Privacy: semplificazione delle misure minime di sicurezza
|
|
- Miranda Marchese
- 8 anni fa
- Visualizzazioni
Transcript
1 Privacy: semplificazione delle misure minime di sicurezza 1. Premessa Facciamo seguito a quanto comunicato sul Notiziario n. 1 gennaio per informare che è stato pubblicato sul sito Web del Garante per la protezione dei dati personali ( e sulla Gazzetta Ufficiale (HYPERLINK " cher?service=1&datagu= &task=dettaglio&numgu=287&redaz=08A09199&tmstp= " GU n. 287 del ) HYPERLINK " il Provvedimento 27 novembre 2008 del Garante, in materia di Semplificazione delle misure minime di sicurezza contenute nel Disciplinare tecnico di cui all'allegato B) al Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003, di seguito Codice ). Le nuove previsioni sono immediatamente applicabili da parte di soggetti pubblici e privati, in quanto non richiedono alcuna comunicazione o notifica all Autorità, e potranno essere aggiornate dall Autorità stessa con cadenza periodica. Il presente documento illustra le principali novità introdotte dal Provvedimento in esame e fornisce prime indicazioni operative alle imprese associate per attuare le procedure semplificate in esso indicate e adempiere correttamente agli obblighi in materia di sicurezza dei dati. 2. Profili generali della semplificazione Il Provvedimento 27 novembre 2008 si pone in linea di continuità con l intervento normativo di semplificazione della disciplina sulla privacy, avviato la scorsa estate nell ambito della cd. Manovra economica 2009 (DL n. 112/2008, convertito con modifiche in HYPERLINK " Legge 6 agosto 2008, n GU n. 195 del , Suppl. Ord. n. 196). In particolare, il Provvedimento del Garante, sul quale è stato formulato il prescritto parere del Ministro per la semplificazione normativa, interviene nuovamente sullo specifico ambito della sicurezza, individuando procedure più snelle per applicare le misure minime nei trattamenti di dati personali effettuati, in particolare, da Piccole e Medie Imprese, liberi professionisti e artigiani, in attuazione della delega contenuta nell art. 29 del citato DL n. 112/08. L obiettivo perseguito è quello di contemperare le esigenze di sicurezza del trattamento con quelle che sovrintendono allo svolgimento delle attività economiche d impresa, secondo i fondamentali principi di proporzionalità, efficacia, semplificazione e finalità, dettati dal Codice e dalla normativa comunitaria di riferimento (direttiva 95/46/CE). In questo senso, il Provvedimento 27 novembre 2008 prevede una revisione delle misure minime diretta a rimodulare, sulla base del menzionato criterio di proporzionalità normativa, il rigore degli adempimenti richiesti in funzione delle effettive caratteristiche dimensionali o di struttura delle imprese titolari del trattamento, della natura dei trattamenti, nonché per esigenze di riduzione dei costi (cfr. HYPERLINK " derpath=comunicati+stampa%2f2008" Comunicato stampa del Garante del 9 dicembre 2008). Al riguardo, appare condivisibile l approccio regolamentare adottato, che distingue le aziende che trattano dati sensibili per finalità di business (es. vendite e marketing diretti, recruiting, compimento di ricerche di mercato e sondaggi, prestazioni sanitarie, ecc.) o che effettuano trattamenti che presentano, comunque, rischi specifici (è il caso della prestazione di determinati servizi resi in ambito bancario e assicurativo o 16
2 mediante reti di comunicazione elettronica), dalle imprese che, nel normale svolgimento della propria attività organizzativa, amministrativa e contabile, utilizzano tali dati esclusivamente per adempiere a obblighi di legge o derivanti da contratto. In quest ultimo caso, la finalità dei rispettivi trattamenti è esclusivamente orientata alla gestione interna dell attività d impresa. Come si vedrà nel seguito, ci si riferisce ai trattamenti realizzati per adempiere a specifici obblighi o per eseguire specifici compiti previsti dalla normativa (comunitaria e nazionale, sia di rango primario che secondario) o da contratti, in particolar modo a fini di gestione del rapporto di lavoro in tutte le sue fasi, nonché di applicazione delle norme in materia previdenzale-assistenziale, di salute, igiene e sicurezza sul lavoro, fiscale, sindacale, di pari opportunità, di tenuta della contabilità, ecc L obbligo del DPS e l autocertificazione sostitutiva Prima di illustrare le semplificazioni introdotte dal Provvedimento 27 novembre 2008 in tema di sicurezza dei dati, vale la pena soffermare l attenzione sul Documento Programmatico sulla Sicurezza (DPS). L art. 29 del DL n. 112, nella versione approvata a seguito della conversione in legge, ha già modificato l art. 34 del Codice proprio in relazione all obbligo del DPS, inserendovi un nuovo comma 1-bis. Quest ultima norma, infatti, oltre ad assegnare al Garante il potere di semplificare il Disciplinare tecnico in materia di misure minime di sicurezza (di seguito anche: Disciplinare tecnico ), ha dettato un importante agevolazione per le imprese titolari di particolari trattamenti. Si è, infatti, previsto che le imprese - e tutti gli altri soggetti che, mediante strumenti elettronici, utilizzano dati personali comuni (vale a dire, non sensibili) e trattano quali unici dati sensibili quelli rappresentati dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi (es. certificati di assenza per malattia), ovvero quelli relativi all'adesione ad organizzazioni sindacali o a carattere sindacale (es. permessi, aspettative, trattenute sindacali, ecc.), possano sostituire l obbligo della tenuta - e dell aggiornamento - del DPS con un autocertificazione da rendere ai sensi dell'art. 47 del TU in materia di documentazione amministrativa (DPR 28 dicembre 2000, n. 445). L autocertificazione sostitutiva deve essere sottoscritta dal titolare del trattamento (nel caso di ente o persona giuridica, dal rappresentante legale) e conservata presso la sede di quest ultimo per essere esibita in caso di controlli, unitamente a fotocopia non autenticata di un documento di identità del sottoscrittore (cfr. art. 38, TU cit.). Con l autocertificazione (rectius: dichiarazione sostitutiva dell atto di notorietà), che può essere adottata solo in presenza dei requisiti fissati dalla legge, l impresa titolare del trattamento dovrà attestare che i dati personali comuni e quelli sensibili sopra indicati sono trattati in osservanza delle altre misure di sicurezza prescritte. Per agevolare le imprese che intendano avvalersi di tale beneficio, è disponibile, presso i nostri uffici, un modello di autocertificazione sostitutiva. In via interpretativa, si ritiene che l autocertificazione debba avere ad oggetto la conformità del trattamento alle sole misure minime di sicurezza richieste dal Codice (artt ) e dal Disciplinare tecnico, e non già anche all osservanza del più generale obbligo di adottare idonee e preventive misure di sicurezza ai sensi dell art. 31 del Codice. In tale ultimo caso, infatti, si correrebbe il rischio di estendere oltremodo il contenuto dell autocertificazione, facendovi rientrare anche la realizzazione di un livello di idoneità di protezione dei dati personali che difficilmente può essere valutato ex ante dal titolare e che può essere accertato in concreto soltanto all insorgere di situazioni patologiche (es. contenziosi azionati dagli interessati, a seguito di domanda giudiziale per il risarcimento del danno patito). Ciò avrebbe la conseguenza, sul piano effettuale, di accrescere il rischio di responsabilità penali dei beneficiari dell autocertificazione per falsa dichiarazione (falso ideologico in atto pubblico ex art. 483 c.p.), nelle ipotesi in cui il grado di sicurezza di dati e dei sistemi approntato dal titolare, benchè rispondente ai requisiti minimi richiesti dalla legge, non sia ritenuto - in sede di contenzioso - idoneo a prevenire gli ulteriori rischi connessi al trattamento. Tale inidoneità e le con- 17
