Embed Size (px)
Citation preview
Brochure
Privacy
ADEMPIMENTI&&
SERVIZI
Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati, siano in formato elettronico o su supporti cartacei
decreto legislativo 196/2004
adempimenti Indice degli adempimenti scadenze 3/28 VAI ‡ la norma in breve 4/28 VAI ‡ trattamenti dei dati 5/28 VAI ‡ trattamenti con strumenti elettronici 6/28 VAI ‡ responsabile 7/28 VAI ‡ procedura per riservatezza accessi ad archivi cartacei 8/28 VAI ‡ procedura di assegnazione delle credenziali 9/28 VAI ‡ procedura per la custodia di copie delle credenziali 10/28 VAI ‡ procedura di gestione delle istanze degli interessati 11/28 VAI ‡ informative e consensi 12/28 VAI ‡ lettere di incarico 13/28 VAI ‡ inventario archivi, ambienti, strumenti elettronici 14/28 VAI ‡ documento programmatico sulla sicurezza 15/28 VAI ‡ istruzioni per i dipendenti 16/28 VAI ‡ formazione ai dipendenti 17/28 VAI ‡ sanzioni 18/28 VAI ‡
Indice degli adempimentiIndice degli adempimenti
adempimenti
01.01.2004 (data di entrata in vigore del codice)- individuare le figure attive del trattamento titolare, incaricato, responsabile, soggetto preposto alla custodia delle parole-chiave, soggetti autorizzati all’accesso fuori
orario agli archivi, il soggetto manutentore del sistemanominare tali soggetti in forma scritta, fornendo le relative istruzioni - informare e raccogliere i consensi degli interessati rendere ai soggetti interessati l'informativa di cui all'articolo 13 prima dell’inizio della raccolta dei dati e del trattamento 30.04.2004 (termine per i soli soggetti che trattano dati sensibili ex art. 37 e ss. modif.)- notifica al Garante privacy della richiesta di autorizzazione al trattamento dei dati sensibilirelativamente ai trattamenti iniziati pri ma dell'1 gennaio 2004, devono eseguirsi le notifiche previste dall’art. 37 del codice della
privacy, quanto ai trattamenti successivi la notifica deve essere eseguita prima dell’inizio dei trattamenti stessi 31.12.2004 (nuovo termine per l'adempimento unico) - dovranno essere adottate le misure minime di sicurezza introdotte dal codice procedure amministrative - adempimenti documentali - requisiti tecnici dei sistemi informatici
ScadenzeScadenze
indice
adempimenti
IN VIGORE DAL: 1 GENNAIO 2003 NOME: "NUOVO Codice in materia di protezione dei dati personali" ESTREMI: Decreto Legislativo n. 196, del 30 giugno 2003 ABROGA: le precedenti norme in materia di Privacy NOVITA’: Introduce importanti procedure per la gestione dei dati, criteri di sicurezza degli strumenti elettronici,
attestazione di conformità del sistema, sanzioni penali SOGGETTI INTERESSATI: Le Aziende di ogni genere, gli Studi Professionali, le Banche, gli Istituti Finanziari e Assicurativi, i
Liberi Professionisti, gli Enti Pubblici, le Associazioni DATI SENSIBILI: Tutti i dati relativi all’origine razziale o etnica, a convinzioni filosofiche, religiose, politiche, sindacali, alla
salute, alla vita sessuale ADEMPIMENTI: Tutti coloro che trattano dati personali sono obbligati ad adottare le nuove misure e ad attestare formalmente
la conformità del proprio sistema informatico ai nuovi criteri CERTIFICAZIONE: Attestando in sostituzione del titolare, in qualità di soggetto esterno, la conformità tecnica del sistema
informatico ai sensi del n. 25 del DISCIPLINARE TECNICO (allegato B del Decreto)
La norma in breve La norma in breve
indice
adempimenti
"trattamento": qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
"dato personale": qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
"dati identificativi": i dati personali che permettono l'identificazione diretta dell'interessato; "dati sensibili": i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
"dati giudiziari": i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
"titolare": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
