C e n t o. 9 6 ti mette in regola con la Legge sulla Privacy

Transcript

1 Privacy 2004 Il Nuovo Testo Unico sulla Privacy (D.L. n.196 del 30 giugno 2003) è già in vigore. Le norme prevedono vincoli rigorosi e pene severe in caso di inadempienza. Impegnarsi autonomamente per adempiere alle richieste di Legge distoglie dalla gestione della tua azienda, correndo il rischio di sbagliare buttando tempo e denaro. Rexolver invece ti dà una mano e propone il servizio C e n t o. 9 6 c e n t o p u n t o n o v a n t a s e i Con Cento.96 Rexolver si fa carico per te di quanto serve per risolverti il problema degli adempimenti richiesti dal Nuovo Testo Unico sulla Privacy. Affidaci questo tuo problema, e lo risolveremo molto bene. Chiamaci al numero di telefono e richiedi un incontro con un nostro esperto Cento.96. Oppure inviaci con la tua richiesta di contatto. Se ricevete questa è esclusivamente perchè: a) siete già nostri clienti e ci avete comunicato la vostra ; b) il vostro indirizzo è pubblicamente conosciuto e pubblicizzato. Nel caso non desiderate più ricevere le nostre , rinviateci questo messaggio indicando nell oggetto la seguente frase: Cancellatemi dalle vostre CENTO.96.

2 Cento.96 - la policy Per lo svolgimento delle quotidiane attività lavorative l azienda necessita in numerosi ruoli e posizioni organizzative l utilizzo di apparecchiature informatiche. L uso di tali apparecchiature deve essere disciplinato da norme certe in quanto da comportamenti, anche inconsapevolmente non leciti, possono derivare conseguenze gravi, sia sul piano tecnico (come un blocco della funzionalità o una perdita di dati) che sul piano giuridico (mediante l insorgere di responsabilità sia penali che civili a carico contestualmente dell Azienda e del lavoratore). Allo scopo di chiarire definitivamente le norme di La struttura della policy prevede: regolamentazione dell utilizzo della strumentazione informatica; disciplina circa l installazione dei programmi; regolamentazione dell utilizzo dei supporti removibili; Indicazioni pratiche circa l applicazione della policy. comportamento viene generalmente redatto un Regolamento Interno, affinché i dipendenti evitino di porre in essere inconsapevoli comportamenti incompatibili con la correttezza professionale richiesta e/o con il corretto svolgimento della prestazione professionale da parte degli stessi. Tale regolamento recante indicazioni circa l utilizzo della posta elettronica, della strumentazione informatica, delle reti interna ed esterna, ecc., deve essere fatto sottoscrivere ad ogni dipendente previa assenso delle rappresentanze sindacali interne. utilizzo della rete interna e della rete esterna; disciplina circa l utilizzo della posta elettronica; tutela della riservatezza dei dati; Cento.96 - il documento programmatico Per quanto concerne il documento programmatico, questo è previsto dalla normativa relativa alle misure di sicurezza applicate ai dati personali, ed è documento obbligatorio ai sensi del DPR 318/99, nonché del Nuovo Testo Unico sulla Privacy che è entrato in vigore il primo gennaio Tale documento deve essere redatto con tutte le La struttura del documento programmatico prevede: Individuazione dei dati sensibili e dei dati personali trattati con strumenti elettronici; Identificazione delle aree e dei locali interessati; Identificazione e gestione degli apparati hardware con relative misure di sicurezza adottate; Identificazione e gestione degli apparati software con relative misure di sicurezza adottate; L intervento del consulente legale consiste nella verifica preliminare della corrispondenza delle misure di sicurezza adottate dall Azienda rispetto al dettato normativo. Una volta raggiunti i minimi di legge indicazioni normativamente richieste circa la sicurezza e la gestione dei dati personali trattati con strumenti elettronici e dei dati sensibili detenuti dall azienda sia relativamente al personale (dati sanitari, sindacali, ecc.) sia eventualmente relativi a terzi soggetti, quali ad esempio clienti o fornitori. Analisi degli eventuali rischi e relazione in materia di sicurezze adottate; Analisi controllo accessi; Analisi rischi provenienti da eventuale utilizzo di connessione di rete; Redazione piano di verifica periodico delle misure adottate. richiesti o verificata la loro esistenza, si procede alla redazione del documento, secondo i criteri indicati dal legislatore.