3 nesse responsabilità penali potrebbero, infatti, emergere soltanto a seguito di una verifica da parte delle autorità competenti, quindi ex post. Benché si tratti di ipotesi dal carattere eventuale e difficilmente verificabili in concreto, un interpretazione estensiva sarebbe, comunque, da respingere, poiché avrebbe l effetto di disincentivare il ricorso alla semplificazione riconducibile all autocertificazione da parte dei destinatari. Vale la pena sottolineare, peraltro, che il beneficio dell autocertificazione non esonera dall adempimento degli altri obblighi in materia di sicurezza richiesti dal Codice (artt. 33 e ss.) e dal Disciplinare tecnico (anche nella forma semplificata indicata dal Provvedimento del Garante), per cui, in caso di inosservanza delle restanti misure minime, il titolare del trattamento sarà, comunque, tenuto a risponderne sul piano penale e amministrativo. D altra parte, l interpretazione restrittiva, secondo cui il titolare deve certificare soltanto l osservanza delle misure minime prescritte, diverse ovviamente dal DPS, trova conferma anche in ragione della collocazione sistematica del nuovo comma 1-bis, art. 34, nell ambito del Capo II del Codice, relativo alle misure minime di sicurezza, e dei criteri di imputazione delle responsabilità penali. Al riguardo, la fattispecie di falsità ideologica non può che riferirsi ad elementi in concreto predeterminati dalla legge, quali sono soltanto le misure tassativamente individuate agli artt. 34 e 35 del Codice (nelle modalità ordinarie o semplificate). Tale assunto è avvalorato dalla considerazione secondo cui le disposizioni penali che rinviano a norme extra-penali per la descrizione degli elementi costitutivi di una fattispecie devono essere strettamente conformi ai principi di determinatezza e tassatività del fatto tipico penalmente rilevante. In ogni caso, si invitano le imprese associate a valutare attentamente l opportunità di sostituire la tenuta di un DPS aggiornato con il beneficio dell autocertificazione, tenendo conto, qualora si opti per tale scelta, del concreto contesto di operatività aziendale, dei rapporti in essere (o che potranno sorgere) all interno e, soprattutto, all esterno dell azienda, nonché di qualsiasi altro ambito di attività che possa dar vita a un trattamento di dati personali sensibili, diversi da quelli indicati all art. 34, co. 1-bis del Codice (dati sanitari e sindacali) e, quindi, rilevante ai fini dell obbligo del DPS. Ciò sia allo scopo di non disperdere le risorse e i vantaggi, in termini di trasparenza e corretta gestione dei dati personali in azienda, che conseguono alla tenuta di un aggiornato DPS, sia in considerazione della potenziale crescita e dello sviluppo delle attività aziendali in una prospettiva di medio-lungo periodo. Alla luce di tali considerazioni, infine, si fa presente che, qualora intervengano variazioni in ordine alle caratteristiche dei trattamenti o alla tipologia dei dati utilizzati dal titolare (in conseguenza, ad es., di modifiche dell attività d impresa), tali da fare venir meno i presupposti dell autocertificazione, il titolare è tenuto a predisporre il DPS per non incorrere in sanzioni penali. Infatti, si ricorda che ai sensi dell art. 76, co. 2 del TU in materia di documentazione amministrativa, l'esibizione di un atto contenente dati non più rispondenti a verità equivale ad uso di atto falso Destinatari della semplificazione Per quanto riguarda l ambito dei soggetti cui si applica il Provvedimento sulla semplificazione, il Garante ha attuato fedelmente la delega di cui all art. 29 DL 112/08. Con particolare riferimento al contesto imprenditoriale, infatti, i soggetti che possono beneficiare delle modalità semplificate di applicazione delle misure minime di sicurezza nel trattamento di dati personali, effettuato con o senza l impiego di strumenti informatici, sono: a) le imprese che utilizzano dati personali non sensibili (es. dati anagrafici di dipendenti, fornitori, ecc.) e che trattano come unici dati sensibili dei propri dipendenti e collaboratori, anche a progetto, quelli relativi allo stato di salute o malattia senza indicazione della relativa diagnosi (cd. dati sanitari), ovvero all'adesione a organizzazioni sindacali o a carattere sindacale (cd. dati sindacali). Al riguardo il dato sanitario relativo all assenza per malattia è solitamente trattato dalle imprese nell ambito dell ordinaria gestione del rapporto di lavoro, sulla base di norme di legge e contrattuali, mentre il dato sindacale rileva ai fini della gestione dei permessi, delle aspettative e delle trattenute sindacali e, più in generale, degli altri adempimenti relativi all adesione a simili organizzazioni; 18
4 b) le Piccole e Medie Imprese (oltre ai liberi professionisti e artigiani) che trattano dati personali - anche sensibili - unicamente per correnti finalità amministrative e contabili. La definizione di micro, piccola e media impresa rilevante al fine di individuare l ambito soggettivo di applicazione del presente Provvedimento è quella prevista dal HYPERLINK " Decreto 18 aprile 2005 del Ministero delle Attività Produttive (oggi, Ministero dello Sviluppo Economico), alla quale si rinvia, che ha recepito le indicazioni della Raccomandazione della Commissione europea 2003/361/CE. In questo caso, l individuazione dei destinatari delle semplificazioni dettate dal Garante è rimessa alla sussistenza di due condizioni concorrenti, di natura qualitativa, l una, e quantitativa, l altra: rispettivamente le finalità del trattamento e l aspetto dimensionale che, oltre ad essere richiamato espressamente dal Garante (nelle premesse del Provvedimento), è in linea con le esigenze di proporzionalità normativa sottese a tale intervento. Pertanto, è importante fin d ora sottolineare che rispetto ad entrambe le categorie di soggetti sopra indicate l unica differenza rilevante, in termini di misure di sicurezza applicabili, riguarda l obbligo del DPS. A questo riguardo, infatti, potranno valersi del già illustrato beneficio dell autocertificazione sostitutiva soltanto le imprese di cui alla lettera a). Rispetto a quelle di cui alla lettera b), invece, il Provvedimento del Garante fornisce indicazioni per la redazione di un DPS semplificato. Al di fuori di queste due ipotesi, l obbligo del DPS continuerà ad applicarsi alle imprese sulla base delle condizioni e del contenuto fissati dalle regole 19.1 a 19.8 del Disciplinare tecnico. Sono, invece, applicabili sia alle imprese di cui alla lett. a) che a quelle ex lett. b) le altre misure di sicurezza dettate dal Provvedimento 27 novembre Come anticipato, è a disposizione, presso i nostri uffici, una Tabella di sintesi che illustra l ambito rilevante ai fini dell applicazione delle misure minime di sicurezza Ambito oggettivo di applicazione della semplificazione È opportuno fornire un chiarimento sull ambito oggettivo di efficacia del Provvedimento del 27 novembre 2008, in particolare, su alcuni aspetti la cui interpretazione risulta essenziale ai fini di una corretta applicazione delle semplificazioni introdotte. In primo luogo, con riguardo alle PMI che effettuano trattamenti di dati unicamente per correnti finalità amministrative e contabili (cfr. par. 1, lett b), il Provvedimento del Garante si limita a precisare, rispetto a quanto indicato nella delega (art. 29, DL 112/08), che i trattamenti che consentono di adempiere in maniera semplificata agli obblighi sulla sicurezza sono quelli connessi allo svolgimento di attività esclusivamente di natura amministrativa e contabile. Non sono però fornite espresse chiarificazioni circa il significato di tale ultima espressione, peraltro già utilizzata in precedenti interventi di semplificazione (cfr. cit. art. 29, DL 112/08 e, soprattutto, Provvedimento Garante 19 giugno 2008). Una corretta interpetazione della locuzione correnti finalità amministrative e contabili risulta, quindi, necessaria ai fini dell individuazione dell ambito operativo del Provvedimento medesimo. Al riguardo, il precedente HYPERLINK " Provvedimento del Garante del 19 giugno 2008, nel semplificare alcuni adempimenti in ambito pubblico e privato rispetto a trattamenti svolti per finalità amministrative e contabili, ha precisato, a titolo esemplificativo, che tali finalità ricorrono quando il trattamento dei dati è svolto in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Nel medesimo contesto, si è affermato che le informazioni trattate per scopi amministrativo-contabili sono quelle attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti. Pertanto, in sede interpretativa, è possibile ritenere che l espressione in esame si riferisca a tutti - e soltanto - i trattamenti connessi allo svolgimento delle ordinarie attività d impresa. Tali ordinarie attività dovrebbero, pertanto, ricomprendere il trattamento di qualsiasi informazione personale (riconducibile cioè a persone fisiche o giuridiche), anche di natura sensibile ai sensi dell art. 4, lett. d) del Codice, effettuato nell ambito della gestione: amministrativa: vi rientrerebbero, a titolo esemplificativo, le 19