"responsabile": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
"incaricati": le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; "interessato": la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati persona
Trattamenti dei datiTrattamenti dei dati
indice
adempimenti ART. 34: Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico […] le seguenti misure minime: a) autenticazione informatica (requisiti tecnici) b) adozione di procedure di gestione delle credenziali di autenticazione (requisiti procedurali-documentali) c) utilizzazione di un sistema di autenticazione (requisiti tecnici)
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (requisiti procedurali-documentali)
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici (requisiti tecnici)
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi (requisiti tecnici)
g) tenuta di un aggiornato documento programmatico sulla sicurezza (requisiti procedurali-documentali)
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari (requisitispecifici, solo per trattamento dei dati sopra descritti)
Trattamenti con strumenti elettronici Trattamenti con strumenti elettronici
indice
adempimenti
FONTE: NOMINA DEL RESPONSABILE EX ART. 29 D. Lg.s. 196/2003NOMINA FACOLTATIVA: Non è obbligatorio nominare il Responsabile, ma se il titolare non vuole farsi carico di tutte le
attività necessarie lo deve nominareFORMA SCRITTA: La nomina deve essere in forma scritta, su carta intestata, in duplice copiaPOTERI e OBBLIGHI: avrà il potere e l’obbligo di compiere quanto si renderà necessario ai fini del rispetto e della corretta
applicazione del D. Lgs. 196/2003. In particolare lo stesso sarà tenuto a:
- all’individuazione e nomina per iscritto degli incaricati del trattamento, impartendo loro, sempre per iscritto, idonee istruzioni;- vigilare sul rispetto delle istruzioni impartite agli incaricati;- adottare e far adottare le misure di sicurezza indicate e predisposte dal titolare del trattamento o comunque stabilite dal predetto decreto legislativo;- vigilare sul rispetto di dette misure di sicurezza da parte dei soggetti nominati incaricati;- verificare (trimestralmente/semestralmente) lo stato d’applicazione del D. Lgs. n. 196/2003, nonché il buon funzionamento, la corretta applicazione e la
conformità alle indicazioni dell’Autorità Garante dei sistemi e delle misure di sicurezza adottate; - predisporre, a seguito di ciascuna verifica, una relazione scritta in ordine a tutti gli adempimenti eseguiti ai sensi del D. Lgs. 30 Giugno 2003 n. 196, alla
documentazione raccolta ed archiviata ai sensi del medesimo decreto, nonché in ordine alle misure di sicurezza. Tale relazione dovrà essere, successivamente, trasmessa al titolare del trattamento;
- porre in essere gli obblighi di informazione e acquisizione del consenso, quando richiesto, nei confronti degli interessati;- evadere tempestivamente tutte le richieste e gli eventuali reclami degli interessati;- evadere tempestivamente le richieste di informazioni da parte dell’Autorità Garante e dare immediata esecuzione alle indicazioni che perverranno dalla
medesima Autorità;- interagire con i soggetti incaricati di eventuali verifiche, controlli o ispezioni;- informare immediatamente il titolare circa eventuali nuovi trattamenti relativi al proprio settore di competenza, provvedendo alle necessarie formalità di
legge;- distruggere i dati personali in caso di cessazione del trattamento degli stessi, provvedendo alle necessarie formalità di legge.- provvedere, nei casi di trattamento di dati sensibili o dati giudiziari, tali definiti nell’art. 4 di cui al citato decreto legislativo, a redigere, entro il 31 marzo
di ogni anno, il documento programmatico sulla sicurezza previsto dal coordinato disposto di cui all’art. 34, lett.ra g) del decreto medesimo e punto 19 del disciplinare tecnico allo stesso allegato sotto la lettera “B”.
