La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati,

Presentazioni simili


Presentazione sul tema: "Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati,"— Transcript della presentazione:

1

2 Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati, siano in formato elettronico o su supporti cartacei decreto legislativo 196/2004

3 adempimenti Indice degli adempimenti scadenze3/28VAI VAI la norma in breve4/28VAI VAI trattamenti dei dati5/28VAI VAI trattamenti con strumenti elettronici6/28VAI VAI responsabile7/28VAI VAI procedura per riservatezza accessi ad archivi cartacei8/28VAI VAI procedura di assegnazione delle credenziali9/28VAI VAI procedura per la custodia di copie delle credenziali10/28VAI VAI procedura di gestione delle istanze degli interessati11/28VAI VAI informative e consensi12/28VAI VAI lettere di incarico13/28VAI VAI inventario archivi, ambienti, strumenti elettronici14/28VAI VAI documento programmatico sulla sicurezza15/28VAI VAI istruzioni per i dipendenti16/28VAI VAI formazione ai dipendenti17/28VAI VAI sanzioni18/28 VAI VAI Indice degli adempimenti Indice degli adempimenti

4 adempimenti (data di entrata in vigore del codice) - individuare le figure attive del trattamento titolare, incaricato, responsabile, soggetto preposto alla custodia delle parole-chiave, soggetti autorizzati allaccesso fuori orario agli archivi, il soggetto manutentore del sistema nominare tali soggetti in forma scritta, fornendo le relative istruzioni - informare e raccogliere i consensi degli interessati rendere ai soggetti interessati l'informativa di cui all'articolo 13 prima dellinizio della raccolta dei dati e del trattamento (termine per i soli soggetti che trattano dati sensibili ex art. 37 e ss. modif.) - notifica al Garante privacy della richiesta di autorizzazione al trattamento dei dati sensibili relativamente ai trattamenti iniziati pri ma dell'1 gennaio 2004, devono eseguirsi le notifiche previste dallart. 37 del codice della privacy, quanto ai trattamenti successivi la notifica deve essere eseguita prima dellinizio dei trattamenti stessi (nuovo termine per l'adempimento unico) - dovranno essere adottate le misure minime di sicurezza introdotte dal codice procedure amministrative - adempimenti documentali - requisiti tecnici dei sistemi informatici Scadenze Scadenze indice

5 adempimenti IN VIGORE DAL: 1 GENNAIO 2003 NOME: "NUOVO Codice in materia di protezione dei dati personali" ESTREMI: Decreto Legislativo n. 196, del 30 giugno 2003 ABROGA: le precedenti norme in materia di Privacy NOVITA: Introduce importanti procedure per la gestione dei dati, criteri di sicurezza degli strumenti elettronici, attestazione di conformità del sistema, sanzioni penali SOGGETTI INTERESSATI: Le Aziende di ogni genere, gli Studi Professionali, le Banche, gli Istituti Finanziari e Assicurativi, i Liberi Professionisti, gli Enti Pubblici, le Associazioni DATI SENSIBILI: Tutti i dati relativi allorigine razziale o etnica, a convinzioni filosofiche, religiose, politiche, sindacali, alla salute, alla vita sessuale ADEMPIMENTI: Tutti coloro che trattano dati personali sono obbligati ad adottare le nuove misure e ad attestare formalmente la conformità del proprio sistema informatico ai nuovi criteri CERTIFICAZIONE: Attestando in sostituzione del titolare, in qualità di soggetto esterno, la conformità tecnica del sistema informatico ai sensi del n. 25 del DISCIPLINARE TECNICO (allegato B del Decreto) La norma in breve La norma in breve indice

6 adempimenti "trattamento": qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; "dato personale": qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; "dati identificativi": i dati personali che permettono l'identificazione diretta dell'interessato; "dati sensibili": i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale; "dati giudiziari": i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; "titolare": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; "responsabile": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; "incaricati": le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; "interessato": la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati persona Trattamenti dei dati Trattamenti dei dati indice

7 adempimenti ART. 34: Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico […] le seguenti misure minime: a)autenticazione informatica (requisiti tecnici) b)adozione di procedure di gestione delle credenziali di autenticazione (requisiti procedurali-documentali) c)utilizzazione di un sistema di autenticazione (requisiti tecnici) d)aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (requisiti procedurali-documentali) e)protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici (requisiti tecnici) f)adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi (requisiti tecnici) g)tenuta di un aggiornato documento programmatico sulla sicurezza (requisiti procedurali-documentali) h)adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari (requisitispecifici, solo per trattamento dei dati sopra descritti) Trattamenti con strumenti elettronici Trattamenti con strumenti elettronici indice

