Vademecum Privacy, guida rapida per la realizzazione del DPS (Documento Programmatico
sulla Sicurezza)
Vademecum Privacy, guida rapida per la realizzazione del DPS (Documento Programmatico
sulla Sicurezza)
COSA E' IL DPS
E' l'unico documento in grado di attestare l'adeguamento della struttura alla normativa sulla tutela dei dati personali. Il DPS è un manuale di pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.). In ogni caso si tratta di un consistente piano di gestione della sicurezza, disponibilità ed integrità dei dati, avente data certa a prova formale dell'adeguamento sostenuto.
Il 31 marzo 2006 è il termine ultimo per adottare misure minime di sicurezza nella propria azienda. Per misure minime si intendono programmi specifici per la sicurezza come Antivirus, programmi anti intrusione e programmi per l'aggiornamento e il controllo del sistema. A seconda della propria situazione può essere necessario ricorrere all'uso di uno o più programmi.
L’omessa adozione di queste misure minime di sicurezza costituisce anche reato (art. 169 del Codice), e prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro.
Il Decreto Legislativo 30 giugno 2003 n. 196 "Codice in Materia di Protezione dei Dati Personali" è entrato in vigore il 1 gennaio 2004 e definisce le misure minime di sicurezza che devono essere utilizzate dall'azienda nel trattamento dei dati.
Le principali scadenze determinate dal Garante sono:
31 marzo 2006
termine per l'obbligo di redigere un documento programmatico (D.P.S.) e l'obbligo
di adozione delle misure minime di sicurezza come stabilito nel decreto legge
del 1999.
31 marzo 2006 termine ultimo per adottare misure
minime di sicurezza nella propria azienda
30 giugno 2006 il termine per coloro che non possono,
per certificati motivi, approntare il DPS entro la fine di Marzo.
Il Documento Programmatico sulla Sicurezza deve essere adottato da chiunque
effettua un trattamento di dati sensibili o giudiziari dove con il termine trattamento
si intende qualunque operazione o complesso di operazioni, effettuati anche
senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione,
l’organizzazione, la conservazione, la consultazione, l’elaborazione,
la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione
e la distruzione di dati, anche se non registrati in una banca di dati
Nel Codice sono definite le misure
minime di sicurezza da adottare, per il trattamento dei dati personali effettuato
con strumenti elettronici (art. 34) e nello specifico riguardano:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito
ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
SCOPO DEL DPS
Descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilità ecc.) ed il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa privacy.
PRECISAZIONI
Il documento deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l'aggiornamento il 31 marzo di ogni anno, solo per questo anno il termine è stato prorogato.
Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli.
Una documentazione in linea con la norma BS7779 e le linee guida ISO 17799:2000 permette di costruire e mantenere nel tempo i processi che determinano e definiscono ruoli, responsabilità e procedure conformi agli obiettivi del Sistema di Gestione per la Sicurezza delle Informazioni.
Il titolare del trattamento deve
dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell'avvenuta
redazione/aggiornamento del DPS.
Molti adempimenti non sono mai stati prorogati (informative, ottenimento del consenso, nomina di responsabili ed incaricati interni ed esterni, misure di sicurezza fisiche logiche ed organizzative vecchie ecc.).
Inoltre la proroga di sei mesi riguarda
la redazione del DPS, soltanto per coloro che sono tenuti a compilarlo per la
prima volta dopo l’entrata in vigore del codice.
Nel corso del 2006 scadranno i termini per la predisposizione delle misure minime
di sicurezza. Nella guida operativa norme, istruzioni e modelli per perfezionare
rapidamente gli adempimenti richiesti dal Garante.
Vademecum Privacy,
guida rapida per la realizzazione del DPS 
(841 kb)
Per il 2006 sono previste le seguenti scadenze
Misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato
B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio
1999
TITOLO IV DISPOSIZIONI MODIFICATIVE,
ABROGATIVE, TRANSITORIE E FINALI CAPO II DISPOSIZIONI TRANSITORIE Art. 180
(Misure di sicurezza)
1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004 (vedi modifica apportata nel 2004 - vedi modifica apportata nel 2005 - vedi 2° modifica apportata nel 2005).
2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti e-lettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.
3. Nel caso di cui al comma 2, il
titolare adotta ogni possibile misura di sicurezza in rela-zione agli strumenti
elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative,
logistiche o procedurali, un incremento dei rischi di cui all’articolo
31, adeguando i medesimi strumenti al più tardi entro un anno dall’entrata
in vigore del codice (vedi modifica apportata nel 2004 - vedi modifica apportata
nel 2005 - vedi 2° modifica apportata nel 2005).
Trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di
prima applicazione del presente codice
TITOLO IV DISPOSIZIONI MODIFICATIVE,
ABROGATIVE, TRANSITORIE E FINALI CAPO II DISPOSIZIONI TRANSITORIE Art. 181
(Altre disposizioni transitorie)
1. Per i trattamenti di dati personali
iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente
codice:
a) l’identificazione con atto di natura regolamentare dei tipi di dati
e di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, è
effettuata, ove mancante, entro il 30 settembre 2004;
b) la determinazione da rendere nota agli interessati ai sensi dell’articolo
26, commi 3, lettera a), e 4, lettera a), è adottata, ove mancante, entro
il 30 giugno 2004;
c) le notificazioni previste dall’articolo 37 sono effettuate entro il
30 aprile 2004;
d) le comunicazioni previste dall’articolo 39 sono effettuate entro il
30 giugno 2004;
e) le modalità semplificate per l’informativa e la manifestazione
del consenso, ove necessario, possono essere utilizzate dal medico di medicina
generale, dal pedia-tra di libera scelta e dagli organismi sanitari anche in
occasione del primo ulterio-re contatto con l’interessato, al più
tardi entro il 30 settembre 2004;
f) l’utilizzazione dei modelli di cui all’articolo 87, comma 2, è
obbligatoria a decor-rere dal 1 gennaio 2005.