Responsabile Responsabile
indice
adempimenti E' necessario garantire la massima riservatezza degli accessi agli archivi cartacei.Mansioni personaliLa modalità più semplice per farlo è quella di effettuare degli specifici incarichi con lettere che precisano i
dati cui l'incaricato può accedere ed i trattamenti ammessi.Mansioni da organigrammaUn'altra delle modalità per garantire la riservatezza negli accessi ai dati custoditi su supporti cartacei è quella
di prevedere specificamente i limiti e le regole degli accessi a livello di mansionario.E' necessaria la specifica delle responsabilità e delle limitazioni di accesso per ufficio, con specifico
riferimento ai trattamenti dei dati (indicazione determinazione espressa dei dati e delle tipologie di accesso ed elaborazioni consentite per ufficio o per unità organizzativa)
Chiusura a chiave degli archiviOltre alla responsabilizzazione dei soggetti è necessaria anche una vigilanza sugli accessi agli archivi che va
commisurata alla pericolosità dei dati conservati in essi e può caratterizzarsi come accesso a stanze archivio chiuse a chiave, accesso ad armadi archivio provvisti di chiusura a chiave, vigilanza degli impiegati negli uffici ove sono presenti archivi cartacei.
Custodia dei dati da parte dei soggetti che li trattanoQuando gli incaricati effettuano i trattamenti devono comunque continuare a mantenere la riservatezza dei
dati. Non devono mai lasciare incustoditi i supporti cartacei con i dati personali e possibilmente devono sempre richiuderli sotto chiave in caso di necessità di doversi allontanare anche solo momentaneamente.
Procedura per garantire riservatezza archivi cartaceiProcedura per garantire riservatezza archivi cartacei
indice
adempimenti
Il responsabile (o il tecnico installatore da questo incaricato) imposta i profili personali di accesso ai dati tramite strumenti elettronici, ed assegna le credenziali riservate agli incaricati.
Gli incaricati provvedono a custodire la componente riservata della credenziale in modo assolutamente riservato e secondo tutte le disposizioni di sicurezza
Procedura di assegnazione delle credenziali Procedura di assegnazione delle credenziali
indice
adempimenti
Quando serve: la procedura per la custodia delle copie delle credenziali riservate serve nel caso in cui un incaricato che sia unico autorizzato ad effettuare un determinato trattamento di dati e sia assente, rendendosi necessario e impossibile effettuare quel trattamento senza conoscere la sua credenziale riservata.
Come funziona: viene responsabilizzato un soggetto che custodirà tutte le credenziali in assoluta riservatezza e le renderà disponibili in caso di necessità secondo una procedura standard.
Il responsabile nomina il custode delle password (componente riservata della credenziale).
Gli incaricati in assoluta riservatezza scrivono copia della propria credenziale di accesso riservata su un foglio e lo sigillano in busta chiusa. Consegnano poi la busta al custode delle password che le chiude a chiave impedendivi l'accesso da parte di altri soggetti.
In caso di necessità su richiesta del responsabile il custode delle password provvede all'apertura della busta per permettere i trattamenti necessari, viene comunicato all'assente l'accesso ai dati a lui riservati, specificando il trattamento effettuato, al rientro questi modificherà la password e provvederà a consegnarne nuova copia in busta sigillata al custode delle password.
Procedura per la custodia delle copie delle credenziali Procedura per la custodia delle copie delle credenziali
indice
adempimenti L'interessato è titolare di tutti i diritti di cui all'art. 7:L'interessato è colui al quale si riferiscono i dati, quindi è il soggetto tutelato dalla norma, deve con esattezza poter conoscere
ogni informazione relativa al trattamento dei suoi dati (anche accedere direttamente ai dati, o a copie all'uopo predisposte, in diversi casi stabiliti dalla legge); ha il potere di esercitare diverse azioni nei confronti del titolare (e gli spettano in genere tutti i diritti di cui all'art. 7). Deve ricevere risposta esaustiva alle domande che rivolga in relazione al trattamento. E' necessario proporgli una informativa dettagliata preliminarmente all'inizio del trattamento dei dati e può rivolgersi al garante per ottenere informazioni sul trattamento che lo riguarda.
