Via Mazzini,13 10010 Candia Canavese (TO) 011 9834713
1 - IL SITO WEB Il programma DPS ONLINE è disponibile all url: http://dpsonline.scinformatica.org/ Per poter usufruire di questo servizio è necessario avere le credenziali di accesso (login e password). Il servizio DPS Online ha l obiettivo di fornire le linee guida per adempiere in modo corretto alle disposizioni indicate nel D.LGS. 196/03.
2 - LOGIN Una volta digitato correttamente l url, il sito appare nel modo seguente: Nella pagina iniziale vengono riassunte le linee guide generali indicate nella legge sulla privacy. Per poter procedere con il login è necessario cliccare sul link apposito in alto a destra.
Quando si clicca sul link del login appare la seguente finestra: È necessario inserire nome utente e password e quindi cliccare su OK. Se le credenziali sono corrette il sito entra nell area dedicata alla propria azienda. E la finestra indica il nome dell utente che ha fatto accesso:
3 DATI AZIENDA I primi dati che ci vengono richiesti sono quelli relativi alle sedi dell azienda. Ciccando su Dati azienda compare la seguente finestra:
Cliccando sul link della sede legale compare la seguente finestra: Una volta inseriti i dati richiesti si clicca su OK e i dati vengono memorizzati nel sistema. Dopodichè si prosegue con le sedi operative. Il sistema presenta un elenco delle sedi operative eventualmente già inserite: Cliccando sul nome di una sede operativa già inserita viene data la possibilità di modificare i dati della sede. Cliccando sulla X rossa la sede operativa viene eliminata. Infine cliccando su inserisci viene inserita una nuova sede operativa e vengono richieste le informazioni relative. Al termine dell inserimento è sempre fondamentale cliccare su OK affinché quanto inserito venga memorizzato nel sistema.
3 FIGURE DI TRATTAMENTO Il passo successivo è l inserimento delle figure di trattamento, intese come l insieme di coloro che possono consultare, inserire, modificare o cancellare i dati oggetto del trattamento. La finestra appare come segue con un elenco delle figure eventualmente già inserite. Il modo di utilizzo è lo stesso di quanto già visto per le sedi operative.
Se si procede con l inserimento di una nuova figura di trattamento vengono richiesti i dati anagrafici della figura. Inoltre viene richiesto il tipo di figura che la persona che si sta inserendo ricopre. È necessario mettere il flag accanto al ruolo che la persona ricopre. Cliccando sul? si apre una finestra in cui viene spiegato il significato e i compiti che la figura deve svolgere se ricopre il ruolo. Una persona può ricoprire più di un ruolo. Tutti i ruoli devono essere ricoperti.
4 TERZI CHE TRATTANO I DATI DELLA SOCIETA I terzi che trattano i dati della società sono l insieme dei consulenti e/o ditte esterne che per ragioni legate ai compiti svolti, vedono i dati oggetto del trattamento. Tipicamente si tratta di: commercialisti, consulenti per le paghe, software-house, consulenti per la qualità. La finestra appare come di consueto con un elenco dei terzi già eventualmente inseriti in precedenza:
5 - TERZI CHE TRATTANO I DATI DELLA SOCIETA Si procede quindi con l inserimento dell elenco dei dipendenti della ditta. Il metodo di operare è sempre lo stesso e vengono richiesti i dati anagrafici dei dipendenti della società. Di importanza notevole è la domanda circa la presenza o meno della visita medica del dipendente. Qualora ci sia, il risultato della visita deve essere tenuto in ditta rigorosamente sigillato.
6 TIPI DI DATI TRATTATI In questa sezione devono essere elencati i dati trattati. Viene proposto un elenco di trattamenti e l utente ha il compito di selezionare quelli che sono presente nella propria ditta. Al termine è fondamentale cliccare su OK per salvare quanto selezionato.