8 adempimenti FONTE: NOMINA DEL RESPONSABILE EX ART. 29 D. Lg.s. 196/2003 NOMINA FACOLTATIVA: Non è obbligatorio nominare il Responsabile, ma se il titolare non vuole farsi carico di tutte le attività necessarie lo deve nominare FORMA SCRITTA: La nomina deve essere in forma scritta, su carta intestata, in duplice copia POTERI e OBBLIGHI: avrà il potere e lobbligo di compiere quanto si renderà necessario ai fini del rispetto e della corretta applicazione del D. Lgs. 196/2003. In particolare lo stesso sarà tenuto a: - allindividuazione e nomina per iscritto degli incaricati del trattamento, impartendo loro, sempre per iscritto, idonee istruzioni; - vigilare sul rispetto delle istruzioni impartite agli incaricati; - adottare e far adottare le misure di sicurezza indicate e predisposte dal titolare del trattamento o comunque stabilite dal predetto decreto legislativo; - vigilare sul rispetto di dette misure di sicurezza da parte dei soggetti nominati incaricati; - verificare (trimestralmente/semestralmente) lo stato dapplicazione del D. Lgs. n. 196/2003, nonché il buon funzionamento, la corretta applicazione e la conformità alle indicazioni dellAutorità Garante dei sistemi e delle misure di sicurezza adottate; - predisporre, a seguito di ciascuna verifica, una relazione scritta in ordine a tutti gli adempimenti eseguiti ai sensi del D. Lgs. 30 Giugno 2003 n. 196, alla documentazione raccolta ed archiviata ai sensi del medesimo decreto, nonché in ordine alle misure di sicurezza. Tale relazione dovrà essere, successivamente, trasmessa al titolare del trattamento; - porre in essere gli obblighi di informazione e acquisizione del consenso, quando richiesto, nei confronti degli interessati; - evadere tempestivamente tutte le richieste e gli eventuali reclami degli interessati; - evadere tempestivamente le richieste di informazioni da parte dellAutorità Garante e dare immediata esecuzione alle indicazioni che perverranno dalla medesima Autorità; - interagire con i soggetti incaricati di eventuali verifiche, controlli o ispezioni; - informare immediatamente il titolare circa eventuali nuovi trattamenti relativi al proprio settore di competenza, provvedendo alle necessarie formalità di legge; - distruggere i dati personali in caso di cessazione del trattamento degli stessi, provvedendo alle necessarie formalità di legge. - provvedere, nei casi di trattamento di dati sensibili o dati giudiziari, tali definiti nellart. 4 di cui al citato decreto legislativo, a redigere, entro il 31 marzo di ogni anno, il documento programmatico sulla sicurezza previsto dal coordinato disposto di cui allart. 34, lett.ra g) del decreto medesimo e punto 19 del disciplinare tecnico allo stesso allegato sotto la lettera B. Responsabile Responsabile indice

9 adempimenti E' necessario garantire la massima riservatezza degli accessi agli archivi cartacei. Mansioni personali La modalità più semplice per farlo è quella di effettuare degli specifici incarichi con lettere che precisano i dati cui l'incaricato può accedere ed i trattamenti ammessi. Mansioni da organigramma Un'altra delle modalità per garantire la riservatezza negli accessi ai dati custoditi su supporti cartacei è quella di prevedere specificamente i limiti e le regole degli accessi a livello di mansionario. E' necessaria la specifica delle responsabilità e delle limitazioni di accesso per ufficio, con specifico riferimento ai trattamenti dei dati (indicazione determinazione espressa dei dati e delle tipologie di accesso ed elaborazioni consentite per ufficio o per unità organizzativa) Chiusura a chiave degli archivi Oltre alla responsabilizzazione dei soggetti è necessaria anche una vigilanza sugli accessi agli archivi che va commisurata alla pericolosità dei dati conservati in essi e può caratterizzarsi come accesso a stanze archivio chiuse a chiave, accesso ad armadi archivio provvisti di chiusura a chiave, vigilanza degli impiegati negli uffici ove sono presenti archivi cartacei. Custodia dei dati da parte dei soggetti che li trattano Quando gli incaricati effettuano i trattamenti devono comunque continuare a mantenere la riservatezza dei dati. Non devono mai lasciare incustoditi i supporti cartacei con i dati personali e possibilmente devono sempre richiuderli sotto chiave in caso di necessità di doversi allontanare anche solo momentaneamente. Procedura per garantire riservatezza archivi cartacei Procedura per garantire riservatezza archivi cartacei indice