L'interessato ha diritto a trovare risposta in una procedura con caratteristiche che ne garantiscono i diritti (art. 8 e 9):1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalita' al titolare o al responsabile, anche per il tramite
di un incaricato, alla quale e' fornito idoneo riscontro senza ritardo.1. La richiesta rivolta al titolare o al responsabile puo' essere trasmessa anche mediante lettera raccomandata, telefax o posta
elettronica. Il Garante puo' individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta puo' essere formulata anche oralmente e in tal caso e' annotata sinteticamente a cura dell'incaricato o del responsabile.
2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato puo' conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato puo', altresi', farsi assistere da una persona di fiducia.
4. L'identita' dell'interessato e' verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato e' una persona giuridica, un ente o un'associazione, la richiesta e' avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.
L'art. 10 stabilisce poi il diritto di accesso diretto ai dati, da parte dell'interessato
Procedura per la gestione delle istanze degli interessati Procedura per la gestione delle istanze degli interessati
indice
adempimenti
Consenso informato: Ogni soggetto cui si riferiscano direttamente o indirettamente i dati trattati deve essere informato del trattamento con riferimento ai diritti ed agli obblighi di cui al Decreto Legge 196/2003.
Per i dati personali e sensibili è necessario che l'interessato esprima il proprio consenso anteriormente rispetto all'effettuazione del trattamento, consenso del quale è poi necessario conservare copia per attestare, in caso di bisogno, l'avvenuta sottoscrizione.
Di seguito quadro riassuntivo dei requisiti da adottare per portare a conformità le informative consenso:
Informative e consensi Informative e consensi
indice
DIPENDENTI Descrizione diritti di cui all'ART. 7
SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO
DATI SENSIBILI SPECIFICA
SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA
DOPPIA COPIA
CLIENTI FORNITORI
Descrizione diritti di cui all'ART. 7
SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO
SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA
DOPPIA COPIA
DATI SENSIBILI
Descrizione diritti di cui all'ART. 7
SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO
DATI SENSIBILI SPECIFICA
SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA
DOPPIA COPIA
WEB Descrizione diritti di cui all'ART. 7
SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO
SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA
DOPPIA COPIA
adempimenti RESPONSABILE del trattamento- nomina (facoltativa se il titolare segue in prima persona il trattamento dei dati);- lettera di incarico con precisazione dei compiti;- consegna istruzioni relative custodia ed uso in sicurezza dei supporti rimovibili;- consegna istruzioni sulla custodia dei dati durante le sessioni di lavoro degli elaboratori, nel caso di breve assenza dell'incaricato;- consegna istruzioni per la custodia in sicurezza delle credenziali di autenticazione;- formazione sulle procedure per la gestione dei dati in sicurezza e per la conformità tecnica degli strumenti elettronici;- manca la definizione di uno specifico profilo di autorizzazione per l'accesso ai dati trattati con strumenti elettronici relativo al responsabile, con
assegnazione delle necessarie credenziali di accesso secondo i criteri di conformità stabiliti dalla legge.INCARICATI al trattamento- nomina di tutti i soggetti che sono incaricati ad uno o più trattamenti di dati;- lettera di incarico per ciascuno con precisazione dei compiti;- consegna istruzioni sulla custodia ed uso in sicurezza dei supporti rimovibili (ad ognuno);- consegna istruzioni sulla custodia dei dati durante le sessioni degli elaboratori nel caso di breve assenza dell'incaricato (ad ognuno);- consegna istruzioni per la custodia in sicurezza da parte degli incaricati delle credenziali di autenticazione (ad ognuno);- formazione sulle procedure per la gestione dei dati in sicurezza e per la conformità tecnica degli strumenti elettronici (ad ognuno);- manca la definizione di uno specifico profilo di autorizzazione per ogni incaricato per l'accesso ai dati trattati con strumenti elettronici;- assegnazione delle necessarie credenziali di accesso secondo i criteri di conformità stabiliti dalla legge.
