Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti.

Transcript

1 INFORMAZIONI DI MASSIMA PER IL RINNOVO DEL DPS ANNO 2007 Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti. Quello di quest'anno è il primo rinnovo di legge da quando è entrato in vigore il D.lgs 196/03. Per aggiornare il DPS è necessario verificare se la descrizione dell'azienda, dei clienti/fornitori corrisponde ancora a quella indicata nei documenti già redatti. Nel merito: - Se ci sono stati dei cambiamenti (variazione incaricati, aggiornamenti anagrafici, variazione consulenti esterni, cambiamenti PC, antivirus, etc.), è necessario procedere all'aggiornamento puntuale di tutte le modifiche. - Se non ci sono stati cambiamenti di alcun tipo, è necessario procedere alla ristampa dell intera documentazione rinnovando la data su ogni foglio e rinnovando tutte le firme per l anno La redazione e l'aggiornamento del DPS dovrà essere indicata nella lettera accompagnatoria al bilancio, anche nel caso di bilanci redatti in forma sintetica. FAQ (Domande Frequenti) - Privacy e DPS Cosa si intende per "trattamento di dati"? Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici (computer), concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; Anche emettere una fattura vuol dire trattare dati perchè si associa all'anagrafica di un cliente un prodotto o servizio ed un prezzo.

2 Perchè devo adeguarmi adesso? Non solo perchè te lo impone la legge, ma anche e soprattutto perchè adesso hai la serenità e il tempo di implementare tutte le misure minime di sicurezza. Chi controlla che le misure minime e gli altri adempimenti previsti dalla legge sono messi in pratica? La Polizia Postale (con le sue 76 Sezioni sul territorio) e la Guardia di Finanza in forza di un protocollo di intesa con il Garante. Quanto è concreta la possibilità di un controllo? E' difficile prevederlo. Le sanzioni possono essere erogate dal Garante Privacy (su esposto), dalla Polizia Postale (su segnalazione) o dalla Guardia di Finanza nel corso dei normali controlli contabili e fiscali. Pur volendo considerare remota la possibilità di un controllo diretto da parte della polizia postale o degli ispettori del Garante, và sottolineato che il mancato adeguamento alle misure minime entro i tempi previsti può divenire oggetto di contenzioso legale tra te e i tuoi clienti/fornitori/dipendenti che possono opporti in qualunque momento e/o anche in maniera complementare ad altre contestazioni, un illecito trattamento dei loro dati. E' vero che è obbligatorio per tutte le organizzazioni avere un DPS (Documento Programmatico della Sicurezza)? No! Il D.P.S. è obbligatorio (Art. 34 del Testo Unico) solo per quelle organizzazioni che trattano dati personali (anche non sensibili) con l'impiego di elaboratori elettronici. Chi tratta i dati solo manualmente su supporto cartaceo, non è tenuto ad avere il DPS, ma deve comunque nominare tutti gli Incaricati e i Responsabili. E' obbligatorio preparare un D.P.S. (Documento Programmatico sulla Sicurezza) che contenga una analisi dei rischi? Si, è esplicitamente richiesto dal comma 19.6 dell'allegato B del D.Lgs. 196/03 per tutte le organizzazioni che trattano dati con l'ausilio di elaboratori elettronici. A cosa serve il Documento Programmatico della Sicurezza (DPS)? Il Documento Programmatico per la Sicurezza identifica gli aspetti dell'infrastruttura tecnologica aziendale coinvolti nella gestione di dati personali e sensibili, verificandone l'aderenza a quanto disposto dalle più recenti normative (Dlgs. N.196 del 30 Giugno 2003). Inoltre, il DPS definisce e descrive le misure necessarie per una vera "messa in sicurezza" del sistema informativo aziendale.

3 Il documento è solo un adempimento legale? Il documento rappresenta non solo un adempimento legale ma un vero e proprio strumento di riferimento per l'azienda in materia di trattamento dei dati personali, e in generale di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare. Quali sono i risultati per il Cliente di un progetto DPS? Il DPS evidenzia i punti di forza e di debolezza dell'infrastruttura esistente, evidenziando anche i rischi normativi (legati ad eventuali inadempimenti richiesti dalla legge) e funzionali (legati al proprio modello di business derivanti da una gestione della sicurezza non ottimale). Formalizza inoltre le policy di lavoro, costituendo un valido riferimento per l'utilizzo dell'infrastruttura informativa, e formalizza le procedure di intervento in caso di problemi o guasti. Non siamo collegati ad internet, non siamo già sicuri? No. Il collegamento ad internet è solo una delle minacce e neanche la più importante. Secondo le statistiche di istituti di ricerca e polizie, circa tre quarti degli incidenti sono generati all'interno delle organizzazioni. Di questi, oltre la metà sono involontari. Possiamo scegliere di ignorare questo dispositivo di legge e correre il rischio? No. La sensibilità dell'opinione pubblica sul tema della privacy è molto alta. Se le probabilità di ricevere un'ispezione da parte degli ispettori del Garante della Privacy sono basse, in caso di incidenti anche banali (p.e. il furto di un disco o di un computer contenente dati personali nella vostra azienda) potreste non essere in grado di dimostrare che trattavate i dati in conformità alla legge. In questo caso vi esponete al rischio di sanzioni anche penali (e la responsabilità penale è personale). Le misure minime di sicurezza richieste dal Dlgs.196/2003 non sono esagerate rispetto alle necessità ed alle possibilità di una piccola azienda? No. Probabilmente molte delle misure richieste dalla legge sono già prassi comune nella vostra azienda. Ai fini della conformità al Codice della Privacy, si tratta per lo più di formalizzare quanto già fate grazie al Documento Programmatico sulla Sicurezza. Eventuali misure addizionali non sono di norma molto onerose ne da un punto di vista economico ne da un punto di vista organizzativo. I dati personali che abbiamo li facciamo elaborare da uno studio esterno, non è lui il titolare? No. Anche se tutti i trattamenti (per esempio di paghe e contributi o contabili) sono effettuati all'esterno, i titolari di quei trattamenti siete voi e quindi voi ne risponderete in merito alla loro privacy e sicurezza.

