La semplificazione nella gestione delle misure di sicurezza

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
Unità d’apprendimento
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
Il Decreto Legislativo 9 aprile 2008, n° 81
Il contratto di lavoro intermittente
Aggiornamento del 29 Settembre 2011
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Piccoli chef centri invernali con BarchettaBlu
Assemblea dei Presidenti
ORGANIZZAZIONE DELLA ATTIVITA’ PROFESSIONALE E PRIVACY
Il procedimento amministrativo è
Security & Privacy Integrità Riservatezza Disponibilità La Normativa
Riconoscimento delle qualifiche professionali PROFESSIONE DOCENTE
GPOI - L’organizzazione aziendale -
LA GESTIONE DELLE RISORSE UMANE
Riordino della legislazione sulla trasparenza
Art. 20 Il Silenzio assenso
GOVERNO e CONTROLLO SOCIETARIO
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
Tutela della privacy e atti scolastici
Le strutture sanitarie devono fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico.
LA GESTIONE DEI RAEE PROFESSIONALI
Incontro: Il Codice in materia di protezione dei Dati Personali
L’analisi del profilo di rischio antiriciclaggio
Consulenza legale, fiscale e strategica alle imprese
IL LAVORO AGILE Aggiornato alla L. n. 81 del 22 maggio 2017 e alla Direttiva del Presidente del Consiglio dei Ministri 1 giugno 2017, n. 3 Per informazioni.
Aggiornato al D. Lgs. n. 185 del 2016
G.D.P.R. – Sintesi e proposizione
Il nuovo Regolamento Generale UE 2016/679
ISTITUTO NAZIONALE DI FISICA NUCLEARE Sezione di Napoli
PREZZI Anomalia delle offerte, congruità del Prezzo e costo del lavoro. Gli enti appaltanti e le aggiudicazioni al massimo ribasso.
DIREZIONE REGIONALE VENETO Ufficio Attività Istituzionali
Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
L’esperienza del Comune di Cassano d’Adda
I controlli di condizionalità – identificazione e registrazione
Dr. Riccardo Làrese Gortigo
ASSOCIAZIONE DEGLI INDUSTRIALI DELLA PROVINCIA DI VERONA Verona, 17 Ottobre 2005 LA SICUREZZA DEL TRATTAMENTO DEI DATI E L’ IMPLEMENTAZIONE NELLE AZIENDE.
BRIVIDI E MISTERI io sottoscritto ……………………………….………………………………………………………
NUOVO RUOLO DEL R.S.P.P PER LA GESTIONE DELLA SICUREZZA SUL LAVORO
Il ruolo del tutor aziendale nei percorsi di Alternanza Scuola Lavoro
REGOLAMENTO PER L’ACCESSO, L’UTILIZZO E LA PROTEZIONE DELLE RISORSE INFORMATICHE Centro Servizi Informatici Università degli Studi di Bari Aldo Moro.
FORMAZIONE LAVORATORI CON HANDICAP INTELLETTIVO E PSICHICO
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
colore 2018 carnevale di barchettablu
RIVOLUZIONE PRIVACY 2018.
La Privacy e la sicurezza negli studi legali Monza, 24 aprile 2018
“NUOVO LIBRO UNICO DEL LAVORO”
I Profili Fiscali della Gestione del Patrimonio dell’Incapace
CREDITO DI IMPOSTA PER LE SPESE DI FORMAZIONE industria 4.0.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
IL DIRITTO ALLA PRIVACY
I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA
ISCRIZIONE ABC … Leggere insieme n.3 per una buona lettura
I principali compiti del datore di lavoro
Decreto legislativo 30 giugno 2003, n. 196
Organigramma ANSF Direttore OIV (in corso di nomina)*
La conservazione dei documenti nell’attuale scenario normativo
IL DIRITTO ALLA PRIVACY
ETICA E DEONTOLOGIA SEGRETO PROFESSIONALE E RISERVATEZZA
Piano di formazione e aggiornamento docenti
Aspetti normativi del D.Lvo n. 196 del 2003
Organigramma ANSF Direttore OIV (in corso di nomina)*
CRITERI DI SCELTA E FINANZIAMENTO DEI PROGETTI DI ALTERNANZA SCUOLA-LAVORO Tutti i progetti prescelti devono rispondere alle caratteristiche di cui all’Art.
Il protocollo informatico e il Manuale di Gestione
Art. 20 Il Silenzio assenso
La FORMAZIONE nel contratto di assunzione dei Custodi Forestali
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

La semplificazione nella gestione delle misure di sicurezza Le modifiche alla normativa sul trattamento dei dati personali: come cambia l’organizzazione privacy in azienda

Le misure di sicurezza Un breve richiamo

Art. 31 del Codice I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Art. 31 del Codice Vi è l’obbligo per il titolare del trattamento di configurare, al di là delle Misure Minime di Sicurezza, un quadro di protezione adeguato alla natura dei dati trattati ed al tipo di tecnologia utilizzata Il problema della gestione della sicurezza non si esaurisce nella conformità al Disciplinare Tecnico!