CUSTODE PASSWORD- nomina del soggetto che deve custodire con assoluta segretezza copia delle credenziali di ogni incaricato per garantire, in caso di assenza degli stessi e di
assoluta necessità di accesso ai dati, la possibilità di accesso ai dati;- lettera di incarico per il custode delle password;- predisposizione della procedura per la custodia delle credenziali riservate.
ACCESSI FUORI ORARIO- nomina di tutti i soggetti che sono incaricati ad accedere agli archivi o ai dati fuori dall'orario di lavoro;- lettera di incarico per ciascuno con precisazione dei compiti e dei limiti di accesso;- istruzioni su modalità di accesso in assoluta sicurezza.
Lettere di incarico Lettere di incarico
indice
adempimenti
Diversi documenti da redigere per :
• permettere la descrizione della disponibilità ed integrità dei dati;
• consentire una valutazione sui livelli di selezione degli accessi agli archivi cartacei;
• valutare gli archivi in formato elettronico ed i trattamenti effettuati con strumenti elettronici;
• applicare le misure minime di sicurezza;
Inventario archivi, ambienti, strumenti elettronici Inventario archivi, ambienti, strumenti elettronici
indice
adempimenti A) ELENCO DEI TRATTAMENTI DEI DATI PERSONALIE' necessario indicare descrizione di tutti i trattamenti di dati sensibili e giudiziari, finalità e modaltàB) DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ NELL’AMBITO DELLE STRUTTURE PREPOSTE AL
TRATTAMENTO DEI DATI E' necessario indicare descrizione delle disposizioni aziendali su trattamenti di dati sensibili, personali, comuni, giudiziari,
soggetti, incarichi, documentazioni, metodologie.C) ANALISI DEI RISCHI CHE INCOMBONO SUI DATIE' necessario indicare descrizione completa minacce e rischi specifici, rischi per integrità dei dati, per riservatezza, per
disponibilità.D) INTEGRITA’ E DISPONIBILITA’ DEI DATI – PROTEZIONE DEGLI AMBIENTIE' necessario indicare descrizione della gestione della salvaguardia di: completezza, difesa, riservatezza, disponibilità dei dati,
protezione delle aree e dei locali, autorizzazioniE) RIPRISTINO DEI DATIE' necessario indicare descrizione procedure per recupero e ripristino dati e descrizione attività preventive per evitare
distruzione o danneggiamento degli stessiF) INTERVENTI FORMATIVIE' necessario indicare descrizione del piano relativo ad interventi formativi per incaricati, specificando calendario, oggetto di
formazione privacy (norma, sicurezza, procedure interne, misure minime interne)G) DESCRIZIONE DEI CRITERI DI TRATTAMENTO E DI SICUREZZA DA ADOTTARE QUALORA IL TRATTAMENTO SIA
AFFIDATO A SOGGETTI ESTERNI (OUTSOURCING)E' necessario indicare descrizione dettagliata dei criteri di sicurezza da adottare per la gestione dei dati da parte di esterni,
l'outsourching non esonera il titolare dagli obblighi di sicurezza
Documento programmatico sulla sicurezza Documento programmatico sulla sicurezza
indice
adempimenti
Istruzioni per non lasciare incustodito lo strumento elettronico durante una sessione (chiavi hardware e codici software)
Disposizioni per assicurare la disponibilità dati in caso di assenza prolungata di un incaricato (apertura busta e necessità aggiornamento password, incarico provvisorio avvertendo l'incaricato assente dell'intervento fatto)
Istruzioni per gli incaricati relative alla tutela della segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato (anche modalità realizzazione password e aggiornamento della stessa)
Policy aziendale relativa alla privacy, è strumento che può acquisire efficacia di accordo tra le parti nella contrattazione collettiva di lavoro o di regolamento interno aziendale idoneo a vincolare i dipendenti o più in generale le parti al rispetto delle disposizioni di sicurezza in materia di privacy
Istruzioni per i dipendenti Istruzioni per i dipendenti
indice
adempimenti
Obbligatoria