5 attività riguardanti: a) l organizzazione aziendale; b) la tenuta dei contratti relativi sia a soggetti interni alla struttura del titolare (es. lavoratori) che terzi (es. clienti, fornitori); c) la gestione del personale (es. trattamenti relativi allo stato di salute dei propri lavoratori, alla gestione delle trattenute, dei permessi, delle aspettative sindacali o per incarichi politici, a servizi di mensa, permessi per festività religiose, ecc.); d) gli adempimenti nei confronti delle PA; contabile: tutti gli adempimenti che rientrano nella tenuta della contabilità aziendale, a fini sia civilistici che fiscali (es. contabilizzazione dei dati fiscali relativi a clienti e fornitori, predisposizione dei documenti di bilancio, ecc.). Nell ambito delle finalità amministrativo-contabili si possono, inoltre, ricomprendere quegli adempimenti di natura finanziaria connessi ai rapporti con banche o altri intermediari finanziari per l ordinaria gestione di conti correnti (anche di terzi, ad es., nel caso dei propri dipendenti) o per la richiesta di prestiti, linee di credito e garanzie. Pertanto, come anticipato, il Provvedimento in esame si applica alle imprese che, nello svolgimento della propria attività organizzativa, amministrativa, finanziaria e contabile, utilizzano tali dati esclusivamente per adempiere a obblighi di legge o derivanti da contratti. Saranno invece escluse le imprese che utilizzano, anche in parte, dati o informazioni di propri lavoratori o anche di terzi nell ambito di rapporti con finalità di natura commerciale (ad esempio, pubblicitaria). In secondo luogo, va considerato che il Provvedimento 27 novembre 2008, nell individuare modalità applicative semplificate degli obblighi di sicurezza in materia di trattamenti con strumenti elettronici, di cui all art. 34 del Codice e alle regole 1-26 del Disciplinare, omette di fare riferimento ad alcune specifiche regole (nn. 20 e da 22 a 26 del Disciplinare tecnico). Rispetto a queste ultime regole manca quindi una previsione di semplificazione diretta a sostituirne l'applicazione, per cui è dubbio se gli adempimenti in esse descritti debbano considerarsi ancora in vigore (come ad esempio già sostenuto da alcuni primi commentatori). Si tratta, ad esempio, delle regole che obbligano l'impresa titolare del trattamento a: predisporre strumenti (cd. firewall) volti ad impedire gli accessi abusivi ai sistemi di natura telematica o informatica su cui sono contenuti dati sensibili (regola 20); distruggere i supporti rimovibili su cui sono stati memorizzati dati sensibili, quando non sono più utilizzati, e nel caso si voglia riutilizzarli, rendere non intelligibili e tecnicamente non ricostruibili le informazioni in essi precedentemente contenute (regola 22); adottare procedure di ripristino dei dati quando questi ultimi ovvero gli strumenti elettronici con cui sono trattati siano danneggiati (mediante sistemi di disaster recovery e business continuity). Il ripristino deve avvenire entro sette giorni (regola 23); rispettare specifiche cautele e garanzie (trattamento disgiunto mediante tecniche di cifratura e separazione dei dati attinenti a stato di salute e vita sessuale), qualora il trattamento sia svolto nell ambito dell esercizio di prestazioni sanitarie e abbia quindi ad oggetto dati supersensibili. È il caso degli organismi sanitari, anche privati (regola 24); richiedere al soggetto esterno che ha effettuato l installazione delle misure minime di sicurezza in azienda, una dichiarazione che attesti la conformità dell intervento tecnico realizzato alle disposizioni del Disciplinare tecnico (regola 25); indicare l'avvenuta redazione o aggiornamento del DPS nella relazione al bilancio degli amministratori (solo per le società di capitali; regola 26). Allo scopo di fornire indicazioni utili alle imprese interessate all applicazione delle misure di semplificazione e, soprattutto, per evidenti ragioni di certezza giuridica, l interpretazione preferibile sembra essere quella che considera il contenuto del Provvedimento del Garante quale integralmente sostitutivo del Disciplinare tecnico, anche per le parti non specificamente da esso richiamate. Questa lettura sembra essere quella più coerente alla luce di una interpretazione sistematica e letterale delle previsioni del Provvedimento. Infatti, le esigenze di semplificazione e proporzionalità cui sono ispirati i recenti interventi del Garante e del legislatore sembrano giustificare la sussistenza di regimi di applicazione delle misure minime di sicurezza tra loro alternativi (rispetti- 20
6 vamente, il Disciplinare tecnico e il Provvedimento del Garante). In particolare, l art. 29, DL 112/08, delega espressamente l Autorità a individuare modalità semplificate di applicazione dell intero Disciplinare tecnico. Lo stesso Provvedimento 27 novembre 2008, al par. 2 dedicato ai trattamenti con strumenti elettronici, nell autorizzare l applicazione semplificata della disciplina sulla sicurezza dei dati fa riferimento all art. 34 del Codice e alle regole da 1 a 26 del Disciplinare tecnico. Ciò che può avvalorare un applicazione di tali modalità semplificate tout court sostitutiva delle modalità ordinarie. Qualora dovesse prevalere l interpretazione contraria, le PMI sarebbero tenute ad applicare sia le modalità semplificate indicate dal Provvedimento del Garante sia le ulteriori misure tecniche del Disciplinare tecnico che non risultino espressamente menzionate nel citato Provvedimento, le quali dovrebbero pertanto intendersi ancora in vigore. Si tratta, come già accennato, delle regole di cui ai punti 20, 22, 23, 24, 25 e 26 del Disciplinare. 3. Profili particolari della semplificazione Si commentano di seguito le semplificazioni relative ai trattamenti effettuati con strumenti elettronici e a quelli realizzati con modalità cartacee, dettate dal Garante in sostituzione delle procedure ordinarie contenute nel Disciplinare tecnico. In corrispondenza delle diverse modalità di applicazione delle misure minime sono indicati, in parentesi, gli specifici adempimenti del Disciplinare tecnico semplificati. Per quanto riguarda le altre misure minime non espressamente richiamate nel Provvedimento del Garante, si rinvia alle considerazioni svolte nel precedente paragrafo Trattamenti con strumenti elettronici a) Istruzioni agli incaricati del trattamento (regole 4, 9, 18 e 21) Il Provvedimento 27 novembre 2008 prevede, innanzitutto, la possibilità di impartire agli incaricati del trattamento istruzioni in materia di misure minime anche oralmente. Tale semplificazione, tuttavia, non fa venir meno l obbligo dell impresatitolare del trattamento di nominare per iscritto gli incaricati (con la lettera di nomina) e di individuare dettagliatamente l ambito del trattamento loro consentito (art. 30 del Codice). Le istruzioni, la cui comunicazione, scritta o orale, deve avvenire in forma semplice e chiara, riguardano: le cautele idonee a garantire la segretezza della password, la diligente custodia dei dispositivi in possesso e uso esclusivo dell incaricato (es. pc, notebook, palmari, telefoni cellulari, smart card, ecc.) e la protezione degli strumenti elettronici - es. mediante screensaver - specie durante le sessioni del trattamento (regole 4 e 9); le misure organizzative e tecniche per effettuare il back-up dei dati, nonché quelle finalizzate alla corretta custodia e uso di supporti rimovibili contenenti dati personali (es. cd, dvd, memory card, ecc.), in modo da evitare accessi non autorizzati e trattamenti non consentiti (regole 18 e 21); le procedure per garantire la disponibilità e l accesso a dati e strumenti elettronici, in caso di assenze prolungate dell incaricato (sul punto, v. infra lett. b). b) Sistemi di autenticazione informatica e di autorizzazione (regole 1-3, 5-8 e 10-15) È stato chiarito che per identificare chi accede a strumenti informatici si può utilizzare qualsiasi sistema di autenticazione basato su una username (codice identificativo) e una password (parola chiave). L autenticazione può avvenire anche mediante le procedure di login utilizzate dai sistemi operativi delle postazioni di lavoro connesse a una Rete. La semplificazione ha interessato la tipologia delle credenziali di autenticazione, riducendone la previsione al solo username e password (non si fa più riferimento, ad esempio, a dispositivi di autenticazione in possesso e uso esclusivo dell incaricato o a caratteristiche biometriche, né alla possibilità di assegnare ad un medesimo incaricato più credenziali). Restano fermi gli obblighi di univocità dello username, che potrà essere associato e utilizzato da una sola persona, e di segretezza della password per ciascun incaricato, il quale non dovrà quindi comunicarla o renderla conoscibile a terzi. Non sono più previsti termini di scadenza per la modifica della password (6 mesi per i dati comuni, 3 mesi per quelli 21