7 LOCALI DI TRATTAMENTO In questa sezione è previsto l inserimento dell elenco dei locali in cui avviene il trattamento. Innanzitutto compare un elenco delle sedi dell azienda in cui avviene il trattamento. Tipicamente ci sarà un unica sede in cui avviene il trattamento (solitamente dove si ha l amministrazione) ma nulla vieta la possibilità che alcuni dati, oggetto di privacy, siano presenti in più sedi.
Nell inserimento/modifica di una sede vengono richiesti i seguenti dati: Tra i dati richiesti ci sono le posizioni all interno della sede. È possibile inserire una sola voce specificando all interno della sede, oppure si possono creare un elenco di posizioni. Se l ufficio è di medie/grandi dimensioni può essere utile elencare l elenco dei locali in cui avviene il trattamento.
8 PERSONAL COMPUTER In questa sezione si descrivono i personal computer presenti in azienda. Come sempre aprendo la sezione si avrà un elenco dei personal computer eventualmente già inseriti.
Nell inserimento di un personal computer verranno richiesti i seguenti dati: Innanzitutto viene richiesta una descrizione. Per facilità si possono intraprendere due strade: Numerare i personal computer applicando fisicamente un etichetta con il numero Utilizzare come descrizione il nome di chi normalmente lo utilizza. Per quanto riguarda la marca, potrebbe non essere presente. Nel caso il pc sia un assemblato è sufficiente scrivere assemblato. Quindi vengono richieste altre informazioni circa l antivirus e il firewall (che sono obbligatori sui personal computer in cui avviene trattamento di dati oggetto della privacy). Ricordiamo che per quanto riguarda il firewall nei sistemi Windows XP/Windows Vista è già compreso nel sistema operativo. Per quanto riguarda la password è anch essa obbligatoria e deve essere sostituita almeno una volta ogni 6 mesi. Per tenere conto del tempo passato dall ultima variazione è presente un utilità in questo programma (Registro password) per il cui utilizzo rimandiamo alla sezione apposita.
Per quanto riguarda il backup deve essere eseguito almeno una volta alla settimana e anche in questo caso viene data un utilità per tener traccia dei backuo eseguiti (Registro backup).
9 SOGGETTI A CUI SI RIFERISCONO I DATI In questo caso la sezione presenta una serie di soggetti a cui si possono riferire i dati oggetto del trattamento. L utente dovrà semplicemente selezionare i soggetti corretti per il proprio trattamento. Al termine come sempre è necessario cliccare su OK.
10 FINALITA DEL TRATTAMENTO In ultimo vengono richieste le finalità del trattamento. Anche in questo caso viene presentato un elenco di finalità tra cui l utente sceglie.
11 VERIFICA CORRETTEZA DATI Questa utilità serve per verificare la correttezza formale dei dati inseriti. Se i dati non risultano corretti non si può procedere con la stampa dei documenti. Di seguito viene riportato un esempio di dati errati. In questo caso è necessario procedere alla correzione dell errore.
Se i dati inseriti sono formalmente corretti appare la seguente dicitura: In questo caso è possibile procedere alla stampa dei documenti.
12 STAMPA DOCUMENTI Per procedere alla stampa è necessario cliccare su Account in alto a destra. Si apre la seguente finestra: Oltre a consentire il cambio della password di accesso al sito, si trova l utilità per la stampa. Cliccando su questo link apparirà: Vi è un elenco di stampa importanti che ora descriveremo brevemente.