La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali, va documentata annualmente nel documento programmatico sulla sicurezza
Formazione ai dipendenti Formazione ai dipendenti
indice
adempimenti Misure idonee In caso di causazione di danno nel trattamento dei dati personali
Responsabilità civile oggettiva (gravoso onere prova per liberarsi) Misure minime Per mancata adozione delle misure minime di sicurezza
Sanzioni amministrative da € 10.000,00 a € 50.000,00Sanzioni penali fino a 2 anni di reclusione
Informativa Violazione delle disposizioni di cui all'articolo 13
Sanzione amministrativa da € 3.000,00 a € 18.000,00Dati sensibili o giudiziari da € 5.000,00 a € 30.000,00
Consenso Violazione delle disposizioni di cui all'articolo 23
Sanzioni penali da 6 a 18 mesi di reclusione, se mediante comunicazione o diffusione dei dati da 6 a 24 mesi di reclusione
Varie violazioni Violazione delle disposizioni di cui all'articolo 8, 11, 17, 25, 26, 27 e 45
Sanzioni penali da 1 a 3 anni di reclusione Notifica Per ritardata omessa incompleta notifica
Sanzioni amministrative da € 10.000,00 a € 60.000,00Sanzioni penali da 6 mesi a 3 anni di reclusione
Sanzioni Sanzioni
indice
servizi
Indice dei servizi
check up generale 20/28 VAI ‡ relazione sui profili di non conformita' riscontrati 21/28 VAI ‡ conformità tecnica dei sistemi elettronici 22/28 VAI ‡ certificazione della conformità tecnica dei sistemi informatici 23/28 VAI ‡ cd per la completa gestione documentale 24/28 VAI ‡ consulenza per adozione procedure amministrative 25/28 VAI ‡ continua… formazione 26/28 VAI ‡
continua… documento programmatico sulla sicurezza 27/28 VAI ‡
assistenza semestrale ed annuale 28/28 VAI ‡
Indice dei serviziIndice dei servizi
indice
servizi Analisi preliminare: serve a valutare le esigenze del cliente in rapporto all'adozione delle nuove misure di sicurezza comporta: Analisi del sistema informaticoEffettuata in azienda da un nostro tecnico specializzato - sistema antivirus- sistema firewall- sistema autenticazione- sistema autorizzazione- sistema di salvataggio di sicurezza Questionario sull'adozione delle misure di sicurezzaRedatto dal nostro incaricato intervistando il titolare o il responsabile dei dati - valutazione del profilo di sicurezza dell'azienda- valutazione delle misure documentali- valutazione delle procedure di sicurezza
Check up privacy Check up privacy
indice
servizi
RELAZIONE dettagliata e scritta contenente: Profili di non conformità dal punto di vista tecnico Descrizione delle caratteristiche dei sistemi (con specifica delle singole macchine) che non sono conformi alle disposizioni
di sicurezza del Codice Privacy:- sistema Antivirus- sistema Firewall- sistema Autenticazione- sistema Autorizzazione- sistema di Salvataggio di sicurezza Profili di non conformità dal punto di vista amministrativo/documentale Le procedure e gli adempimenti carenti nell'organizzazione e nella gestione amministrativa Descrizione dettagliata degli interventi necessari per la conformità tecnica
Installazioni, aggiornamenti, altre attività necessarie per ogni macchina
Descrizione dettagliata degli interventi necessari per la conformità amministrativa a documentaleDescrizione delle procedure amministrative o degli adempimenti documentali che è necessario adottare per rendere conforme il trattamento dei dati dal punto di vista amministrativo
Procedure – Informative – Incarichi – Soggetti – Istruzioni - Custodia/vigilanza Dettagliati riferimenti normativi per esteso
Relazione sui profili di non conformità riscontrati Relazione sui profili di non conformità riscontrati
indice
servizi
Intervento tecnico
Secondo la relazione che descrive il risultato del check up e le indicazioni degli interventi necessari contenute in essa, si concorda con il titolare o con il responsabile, in relazione ad ogni macchina, l'intervento più adatto alle esigenze specifiche per portare a conformità i sistemi.