10 adempimenti Il responsabile (o il tecnico installatore da questo incaricato) imposta i profili personali di accesso ai dati tramite strumenti elettronici, ed assegna le credenziali riservate agli incaricati. Gli incaricati provvedono a custodire la componente riservata della credenziale in modo assolutamente riservato e secondo tutte le disposizioni di sicurezza Procedura di assegnazione delle credenziali Procedura di assegnazione delle credenziali indice

11 adempimenti Quando serve: la procedura per la custodia delle copie delle credenziali riservate serve nel caso in cui un incaricato che sia unico autorizzato ad effettuare un determinato trattamento di dati e sia assente, rendendosi necessario e impossibile effettuare quel trattamento senza conoscere la sua credenziale riservata. Come funziona: viene responsabilizzato un soggetto che custodirà tutte le credenziali in assoluta riservatezza e le renderà disponibili in caso di necessità secondo una procedura standard. Il responsabile nomina il custode delle password (componente riservata della credenziale). Gli incaricati in assoluta riservatezza scrivono copia della propria credenziale di accesso riservata su un foglio e lo sigillano in busta chiusa. Consegnano poi la busta al custode delle password che le chiude a chiave impedendivi l'accesso da parte di altri soggetti. In caso di necessità su richiesta del responsabile il custode delle password provvede all'apertura della busta per permettere i trattamenti necessari, viene comunicato all'assente l'accesso ai dati a lui riservati, specificando il trattamento effettuato, al rientro questi modificherà la password e provvederà a consegnarne nuova copia in busta sigillata al custode delle password. Procedura per la custodia delle copie delle credenziali Procedura per la custodia delle copie delle credenziali indice

12 adempimenti L'interessato è titolare di tutti i diritti di cui all'art. 7: L'interessato è colui al quale si riferiscono i dati, quindi è il soggetto tutelato dalla norma, deve con esattezza poter conoscere ogni informazione relativa al trattamento dei suoi dati (anche accedere direttamente ai dati, o a copie all'uopo predisposte, in diversi casi stabiliti dalla legge); ha il potere di esercitare diverse azioni nei confronti del titolare (e gli spettano in genere tutti i diritti di cui all'art. 7). Deve ricevere risposta esaustiva alle domande che rivolga in relazione al trattamento. E' necessario proporgli una informativa dettagliata preliminarmente all'inizio del trattamento dei dati e può rivolgersi al garante per ottenere informazioni sul trattamento che lo riguarda. L'interessato ha diritto a trovare risposta in una procedura con caratteristiche che ne garantiscono i diritti (art. 8 e 9): 1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalita' al titolare o al responsabile, anche per il tramite di un incaricato, alla quale e' fornito idoneo riscontro senza ritardo. 1. La richiesta rivolta al titolare o al responsabile puo' essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante puo' individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta puo' essere formulata anche oralmente e in tal caso e' annotata sinteticamente a cura dell'incaricato o del responsabile. 2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato puo' conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato puo', altresi', farsi assistere da una persona di fiducia. 4. L'identita' dell'interessato e' verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato e' una persona giuridica, un ente o un'associazione, la richiesta e' avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti. L'art. 10 stabilisce poi il diritto di accesso diretto ai dati, da parte dell'interessato Procedura per la gestione delle istanze degli interessati Procedura per la gestione delle istanze degli interessati indice