4 Cosa sono le "Lettere di Incarico"? Le Lettere di Incarico sono documenti formali ed obbligatori che la normativa privacy impone per la nomina dei Responsabili e degli Incaricati interni (dipendenti) ed esterni al trattamento dei dati. Cosa sono le "Informative"? L'informativa è un documento con cui il soggetto che detiene un dato (personale, sensibile o giudiziario) informa l'interessato (persona fisica o giuridica) della natura del dato e del tipo di trattamento che effettuerà. Devo inviare le Informative a tutti i Clienti/Fornitori? SI. L'informativa deve essere inviata a tutti i soggetti che hanno rapporti con ll'azienda. Solo se tratti dati sensibli e giudiziari devi anche richiedere per iscritto il consenso al trattamento. Il consiglio è di richiedere sempre il consenso per iscritto anche se si trattano dati esclusivamente personali poichè in caso di contenzioso legale e/o sanzione non sarebbe possibile dimostrare di possedere l'autorizzazione al trattamento. La nostra rete è protetta dal "firewall", non siamo già sicuri? No. Il firewall è un dispositivo utile, ma che, quando ben gestito, svolge solo una funzione ben precisa: proteggere la vostra rete informatica aziendale da specifici tipi di incidenti di origine esterna. Questo ha poco a che vedere con la Privacy ed il Dlgs.196/2003, che in particolare mira anche a proteggere i dati personali (informatici e non) e la vostra azienda sia da incidenti interni che esterni, deliberati o accidentali. Per esempio, il firewall non vi serve a proteggere i dati in caso di perdita accidentale per guasto o furto del computer e tantomeno a proteggere i vostri archivi cartacei dalle conseguenze di un incendio. Come faccio a gestire le "password temporizzate" previste dalla normativa sul mio computer? Semplicemente intervenendo sulla configurazione dei sistemi operativi Windows 2000 e XP, senza sostenere alcun costo aggiuntivo. Se utilizzi Windows 95/98/ME devi cambiare sistema operativo o implementare un sistema di accesso (login) con smart card. Esiste un "obbligo di formazione" del DPS attraverso corsi specialistici e certificati? No. La legge non parla di "obbligo di effettuare un corso di formazione certificato", ma prevede che il Responsabile della Sicurezza informi tutti gli incaricati delle procedure di protezione e gestione dei dati contenute nel DPS predisponendo un piano di formazione interno. Il piano di formazione è affidato all'autonomia gestionale dell'imprenditore/professionista, che può deciderne contenuti, tempi e modalità.

5 E' vero che la documentazione cartecea deve essere protetta in "armadi ignifughi"? Assolutamente no. Il cartaceo deve essere archiviato in normali armadi e/o cassetti il cui accesso (la chiave) è posto sotto la il controllo del Responsabile della Sicurezza. Il DPS deve avere "data certa"? La normativa non impone un data certa, ma essendo un documento legale che và redatto entro una scadenza prefissata sarebbe opportuno approrvi una data certa attraverso la sottoscrizione con Firma Digitale o la "bollatura" presso le Poste Italiane per evitare contestazioni. Una volta redatto cosa devo fare il DPS? Stamparne una copia cartacea da tenere presso la sede legale, far controfirmare agli incaricati le Lettere di Incarico. Per le società di capitali che redigono il bilancio in forma ordinaria esiste l'obbligo di menzionare il DPS nella relazione al bilancio. Una volta redatto e stampato il DPS sono in regola? Non ancora. Infatti, per essere a norma col D.Lgs. 196/03 devi implementare fisicamente le misure minime e le procedure previste dal DPS. Quello che è scritto nel DPS deve corrispondere alla realtà, altrimenti rischi una doppia sanzione: - una per il mancato adeguamento - una per la falsa dichiarazione (il DPS è un documento legale posto sotto la responsabilità del legale rapp.te),