Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati, siano.

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
il Rappresentante dei Lavoratori per la Sicurezza
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Confindustria Genova Workshop 31 gennaio 2008 Privacy e fisco Avv. Roberto Falcone.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
La sicurezza dei dati e la loro gestione.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Il nuovo Codice sulla Privacy nella scuola
1 Regolamento ISVAP n. 5 del 16 ottobre 2006: principali implicazioni per la formazione degli operatori 18 Dicembre 2006.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
La tutela dei dati personali
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
Per la gestione dei dati personali: Per la gestione dei dati personali:
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
Razionalizzazione delle
IL CODICE DELLA PRIVACY
PORTFOLIO & PRIVACY Considerazioni sulla garanzia alla riservatezza con lintroduzione del Portfolio.
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Nozioni basilari in materia di Privacy
Le funzioni di Polizia Giudiziaria per il personale degli U.R.T.A.T Le funzioni di Polizia Giudiziaria per il personale degli U.R.T.A.T marzo 2006.
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
1 FATTURAZIONE ELETTRONICA “PA” & CONSERVAZIONE DIGITALE A NORMA CONSERVAZIONE DIGITALE SOSTITUTIVA IL RESPONSABILE DELLA CONSERVAZIONE ​​ Definizione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
I dati Personali Sono Persona Fisica Privati I dati Personali
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
R:\2.Scambio\Normativa_Privacy
Sistema di Riferimento Veneto per la Sicurezza nelle Scuole
Rivacy QUALITA’ EFFICIENZA EFFICACIA SICUREZZA PROFESSIONALITA’ ESPERIENZA D.Lgs. 196/03 La nostra esprienza al vostro servizio Premere INVIO per andare.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Le associazioni possono costituirsi:
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
D.Lgs 196/03: Tutela della privacy
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
LA VERIFICA DELLA CORRETTA TENUTA DELLA CONTABILITA’
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati, siano in formato elettronico o su supporti cartacei decreto legislativo 196/2004 ADEMPIMENTI & SERVIZI

adempimenti  Indice degli adempimenti Indice degli adempimenti    scadenze 3/28 VAI ‡  la norma in breve 4/28 VAI ‡  trattamenti dei dati 5/28 VAI ‡  trattamenti con strumenti elettronici 6/28 VAI ‡  responsabile 7/28 VAI ‡  procedura per riservatezza accessi ad archivi cartacei 8/28 VAI ‡  procedura di assegnazione delle credenziali 9/28 VAI ‡  procedura per la custodia di copie delle credenziali 10/28 VAI ‡  procedura di gestione delle istanze degli interessati 11/28 VAI ‡  informative e consensi 12/28 VAI ‡  lettere di incarico 13/28 VAI ‡  inventario archivi, ambienti, strumenti elettronici 14/28 VAI ‡  documento programmatico sulla sicurezza 15/28 VAI ‡  istruzioni per i dipendenti 16/28 VAI ‡  formazione ai dipendenti 17/28 VAI ‡  sanzioni 18/28 VAI ‡

adempimenti  Scadenze indice 01.01.2004 (data di entrata in vigore del codice) -         individuare le figure attive del trattamento titolare, incaricato, responsabile, soggetto preposto alla custodia delle parole-chiave, soggetti autorizzati all’accesso fuori orario agli archivi, il soggetto manutentore del sistema nominare tali soggetti in forma scritta, fornendo le relative istruzioni   -         informare e raccogliere i consensi degli interessati rendere ai soggetti interessati l'informativa di cui all'articolo 13 prima dell’inizio della raccolta dei dati e del trattamento 30.04.2004 (termine per i soli soggetti che trattano dati sensibili ex art. 37 e ss. modif.) -         notifica al Garante privacy della richiesta di autorizzazione al trattamento dei dati sensibili relativamente ai trattamenti iniziati pri ma dell'1 gennaio 2004, devono eseguirsi le notifiche previste dall’art. 37 del codice della privacy, quanto ai trattamenti successivi la notifica deve essere eseguita prima dell’inizio dei trattamenti stessi 31.12.2004 (nuovo termine per l'adempimento unico) -         dovranno essere adottate le misure minime di sicurezza introdotte dal codice procedure amministrative - adempimenti documentali - requisiti tecnici dei sistemi informatici indice