13 adempimenti Consenso informato: Ogni soggetto cui si riferiscano direttamente o indirettamente i dati trattati deve essere informato del trattamento con riferimento ai diritti ed agli obblighi di cui al Decreto Legge 196/2003. Per i dati personali e sensibili è necessario che l'interessato esprima il proprio consenso anteriormente rispetto all'effettuazione del trattamento, consenso del quale è poi necessario conservare copia per attestare, in caso di bisogno, l'avvenuta sottoscrizione. Di seguito quadro riassuntivo dei requisiti da adottare per portare a conformità le informative consenso: Informative e consensi Informative e consensi indice DIPENDENTI Descrizione diritti di cui all'ART. 7 SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO DATI SENSIBILI SPECIFICA SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA DOPPIA COPIA CLIENTI FORNITORI Descrizione diritti di cui all'ART. 7 SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA DOPPIA COPIA DATI SENSIBILI Descrizione diritti di cui all'ART. 7 SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO DATI SENSIBILI SPECIFICA SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA DOPPIA COPIA WEB Descrizione diritti di cui all'ART. 7 SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA DOPPIA COPIA

14 adempimenti RESPONSABILE del trattamento - nomina (facoltativa se il titolare segue in prima persona il trattamento dei dati); - lettera di incarico con precisazione dei compiti; - consegna istruzioni relative custodia ed uso in sicurezza dei supporti rimovibili; - consegna istruzioni sulla custodia dei dati durante le sessioni di lavoro degli elaboratori, nel caso di breve assenza dell'incaricato; - consegna istruzioni per la custodia in sicurezza delle credenziali di autenticazione; - formazione sulle procedure per la gestione dei dati in sicurezza e per la conformità tecnica degli strumenti elettronici; - manca la definizione di uno specifico profilo di autorizzazione per l'accesso ai dati trattati con strumenti elettronici relativo al responsabile, con assegnazione delle necessarie credenziali di accesso secondo i criteri di conformità stabiliti dalla legge. INCARICATI al trattamento - nomina di tutti i soggetti che sono incaricati ad uno o più trattamenti di dati; - lettera di incarico per ciascuno con precisazione dei compiti; - consegna istruzioni sulla custodia ed uso in sicurezza dei supporti rimovibili (ad ognuno); - consegna istruzioni sulla custodia dei dati durante le sessioni degli elaboratori nel caso di breve assenza dell'incaricato (ad ognuno); - consegna istruzioni per la custodia in sicurezza da parte degli incaricati delle credenziali di autenticazione (ad ognuno); - formazione sulle procedure per la gestione dei dati in sicurezza e per la conformità tecnica degli strumenti elettronici (ad ognuno); - manca la definizione di uno specifico profilo di autorizzazione per ogni incaricato per l'accesso ai dati trattati con strumenti elettronici; - assegnazione delle necessarie credenziali di accesso secondo i criteri di conformità stabiliti dalla legge. CUSTODE PASSWORD - nomina del soggetto che deve custodire con assoluta segretezza copia delle credenziali di ogni incaricato per garantire, in caso di assenza degli stessi e di assoluta necessità di accesso ai dati, la possibilità di accesso ai dati; - lettera di incarico per il custode delle password; - predisposizione della procedura per la custodia delle credenziali riservate. ACCESSI FUORI ORARIO - nomina di tutti i soggetti che sono incaricati ad accedere agli archivi o ai dati fuori dall'orario di lavoro; - lettera di incarico per ciascuno con precisazione dei compiti e dei limiti di accesso; - istruzioni su modalità di accesso in assoluta sicurezza. Lettere di incarico Lettere di incarico indice

15 adempimenti Diversi documenti da redigere per : permettere la descrizione della disponibilità ed integrità dei dati; consentire una valutazione sui livelli di selezione degli accessi agli archivi cartacei; valutare gli archivi in formato elettronico ed i trattamenti effettuati con strumenti elettronici; applicare le misure minime di sicurezza; Inventario archivi, ambienti, strumenti elettronici Inventario archivi, ambienti, strumenti elettronici indice