7 sensibili), né vincoli di lunghezza della password (regola 5). Viene precisato che l obbligo di disattivare lo username sussiste quando l'incaricato non opera più azienda o, più in generale, ha perso le qualità per accedere legittimamente ai dati, ma è venuto meno l obbligo di disattivazione per mancato utilizzo dello username per più di sei mesi (regola 7). Possono, inoltre, essere fornite anche oralmente, come già anticipato, le istruzioni che, in caso di impedimenti o assenze prolungate dell incaricato, garantiscano, comunque, l accesso ai dati e la disponibilità degli strumenti elettronici da questi utilizzati, qualora lo richiedano indifferibili esigenze di operatività e sicurezza del sistema. Per le medesime finalità connesse alla continuità del lavoro in azienda, viene anche suggerita, per le ipotesi di assenze del lavoratore programmate - quali le ferie o impegni fuori sede - l attivazione di procedure di risposta automatica ai messaggi di posta elettronica ricevuta, con indicazione di ulteriori indirizzi o recapiti della struttura accessibili (ad es. quelli di un collega. Sul punto, si rinvia a quanto indicato nel HYPERLINK " Provvedimento 1 marzo Linee guida del Garante per posta elettronica e internet). L incaricato dovrà, in ogni caso, essere informato dell intervento effettuato dal Titolare. È stato, conseguentemente, eliminato l obbligo di nominare per iscritto il custode delle credenziali e la relativa procedura di custodia e sostituzione delle password (regola 10). Viene confermata la necessità di prevedere profili di autorizzazione al trattamento differenti per singoli incaricati o categorie omogenee di incaricati, nel caso in cui l'accesso ad alcuni dati sia limitato soltanto ad essi per esigenze lavorative (es. dipendenti che hanno accesso ad archivi riservati). Anche l accesso a specifici ambiti di autorizzazione può avvenire mediante procedure previste da applicativi software o sistemi operativi. L ambito di trattamento consentito ai singoli incaricati e agli addetti alla gestione e manutenzione degli strumenti elettronici deve essere individuato in osservanza dei principi di adeguatezza, proporzionalità e necessità. Sono stati eliminati gli obblighi di predisposizione di una lista degli incaricati autorizzati e di verifica annuale dei profili di autorizzazione al trattamento assegnati in azienda, ma le verifiche e gli aggiornamenti andranno effettuati quando necessario (regola 15). c) Altre misure di sicurezza: antivirus, software di aggiornamento e procedure di backup (regole 16, 17 e 18) Viene esteso da 6 mesi a 1 anno l obbligo di aggiornare gli antivirus e gli altri programmi diretti a prevenire la vulnerabilità degli strumenti elettronici o a correggere gli errori dei sistemi informatici (es. release o patch di aggiornamento). È, inoltre, previsto che se il computer non è in Rete o accessibile al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale. Per quanto riguarda il back-up, la procedura di salvataggio dei dati deve avvenire con frequenza mensile, non più settimanale, e può riguardare anche solo i dati modificati rispetto al momento dell'ultimo salvataggio effettuato (cd. dati dinamici). Per i dati che non hanno subito variazioni è sufficiente conservarne una copia di sicurezza per l eventuale ripristino. d) Documento Programmatico sulla Sicurezza (regola 19, punti da 19.1 a 19.8) Viene semplificato il contenuto del DPS per le imprese che trattano dati personali, anche sensibili, unicamente per correnti finalità amministrative e contabili (su cui, v. supra). Queste ultime potranno pertanto, con decorrenza immediata, sostituire il DPS che hanno già predisposto con un DPS dal contenuto semplificato. Si ribadiscono in questa sede alcune regole operative applicabili al DPS semplificato (analogamente a quanto avviene per il DPS ordinario), secondo le quali il documento: può essere materialmente predisposto dal titolare del trattamento o da un responsabile appositamente delegato, prima che venga avviato un nuovo trattamento (è il caso delle imprese di nuova costituzione) ovvero in sostituzione del DPS ordinario già adottato; deve essere sottoscritto direttamente dal titolare (il rappresentante legale, nel caso di enti o imprese) e custodito presso la sede di quest ultimo. Il DPS, infatti, va esibito all Autorità 22
8 ispettiva solo in caso di accertamenti o controlli, ma non è richiesta alcuna comunicazione o invio dello stesso al Garante; deve essere aggiornato ogni anno (entro il 31 marzo) solo se sono intervenute modifiche rispetto a quanto dichiarato nel DPS riferito all anno solare precedente (modifiche organizzative o dell attività sociale rilevanti rendono, ad es., obbligatorio l aggiornamento annuale); non necessita dell apposizione della data certa. Tale adempimento non è infatti richiesto dalla legge quale requisito di validità del documento, ma potrebbe valere esclusivamente su base volontaria e a fini probatori ai sensi della vigente disciplina civilistica in materia di prove documentali (cfr. art c.c.). In questo caso, si richiama il parere 5 dicembre 2000 del Garante, nel quale sono individuate alcune modalità per fornire la prova della data certa (tra le altre, si segnala la formazione per atto pubblico; la registrazione o produzione del documento presso un ufficio pubblico; la cd. autoprestazione postale; la marcatura temporale su un documento informatico, ecc.). Con riferimento al contenuto minimo del DPS, l intervento di semplificazione si è concentrato su tre aspetti principali: a) l assetto organizzativo della struttura del titolare (ruoli, compiti e responsabilità); b) l elencazione dei trattamenti effettuati; c) le misure di sicurezza approntate in azienda. Il DPS semplificato deve infatti prevedere: l individuazione del titolare del trattamento, degli eventuali responsabili e l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l assetto interno sia soggetto a frequenti modifiche organizzative, gli elenchi aggiornati dei responsabili - eventualmente designati - e degli incaricati del trattamento possono essere resi conoscibili secondo altre modalità espressamente indicate (ad es., rinvio al sito internet o ad altri documenti aziendali); una descrizione generale dei trattamenti realizzati, con l indicazione delle finalità del trattamento, delle categorie di interessati e dei dati ad essi relativi (anche per categorie, ad es. anagrafica dei clienti, elenco delle controparti pubbliche), nonché dei soggetti a cui i dati possono essere comunicati (es. consulenti esterni, banche, altre società del gruppo, PA, ecc.). Tale descrizione, che ha ad oggetto le medesime informazioni fornite in sede di informativa, rappresenta il parametro di riferimento per valutare l adeguatezza delle misure di sicurezza adottate; una descrizione delle misure di sicurezza adottate per prevenire i rischi di distruzione o perdita dei dati, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. La Tabella n. 2, da richiedere, sempre, ai nostri uffici a confronto il contenuto minimo richiesto per la redazione del DPS nella sua versione integrale o semplificata e i rispettivi presupposti applicativi Trattamenti senza l ausilio di strumenti elettronici (regole 27-29) Le istruzioni agli incaricati di trattamenti in cartaceo, dirette a garantire il controllo e la custodia degli atti e dei documenti contenenti dati personali, possono essere impartite anche oralmente. Non è più necessario aggiornare annualmente l ambito di trattamento consentito ai singoli incaricati, né predisporre una lista degli incaricati autorizzati. Nel caso di documenti contenenti dati sensibili o giudiziari, rimane fermo l obbligo per gli incaricati di controllare e custodire tali documenti fino alla loro restituzione al termine delle operazioni affidate, in modo da impedire che vi accedano persone prive di autorizzazione. È stato invece eliminato l obbligo di registrazione e di preventiva autorizzazione per accedere agli archivi al di fuori dell orario di lavoro. 23
Privacy semplice per le PMI
Privacy semplice per le PMI A cura di: Francesca Scarazzai Dottore Commercialista Politecnico di Torino 25 novembre 2011 Semplificazioni nel tempo - 1 Maggio 2007: Guida pratica per le PMI Novembre 2007:
DettagliDISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015 Approvato dall Amministratore Unico di Metro con determina n. 5 del 9 marzo 2015 1 Disciplinare tecnico 2015 in materia di misure
DettagliIL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 G.U. n. 287 del 9 dicembre 2008
DettagliREGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI
COMUNE DI VIANO PROVINCIA DI REGGIO EMILIA REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI Approvato con deliberazione di G.C. n. 73 del 28.11.2000 INDICE TITOLO 1 ART. 1 ART. 2 ART. 3 ART. 4 ART. 5 ART.