Il tecnico effettua gli aggiornamenti, le installazioni, le sostituzioni di sistema operativo, le definizioni dei profili di accesso ed ogni altra attività che sia necessaria.
L'intervento dà luogo al rilascio di Certificazione di Conformità ai sensi del Codice per la protezione dei dati personali.
Si portano a conformità tecnica i sistemi elettronici Si portano a conformità tecnica i sistemi elettronici
indice
servizi PREVISIONE LEGISLATIVA: Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria
struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico. (DT n. 25)
Contenuto della certificazione:inventario degli strumenti elettronicischeda tecnica antivirus*scheda tecnica firewall*scheda tecnica autenticazione*scheda tecnica autorizzazione*scheda tecnica salvataggio di sicurezza*
*se il cliente opta per un intervento completo
Descrizioni per ogni scheda:
descrizione della situazione precedente all'interventodescrizione dell'intervento realizzatodescrizione della situazione conclusiva e conforme
La certificazione di conformità si conclude con la attestazione formale della conformità dei sistemi elettronici alle disposizioni
del Decreto Legislativo 196/2003 e Disciplinare Tecnico allegato.
Certificazione Certificazione
indice
servizi Il CD è lo strumento che consente la completa autonomia del titolare o del responsabile nella gestione degli adempimenti
documentali documenti contenuti (redatti in collaborazione con un legale specializzato):
lettera di incarico per il responsabilelettera di incarico per gli incaricatilettera di incarico per il manutentore del sistemalettera di incarico per l'accesso agli archivi fuori orariolettera di incarico per il custode delle passwordinformativa / consenso per il trattamento dei dati sensibiliinformativa / consenso per i dipendentiinformativa / consenso per i clienti e fornitoridocumento programmatico sulla sicurezza
compilazione veloce tutti i documenti sopraindicati sono realizzati con l'uso dei comandi modulari di Microsoft Word e consentono un inserimento dei dati semiautomatico e molto veloce
sono inoltre presenti indicazioni precisissime sui dati da inserire in ogni campo help in linea è possibile consultare in ogni momento un help in linea che consente di navigare in modo
veloce e preciso in tutti i documenti e supporti del CD pagine di supporto con descrizioni tecniche o indicazioni, scadenziario oltre ai documenti per la gestione amministrativa il CD
contiene dei materiali che illustrano le caratteristiche tecniche dei sistemi, indicazioni sull'uso dei documenti, uno scadenzario completo degli adempimenti necessari, un file in formato Excel per la gestione degli incarichi
manuale nel CD è contenuto un manuale ipertestuale che consente di conoscere gli aspetti principali delle misure di sicurezza nel trattamento dei dati personali e di navigare, durante la consultazione del manuale, verso ogni altro materiale contenuto del CD
CD per la completa gestione documentale CD per la completa gestione documentale
indice
servizi
Affiancamento al responsabile per renderlo autonomo nella gestione di tutti i profili amministrativi e documentali necessari al trattamento completo dei dati personali
Supporto nella stesura dei documenti più complessi, nella adozione delle procedure di lavoro, nella gestione degli incaricati
procedura per riservatezza accessi ad archivi cartacei
procedura di assegnazione delle credenziali
procedura per la custodia di copie delle credenziali
procedura di gestione delle istanze degli interessati
informative e consensi
lettere di incarico
inventario archivi, ambienti, strumenti elettronici
documento programmatico sulla sicurezza
istruzioni per i dipendenti
formazione ai dipendenti
Consulenza per adozione procedure amministrative Consulenza per adozione procedure amministrative
indice
servizi
La formazione è prevista dalla legge come attività obbligatoria:
"La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali, va documentata annualmente nel documento programmatico sulla sicurezza"
offriamo:
Formazione per il Responsabile
formazione per gli incaricati
Formazione sulle caratteristiche tecniche di conformità
Formazione sull'uso degli strumenti tecnici che garantiscono la sicurezza deidati
Formazione sulle procedure amministrative e sugli adempimenti documentali
Formazione sul trattamento dei dati in sicurezza
continua…continua… Formazione Formazione
indice
servizi
Un servizio importante è quello di supporto nella realizzazione e compilazione del Documento programmatico sulla sicurezza che si deve adattare dettagliatamente alle realtà cui si riferisce (documento obbligatorio e fondamentale).