16 adempimenti A) ELENCO DEI TRATTAMENTI DEI DATI PERSONALI E' necessario indicare descrizione di tutti i trattamenti di dati sensibili e giudiziari, finalità e modaltà B) DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA NELLAMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI E' necessario indicare descrizione delle disposizioni aziendali su trattamenti di dati sensibili, personali, comuni, giudiziari, soggetti, incarichi, documentazioni, metodologie. C) ANALISI DEI RISCHI CHE INCOMBONO SUI DATI E' necessario indicare descrizione completa minacce e rischi specifici, rischi per integrità dei dati, per riservatezza, per disponibilità. D) INTEGRITA E DISPONIBILITA DEI DATI – PROTEZIONE DEGLI AMBIENTI E' necessario indicare descrizione della gestione della salvaguardia di: completezza, difesa, riservatezza, disponibilità dei dati, protezione delle aree e dei locali, autorizzazioni E) RIPRISTINO DEI DATI E' necessario indicare descrizione procedure per recupero e ripristino dati e descrizione attività preventive per evitare distruzione o danneggiamento degli stessi F) INTERVENTI FORMATIVI E' necessario indicare descrizione del piano relativo ad interventi formativi per incaricati, specificando calendario, oggetto di formazione privacy (norma, sicurezza, procedure interne, misure minime interne) G) DESCRIZIONE DEI CRITERI DI TRATTAMENTO E DI SICUREZZA DA ADOTTARE QUALORA IL TRATTAMENTO SIA AFFIDATO A SOGGETTI ESTERNI (OUTSOURCING) E' necessario indicare descrizione dettagliata dei criteri di sicurezza da adottare per la gestione dei dati da parte di esterni, l'outsourching non esonera il titolare dagli obblighi di sicurezza Documento programmatico sulla sicurezza Documento programmatico sulla sicurezza indice

17 adempimenti Istruzioni per non lasciare incustodito lo strumento elettronico durante una sessione (chiavi hardware e codici software) Disposizioni per assicurare la disponibilità dati in caso di assenza prolungata di un incaricato (apertura busta e necessità aggiornamento password, incarico provvisorio avvertendo l'incaricato assente dell'intervento fatto) Istruzioni per gli incaricati relative alla tutela della segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato (anche modalità realizzazione password e aggiornamento della stessa) Policy aziendale relativa alla privacy, è strumento che può acquisire efficacia di accordo tra le parti nella contrattazione collettiva di lavoro o di regolamento interno aziendale idoneo a vincolare i dipendenti o più in generale le parti al rispetto delle disposizioni di sicurezza in materia di privacy Istruzioni per i dipendenti Istruzioni per i dipendenti indice

18 adempimenti Obbligatoria La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali, va documentata annualmente nel documento programmatico sulla sicurezza Formazione ai dipendenti Formazione ai dipendenti indice

19 adempimenti Misure idoneeIn caso di causazione di danno nel trattamento dei dati personali Responsabilità civile oggettiva (gravoso onere prova per liberarsi) Misure minimePer mancata adozione delle misure minime di sicurezza Sanzioni amministrative da ,00 a ,00 Sanzioni penali fino a 2 anni di reclusione InformativaViolazione delle disposizioni di cui all'articolo 13 Sanzione amministrativa da 3.000,00 a ,00 Dati sensibili o giudiziari da 5.000,00 a ,00 ConsensoViolazione delle disposizioni di cui all'articolo 23 Sanzioni penali da 6 a 18 mesi di reclusione, se mediante comunicazione o diffusione dei dati da 6 a 24 mesi di reclusione Varie violazioniViolazione delle disposizioni di cui all'articolo 8, 11, 17, 25, 26, 27 e 45 Sanzioni penali da 1 a 3 anni di reclusione NotificaPer ritardata omessa incompleta notifica Sanzioni amministrative da ,00 a ,00 Sanzioni penali da 6 mesi a 3 anni di reclusione Sanzioni Sanzioni indice

20 servizi Indice dei servizi check up generale20/28 VAI VAI relazione sui profili di non conformita' riscontrati21/28 VAI VAI conformità tecnica dei sistemi elettronici22/28 VAI VAI certificazione della conformità tecnica dei sistemi informatici23/28 VAI VAI cd per la completa gestione documentale24/28 VAI VAI consulenza per adozione procedure amministrative25/28 VAI VAI continua… formazione26/28 VAI VAI continua… documento programmatico sulla sicurezza27/28 VAI VAI assistenza semestrale ed annuale28/28 VAI VAI Indice dei servizi Indice dei servizi indice

21 servizi Analisi preliminare: serve a valutare le esigenze del cliente in rapporto all'adozione delle nuove misure di sicurezza comporta: Analisi del sistema informatico Effettuata in azienda da un nostro tecnico specializzato - sistema antivirus - sistema firewall - sistema autenticazione - sistema autorizzazione - sistema di salvataggio di sicurezza Questionario sull'adozione delle misure di sicurezza Redatto dal nostro incaricato intervistando il titolare o il responsabile dei dati - valutazione del profilo di sicurezza dell'azienda - valutazione delle misure documentali - valutazione delle procedure di sicurezza Check up privacy Check up privacy indice