DettagliComune di San Martino Buon Albergo Provincia di Verona
Comune di San Martino Buon Albergo Provincia di Verona REGOLAMENTO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (Approvato con deliberazione di Consiglio Comunale n. 32 del 12/05/2009) Sommario Art. 1.
DettagliSCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N
SCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N.262 DEL 28 DICEMBRE 2005 CONCERNENTE I PROCEDIMENTI PER L ADOZIONE DI ATTI DI REGOLAZIONE Il presente documento, recante lo schema di
DettagliREGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI
COMUNE DI BRESCIA REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI Adottato dalla Giunta Comunale nella seduta del 26.3.2003 con provvedimento n. 330/11512 P.G. Modificato
DettagliCITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente
CITTÀ DI AGROPOLI Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente Approvato con deliberazione della Giunta comunale n 358 del 06.12.2012 Regolamento per
DettagliPRIVACY. Federica Savio M2 Informatica
PRIVACY Federica Savio M2 Informatica Adempimenti tecnici obbligatori e corretta salvaguardia dei dati e dei sistemi Normativa di riferimento - oggi D.LGS 196/2003 Codice in materia di protezione dei dati
DettagliSEZIONE V TECNICHE DI COMUNICAZIONE A DISTANZA
SEZIONE V TECNICHE DI COMUNICAZIONE A DISTANZA 1. Premessa La presente sezione contiene disposizioni relative all impiego di tecniche di comunicazione a distanza da parte degli intermediari o di altri
DettagliELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.
ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. Il presente documento ha lo scopo di illustrare gli adempimenti di natura legale e di natura tecnico-informatica
DettagliPosta Elettronica Certificata obbligo e opportunità per le Imprese e la PA
Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA Belluno 28 gennaio 2014 www.feinar.it PEC: Posta Elettronica Certificata Che cos'è e come funziona la PEC 3 PEC: Posta Elettronica
Dettagliun responsabile ti chiamerà al più presto per chiarire ogni dubbio
Come implementare o aggiornare il Documento Programmatico per la Sicurezza (DPS) in conformità al Disciplinare Tecnico Gestione della privacy: chiarezza sulle figure, ruoli, compiti e responsabilità Chiedi
DettagliNomina RLS Rappresentante dei lavoratori per la sicurezza
Corso di formazione per RLS Corso di aggiornamento per RLS Nomina RLS Rappresentante dei lavoratori per la sicurezza Circolare INAIL n. 43 del 25 agosto 2009 Comunicazione nominativo Rappresentanti dei
DettagliSTUDIO BD e ASSOCIATI Associazione Professionale Cod. Fisc. e Partita Iva 01727930354 web: www.bdassociati.it e-mail: info@bdassociati.
Circolare n. 5/2013 Pagina 1 di 6 A tutti i Clienti Loro sedi Circolare n. 5/2013 del 7 marzo 2013 SICUREZZA SUL LAVORO OBBLIGHI IN VIGORE E DI PROSSIMA SCADENZA PER I DATORI DI LAVORO Come noto, il D.Lgs
DettagliFIDEURO MEDIAZIONE CREDITIZIA S.R.L.
1 FIDEURO MEDIAZIONE CREDITIZIA S.R.L. MANUALE DELLE PROCEDURE INTERNE PARTE GENERALE 2 INDICE 1. Informazioni sulla Società ed attività autorizzate 3 2. Autore del manuale delle procedure interne 3 3.
DettagliSCHEMA DI DELIBERAZIONE
Allegato al verbale dell'adunanza AIPA del 17 ottobre 2001 SCHEMA DI DELIBERAZIONE Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei
DettagliREGOLAMENTO PER LA GESTIONE DELLE SEGNALAZIONI E DEI RECLAMI
REGOLAMENTO PER LA GESTIONE DELLE SEGNALAZIONI E DEI RECLAMI Approvato con Deliberazione del Consiglio Provinciale n. 511031/2004 del 01/03/2005 Preambolo IL CONSIGLIO PROVINCIALE Visto l art. 117, comma
DettagliREGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA
I REGOLAMENTI PROVINCIALI: N. 72 PROVINCIA DI PADOVA REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA Approvato con D.G.P. in data 17.10.2005 n. 610 reg. SOMMARIO
DettagliRISOLUZIONE N. 308/E QUESITO
RISOLUZIONE N. 308/E Direzione Centrale Normativa e Contenzioso Roma, 05 novembre 2007 OGGETTO: Art. 10, n. 20) del DPR n. 633 del 1972 IVA. Esenzione Corsi di formazione per l accesso alla professione
DettagliVigilanza bancaria e finanziaria
Vigilanza bancaria e finanziaria DISPOSIZIONI DI VIGILANZA IN MATERIA DI POTERI DI DIREZIONE E COORDINAMENTO DELLA CAPOGRUPPO DI UN GRUPPO BANCARIO NEI CONFRONTI DELLE SOCIETÀ DI GESTIONE DEL RISPARMIO
DettagliRISOLUZIONE N. 220/E. Con l interpello specificato in oggetto, concernente l interpretazione del D.M. 23 gennaio 2004, è stato esposto il seguente
RISOLUZIONE N. 220/E Direzione Centrale Normativa e Contenzioso Roma, 13 agosto 2009 OGGETTO: Istanza di interpello - Art. 11 della legge n. 212 del 2000 - Conservazione sostitutiva dei documenti analogici
DettagliATTI AMMINISTRATIVI. Prefettura di Firenze - Protezione dei dati personali
Prefettura di Firenze - Protezione dei dati personali DOCUMENTI IL PREFETTO DELLA PROVINCIA DI FIRENZE VISTA la legge n. 675/96 e successive modificazioni e integrazioni relativa a tutela delle persone
DettagliL INVIO TELEMATICO DELLE PRATICHE AL REGISTRO DELLE IMPRESE. Alcune riflessioni alla luce degli interventi del Ministero e di UnionCamere
L INVIO TELEMATICO DELLE PRATICHE AL REGISTRO DELLE IMPRESE. Alcune riflessioni alla luce degli interventi del Ministero e di UnionCamere Di Claudio Venturi 1. Premessa Dopo molti rinvii e tante polemiche,
DettagliSOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia
SOMMARIO Presentazione... Note sugli autori... XI XIII Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia Capitolo 1 - Contesto normativo e sua evoluzione... 3 Capitolo 2 - Gli adempimenti nei
DettagliREGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)
REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014) Art.1 - Oggetto Il presente Regolamento disciplina, ai
DettagliMinistero dell Interno
ALLEGATO ALLA CIRCOLARE - FL 7/2012 LINEE GUIDA PER L ISCRIZIONE DEI REVISORI DEI CONTI DEGLI ENTI LOCALI nell elenco, di cui al Decreto del Ministro dell Interno 15 febbraio 2012, n. 23, recante il Regolamento
DettagliCIRCOLARE N. 58/E. Direzione Centrale Servizi ai Contribuenti. Roma 17 ottobre 2008
CIRCOLARE N. 58/E Direzione Centrale Servizi ai Contribuenti Roma 17 ottobre 2008 Oggetto: Trasferimento di quote di S.r.l. Art. 36 del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni,
DettagliDisposizioni in materia di trattamento dei dati personali.