3 Due modalità per rendere operativo Cento.96 Cento.96 - networking La proposta networking si origina dallo studio attento della realtà aziendale in cui si intende applicare il servizio. L analisi delle risorse organizzative e infrastrutturali ci consentirà di modellare la proposta informatica su misura, massimizzando gli investimenti fatti e integrandoli solo dove e se necessario. La situazione attuale viene percepita attraverso la raccolta di notizie emergenti dalle risposte ad alcune domande integrate sempre da un incontro informativo presso la sede del cliente di un nostro esperto Cento.96. Rispondere alle domande sotto riportate ci guiderà nella produzione dell offerta tecnica ed economica. 1. Le notizie sull organizzazione informatica interna 1.1 E stato nominato/individuato l amministratore di rete? 1.2 E presente in azienda una procedura organizzata e sistematica di gestione dei nomi utente e delle password di accesso ad ogni computer/server? Con quale frequenza vengono cambiate le password? Settimanale Mensile Semestrale 1.3 E presente in azienda un software che consente il cambio automatico delle password? 1.4 E presente una procedura per il salvataggio dei dati? Mai/Non So 2. Le notizie sul sistema informativo 2.1 Sono presenti PC singoli non connessi tra loro? 2.2 Se avete più PC interconnessi, mediante quale rete aziendale? Windows Novell TCP/IP Altro Se avete risposto alla domanda 1.3, il salvataggio dei dati viene 2.3 Settimafatto con quale periodicità? Giornaliero Mensile Annuale nale Quale sistema hardware e software adottate per il salvataggio dei dati? E presente e utilizzato un sistema di protezione contro virus informatici? Se avete risposto alla domanda 2.5, la protezione contro virus informatici come viene gestita? Se la protezione contro virus informatici viene gestita centralmente con quali strumenti/macchine? L aggiornamento del software antivirus, con quale periodicità viene aggiornato? Dischi rigidi di Back Up DAT a cassette magnetiche Masterizzatore CD/DVD Altro Su ogni macchina Centralmente Giornaliero Settimanale Mensile 3. Le notizie sulla conservazione dei supporti di salvataggio dati E stata prodotta una procedura di archiviazione dei supporti di salvataggio dati? 3.2 Dove vengono conservati i supporti di salvataggio dati? I supporti magnetici di salvataggio dati sono conservati in armadio ignifugo? I supporti magnetici di salvataggio dati sono conservati in un luogo protetto da sistema di sicurezza antintrusione? Solo in azienda Semestrale In azienda e presso un altro luogo protetto

4 Cento.96 - legale L intervento del consulente legale consiste nella verifica preliminare della corrispondenza della misure di sicurezza adottate dall Azienda rispetto al dettato normativo. Una volta raggiunti i minimi di legge richiesti o verificata la loro esistenza, si procede alla redazione del documento, secondo i criteri indicati dal legislatore. Il servizio legale include: Preventiva verifica della sussistenza delle misure minime di sicurezza previste e relativo adeguamento tecnico; Redazione lettere di nomina dell incaricato e del responsabile secondo i parametri normativi; Redazione documento programmatico di sicurezza da esibire in caso di controllo e da citare nella relazione accompagnatoria al bilancio; Redazione informative per clienti/fornitori e dipendenti; Redazione di regolamento aziendale finalizzato alla formazione degli incaricati in ottemperanza agli obblighi di legge. La produzione di documentazione e procedure personalizzate è verificata e documentata in occasione del primo colloquio consulenziale informativo. Come fatto per la parte informatica, la situazione attuale viene rilevata attraverso la raccolta di notizie emergenti dalle risposte ad alcune domande elencate nella Check Legale Privacy. In essa sono contenute domande in ordine agli aspetti legali, amministrativi e organizzativi. Le risposte alle domande della Check Legale Privacy saranno sempre integrate da un incontro informativo presso la sede del cliente di un nostro esperto Cento.96. Rispondere alle domande sotto riportate ci guiderà nella produzione dell offerta consulenziale più adeguata alle esigenze del cliente.

