuale monitoraggio e audit e relativa visita ispettiva
Si porta all'attenzione di tutti i soggetti che hanno sottoscritto un contratto con lo Studio Professionale Oliveri che entro il 31 Dicembre 2011 dovrà essere eseguita la consueta visita ispettiva.

Scade al 30 Marzo 2012 l’eventuale revisione del D.P.S.S.
Si porta all'attenzione di tutti i soggetti che devono redigere il Documento Programmatico sulla Sicurezza (privacy) che ogni anno entro il 31 marzo deve essere revisionato il documento. Inoltre:

  • Art 26: Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, l'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Il d.p.s.s. deve essere custodito presso la struttura del titolare, per esibirlo in sede di eventuali controlli e revisionato obbligatoriamente a marzo di ogni anno con degli audit e monitoraggi interni e/o esterni da effettuare periodicamente.

Se nel sito Web manca l'informativa sulla privacy può scattare una multa salata
Nell'ambito di una serie di controlli effettuati dal Nucleo Speciale Funzione Pubblica e Privacy della Guardia di Finanza, alcune aziende si sono viste infliggere multe ai sensi dell'art. 161 del D.Lgs. 196/03, per aver omesso di inserire l'informativa sul trattamento dei dati personali sul proprio sito Web o per averla inserita in maniera non idonea. In effetti, creare un sito Web senza preoccuparsi dei riflessi connessi alla normativa sulla protezione del trattamento di dati personali, è una leggerezza che può costare cara al titolare del trattamento. L'omessa o inidonea informativa, infatti, è sanzionata dall'art. 161 del Codice con una sanzione amministrativa che va da un minimo di 6.000 a un massimo di 36.000 Euro.

08 Giu

Adempimenti

Written by

Gli Adempimenti Privacy prioritari

Come evidenziato anche nella sezione Adempimenti, visto l'attuale quadro sanzionatorio, fermo restando che ci si dovrebbe adeguare a tutte le prescrizioni previste dal Codice privacy, si può ritenere come assolutamente prioritario:

  • la redazione del Documento Programmatico sulla Sicurezza (se dovuto);
  • aggiornamenti, monitoraggi e audit;
  • l'adeguamento alla misure minime di sicurezza e provvedimenti specifici (ad esempio VIDEOSORVEGLIANZA, etc…);
  • la redazione e presentazione delle informative e, quando previsto, l’ottenimento del consenso degli interessati;
  • la redazione e consegna delle lettere di incarico ai componenti del personale;
  • la nomina dei responsabili esterni ed interni;
  • la certificazione della formazione del personale incaricato al trattamento;
  • l'adozione di un regolamento informatico e policy privacy per utilizzo smartphone e cellulari aziendali;
  • l'eventuale adozione di un regolamento specifico per trattamento di dati giudiziari e/o sensibili;
  • eventuale adozione regolamento per VIDEOSORVEGLIANZA e accordo con le sigle sindacali;
  • Policy privacy per sito internet (obbligatorietà informativa privacy e regole);
  • per chi vi è tenuto, la notifica al Garante
08 Giu

Sanzioni

Written by

Le Sanzioni


L'adeguamento è obbligatorio e le sanzioni prevedono multe e pene detentive che variano in funzione dell'illecito commesso. Ad esempio, chiunque omette di adottare le misure minime di sicurezza (Art.33, Art.34, Art.35, Art.36) è punito con l'ammenda da 10.000 a 50.000 Euro, o alternativamente, l'arresto sino a due anni. Nel caso di omessa o incompleta notificazione è prevista una sanzione amministrativa tra gli Euro 10.000 e gli Euro 60.000 (art. 37 ss. T.U.). Nel caso di omessa o inidonea informativa è prevista una sanzione amministrativa tra gli Euro 3.000 e gli Euro 18.000, importo ulteriormente elevabile in considerazione della tipologia di dati trattati e delle condizioni economiche del trasgressore (art.13,23,24 T.U. e Aut. 4/2002 e 7/2002). Con l'entrata in vigore della legge 133/2008 le eventuali sanzioni, cui potrebbe andare incontro il titolare che si avvalesse della autocertificazione pur non avendone diritto, o che non dovesse adottare le misure i sicurezza nei termini che ha dichiarato, la dottrina ritiene che trovi applicazione l'articolo 483 del codice penale – Falsità ideologica commessa dal privato in atto pubblico: "Chiunque attesta falsamente al pubblico ufficiale, in un atto pubblico, fatti dei quali l’atto è destinato a provare la verità, è punito con la reclusione fino a due anni". La giurisprudenza tende infatti ad equiparare la dichiarazione sostitutiva di atto notorio, di cui all'articolo 47 Dpr 445/2000, all'atto pubblico.

Riepilogando le sanzioni previste dal codice:
Il Testo Unico sulla Privacy prevede illeciti penali, violazioni amministrative e responsabilità civile per danni.
Riportiamo di seguito un riassunto delle principali norme in materia, un nostro commento in merito e un riepilogo di quelli che, visto l'attuale apparato sanzionatorio, a nostro avviso risultano essere gli adempimenti prioritari.

Illeciti Penali


Trattamento illecito di dati (Art. 167 Codice privacy)
Salvo che il fatto non costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della normativa è punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a tre anni.

Falsità nelle dichiarazioni e notificazioni al Garante (Art. 168 Codice privacy)
Chiunque, nella notificazione o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.

Misure di sicurezza (Art. 169 Codice privacy)
Chiunque, essendovi tenuto, omette di adottare le misure minime previste è punito con l'arresto sino a due anni o con l'ammenda da 10.000 a 50.000 Euro. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario. (…) Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.