Privacy - Ordinamento degli uffici e dei servizi comunali: indirizzi in materia di trattamento dei dati personali esistenti nelle banche dati del Comune. (Delibera G.C. n. 919 del 28.12.2006) Disposizioni
DettagliREGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI PARTE I - Disposizioni generali... 2 ART. 1 - Ambito di applicazione... 2 ART. 2 - Circolazione dei dati all'interno dell'università...
DettagliREGOLAMENTO ALBO PRETORIO ON LINE
REGOLAMENTO ALBO PRETORIO ON LINE Approvato con deliberazione del Direttore Generale n. 500 del 9.6.2011 INDICE Art. 1 Oggetto Art. 2 Albo Pretorio on line Art. 3 Modalità di pubblicazione e accesso Art.
DettagliCOMUNE DI BONITO Provincia di Avellino
REGOLAMENTO PER LA DISCIPLINA DELLE RIPRESE AUDIOVISIVE DELLE SEDUTE DEL CONSIGLIO COMUNALE E DELLE ATTIVITA' ISTITUZIONALI DELL'ENTE E LORO DIFFUSIONE Approvato con deliberazione di Consiglio Comunale
DettagliRegolamento di attuazione degli articoli 20, comma 2, e 21 del decreto legislativo 30 giugno 2003 n. 196,
Regolamento di attuazione degli articoli 20, comma 2, e 21 del decreto legislativo 30 giugno 2003 n. 196, relativo alla individuazione dei tipi di dati e delle operazioni eseguibili in tema di trattamento
DettagliRoma, 19 novembre 2014
RISOLUZIONE N. 102/E Direzione Centrale Normativa Roma, 19 novembre 2014 OGGETTO: Consulenza giuridica L obbligo di tracciabilità previsto dall articolo 25, comma 5, della legge 13 maggio 1999, n. 133,
DettagliRegolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare
Regolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare febbraio 2013 1 1 PREMESSA... 3 1.1 Oggetto... 3 1.2 Perimetro di applicazione e modalità di recepimento...
DettagliCircolare N.24 del 07 Febbraio 2013. Sicurezza sul lavoro. Obblighi e scadenze
Circolare N.24 del 07 Febbraio 2013 Sicurezza sul lavoro. Obblighi e scadenze Sicurezza sul lavoro: obblighi e scadenze Gentile cliente, con la presente desideriamo informarla che, il D.Lgs n. 81/2008
DettagliCOMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy
COMUNICATO Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy Nel secondo semestre del 2011 l Agenzia delle Entrate avvierà nuovi e più articolati controlli sul rispetto
DettagliGli elementi comunemente contenuti nella fattura, sia cartacea che elettronica, sono:
Fattura elettronica: caratteristiche e vantaggi La legge per tutti.it Stefano Veltri Il recente decreto sviluppo ha modificato la disciplina sulla fattura elettronica, allo scopo di favorirne la diffusione.
DettagliREGOLAMENTO PROCEDURE DI PUBBLICAZIONE ALBO PRETORIO ONLINE
REGOLAMENTO PROCEDURE DI PUBBLICAZIONE ALBO PRETORIO ONLINE ART.1 - CONTESTO NORMATIVO 1.Il presente Regolamento disciplina le modalità di pubblicazione sul sito informatico dell Istituto Comprensivo Statale
DettagliUNIONE BASSA REGGIANA. Programma triennale per la trasparenza e l integrità 2014 2016
Allegato 2 DGU 5/2014 UNIONE BASSA REGGIANA (PROVINCIA DI REGGIO EMILIA) Programma triennale per la trasparenza e l integrità 2014 2016 1. PREMESSA In data 20.4.2013, è entrato in vigore il D.lgs. 14.3.2013
DettagliP r o d u t tive. Circolare n.
Circolare n. Legge 23 agosto 2004, n. 239 - articoli 53 e 54, recanti modifiche e integrazioni ai requisiti per l accesso ai contributi in favore degli autoveicoli alimentati a GPL e metano di cui al decreto
DettagliTracciabilità dei pagamenti anche per associazioni no profit e pro-loco
Ipsoa Quotidiano LA RISOLUZIONE N. 102/E/2014 20 novembre 2014 ore 06:00 Tracciabilità dei pagamenti anche per associazioni no profit e pro-loco L obbligo di tracciabilità dei pagamenti e dei versamenti
DettagliIl nuovo codice in materia di protezione dei dati personali
Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico
DettagliPROGRAMMA CORSI PRIVACY 2013
PROGRAMMA CORSI PRIVACY 2013 1) Modulo per Titolari/Responsabili del Trattamento Obiettivo del corso: fornire una conoscenza approfondita della normativa vigente, al fine di compiere scelte consapevoli
DettagliRISOLUZIONE N.15/E QUESITO
RISOLUZIONE N.15/E Direzione Centrale Normativa Roma, 18 febbraio 2011 OGGETTO: Consulenza giuridica - polizze estere offerte in regime di libera prestazione dei servizi in Italia. Obblighi di monitoraggio
DettagliStrumenti digitali e privacy. Avv. Gloria Galli
Strumenti digitali e privacy Avv. Gloria Galli Codice in materia di protezione dei dati personali: Decreto legislativo n. 196 del 30/06/2003 Art. 4. Definizioni trattamento, qualunque operazione o complesso
DettagliC O M U N E D I S A R E Z Z O PROVINCIA DI BRESCIA
Allegato A C O M U N E D I S A R E Z Z O PROVINCIA DI BRESCIA P.ZZA CESARE BATTISTI, N. 4 25068 SAREZZO WWW.COMUNE.SAREZZO.BS.IT REGOLAMENTO PER L INTERPELLO DEL CONTRIBUENTE Approvata con deliberazione
DettagliLa Privacy nelle Associazioni di Promozione Sociale
La Privacy nelle Associazioni di Promozione Sociale Forlì, 25 gennaio 2007 1 Adempimenti previsti dal Codice della Privacy per le APS 2 Codice della Privacy Nel 1996 la legge n. 675 regolamentò la tutela
Dettagliatf - federfarma brescia associazione dei titolari di farmacia della provincia di brescia
Brescia, 29 aprile 2004 atf - federfarma brescia associazione dei titolari di farmacia della provincia di brescia Circ. n. 151 A tutti i Signori Titolari e Direttori di farmacia Loro Sedi Oggetto: Privacy:
DettagliAutorità per l'informatica nella pubblica amministrazione Deliberazione n. 42/2001
Autorità per l'informatica nella pubblica amministrazione Deliberazione n. 42/2001 Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei
DettagliPiaggio & C. S.p.A. Relazione Illustrativa
Piaggio & C. S.p.A. Relazione Illustrativa Autorizzazione all acquisto e disposizione di azioni proprie, ai sensi del combinato disposto degli artt. 2357 e 2357-ter del codice civile, nonché dell art.