STAMPA INFORMATIVA viene stampata l informativa da esporre nei locali in cui avviene il trattamento dei dati oggetto della privacy. È necessario stamparne due copie, una da esporre e l altra da allegare al documento programmatico di sicurezza. STAMPA INFORMATIVA DA INVIARE viene stampata l informativa da inviare ai soggetti di cui vengono trattati i dati. Tale informativa è da inviare obbligatoriamente soltanto qualora i dati trattati siano dati sensibili (che riguardano cioè la salute, le preferenze politiche, religiose, o riguardano dati giudiziari). In quest ultimo caso è fondamentale anche la firma da parte del soggetto interessato. Nel caso di soli dati personali, l invio dell informativa è del tutto facoltativo. STAMPA NOMINA RESPONSABILE DELLA PRIVACY è la nomina con cui il titolare della privacy incarica il responsabile della privacy. Deve essere firmato da entrambe le figure e deve essere firmato soltanto nei casi in cui i due ruoli vengono ricoperti da due persone fisiche diverse. Entrambe le figure devono custodire copia della nomina. Una copia dovrà essere allegata al documento programmatico sulla sicurezza. STAMPA NOMINA TRATTAMENTO è la nomina con cui il responsabile della privacy incarica coloro che possono vedere/modificare/cancellare/inserire i dati oggetto del trattamento. Deve essere controfirmato da entrambe le figure che devono custodire copia della nomina. Una copia dovrà essere allegata al documento programmatico sulla sicurezza. STAMPA INFORMATIVA DIPENDENTI è l informativa con cui i dipendenti vengono informati che l azienda è in possesso dei dati per poter adempiere agli obblighi di legge (es. busta paga). Deve essere controfirmato dal dipendente. Per ogni dipendente è necessario stampare due copie dell informativa: una viene rilasciata al dipendente e una viene tenuta in ditta. STAMPA NOMINA RESPONSABILE PASSWORD è la nomina con cui il responsabile della privacy incarica il responsabile delle password. Quest ultimo avrà il compito di tener aggiornato il registro delle password (che vedremo poi come gestire). La nomina deve essere firmata da entrambe le figure che dovranno custodire copia di tale nomina. Una copia dovrà essere allegata al documento programmatico sulla sicurezza. STAMPA NOMINA RESPONSABILE COPIE DI SICUREZZA è la nomina con cui il responsabile della privacy incarica il responsabile delle copie di sicurezza. Quest ultimo avrà il compito di gestire il registro delle copie di sicurezza (si rimanda all apposita sezione per le istruzioni).entrambe le figure dovranno firmare la nomina ed avere una copia di tale nomina. Una copia dovrà essere allegata al documento programmatico sulla sicurezza.
STAMPA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA è la stampa del documento vero e proprio che dovrà essere firmato dal titolare e dal responsabile della privacy. La copia firmata di questo documento deve essere custodita all interno della ditta.
13 REGISTRO PASSWORD Può essere richiamato da qualsiasi pagina del sito. È sufficiente cliccare su Gestione password. A video compare un elenco delle password già gestite fino a quel momento. Se compaiono delle righe rosse indicano che la password è scaduta. È necessario inserire la gestione della password per ogni login con cui vengono trattati i dati. Se su un personal computer accedono due persone diverse è necessario creare 2 login e quindi gestire 2 password diverse. Quando viene inserita la gestione di una password vengono richiesti i seguenti dati:
La password non viene mai richiesta. Viene richiesto se vengono trattati dati sensibili o meno perché questo dato influenza la validità della password. È di 6 mesi se vengono trattati solo dati personali, si riduce a 3 mesi se vengono trattati dati sensibili. Ogni volta che viene cambiata la password il registro deve essere aggiornato per il calcolo delle validità.
14 REGISTRO BACKUP Può essere richiamato da qualsiasi pagina del sito. È sufficiente cliccare su Backup. Ci viene mostrata la seguente finestra: Viene mostrato l elenco dei backup eseguiti in ordine decrescente di data. Ogni volta che viene eseguito un backup è necessario inserire le informazioni sul backup.
È necessario cliccare su Inserisci. I dati che vengono richiesti sono la data, il tipo di supporto su cui è stato eseguito il backup (CD, DVD, HD esterno, ), l eventuale etichetta del supporto, la descrizione di quanto backuppato e infine il responsabile che si è occupato del backup.