Inosservanza di provvedimenti del Garante (Art. 170 Codice privacy)
Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante, è punito con la reclusione da tre mesi a due anni.

 

Violazioni amministrative

Omessa o inidonea informativa all’interessato (Art.161 Codice privacy)
Sanzioni da 3000 a 18000 Euro, oppure da 5.000 a 30.000 Euro se dati sensibili. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

Omessa o incompleta notificazione (Art. 163 Codice privacy)
Sanzioni da 10.000 Euro a 60.000 Euro ed in più condanna alla pubblicazione della sentenza.

Omessa informazione o esibizione al Garante (Art. 164 Codice privacy)
Sanzioni da 4.000 a 24.000 Euro.

Cessione illecita di dati ("Altre fattispecie", Art. 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali è punita con la sanzione amministrativa da 5.000 a 30.000 Euro.

Pubblicazione della sentenza ("Pene accessorie", Art. 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza.

 

Responsabilità civile per danni

Danni cagionati per effetto del trattamento (Art. 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. E’ risarcibile anche il danno non patrimoniale.

Commento sulle sanzioni penali, amministrative e civili previste dal Codice Privacy
Già da una prima analisi delle norme, ciò che si nota è la severità delle sanzioni penali previste, che arrivano sino a 3 anni di reclusione. Le sanzioni pecuniarie , invece, arrivano sino a 90.000 Euro. Un'altra cosa importante da rilevare è la potenziale vastità di applicazione dell'Art. 167 sul trattamento illecito di dati, che se nella realtà (la formulazione da noi proposta sopra è un riassunto) fa riferimento a delle casistiche determinate perché sia applicabile, nondimeno appare potersi comunque configurare una sua applicabilità abbastanza estesa. Soprattutto, tale articolo è specificamente applicabile nei casi di mancato ottenimento del consenso, quando previsto come obbligatorio. Ovviamente il consenso deve ottenersi previa presentazione di un'idonea informativa, per cui anche questa deve ritenersi un adempimento molto importante. Inoltre, è da rilevare come le sanzioni penali previste per le misure minime di sicurezza sono applicabili anche alla mancata redazione od aggiornamento del Documento Programmatico sulla Sicurezza, in quanto l'Art. 34 del Codice privacy stabilisce che la redazione di tale documento fa parte delle misure minime di sicurezza. Le sanzioni penali previste dal Codice privacy potrebbero essere applicabili (sebbene si debba sottolineare che l’interpretazione sia molto opinabile, in quanto le norme non consentono un'interpretazione chiara) anche ad altre inadempienze, come ad esempio la mancata formazione del personale, richiamata dall'Art. 19 del disciplinare tecnico allegato al Codice privacy, che tratta del Documento Programmatico sulla Sicurezza che a sua volta è una misura minima di sicurezza. Il fatto che, oltre alle fattispecie direttamente previste, le sanzioni penali potrebbero essere applicate anche ad altre inadempienze, con un potere discrezionale abbastanza significativo da parte dello specifico giudice, dovrebbe ovviamente suggerire alle imprese di non correre rischi ed essere sollecite nell'effettuare gli adempimenti previsti dalla legge. Per quel che concerne la responsabilità civile per danni, il Codice privacy qualifica il trattamento dei dati personali come attività pericolosa, ex. art. 2050 c.c., ed è da evidenziare come ciò comporti un'inversione dell'onere della prova nell'azione risarcitoria, per cui tale onere viene a gravare sull'azienda, che è tenuta a dimostrare di avere applicato "tutte le misure di sicurezza più idonee" (quindi con la miglior tecnologia ed organizzazione possibile) a garantire la sicurezza dei dati personali gestiti. Cosa che ovviamente rende estremamente più difficile uscire indenni da un eventuale giudizio. Dunque la non applicazione delle misure idonee di sicurezza rende molto più alto il rischio di ritrovarsi soggetti e poi perdenti in una eventuale azione di responsabilità per danni.

Cookies

I cookies sono piccoli file di testo creati da un server e sono memorizzati sul dispositivo utilizzato dall'Utente per la navigazione sul sito. Essi permettono al sito di garantire all'Utente tutte le funzionalità, una migliore e completa esperienza di navigazione, e di essere al corrente delle preferenze e dei comportamenti dell'utente. Sicurdata Srl utilizza due tipi di cookies, di sessione e persistenti.

I cookies di sessione consentono all'Utente l'esplorazione sicura ed efficiente del sito internet; questi cookies non vengono memorizzati in modo permanente sul dispositivo dell'Utente e si cancellano con la chiusura del browser. I cookies persistenti vengono trasmessi al dispositivo dell'Utente la prima volta che si collega al sito di Sicurdata Srl, e sono memorizzati sul dispositivo stesso. Sicurdata Srl utilizza cookies persistenti per memorizzare le preferenze dell'utente e di terze parti (Google Analytics) al fine di produrre statistiche di utilizzo del sito e per la scelta della lingua.

L'Utente può opporsi alla registrazione dei cookies sul proprio dispositivo configurando il browser usato per la navigazione: se utilizza il sito di Sicurdata Srl senza cambiare le impostazioni del browser, presupponiamo che vorrà ricevere tutti i cookies usati dal sito e fruire di tutte le funzionalità.

Newsletter

Iscrivendoti alla nostra mailing list sarai in grado di ricevere tutte le nostre ultime notizie.
Privacy e Termini di Utilizzo
Non preoccuparti, odiamo lo spam!

Contattaci

Rimaniamo in contatto