DettagliMinistero del Lavoro, della Salute e delle Politiche Sociali
INTERPELLO N. 65/2009 Roma, 31 luglio 2009 Ministero del Lavoro, della Salute e delle Politiche Sociali DIREZIONE GENERALE PER L ATTIVITÀ ISPETTIVA Al Consiglio Nazionale dell Ordine dei Consulenti del
DettagliOSSERVAZIONI SUL DOCUMENTO DI CONSULTAZIONE CONSOB AVVIO DEL LIVELLO 3 SUL NUOVO REGOLAMENTO INTERMEDIARI CONFRONTO CON IL MERCATO
Roma, 30 gennaio 2008 OSSERVAZIONI SUL DOCUMENTO DI CONSULTAZIONE CONSOB AVVIO DEL LIVELLO 3 SUL NUOVO REGOLAMENTO INTERMEDIARI CONFRONTO CON IL MERCATO L ANIA ha esaminato i contenuti della documentazione
DettagliIstruzioni operative per gli Incaricati del trattamento dei dati personali
Istruzioni operative per gli Incaricati del trattamento dei dati personali Pagina 1 di 5 Introduzione Il presente documento costituisce un manuale con istruzioni operative per il corretto utilizzo dei
DettagliALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare
1 Premessa e quadro normativo Il Contratto sottoscritto da Equitalia S.p.A. e ha ad oggetto l affidamento dei servizi di implementazione e manutenzione del nuovo Sistema Informativo Corporate - Sistema
DettagliFORMAZIONE PRIVACY 2015
Intervento formativo per rendere edotti gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle relative misure di sicurezza ai sensi dell art. 130 del D.Lgs. 196/2003
DettagliLa tutela della Privacy. Annoiatore: Stefano Pelacchi
La tutela della Privacy Annoiatore: Stefano Pelacchi 1 Appunti Le organizzazioni del volontariato possono assumere qualsiasi forma giuridica prevista dal Libro I del Codice Civile compatibile con il proprio
Dettagli4 Punto. Assemblea ordinaria e straordinaria degli Azionisti Unica convocazione: 11 giugno 2014 ore 11,00. Parte ordinaria
Assemblea ordinaria e straordinaria degli Azionisti Unica convocazione: 11 giugno 2014 ore 11,00 Parte ordinaria 4 Punto Autorizzazione all acquisto e disposizione di azioni proprie, ai sensi del combinato
DettagliDocumento di consultazione n. 3/2014
Documento di consultazione n. 3/2014 SCHEMA DI REGOLAMENTO CONCERNENTE LA DEFINIZIONE DELLE MISURE DI SEMPLIFICAZIONE DELLE PROCEDURE E DEGLI ADEMPIMENTI NEI RAPPORTI CONTRATTUALI TRA IMPRESE DI ASSICURAZIONI,
DettagliRISOLUZIONE N. 98/E. Direzione Centrale Normativa Roma, 25/11/2015
RISOLUZIONE N. 98/E Direzione Centrale Normativa Roma, 25/11/2015 OGGETTO: Consulenza giuridica Fatturazione delle prestazioni rese dai medici di medicina generale operanti in regime di convenzione con
DettagliSICUREZZA SUL LAVORO: OBBLIGHI IN VIGORE E DI PROSSIMA SCADENZA PER I DATORI DI LAVORO
SICUREZZA SUL LAVORO: OBBLIGHI IN VIGORE E DI PROSSIMA SCADENZA PER I DATORI DI LAVORO Artt. 28, 29, 34 e 37 del D.Lgs n. 81/2008 Accordi 21 dicembre 2011 in Conferenza Permanente tra Stato e Regioni e
DettagliRegolamento sulla tenuta dell Albo aziendale telematico
Regolamento sulla tenuta dell Albo aziendale telematico Art. 1 Oggetto del regolamento 1. Il presente regolamento disciplina le forme della pubblicità degli atti deliberativi e delle determinazioni dirigenziali
DettagliModelli ex d.lgs. 231/01 e Modelli di prevenzione della corruzione ex L. 190/2012. Massimo Malena & Associati 20 maggio 2015
Modelli ex d.lgs. 21/01 e Modelli di prevenzione della corruzione ex L. 190/2012 Massimo Malena & Associati 20 maggio 2015 L impatto immediato e diretto della L. 190/2012 sul d.lgs. 21/01 La Legge 190
DettagliREGOLAMENTO PER L'ISTITUZIONE E LA TENUTA DEL REGISTRO DELLE DICHIARAZIONI ANTICIPATE RELATIVE AI TRATTAMENTI SANITARI
COMUNE DI GUIGLIA Provincia di Modena REGOLAMENTO PER L'ISTITUZIONE E LA TENUTA DEL REGISTRO DELLE DICHIARAZIONI ANTICIPATE RELATIVE AI TRATTAMENTI SANITARI (TESTAMENTO BIOLOGICO) Approvato con Delibera
DettagliRISOLUZIONE N. 81/E. Direzione Centrale Normativa Roma, 25 settembre 2015
RISOLUZIONE N. 81/E Direzione Centrale Normativa Roma, 25 settembre 2015 OGGETTO: Interpello - ART. 11, legge 27 luglio 2000, n. 212 Comunicazione del luogo di conservazione in modalità elettronica dei
DettagliDomanda di riduzione del tasso medio di tariffa ai sensi dell art. 20 MAT e domanda di riduzione del premio ai sensi della Legge 147/2013.
Nota 9 maggio 2014, n. 3266 Domanda di riduzione del tasso medio di tariffa ai sensi dell art. 20 MAT e domanda di riduzione del premio ai sensi della Legge 147/2013. Modulo di domanda Come noto (NOTA
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliOggetto Rappresentanti dei lavoratori per la sicurezza: comunicazione nominativi 1.
DIREZIONE GENERALE DIREZIONE CENTRALE PREVENZIONE Circolare n. 11 Roma, 12 marzo 2009 Al Dirigente Generale Vicario Ai Responsabili di tutte le Strutture Centrali e Territoriali e p.c. a: Organi Istituzionali
DettagliCircolare Informativa n 21/2013
Circolare Informativa n 21/2013 DURC negativo ed intervento sostitutivo della stazione appaltante e-mail: info@cafassoefigli.it - www.cafassoefigli.it Pagina 1 di 6 INDICE Premessa pag.3 1) Intervento
DettagliINFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL D.LGS. 196/2003 (C.D. CODICE PRIVACY)
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL D.LGS. 196/2003 (C.D. CODICE PRIVACY) Accedendo al portale www.agos4ideas.it (di seguito anche il Sito o Agos4Ideas), di proprietà
DettagliPiaggio & C. S.p.A. Relazione Illustrativa
Piaggio & C. S.p.A. Relazione Illustrativa Autorizzazione all acquisto e disposizione di azioni proprie, ai sensi del combinato disposto degli artt. 2357 e 2357-ter del codice civile, nonché dell art.
DettagliPROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA
PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA (P.T.T.I.) 2015 2017 1. Introduzione: organizzazione e funzioni dell amministrazione. La trasparenza costituisce strumento di prevenzione e contrasto
DettagliDott. Filippo Caravati Convegno - Audit Intermediari 1
Dott. Filippo Caravati Convegno - Audit Intermediari 1 Dott. Filippo Caravati Convegno - Audit Intermediari 2 Circolare Agenzia Entrate n. 6/E del 2002 4.3 Documentazione da rilasciare ai contribuenti
Dettaglivisto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione,
IL CONSIGLIO DELL UNIONE EUROPEA, visto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione, (2) Per assicurare la corretta applicazione dell
DettagliMODIFICHE AL REGOLAMENTO N. 11768/98 IN MATERIA DI MERCATI
MODIFICHE AL REGOLAMENTO N. 11768/98 IN MATERIA DI MERCATI DOCUMENTO DI CONSULTAZIONE 27 luglio 2006 Le osservazioni al presente documento di consultazione dovranno pervenire entro il 7 agosto 2006 al
DettagliART.1 OGGETTO ART.2 PRINCIPI
REGOLAMENTO RECANTE LE MODALITA DI PUBBLICAZIONE NEL SITO INTERNET ISTITUZIONALE DELLE DELIBERAZIONI DEL CONSIGLIO COMUNALE, DELLA GIUNTA COMUNALE E DELLE DETERMINAZIONI DIRIGENZIALI. ART.1 OGGETTO 1.