2. Le disposizioni di cui all’articolo 21-bis del decreto del Presidente della Repubblica 30 settembre 1963, n. 1409, introdotto dall’articolo 9 del decreto legislativo 30 luglio 1999, n. 281, restano in vigore fino alla data di entrata in vigore del presente codice.
3. L’individuazione dei trattamenti e dei titolari di cui agli articoli 46 e 53, da riportare nell’allegato C), è effettuata in sede di prima applicazione del presente codice entro il 30 giugno 2004.
4. Il materiale informativo eventualmente trasferito al Garante ai sensi dell’articolo 43, comma 1, della legge 31 dicembre 1996, n. 675, utilizzato per le opportune verifiche, con-tinua ad essere successivamente archiviato o distrutto in base alla normativa vigente.
5. L’omissione delle generalità e degli altri dati identificativi dell’interessato ai sensi dell’articolo 52, comma 4, è effettuata sulle sentenze o decisioni pronunciate o adottate prima dell’entrata in vigore del presente codice solo su diretta richiesta dell’interessato e limitatamente ai documenti pubblicati mediante rete di comunicazione elettronica o sui nuovi prodotti su supporto cartaceo o elettronico. I sistemi informativi utilizzati ai sensi dell’articolo 51, comma 1, sono adeguati alla medesima disposizione entro dodici mesi dalla data di entrata in vigore del presente codice.
6. Le confessioni religiose che,
prima dell’adozione del presente codice, abbiano deter-minato e adottato
nell’ambito del rispettivo ordinamento le garanzie di cui all’articolo
26, comma 3, lettera a), possono proseguire l’attività di trattamento
nel rispetto delle medesime.
L’individuazione dei trattamenti e dei titolari
TITOLO IV DISPOSIZIONI MODIFICATIVE,
ABROGATIVE, TRANSITORIE E FINALI CAPO II DISPOSIZIONI TRANSITORIE Art. 181
(Altre disposizioni transitorie)
1. Per i trattamenti di dati personali
iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente
codice:
a) l’identificazione con atto di natura regolamentare dei tipi di dati
e di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, è
effettuata, ove mancante, entro il 30 settembre 2004;
b) la determinazione da rendere nota agli interessati ai sensi dell’articolo
26, commi 3, lettera a), e 4, lettera a), è adottata, ove mancante, entro
il 30 giugno 2004;
c) le notificazioni previste dall’articolo 37 sono effettuate entro il
30 aprile 2004;
d) le comunicazioni previste dall’articolo 39 sono effettuate entro il
30 giugno 2004;
e) le modalità semplificate per l’informativa e la manifestazione
del consenso, ove necessario, possono essere utilizzate dal medico di medicina
generale, dal pedia-tra di libera scelta e dagli organismi sanitari anche in
occasione del primo ulterio-re contatto con l’interessato, al più
tardi entro il 30 settembre 2004;
f) l’utilizzazione dei modelli di cui all’articolo 87, comma 2, è
obbligatoria a decor-rere dal 1 gennaio 2005.
2. Le disposizioni di cui all’articolo 21-bis del decreto del Presidente della Repubblica 30 settembre 1963, n. 1409, introdotto dall’articolo 9 del decreto legislativo 30 luglio 1999, n. 281, restano in vigore fino alla data di entrata in vigore del presente codice.
3. L’individuazione dei trattamenti e dei titolari di cui agli articoli 46 e 53, da riportare nell’allegato C), è effettuata in sede di prima applicazione del presente codice entro il 30 giugno 2004.
4. Il materiale informativo eventualmente trasferito al Garante ai sensi dell’articolo 43, comma 1, della legge 31 dicembre 1996, n. 675, utilizzato per le opportune verifiche, con-tinua ad essere successivamente archiviato o distrutto in base alla normativa vigente.
5. L’omissione delle generalità e degli altri dati identificativi dell’interessato ai sensi dell’articolo 52, comma 4, è effettuata sulle sentenze o decisioni pronunciate o adottate prima dell’entrata in vigore del presente codice solo su diretta richiesta dell’interessato e limitatamente ai documenti pubblicati mediante rete di comunicazione elettronica o sui nuovi prodotti su supporto cartaceo o elettronico. I sistemi informativi utilizzati ai sensi dell’articolo 51, comma 1, sono adeguati alla medesima disposizione entro dodici mesi dalla data di entrata in vigore del presente codice.
6. Le confessioni religiose che,
prima dell’adozione del presente codice, abbiano deter-minato e adottato
nell’ambito del rispettivo ordinamento le garanzie di cui all’articolo
26, comma 3, lettera a), possono proseguire l’attività di trattamento
nel rispetto delle medesime.
PROROGA al 31
marzo 2006
Decreto legge di proroga per alcune categorie ed alcune
prescrizioni previste dalla vigente normativa
Proroga norme transitorie pubblicata
sulla Gazzetta Ufficiale.
Modificazione norme transitorie.
(testo in vigore dal: 31-12-2005 Art. 10. Garanzie di sicurezza nel trattamento
dei dati personali 1. Al codice in materia di protezione dei dati personali,
di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni,
sono apportate le seguenti modifiche: a) all'articolo 180: 1) al comma 1 le
parole: «31 dicembre 2005» sono sostituite dalle seguenti: «31
marzo 2006»; 2) al comma 3 le parole: «31 marzo 2006» sono
sostituite dalle seguenti: «30 giugno 2006»; b) all'articolo 181,
comma 1, lettera a), le parole: «31 dicembre 2005» sono sostituite
dalle seguenti: «28 febbraio 2006»).