22 servizi RELAZIONE dettagliata e scritta contenente: Profili di non conformità dal punto di vista tecnico Descrizione delle caratteristiche dei sistemi (con specifica delle singole macchine) che non sono conformi alle disposizioni di sicurezza del Codice Privacy: - sistema Antivirus - sistema Firewall - sistema Autenticazione - sistema Autorizzazione - sistema di Salvataggio di sicurezza Profili di non conformità dal punto di vista amministrativo/documentale Le procedure e gli adempimenti carenti nell'organizzazione e nella gestione amministrativa Descrizione dettagliata degli interventi necessari per la conformità tecnica Installazioni, aggiornamenti, altre attività necessarie per ogni macchina Descrizione dettagliata degli interventi necessari per la conformità amministrativa a documentale Descrizione delle procedure amministrative o degli adempimenti documentali che è necessario adottare per rendere conforme il trattamento dei dati dal punto di vista amministrativo Procedure – Informative – Incarichi – Soggetti – Istruzioni - Custodia/vigilanza Dettagliati riferimenti normativi per esteso Relazione sui profili di non conformità riscontrati Relazione sui profili di non conformità riscontrati indice

23 servizi Intervento tecnico Secondo la relazione che descrive il risultato del check up e le indicazioni degli interventi necessari contenute in essa, si concorda con il titolare o con il responsabile, in relazione ad ogni macchina, l'intervento più adatto alle esigenze specifiche per portare a conformità i sistemi. Il tecnico effettua gli aggiornamenti, le installazioni, le sostituzioni di sistema operativo, le definizioni dei profili di accesso ed ogni altra attività che sia necessaria. L'intervento dà luogo al rilascio di Certificazione di Conformità ai sensi del Codice per la protezione dei dati personali. Si portano a conformità tecnica i sistemi elettronici Si portano a conformità tecnica i sistemi elettronici indice

24 servizi PREVISIONE LEGISLATIVA: Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico. (DT n. 25) Contenuto della certificazione: inventario degli strumenti elettronici scheda tecnica antivirus* scheda tecnica firewall* scheda tecnica autenticazione* scheda tecnica autorizzazione* scheda tecnica salvataggio di sicurezza* *se il cliente opta per un intervento completo Descrizioni per ogni scheda: descrizione della situazione precedente all'intervento descrizione dell'intervento realizzato descrizione della situazione conclusiva e conforme La certificazione di conformità si conclude con la attestazione formale della conformità dei sistemi elettronici alle disposizioni del Decreto Legislativo 196/2003 e Disciplinare Tecnico allegato. Certificazione Certificazione indice

25 servizi Il CD è lo strumento che consente la completa autonomia del titolare o del responsabile nella gestione degli adempimenti documentali documenti contenuti (redatti in collaborazione con un legale specializzato): lettera di incarico per il responsabile lettera di incarico per gli incaricati lettera di incarico per il manutentore del sistema lettera di incarico per l'accesso agli archivi fuori orario lettera di incarico per il custode delle password informativa / consenso per il trattamento dei dati sensibili informativa / consenso per i dipendenti informativa / consenso per i clienti e fornitori documento programmatico sulla sicurezza compilazione velocetutti i documenti sopraindicati sono realizzati con l'uso dei comandi modulari di Microsoft Word e consentono un inserimento dei dati semiautomatico e molto veloce sono inoltre presenti indicazioni precisissime sui dati da inserire in ogni campo help in linea è possibile consultare in ogni momento un help in linea che consente di navigare in modo veloce e preciso in tutti i documenti e supporti del CD pagine di supporto con descrizioni tecniche o indicazioni, scadenziario oltre ai documenti per la gestione amministrativa il CD contiene dei materiali che illustrano le caratteristiche tecniche dei sistemi, indicazioni sull'uso dei documenti, uno scadenzario completo degli adempimenti necessari, un file in formato Excel per la gestione degli incarichi manuale nel CD è contenuto un manuale ipertestuale che consente di conoscere gli aspetti principali delle misure di sicurezza nel trattamento dei dati personali e di navigare, durante la consultazione del manuale, verso ogni altro materiale contenuto del CD CD per la completa gestione documentale CD per la completa gestione documentale indice