Art. 33 – Le misure minime Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

Art. 34 – Il Disciplinare Tecnico Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Le semplificazioni del Decreto Sviluppo Documento Programmatico sulla Sicurezza e Misure Minime di Sicurezza

Il Decreto Sviluppo – Art. 6 Comma 2: 5) all’articolo 34, il comma 1-bis è sostituito dai seguenti: "1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). […]

Il Decreto Sviluppo – Art. 6 […] In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo - contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.

Il Decreto Sviluppo – Art. 6 Finalità amministrativo-contabili: 1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro

Il Decreto Sviluppo - Sintesi Possibilità di sostituire il Dps con una autocerificazione se si trattano solo dati sensibili o giudiziari di dipendenti e collaboratori Il Garante può definire misure di sicurezza semplificate per le piccole e medie aziende che trattano i dati solo per correnti finalità “amministrativo-contabili” Viene fornita una definizione “piuttosto stretta” di finalità amministrativo-contabili

Finalità amministrativo contabili Le attività “strettamente necessarie” per: “stare sul mercato”, cioè svolgere le attività strettamente pertinenti la fornitura di prodotti e servizi Svolgere gli adempimenti previsti dalle vigenti normative

Non sono finalità amministrativo-contabili… Le attività di marketing, diretto o di massa Le attività di qualificazione o segmentazione dei fornitori e/o dei clienti La gestione del sistema di qualità

Conviene non fare più il Dps? Il Decreto Sviluppo rende possibile sostituirlo con l’autocertificazione, ma non modifica l’obbligo di gestire un adeguato sistema di protezione e di adottare in modo conforme le Misure Minime di Sicurezza previste dal Disciplinare Tecnico. La verifica dell’adozione delle misure di protezione è quindi comunque periodicamente necessaria per assicurare e documentare la loro presenza nel tempo

Conviene non fare più il Dps? L’obbligo di predisporre le istruzioni scritte agli incaricati del trattamento non è modificato La verifica per l’aggiornamento del Dps è ormai per abitudine il momento dell’aggiornamento delle istruzioni (nuovi inserimenti, cambio di mansioni) La verifica, inoltre, è anche il momento dell’aggiornamento delle eventuali nomine a responsabile del trattamento

Aggiornare il Dps è comunque suggeribile Per verificare la conformità complessiva dell’azienda alla normativa Per aggiornare la documentazione obbligatoria a seguito di modifiche organizzative Quando vengono effettuati trattamenti “delicati” anche se non pertinenti all’obbligo (ad es. utilizzo di sistemi di videosorveglianza) per disporre di una documentazione completa ed aggiornata in caso di ispezioni Quando vengono effettuati trattamenti “delicati” per i quali le Misure Minime di Sicurezza non assicurano il raggiungimento del livello di protezione previsto dall’art. 31 del Codice In caso di cause relative alla protezione della proprietà industriale documenta l’esistenza delle misure di protezione indispensabili per far valere i diritti dell’azienda

Gli Amministratori di Sistema Cosa cambia con il Decreto Sviluppo

Gli obblighi per gli AdS Scelta tra soggetti competenti, non solo dal punto di vista tecnico Individuazione degli AdS, sia interni che esterni Emissione di atti di nomina individuale con identificazione dell’ambito di operatività di ciascuno Registrazione del log degli accessi

Gli Ads in “outsourcing” Il Provvedimento specifica che anche i tecnici esterni devono essere considerati tra gli AdS Nascono spesso difficoltà nella nomina che tende a non essere accettata La soluzione può essere: nominare responsabile del trattamento l’azienda per cui operano, trasferendo alla stessa gli obblighi previsti dal provvedimento, compreso quello della registrazione del log degli accessi

Il log degli accessi Attenzione! Il Provvedimento richiede di detenere (per 6 mesi) il log degli accessi degli AdS, non di tutti gli utenti del sistema informatico Gli strumenti di “audit” interno dei più diffusi sistemi operativi permettono di adempiere agli obblighi del provvedimento in modo semplice ma sostanziale L’attivazione degli strumenti standard di norma richiede poche ore di attività

Il Regolamento per l’utilizzo dei sistemi informatici Il Provvedimento del Garante su posta elettronica e internet lo rende nei fatti necessario Il Regolamento deve essere calzato sulla realtà tecnica ed organizzativa dell’azienda La sua diffusione ha un concreto valore organizzativo, in quanto definisce le corrette modalità d’uso degli strumenti E’ necessario verificarne la conformità alle normative vigenti (Privacy,L.300/70) aggiornandolo ove opportuno In taluni casi (modello organizzativo 231) è indispensabile

Grazie per l’attenzione Dr. Riccardo Larese Gortigo r.larese@assind.vi.it