Aggiornamento del Codice dell'amministrazione Digitale



Documenti analoghi
Privacy semplice per le PMI

GESTIONE DELLE NON CONFORMITÀ E RECLAMI

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

REALIZZAZIONE DI UN SISTEMA DI GESTIONE DELLA SICUREZZA SUL LAVORO: CASTELLO DI CARTE O CASSETTA DEGLI ATTREZZI PER UNA GESTIONE EFFICACE?

Fatturazione elettronica adempimento degli obblighi fiscali e tenuta delle scritture contabili mediante strumenti digitali

DISCIPLINARE PER LA STIPULAZIONE DEI CONTRATTI IN MODALITÀ ELETTRONICA

Circolare N.24 del 07 Febbraio Sicurezza sul lavoro. Obblighi e scadenze

News di approfondimento

MANUALE DELLA QUALITÀ Pag. 1 di 6

Settore Affari Generali e Istituzionali. Disciplinare per le Pubblicazioni on line

Istruzioni del Consiglio federale sulla sicurezza TIC nell Amministrazione federale

CODICE ETICO Approvato dai membri del CDA a ottobre 2011

Sottoscrizione dell accordo

Istruzioni del Consiglio federale sulla sicurezza TIC nell Amministrazione federale

Corso RSPP Modulo C. Ing. Vincenzo Staltieri

RISOLUZIONE N. 81/E. Direzione Centrale Normativa Roma, 25 settembre 2015

L amministratore di sistema. di Michele Iaselli

Ordinanza sulle procedure di certificazione della protezione dei dati (OCPD)

Chi è il Rappresentante dei Lavoratori per la Sicurezza RLS

PO 01 Rev. 0. Azienda S.p.A.

4. Essere informati sui rischi e le misure necessarie per ridurli o eliminarli;

SENATO DELLA REPUBBLICA XIV LEGISLATURA

C i r c o l a r e d e l 9 s e t t e m b r e P a g. 1 di 5

FORM CLIENTI / FORNITORI

Benvenuti alla SESSIONE INFORMATIVA SULLA VERIFICA ALBO ON LINE

PERCORSO DIDATTICO FORMAZIONE PER DIRIGENTI E PREPOSTI

La figura del RAPPRESENTANTE DEI LAVORATORI PER LA SICUREZZA (RLS) IN AZIENDA quali prospettive di collaborazione

Servizio di trasporto pubblico locale di linea nel territorio comunale

GESTIONE DEI DOCUMENTI, DEI DATI E DELLE REGISTRAZIONI

Documento informatico e firme elettroniche

SGSL UN SISTEMA PER LA GESTIONE DELLA SICUREZZA SUL LAVORO NELLA SCUOLA

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

CERTIFICAZIONE DI QUALITA

DISCIPLINARE PER LA TENUTA DELL ALBO PRETORIO ON-LINE DELLA PROVINCIA DI SIENA

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

COMUNE DI MOGORO Provincia di Oristano

Ordinanza sul registro delle carte per l odocronografo

Rispettare la normativa sulla sicurezza è

ECM in provincia di Bolzano. Il punto di vista dei medici. Dr Giulio Donazzan, Vicepresidente Ordine dei Medici Commissione Provinciale ECM

Protocollo D.Lgs. 231/2001 n. 11. Gestione ed elaborazione della contabilità e del bilancio di esercizio

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

La Salute e Sicurezza dello Studio Notarile

Il nuovo CAD L atto pubblico informatico

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

REGOLAMENTO PROCEDURE DI PUBBLICAZIONE ALBO PRETORIO ONLINE

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

b) Il responsabile del servizio di prevenzione e protezione dai rischi;

Regolamento GESTIONE E AGGIORNAMENTO SITO WEB ISTITUZIONALE

Sogin - Linee Guida sui cantieri temporanei o mobili

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Circolare N.85 del 23 Maggio 2013

Determinazione n. 564 del 31/03/2014

Valore probatorio: posta tradizionale 2 PEC

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

OGGETTO: Accordo di collaborazione con i CAF - schema di convenzione.-

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy

Regolamento comunale per la disciplina dei controlli interni

SISTEMA DI GESTIONE SICUREZZA

Via Mazzini, Candia Canavese (TO)

Sistema di gestione della Responsabilità Sociale

SISTEMA DI GESTIONE INTEGRATO. Audit

SCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento

Offerta Economica in convenzione per Associati del Gruppo Agenti Zurich

Le Principali Novità

DELIBERAZIONE DELLA GIUNTA REGIONALE 20 febbraio

2 aprile 2010 Sicurezza: Rappresentante dei Lavoratori per la Sicurezza

Autorità per l'informatica nella pubblica amministrazione Deliberazione n. 42/2001