DettagliCon la presente vengono fornite indicazioni ai fini dell autorizzazione all esercizio di detta modalità di gioco.
Ministero dell Economia e delle Finanze Amministrazione autonoma dei monopoli di Stato DIREZIONE GENERALE Direzione per i giochi Ufficio 11 - Bingo Roma, 17 giugno 2011 AI CONCESSIONARI DEL GIOCO A DISTANZA
DettagliRisposta dell Associazione Bancaria Italiana al documento di consultazione CONSOB
Risposta dell Associazione Bancaria Italiana al documento di consultazione CONSOB Comunicazione in materia di informazione da fornire al pubblico in relazione alle indennità e benefici riconosciuti ad
DettagliRegolamento per la formazione professionale continua del Consiglio Nazionale
Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili FORMAZIONE PROFESSIONALE CONTINUA degli iscritti negli Albi tenuti dagli Ordini dei dottori commercialisti e degli esperti contabili
DettagliOGGETTO: Interpello ai sensi dell art. 11 della legge n. 212 del 2000 conservazione elettronica dei titoli di acquisto di beni agevolati
RISOLUZIONE N. 52/E Roma, 17 giugno 2010 Direzione Centrale Normativa OGGETTO: Interpello ai sensi dell art. 11 della legge n. 212 del 2000 conservazione elettronica dei titoli di acquisto di beni agevolati
DettagliCOMUNE DI RENATE Provincia di Monza e Brianza
REGOLAMENTO COMUNALE PER L INSTALLAZIONE E LA TENUTA DEGLI IMPIANTI DI VIDEOSORVEGLIANZA Approvato dal Consiglio Comunale con delibera n. 50 del 25/11/2009 versione 3 03/11/2009 REGOLAMENTO PER L INSTALLAZIONE
DettagliMinistero del Lavoro e delle Politiche Sociali
CIRCOLARE N. 36/2013 Roma, 6 settembre 2013 Ministero del Lavoro e delle Politiche Sociali Direzione generale per l Attività Ispettiva Prot. 37/0015563 Agli indirizzi in allegato Oggetto: art. 31 del D.L.
DettagliCircolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA
Circolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA La tutela della riservatezza nella gestione del rapporto di lavoro è una tematica particolarmente complessa e delicata
DettagliRoma, 11 aprile 2013 C NOTA
Direzione Centrale Accertamento Roma, 11 aprile 2013 C NOTA Adempimenti all Archivio dei rapporti finanziari da parte di soggetti che svolgono in Italia attività di prestazione di servizi di pagamento
DettagliTRATTAMENTO DATI PERSONALI
INFORMATIVA EX ART.13 D.LGS. 196/2003 Gentile signore/a, desideriamo informarla che il d.lgs. n. 196 del 30 giugno 2003 ("Codice in materia di protezione dei dati personali") prevede la tutela delle persone
Dettagli20.03.2015. REV. 2015/00 Pag. 1 di 5
REV. 2015/00 Pag. 1 di 5 PROCEDURA 9 GESTIONE DELLE INDICE: 1. OBIETTIVI 2. DESTINATARI 3. PROCESSI AZIENDALI COINVOLTI 4. PROTOCOLLI DI PREVENZIONE 4.1. DOCUMENTAZIONE INTEGRATIVA 4.2. PROCEDURE DA APPLICARE
DettagliINFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE
DettagliAl Presidente del Collegio Geometri e Geometri laureati della Provincia di xxx. Al Responsabile dell Area Governo del Territorio del Comune di xxx
DIREZIONE GENERALE PROGRAMMAZIONE TERRITORIALE E NEGOZIATA, INTESE. RELAZIONI EUROPEE E RELAZIONI SERVIZIO AFFARI GENERALI, GIURIDICI E PROGRAMMAZIONE FINANZIARIA INTERNAZIONALI IL RESPONSABILE GIOVANNI
DettagliIL VICEDIRETTORE dell Agenzia delle Dogane e dei Monopoli
ADM.MNUC Reg. Uff. n.104077 del 22/12/2014 IL VICEDIRETTORE dell Agenzia delle Dogane e dei Monopoli VISTO il Testo Unico di cui al Regio Decreto 18 giugno 1931, n. 773, (T.U.L.P.S.), e successive modificazioni
DettagliOggetto: Istanza di interpello - Ente Ecclesiastico civilmente riconosciuto - D.Lgs. n. 460 del 1997 Esenzione regionale dall IRAP
RISOLUZIONE N.79/E Roma,31 marzo 2003 Direzione Centrale Normativa e Contenzioso Oggetto: Istanza di interpello - Ente Ecclesiastico civilmente riconosciuto - D.Lgs. n. 460 del 1997 Esenzione regionale
DettagliLINEE GUIDA PER L EROGAZIONE DELLA FORMAZIONE INTERNA
LINEE GUIDA PER L EROGAZIONE DELLA FORMAZIONE INTERNA Versione 01 25/10/2012 Indice PREMESSA... 2 1 ACCETTAZIONE CONDIZIONI GENERALI PER L EROGAZIONE DELLA FORMAZIONE INTERNA... 2 2 DEFINIZIONE MODULI
Dettagli1- OBIETTIVI DEL DOCUMENTO 2- INTRODUZIONE
1- OBIETTIVI DEL DOCUMENTO... 1 2- INTRODUZIONE... 1 3- ACCESSO ALLA PROCEDURA... 2 4- COMPILAZIONE ON-LINE... 4 5- SCELTA DELLA REGIONE O PROVINCIA AUTONOMA... 5 6- DATI ANAGRAFICI... 6 7- DATI ANAGRAFICI
DettagliREGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI
REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI REGOLAMENTO SULLA FACOLTA DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI Sommario Art. 1 - Principi, finalità, e oggetto...3 Art. 2 -
Dettagli2. Il trat (Indicare le modalità del trattamento: manuale / informatizzato / altro.) FAC-SIMILE
B1 Informativa ex art. 13 D.lgs. 196/2003 dati comuni Gentile Signore/a, Desideriamo informarla che il D.lgs. n. 196 del 30 giugno 2003 ( Codice in materia di protezione dei dati personali ) prevede la
DettagliLa Giunta Comunale. Visto il D.P.R. 30.05.1989 n. 223 Regolamento Anagrafico e sue modifiche;
Oggetto: Definizione linee di indirizzo per accesso in consultazione alla banca dati informatizzata dell Anagrafe del Comune di Teglio ed utilizzo dei dati anagrafici da parte degli Uffici comunali. La
DettagliREGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA
REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA Approvato con delibera consiglio comunale n. 175 del 22/11/2006 Modificato con delibera consiglio comunale n. 36 DEL 14/03/2013
DettagliFORM CLIENTI / FORNITORI
FORM CLIENTI / FORNITORI Da restituire, compilato in ognuna delle sue parti, a: Ditta Enrico Romita Via Spagna, 38 Tel. 0984.446868 Fax 0984.448041 87036 Mail to: amministrazione@calawin.it 1 Informativa
DettagliMODULO DI DESIGNAZIONE/REVOCA DEI BENEFICIARI
MODULO DI DESIGNAZIONE/REVOCA DEI BENEFICIARI (Da inviare ad Arca SGR S.p.A. in originale, per posta, unitamente a copia dei documenti di identità dell Iscritto e dei beneficiari) Spett.le ARCA SGR S.p.A.
DettagliRoma, ottobre 2013. Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore
Roma, ottobre 2013 Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore OGGETTO: NOMINA DEI RESPONSABILI DEL TRATTAMENTO DEI DATI L AGESCI Associazione Guide e Scouts Cattolici Italiani,
DettagliModifiche alla disciplina del Credito al Consumo
Modifiche alla disciplina del Credito al Consumo 1 Premessa Le modifiche in materia di Credito al Consumo sono volte: ad ampliare l ambito di applicazione della disciplina contenuta nel Testo Unico Bancario
Dettagli