logo

Benvenuti sul sito di Sicurdata Srl. Siamo a vostra disposizione per tutto ciò che riguarda consulenza in ambito Data Protection & E-Privacy e Compliance.

Contatti

Indirizzo:

Viale Belfiore, 42 - 50123 - Firenze (FI), Italia.
Email : info@opendata.it

 Domande?

Visita la sezione Questions & Answers

Componenti di lavoro

Determinazione del piano di lavoro (generalmente annuale), identificato dal personale dello Studio che si affiancherà alle figure operative delle varie aree di lavoro.

Eventuale Piano di lavoro (annuale)

1) Formazione

Obbligatorietà della Formazione

INSERIMENTO NUOVO CODICE PRIVACY
Il Codice in materia di protezione dei dati personali (D. Lgs 196/03) ha apportato diverse modifiche ed integrazioni alla disciplina della privacy. Tra le novità previste c'è quella della formazione di tutti i soggetti del trattamento dei dati. L'allegato B al Codice privacy stabilisce le misure minime di sicurezza nel trattamento dati e prevede, alla norma 19, che il Titolare del trattamento rediga il Documento programmatico sulla sicurezza . Tale documento deve contenere, tra l'altro, la previsione di interventi formativi degli incaricati del trattamento per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto all’attività svolta. Tutti gli incaricati del trattamento devono ricevere un'adeguata formazione obbligatoria sulle norme di comportamento da seguire e sulle misure di sicurezza da attuare per il corretto trattamento dei dati personali. Ne deriva che la formazione degli incaricati del trattamento deve essere considerata una misura minima di sicurezza. Suddetta formazione deve essere programmata al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati. mancata adozione delle misure minime di sicurezza comporta l’applicazione di sanzioni penali a carico del Titolare del trattamento.
A tal proposito lo Studio Professionale ha redatto un piano di formazione studiato per ottimizzare gli investimenti e rendere un servizio basato sull'esperienza quindicennale nel settore. Il calendario delle sessioni di addestramento e formazione verrà preventivamente e congiuntamente deciso basandosi. Nel corso sono previste circa 10 slide e il rilascio di un attestato di frequenza (con eventuali crediti formativi) oltre ad un test conclusivo con recupero firme sul registro presenze da mettere agli atti e archiviare come prova inconfutabile di aver adempiuto e rispettato le regole imposte dal nuovo codice privacy a tutela del Datore di lavoro.

REGOLAMENTO INFORMATICO
Le realtà aziendali sono andate caratterizzandosi in questi ultimi anni per l’elevato uso delle tecnologie informatiche e telefoniche che se da un lato hanno consentito l'introduzione di innovative tecniche di gestione dell'impresa, dall'altro hanno anche dato origine a numerose problematiche relative all'utilizzo degli strumenti informatici/telefonici forniti dall'azienda ai propri collaboratori per lo svolgimento delle mansioni e compiti affidati. In questo senso, viene fortemente sentita dai datori di lavoro la necessità di porre in essere adeguati sistemi di controllo sull'utilizzo di tali strumenti da parte dei dipendenti/collaboratori e di sanzionare conseguentemente quegli usi scorretti che, oltre ad esporre l'azienda stessa a rischi tanto patrimoniali quanto penali, possono di per sé considerarsi contrari ai doveri di diligenza e fedeltà previsti dagli artt. 2104 e 2105 del Codice civile. I controlli sull'uso degli strumenti informatici/telefonici tuttavia, devono garantire tanto il diritto del datore di lavoro di proteggere la propria organizzazione, essendo i computer ed i telefoni aziendali strumenti di lavoro la cui utilizzazione personale è preclusa, quanto il diritto del lavoratore a non vedere invasa la propria sfera personale, e quindi il diritto alla riservatezza ed alla dignità come sanciti dallo Statuto dei lavoratori e dal Codice sulla privacy. Va peraltro segnalato che la giurisprudenza si è pronunciata solo ultimamente ed in modo non sempre concorde in merito ai limiti di tale forma di controllo e sulle caratteristiche delle possibili azioni disciplinari esercitabili nei confronti del lavoratore che abbia utilizzato in modo non corretto la strumentazione aziendale: risultano ancora poco delineati per esempio, i profili relativi all'applicazione, in materia, di quanto previsto dalla L. n. 300/1970 (Statuto dei lavoratori), in particolare dall'art. 4 sulle modalità di controllo a distanza della loro attività lavorativa e dall'art. 8 sui divieti di indagini sulle opinioni del lavoratore e sui fatti non rilevanti ai fini della valutazione dell'attitudine professionale degli stessi. I regolamenti aziendali (quali quello proposto) ed in genere le "policy" aziendali che dettano le regole sull'uso degli strumenti informatici e telematici, non sono comunque sostitutive della procedura prevista dal 2° comma dell’art. 4 dello Statuto dei lavoratori in materia di controlli leciti, nei casi in cui questa procedura sia necessaria. Si evidenzia, inoltre, che l'accesso da parte del datore di lavoro ai messaggi di posta elettronica presenti nella casella di posta assegnata ai singoli dipendenti potrebbe, potenzialmente, determinare violazione dell'art. 616 del codice penale, che punisce la violazione, sottrazione e soppressione di corrispondenza anche telematica altrui.