Tramite affiancamento di un nostro esperto al titolare, o al responsabile, è possibile realizzare un Documento programmatico completo, dettagliato, fondato sulla conoscenza, l'esperienza e i materiali di cui disponiamo.
Il DPS rispecchia fedelmente le attività svolte per introdurre le misure di sicurezza nella gestione dei dati, è quindi possibile mettere a frutto tutte le attività svolte in affiancamento e gli interventi tecnici da noi realizzati, con allegata ns certificazione di conformità, per predisporre una descrizione dettagliata del sistema di sicurezza approntato nonchè della conformità aziendale alle disposizioni di legge; il DPS è il più importante documento perché è il primo riferimento per le autorità deputate a svolgere i controlli di conformità e le società di capitali sono tenute a farne menzione nella relazione accompagnatoria al bilancio.
continua…continua… Documento programmatico sulla sicurezza Documento programmatico sulla sicurezza
indice
servizi Offriamo un servizio completo di ASSISTENZA che permette di far fronte a tutte le necessità che periodicamente si impongono
nel trattamento dei dati personali ASSISTENZASemestrale: aggiornamento degli strumenti elettronici al fine di proteggere i dati dal rischio di intrusione e dal rischio derivante
da virus informatici art.16, Allegato B); per il trattamento di dati sensibili aggiornamento dei programmi per elaboratori elettronici al fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B).
Annuale: aggiornamento dell'ambito di trattamento consentito ai singoli incaricati e verifica della sussistenza delle condizioni per la conservazione delle autorizzazioni di accesso; entro il 31 marzo di ogni anno, redazione del Documento programmatico sulla sicurezza di cui all’art. 19 Allegato B; programmazione (nel documento programmatico sulla sicurezza) e svolgimento interventi di formazione per gli incaricati del trattamento; aggiornamento dei programmi per elaboratori elettronici al fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B).
Obblighi di legge:annualmente occorre aggiornare l'individuazione dell'ambito di trattamento consentito ai singoli incaricati e verificare la
sussistenza delle condizioni per la conservazione delle autorizzazioni di accesso relative agli incaricati;annualmente, entro il 31 marzo di ogni anno, occorre redigere il predetto Documento programmatico sulla sicurezza di cui all’art.
19 Allegato B;semestralmente occorre aggiornare gli strumenti elettronici utilizzati al fine di proteggere i dati dal rischio di intrusione e dal
rischio derivante da virus informatici art.16, Allegato B);annualmente (semestralmente per il trattamento di dati sensibili) occorre aggiornare i programmi per elaboratori elettronici al
fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B);settimanalmente deve essere effettuato il salvataggio dei dati ed a tal fine devono essere fornite istruzioni organizzative e
tecniche agli incaricati;annualmente devono essere programmati (nel documento programmatico sulla sicurezza) e tenuti interventi di formazione per gli
incaricati del trattamento;
Assistenza semestrale ed annuale Assistenza semestrale ed annuale
indice