Guida alla FATTURAZIONE ELETTRONICA

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

AVVIO DI UN PROCEDIMENTO PER L ADOZIONE DI PROVVEDIMENTI SANZIONATORI E PRESCRITTIVI PER VIOLAZIONI IN MATERIA DI PRONTO INTERVENTO GAS

L AUTORITÀ PER L ENERGIA ELETTRICA IL GAS E IL SISTEMA IDRICO

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO

L AUTORITÀ PER L ENERGIA ELETTRICA IL GAS E IL SISTEMA IDRICO

Edok Srl. FatturaPA Light. Servizio di fatturazione elettronica verso la Pubblica Amministrazione. Brochure del servizio

I dati in cassaforte 1

Delibera n. 129/04 L AUTORITÀ PER L ENERGIA ELETTRICA E IL GAS. Nella riunione del 22 luglio Visti:

INTRODUZIONE AL MANUALE DELLA QUALITA

Fiscal News N Normativa antiriciclaggio per il collegio sindacale. La circolare di aggiornamento professionale

PROGRAMMA CORSI PRIVACY 2013

Firma Digitale. Informazioni sul servizio ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI GENOVA

DIRETTIVA 99/44/CE DIRETTIVA GARANZIE

AZIENDA SPECIALE CONSORTILE PER I SERVIZI ALLA PERSONA PROGRAMMA PER LA TRASPARENZA E L INTEGRITA

Gli aggiornamenti della normativa italiana e Il Codice dell Amministrazione digitale dlgs 82/05

Le strumentazioni laser scanning oriented per i processi di censimento anagrafico dei patrimoni

COMUNE DI PISA. TIPO ATTO DETERMINA CON IMPEGNO con FD. Codice identificativo PROPONENTE Comunicazione - Serv. Informativi - Sp.

Allegato 13. Nomina Amministratore di Sistema

DOCUMENTO INFORMATICO E FIRME ELETTRONICHE, PAGAMENTI, LIBRI E SCRITTURE

Il D.lgs. 231/2007 in materia di antiriciclaggio, tra novità legislative, ruolo degli Organi e delle Autorità di Vigilanza ed impianto sanzionatorio

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

«Gestione dei documenti e delle registrazioni» 1 SCOPO CAMPO DI APPLICAZIONE E GENERALITA RESPONSABILITA DEFINIZIONI...

5.1.1 Politica per la sicurezza delle informazioni

SINPER S.n.c. SICUREZZA & PRIVACY SICUREZZA & PRIVACY. Via XII Ottobre, 12/1/A GENOVA - partita IVA : cod. fiscale :

MODELLI DI ORGANIZZAZIONE E GESTIONE

COMUNE DI PIEA Provincia di Asti

Gestione dei documenti e delle registrazioni Rev. 00 del

Documento Programmatico sulla sicurezza

SALUTE SUL LAVORO E BENESSERE ORGANIZZATIVO: OBBLIGHI ED OPPORTUNITÀ PER LE AMMINISTRAZIONI PUBBLICHE. IL RUOLO DEI CUG

Il protocollo informatico

Transcript:

Aggiornamento del Codice dell'amministrazione Digitale Il 18 dicembre 2012 è stata emanata la legge n. 221/2012 di conversione del D.L. 179/2012 (noto anche come Decreto crescita 2.0 ). Molte sono le modifiche apportate al testo del Decreto, tra le quali diverse che aggiornano, ancora una volta, il Codice dell Amministrazione digitale (D.Lgs. n. 82/2005). Alcune rilevanti modifiche sono state introdotte negli articoli 21 e 23 ter del CAD. Al comma 2 dell art. 21 è stato specificato che l utilizzo del dispositivo che si presume riconducibile al titolare è precisamente il dispositivo di firma elettronica qualificata o digitale; mentre al comma 2 bis dello stesso articolo è stato aggiunto il periodo con il quale si stabilisce che gli atti di cui all articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale. Consulta il testo aggiornato del Nuovo CAD. Modifiche al Codice della privacy: niente più DPS!