26 servizi Affiancamento al responsabile per renderlo autonomo nella gestione di tutti i profili amministrativi e documentali necessari al trattamento completo dei dati personali Supporto nella stesura dei documenti più complessi, nella adozione delle procedure di lavoro, nella gestione degli incaricati procedura per riservatezza accessi ad archivi cartacei procedura di assegnazione delle credenziali procedura per la custodia di copie delle credenziali procedura di gestione delle istanze degli interessati informative e consensi lettere di incarico inventario archivi, ambienti, strumenti elettronici documento programmatico sulla sicurezza istruzioni per i dipendenti formazione ai dipendenti Consulenza per adozione procedure amministrative Consulenza per adozione procedure amministrative indice

27 servizi La formazione è prevista dalla legge come attività obbligatoria: "La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali, va documentata annualmente nel documento programmatico sulla sicurezza" offriamo: Formazione per il Responsabile formazione per gli incaricati Formazione sulle caratteristiche tecniche di conformità Formazione sull'uso degli strumenti tecnici che garantiscono la sicurezza deidati Formazione sulle procedure amministrative e sugli adempimenti documentali Formazione sul trattamento dei dati in sicurezza continua… Formazione continua… Formazione indice

28 servizi Un servizio importante è quello di supporto nella realizzazione e compilazione del Documento programmatico sulla sicurezza che si deve adattare dettagliatamente alle realtà cui si riferisce (documento obbligatorio e fondamentale). Tramite affiancamento di un nostro esperto al titolare, o al responsabile, è possibile realizzare un Documento programmatico completo, dettagliato, fondato sulla conoscenza, l'esperienza e i materiali di cui disponiamo. Il DPS rispecchia fedelmente le attività svolte per introdurre le misure di sicurezza nella gestione dei dati, è quindi possibile mettere a frutto tutte le attività svolte in affiancamento e gli interventi tecnici da noi realizzati, con allegata ns certificazione di conformità, per predisporre una descrizione dettagliata del sistema di sicurezza approntato nonchè della conformità aziendale alle disposizioni di legge; il DPS è il più importante documento perché è il primo riferimento per le autorità deputate a svolgere i controlli di conformità e le società di capitali sono tenute a farne menzione nella relazione accompagnatoria al bilancio. continua… Documento programmatico sulla sicurezza continua… Documento programmatico sulla sicurezza indice

29 servizi Offriamo un servizio completo di ASSISTENZA che permette di far fronte a tutte le necessità che periodicamente si impongono nel trattamento dei dati personali ASSISTENZA Semestrale: aggiornamento degli strumenti elettronici al fine di proteggere i dati dal rischio di intrusione e dal rischio derivante da virus informatici art.16, Allegato B); per il trattamento di dati sensibili aggiornamento dei programmi per elaboratori elettronici al fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B). Annuale: aggiornamento dell'ambito di trattamento consentito ai singoli incaricati e verifica della sussistenza delle condizioni per la conservazione delle autorizzazioni di accesso; entro il 31 marzo di ogni anno, redazione del Documento programmatico sulla sicurezza di cui allart. 19 Allegato B; programmazione (nel documento programmatico sulla sicurezza) e svolgimento interventi di formazione per gli incaricati del trattamento; aggiornamento dei programmi per elaboratori elettronici al fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B). Obblighi di legge: annualmente occorre aggiornare l'individuazione dell'ambito di trattamento consentito ai singoli incaricati e verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni di accesso relative agli incaricati; annualmente, entro il 31 marzo di ogni anno, occorre redigere il predetto Documento programmatico sulla sicurezza di cui allart. 19 Allegato B; semestralmente occorre aggiornare gli strumenti elettronici utilizzati al fine di proteggere i dati dal rischio di intrusione e dal rischio derivante da virus informatici art.16, Allegato B); annualmente (semestralmente per il trattamento di dati sensibili) occorre aggiornare i programmi per elaboratori elettronici al fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B); settimanalmente deve essere effettuato il salvataggio dei dati ed a tal fine devono essere fornite istruzioni organizzative e tecniche agli incaricati; annualmente devono essere programmati (nel documento programmatico sulla sicurezza) e tenuti interventi di formazione per gli incaricati del trattamento; Assistenza semestrale ed annuale Assistenza semestrale ed annuale indice


Scaricare ppt "Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati,"

Presentazioni simili


Annunci Google