5 Cento.96 Check Legale Privacy Verifica dello stato di adeguamento al Codice della Privacy (dlgs 196/03). Rexolver propone una Check List Privacy, uno strumento che riteniamo di supporto alle aziende e in grado di determinare il livello di adeguamento al nuovo testo unico sulla privacy (D.L. 196/03). Check List Privacy è composto da 67 quesiti suddivisi in 7 macroaree: 1 Organizzazione 2 Individuazione e nomina dei responsabili 3 Autorizzazioni al trattamento 4 Trattamenti con strumenti non elettronici 5 Documento Programmatico sulla Sicurezza (Dps) 6 Notifica al garante 7 Altre misure di sicurezza Sulla base delle risposte da voi fornite, sarà possibile costruire un profilo-utente articolato su tre livelli: A Valutazione complessiva B Attività da svolgere C Suggerimenti Consigliamo di rispondere a tutte le domande presenti nel questionario, al fine di ottenere una corretta e appropriata valutazione dello stato di adeguamento della vostra azienda. 1. Organizzazione 1.1 Sono stati analizzati i trattamenti di dati personali che vengono effettuati? 1.2 E' stato redatto l'elenco dei dati personali (banche dati) che vengono gestiti? I trattamenti di dati effettuati sono stati suddivisi per tipologia in sensibili, ''giudiziari'' e ''comuni''? E' stata verificata per ciascun trattamento la finalità del trattamento stesso? In alcuni casi in base alla finalità del trattamento, è richiesto il consenso dell'interessato. E' stato verificato per ciascun trattamento se è necessario richiedere il consenso al trattamento da parte degli interessati? 1.6 Sono state predisposte le informative per la richiesta del consenso al trattamento? 1.7 Sono stati individuati tutti gli incaricati del trattamento di dati personali? 1.8 E' stato effettuato l'inventario dei sistemi (computers) con i quali è possibile effettuare il trattamento dei dati personali? 1.9 Sono stati individuati, per ogni specifico trattamento, i responsabili del trattamento stesso? 1.10 Sono stati individuati, per ogni trattamento, gli incaricati ai quali è permesso di accedere ai dati personali? 1.11 E' stato redatto l'elenco delle sedi in cui è possibile effettuare il trattamento dei dati personali? E' stato redatto l'elenco degli uffici di ogni sede in cui è possibile effettuare il trattamento dei dati personali? E' stato individuato per ogni ufficio in cui viene effettuato il trattamento di dati personali un incaricato con il compito di controllarne l'accesso?

6 2. Individuazione e nomina dei responsabili 2.1 Si conosce cosa si intende per Titolare così come è definito dal Codice della Privacy? 2.2 Si conosce cosa si intende per Responsabile del trattamento così come è definito dal Codice della Privacy? 2.3 Si è proceduto all'individuazione di uno o più Responsabili del Trattamento? 2.4 Si è proceduto alla nomina di uno o più Responsabili del Trattamento? Si conosce cosa si intende per Responsabili della custodia delle credenziali di autenticazione così come è definito dal Codice della Privacy? Si è proceduto all'individuazione di uno o più Responsabili della custodia delle credenziali di autenticazione? Si è proceduto alla nomina di uno o più Responsabili della custodia delle credenziali di autenticazione? Si conosce cosa si intende per Responsabili delle copie così come è definito dal Codice della Privacy? 2.9 Si è proceduto all'individuazione di uno o più Responsabili delle copie? 2.10 Si è proceduto alla nomina di uno o più Responsabili delle copie? 2.11 Si conosce cosa si intende per Responsabili della manutenzione dei sistemi così come è definito dal Codice della Privacy? 2.12 Si è proceduto all'individuazione di uno o più Responsabili della manutenzione dei sistemi? 2.13 Si è proceduto alla nomina di uno o più Responsabili della manutenzione dei sistemi? 3. Autorizzazioni al trattamento 3.1 Sono state assegnate le credenziali di autenticazione a ogni incaricato? Sono state impartite istruzioni scritte a ciascun incaricato circa la necessità di tenere riservata la parola chiave assegnata? Nel caso in cui si utilizzano dei dispositivi di autorizzazione (ed.esempio badge magnetici) sono state impartite istruzioni scritte per la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato? La parola chiave utilizzata da ciascun incaricato del trattamento di dati personali è lunga almeno 8 caratteri? Sono state impartite istruzioni scritte ad ogni incaricato per indicare le modalità di modifica della parola chiave, un modo che sia in grado di modificarla da solo? Sono state impartite istruzioni scritte a ogni incaricato per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento? Sono state impartite disposizioni scritte per descrivere le modalità con le quali il titolare assicura la disponibilità di dati o strumenti elettronici, se l accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della parola chiave? E' stato predisposto un piano per la verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione? 3.9 E' stata predisposta la lista degli incaricati e dei relativi profili di autorizzazione? 3.10 I dati personali sono protetti contro il rischio di intrusione? 3.11 Sono state date idonee istruzioni ai Responsabili della manutenzione degli strumenti elettronici per aggiornare periodicamente i programmi per prevenire la vulnerabilità degli strumenti elettronici e per correggerne difetti?