Tuttavia, proprio l'adozione di un regolamento aziendale che evidenzi la natura non personale della casella di posta assegnata e ne definisca le modalità d'uso ed i possibili controlli, rappresenta un utile strumento per evitare la configurabilità di tale reato.

Alla luce delle considerazioni sopra espresse e tenuto opportunamente conto delle Linee guida recentemente emanate dall'Autorità garante per la protezione dei dati personali, con propria deliberazione, sulla disciplina della navigazione in internet e sulla gestione della posta elettronica nei luoghi di lavoro, lo Studio Professionale (Privacy Consultant & Auditor Certificated), congiuntamente e dopo aver sentito il parere di alcune Associazioni di categoria dei lavoratori e con la collaborazione degli esperti delle Associazioni in materia di Information Technology, ha elaborato l'allegato schema di regolamento utilizzabile dalle imprese proprio per disciplinare le condizioni per il corretto utilizzo degli strumenti informatici/telefonici da parte dei dipendenti e/o collaboratori. Il regolamento di seguito proposto, essendo rilevante ai fini delle eventuali azioni disciplinari attivabili dal datore di lavoro nei confronti del dipendente, è stato redatto tenendo opportunamente conto da una parte delle disposizioni contenute nella Legge. n. 300/1970 in tema di provvedimenti disciplinari (art. 7), dall'altra delle indicazioni emerse nelle prime sentenze di merito e di legittimità pronunciatesi sull'argomento. Vengono inoltre considerati gli specifici obblighi previsti dal Codice della privacy (D.Lgs. n. 196/2003 e successive modifiche ed integrazioni) e dall'art. 29, 1°comma del D.Lgs. n. 242/1996 (in tema di controlli operati mediante il sistema informatico aziendale), nonché gli obblighi previsti dal disciplinare tecnico sulle misure minime di sicurezza allegato allo stesso Codice. Con riferimento alla normativa in tema di protezione dei dati personali, si ricorda come il Codice della privacy stabilisca che l'attività di controllo debba essere rispettosa dei principi fondamentali di "proporzionalità" (art. 3), debba avvenire nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato (art. 2) e soprattutto, che di tale attività, debba essere fornita adeguata e preventiva informativa (art. 13). Lo schema di regolamento ha lo scopo di informare gli interessati sulle finalità del controllo e sulle specifiche tecnologie adottate per effettuarlo. Particolare attenzione dovrà comunque venir prestata all’attività di controllo della navigazione internet qualora, mediante l'individuazione dei contenuti dei siti visitati, si determini un trattamento di dati sensibili per i quali deve sempre essere rispettato il principio dell'indispensabilità (art. 26, 4°comma lett. c) del Codice).