Con il Decreto Legge n. 5 del 9 febbraio 2012 (il c.d. Decreto semplificazioni e sviluppo ), all art. 45, il Governo Monti ha abrogato la lettera g) del comma 1 dell articolo 44 del D.Lgs 196/2003 e s.m.i. (il c.d. Codice della Privacy ), eliminando di fatto la necessità di redazione (od aggiornamento) del Documento Programmatico sulla Sicurezza (D.P.S.) da parte di tutti i tipi di imprese e liberi professionisti, indipendentemente dal tipo di dati trattati. Premesso che si tratta di un Decreto Legge e, come tale, dovrà essere convertito in legge entro 60 giorni altrimenti decadrà automaticamente e la sua conversione in legge potrebbe avvenire con modifiche, si precisa quanto segue. La soppressione dell onere di redigere ed aggiornare il DPS entro il 31 marzo di ogni anno non abroga tutti gli altri adempimenti della privacy e l applicazione stessa della legge. Ricordiamo che gli adempimenti ed il campo di applicazione della legge sulla privacy erano già stati ridotti con i provvedimenti emanati dal precedente Governo per le organizzazioni che non trattano dati sensibili eccetto i dati sensibili relativi ai propri dipendenti (e loro familiari) e trattano esclusivamente dati di persone giuridiche per scopi amministrativo-contabili. Le statistiche, messe a disposizione dalla stessa Autorità dimostrano chiaramente che le multe per omessa redazione del DPS sono una percentuale numericamente minore rispetto alle altre casistiche rilevate nel corso delle ispezioni del nucleo Privacy della Guardia di Finanza. La sostanza della normativa privacy non è di fatto cambiata con l abolizione del DPS e rimangono le stesse misure di sicurezza obbligatorie (ad es. attuazione delle misure minime di sicurezza, nomina incaricati e responsabili del trattamento di dati, ecc.) ed i provvedimenti del Garante che hanno effetto di legge (ad es. quello generale sulla videosorveglianza, quello sugli amministratori di sistema, le linee guida del Garante per posta elettronica e internet nei luoghi di lavoro) che, come atti di natura prescrittiva, se non rispettati espongono i contravventori a pesanti sanzioni. In attesa del nuovo Regolamento europeo sulla protezione dei dati personali, che peraltro ci imporrà a breve di tornare a regole più rigide e sanzioni severe, la semplificazione attuata dal Governo, che risparmia alle imprese finora tenute l incombenza del DPS, presenta però anche l altra faccia della medaglia, cioè quello di essere indotti ad abolire completamente la gestione della privacy in azienda, con il potenziale rischio di rimanere scottati al primo imprevisto (verifiche del nucleo privacy della GdF, denunce al Garante da parte di potenziali soggetti danneggiati, perdita della sicurezza delle informazioni). La stesura del DPS, tra l altro, era ritenuto erroneamente da molte organizzazioni una sorta di adeguamento normativo omnicomprensivo sul tema della privacy, mentre invece le dichiarazioni riportate nel DPS non hanno alcun valore se poi non sono messe in pratica.

Per questo, se un azienda decide di continuare a redigere un disciplinare interno sulla privacy dove elencare le misure di sicurezza in essere, tutti gli interventi effettuati e la previsione di quelli da effettuare, farebbe una scelta opportuna per la gestione dei potenziali rischi derivanti dal trattamento dei dati personali. Se il DPS non dava valore aggiunto a quelle organizzazioni, soprattutto di piccole dimensioni, che lo vedevano solo come un inutile costo è giusto sopprimerlo, a condizione che la privacy sia gestita correttamente in azienda. Allora piuttosto che sottostare al rigido schema del DPS sarebbe più utile spostare i contenuti importanti del DPS in altri documenti aziendali quali procedure, istruzioni, organigrammi e mansionari, piani di formazione, ecc.. Certamente gli obblighi della privacy realmente abolita in toto dal precedente Governo per quelle organizzazioni che non trattano dati sensibili o giudiziari eccetto che quelli dei propri dipendenti e trattano unicamente dati di persone giuridiche per adempimenti amministrativo-contabili potevano indurre alcune organizzazione a proteggere meglio tutte le informazioni gestite, non solo quelle dei propri clienti, fornitori e dipendenti o soggetti terzi. Oggi, infatti, è importante che le imprese capiscano l importanza delle informazioni da esse memorizzate negli archivi cartacei e nei sistemi informatici. Senza avere la sicurezza dei dati le organizzazioni di tutti i tipi possono subire gravi danni, sia intermini economici, sia di immagine nei confronti dei clienti e della collettività. Dove per sicurezza dei dati intendo essere adeguatamente garantiti che: I dati sono mantenuti adeguatamente riservati, cioè non sono conosciuti da chi, se li sapesse, potrebbe crearci qualche problema (ad es. dati commerciali, offerte, progetti di prodotti noti a concorrenti); I dati sono integri, ovvero i dati che noi leggiamo nei sistemi informatici e nei documenti sono aggiornati, corretti e non sono stati alterati (ad es. dati di produzione o di vendita inesatti), dunque non possono portare a decisioni sbagliate); I dati sono disponibili, cioè li possiamo consultare ed utilizzare quando ne abbiamo bisogno per lavorare (ad es. documenti e dati necessari per preparare un offerta quando sta per scadere il termine, dati in input a processi produttivi interni o necessari per svolgere un servizio). Poiché la privacy e la sicurezza delle informazioni prevede regole che servono a minimizzare i rischi potenziali di subire danni (incorrere in sanzioni, perdere dati, far conoscere dati riservati a chi non li dovrebbe conoscere, ecc.) occorre anzitutto effettuare un adeguata valutazione dei rischi, cosa che in generale ben poche imprese fanno, anche su altre tematiche. Poi si può discutere se sia giusto abolire il DPS per semplificare la vita delle imprese, molte delle quali se la sono già abbastanza semplificata non curandosi di