7 3.12 Sono state impartite istruzioni organizzative e tecniche per il salvataggio dei dati con frequenza almeno settimanale? Trattamenti con strumenti non elettronici Nel caso in cui siano effettuati trattamenti di dati personali senza l ausilio di strumenti elettronici sono state impartite istruzioni scritte agli incaricati per il controllo e la custodia, per l intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali? Nel caso in cui siano effettuati trattamenti di dati personali senza l ausilio di strumenti elettronici si è provveduto a redarre la lista degli incaricati anche per classi omogenee di incarico e dei relativi profili di autorizzazione? Nel caso in cui siano effettuati trattamenti di dati personali senza l ausilio di strumenti elettronici sono state impartite istruzioni scritte in modo che, quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti siano controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e siano restituiti al termine delle operazioni affidate? Nel caso in cui siano effettuati trattamenti di dati personali senza l ausilio di strumenti elettronici sono state impartite istruzioni scritte in modo che l accesso agli archivi contenenti dati sensibili o giudiziari sia controllato? Le persone ammesse, a qualunque titolo, dopo l orario di chiusura, sono identificate e registrate? Documento programmatico sulla sicurezza Il Titolare ha predisposto o aggiornato entro il 31 marzo dell'anno in corso il Documento Programmatico sulla Sicurezza? Nel Documento Programmatico sulla Sicurezza è stato inserito l'elenco dei trattamenti di dati personali? Nel Documento Programmatico sulla Sicurezza è stata specificata la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati? Nel Documento Programmatico sulla Sicurezza sono stati analizzati i rischi potenziali che incombono sui dati? Nel Documento Programmatico sulla Sicurezza sono state specificate le misure da adottare per garantire l integrità e la disponibilità dei dati? Nel Documento Programmatico sulla Sicurezza sono state specificate le misure da adottare per la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità? Nel Documento Programmatico sulla Sicurezza è stato inserito un piano di formazione per gli incaricati al fine di renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare? Nel Documento Programmatico sulla Sicurezza è stato specificato come si intende effettuare la formazione al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali? Nel Documento Programmatico sulla Sicurezza sono stati specificati i criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all esterno della struttura del titolare?

8 Notifica al garante Viene effettuato trattamento di dati genetici? Viene effettuato trattamento di dati biometrici? Viene effettuato trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica? Viene effettuato trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria? Viene effettuato trattamento di dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale? Vengono effettuati trattamenti con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi? Viene effettuato trattamento di dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi? Viene effettuato trattamento di dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie? Viene effettuato trattamento di dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti? Altre misure di sicurezza I dati sensibili o giudiziari sono protetti contro l accesso abusivo mediante l utilizzo di idonei strumenti elettronici? Sono state impartite istruzioni organizzative e tecniche per la custodia e l uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti? Sono state impartite istruzioni organizzative e tecniche affinché i supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati siano distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, solamente se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili? Sono state adottate idonee misure per garantire il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni? Sono state impartite istruzioni organizzative affinché se ci si avvale di soggetti esterni alla propria struttura venga rilasciata una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del Codice della Privacy? Nella relazione accompagnatoria del bilancio d esercizio, se dovuta il titolare ha fatto menzione dell avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza? Cento.96 legale si avvale della consulenza attiva e specialistica dello Studio Legale Dott.ssa Valentina Frediani di Montecatini Terme (PT).