Il regolamento, inoltre, oltre a dettare una disciplina per l’utilizzo degli strumenti informatici/telefonici aziendali, vuole costituire un utile strumento per sensibilizzare il personale su altri aspetti altrettanto importanti nella gestione dei sistemi informatici aziendali, quali il rispetto della normativa sulla tutela legale del software (e quindi il controllo sulla regolarità del software presente nello stesso sistema informatico), e quella sulla tutela del know-how aziendale, quando queste importanti informazioni di proprietà dell’impresa sono custodite nel sistema informatico. Tra l’altro, se correttamente applicato e fatto rispettare, il regolamento può risultare anche un efficace strumento per limitare il rischio di insorgenza della responsabilità amministrativa a carico della società, prevista dal D.Lgs. n.231/ 2001: si ricorda infatti che, alla luce di tale normativa, il datore di lavoro può essere soggetto all’applicazione di sanzioni pecuniarie ed interdittive, nel caso di commissione da parte di un dipendente di specifici reati - anche se commessi tramite l’utilizzo di internet - dai quali la società stessa ne abbia tratto un vantaggio, seppur in modo indiretto.

A tal proposito lo Studio Professionale ha redatto una bozza di regolamento che dovrà essere sottoposto alla Vostra approvazione prima della divulgazione. Il corso sarà basato sulla spiegazione e motivi di introduzione di questo documento per un massimo di tre ore. Successivamente verrà rilasciato e raccolte le firme da archiviare. All’interno di questa attività è prevista la realizzazione personalizzata del regolamento.

Per ognuna delle aree coinvolte, verrà effettuato :

  • Definizione piano del Corso di formazione, dove vengono esaminati i provvedimenti, le news, le nuove linee guida e i casi studio emersi nell’anno precedente; Eventuali aggiornamenti sulla gestione del piano di lavoro da parte dello Studio;
  • Aggiornamento e/o emissione della documentazione per i nuovi assunti e/o collaboratori;
  • Verifica delle attività svolte dal personale soggetto a lettera d'incarico

2) Audit/Monitoraggio
Trimestralmente viene effettuato l’audit che consiste nel :

  • Verificare le aree dove avviene il trattamento, rilevare eventuali nuove unità operative o nuovi uffici;
  • Effettuare l’aggiornamento del mansionario dei dipendenti, con particolare riferimento alle autorizzazioni degli incaricati al trattamento in funzione del ruolo e delle esigenze di accesso al trattamento (ad. Es. consultazione, modifica e integrazione dei dati);
  • Verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnato agli incaricati;
  • Valutazione delle aree di dati soggetti a cifratura sulla base dell’incarico attribuito alla persona che effettua il trattamento;
  • Verifica dell’esistenza dei file-log degli accessi e delle operazioni effettuate dai soggetti incaricati del trattamento;
  • Verifica con l’amministratore dei sistemi della esistenza del sistema Audit-log, per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.

Alla fine di ogni Audit viene steso un documento che riporta quanto rilevato e gli eventuali accorgimenti da applicare.

Read 874 times

Cookies

I cookies sono piccoli file di testo creati da un server e sono memorizzati sul dispositivo utilizzato dall'Utente per la navigazione sul sito. Essi permettono al sito di garantire all'Utente tutte le funzionalità, una migliore e completa esperienza di navigazione, e di essere al corrente delle preferenze e dei comportamenti dell'utente. Sicurdata Srl utilizza due tipi di cookies, di sessione e persistenti.

I cookies di sessione consentono all'Utente l'esplorazione sicura ed efficiente del sito internet; questi cookies non vengono memorizzati in modo permanente sul dispositivo dell'Utente e si cancellano con la chiusura del browser. I cookies persistenti vengono trasmessi al dispositivo dell'Utente la prima volta che si collega al sito di Sicurdata Srl, e sono memorizzati sul dispositivo stesso. Sicurdata Srl utilizza cookies persistenti per memorizzare le preferenze dell'utente e di terze parti (Google Analytics) al fine di produrre statistiche di utilizzo del sito e per la scelta della lingua.

L'Utente può opporsi alla registrazione dei cookies sul proprio dispositivo configurando il browser usato per la navigazione: se utilizza il sito di Sicurdata Srl senza cambiare le impostazioni del browser, presupponiamo che vorrà ricevere tutti i cookies usati dal sito e fruire di tutte le funzionalità.

Newsletter

Iscrivendoti alla nostra mailing list sarai in grado di ricevere tutte le nostre ultime notizie.
Privacy e Termini di Utilizzo
Non preoccuparti, odiamo lo spam!

Contattaci

Rimaniamo in contatto