tante regole. Per quelli che sono stati finora scrupolosi ed osservanti delle leggi e lo hanno sempre redatto ed aggiornato è un po una beffa favorire tutte quelle imprese che hanno finora trascurato la redazione del DPS in questi anni. Assomiglia un po ad un condono fiscale o edilizio. Visto, però, che coloro che non hanno redatto il DPS finora probabilmente hanno trascurato anche altri adempimenti della privacy, il loro profilo di rischio non cambia. In sostanza non è il DPS che fa la privacy. Non essendo più necessario redigere e, soprattutto, aggiornare il DPS a cadenza annuale, le organizzazioni che trattano dati sensibili o giudiziari di persone fisiche (clienti e fornitori) dovranno comunque continuare ad osservare alcune regole che non dovranno più essere documentate nel DPS, tra cui: Nominare gli incaricati al trattamento dei dati personali (dipendenti o collaboratori); Nominare i responsabili esterni al trattamento di dati personali (ad es. consulenti del lavoro, commercialisti, avvocati, tecnici incaricati dell assistenza sui sistemi informatici, ); Nominare gli Amministratori di Sistema e verificarne periodicamente l operato; Attuare idonee misure di sicurezza per la protezione dei dati (controllo degli accessi ai sistemi informatici, impiego di antimalware e firewall, effettuazione di backup dei dati informatici, ecc.); Rispettare le regole per la videosorveglianza; Verificare almeno annualmente la sussistenza dei profili di autenticazione; Ecc. In questo nuovo scenario chi farà la verifica dell osservanza delle prescrizioni stabilite dal Garante della Privacy e dalle procedure interne che la legge pone in capo al Titolare del Trattamento o al Responsabile del Trattamento dei dati? E la verifica del comportamento degli Amministratori di Sistema? Tali verifiche possono avvenire, in modo ottimale, attraverso un vero e proprio audit indipendente di un soggetto esterno e quindi non coinvolto nella realtà aziendale competente in materia. L audit sulla privacy dovrebbe basarsi sul controllo di informazioni contenute nel DPS e documenti interni che finora erano raccolti insieme al DPS stesso (elenco trattamenti dati personali, elenco incaricati al trattamento con relativi compiti e responsabilità, lettere di nomina incaricati e responsabili al trattamento, descrizione delle misure di protezione dei sistemi informatici, istruzioni al personale, ecc..), interviste al personale e verifica di attuazione delle misure di sicurezza delle informazioni, sia fisiche che logiche. Tale verifica deve per forza di cosa svolgersi attraverso un sopralluogo presso i luoghi dove vengono trattati dati personali (visione dei sistemi informatici e della loro ubicazione, verifica della disposizione di eventuali telecamere di videosorveglianza, archiviazione sicura dei documenti, ecc.).

Il risultato della verifica, per essere efficacemente preso in carico dai responsabili dell organizzazione titolare del trattamento, deve essere documentato in un idoneo rapporto di audit che evidenzi le e ventuali carenze (vere e proprie non conformità rispetto alla legge), le osservazioni od opportunità di miglioramento dell approccio alla sicurezza dei dati e le azioni correttive da intraprendere per soddisfare tutte le prescrizioni vigenti per la privacy. Tale rapporto potrà poi essere utilizzato nella verifica successiva per valutare l efficacia delle azioni intraprese.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back