adempimenti  La norma in breve indice IN VIGORE DAL: 1 GENNAIO 2003   NOME: "NUOVO Codice in materia di protezione dei dati personali" ESTREMI: Decreto Legislativo n. 196, del 30 giugno 2003 ABROGA: le precedenti norme in materia di Privacy NOVITA’: Introduce importanti procedure per la gestione dei dati, criteri di sicurezza degli strumenti elettronici, attestazione di conformità del sistema, sanzioni penali SOGGETTI INTERESSATI: Le Aziende di ogni genere, gli Studi Professionali, le Banche, gli Istituti Finanziari e Assicurativi, i Liberi Professionisti, gli Enti Pubblici, le Associazioni DATI SENSIBILI: Tutti i dati relativi all’origine razziale o etnica, a convinzioni filosofiche, religiose, politiche, sindacali, alla salute, alla vita sessuale    ADEMPIMENTI: Tutti coloro che trattano dati personali sono obbligati ad adottare le nuove misure e ad attestare formalmente la conformità del proprio sistema informatico ai nuovi criteri CERTIFICAZIONE: Attestando in sostituzione del titolare, in qualità di soggetto esterno, la conformità tecnica del sistema informatico ai sensi del n. 25 del DISCIPLINARE TECNICO (allegato B del Decreto) indice

adempimenti  Trattamenti dei dati indice "trattamento": qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;  "dato personale": qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;  "dati identificativi": i dati personali che permettono l'identificazione diretta dell'interessato;  "dati sensibili": i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale;  "dati giudiziari": i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;  "titolare": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;  "responsabile": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;  "incaricati": le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;  "interessato": la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati persona indice

adempimenti  Trattamenti con strumenti elettronici indice   ART. 34: Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico […] le seguenti misure minime: a) autenticazione informatica (requisiti tecnici) b) adozione di procedure di gestione delle credenziali di autenticazione (requisiti procedurali-documentali) c) utilizzazione di un sistema di autenticazione (requisiti tecnici) d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (requisiti procedurali-documentali) e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici (requisiti tecnici) f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi (requisiti tecnici)    g) tenuta di un aggiornato documento programmatico sulla sicurezza (requisiti procedurali-documentali) h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari (requisitispecifici, solo per trattamento dei dati sopra descritti) indice

adempimenti  Responsabile indice FONTE: NOMINA DEL RESPONSABILE EX ART. 29 D. Lg.s. 196/2003 NOMINA FACOLTATIVA: Non è obbligatorio nominare il Responsabile, ma se il titolare non vuole farsi carico di tutte le attività necessarie lo deve nominare FORMA SCRITTA: La nomina deve essere in forma scritta, su carta intestata, in duplice copia POTERI e OBBLIGHI: avrà il potere e l’obbligo di compiere quanto si renderà necessario ai fini del rispetto e della corretta applicazione del D. Lgs. 196/2003. In particolare lo stesso sarà tenuto a: - all’individuazione e nomina per iscritto degli incaricati del trattamento, impartendo loro, sempre per iscritto, idonee istruzioni; - vigilare sul rispetto delle istruzioni impartite agli incaricati; - adottare e far adottare le misure di sicurezza indicate e predisposte dal titolare del trattamento o comunque stabilite dal predetto decreto legislativo; - vigilare sul rispetto di dette misure di sicurezza da parte dei soggetti nominati incaricati; - verificare (trimestralmente/semestralmente) lo stato d’applicazione del D. Lgs. n. 196/2003, nonché il buon funzionamento, la corretta applicazione e la conformità alle indicazioni dell’Autorità Garante dei sistemi e delle misure di sicurezza adottate; - predisporre, a seguito di ciascuna verifica, una relazione scritta in ordine a tutti gli adempimenti eseguiti ai sensi del D. Lgs. 30 Giugno 2003 n. 196, alla documentazione raccolta ed archiviata ai sensi del medesimo decreto, nonché in ordine alle misure di sicurezza. Tale relazione dovrà essere, successivamente, trasmessa al titolare del trattamento; - porre in essere gli obblighi di informazione e acquisizione del consenso, quando richiesto, nei confronti degli interessati; - evadere tempestivamente tutte le richieste e gli eventuali reclami degli interessati; - evadere tempestivamente le richieste di informazioni da parte dell’Autorità Garante e dare immediata esecuzione alle indicazioni che perverranno dalla medesima Autorità; - interagire con i soggetti incaricati di eventuali verifiche, controlli o ispezioni; - informare immediatamente il titolare circa eventuali nuovi trattamenti relativi al proprio settore di competenza, provvedendo alle necessarie formalità di legge; - distruggere i dati personali in caso di cessazione del trattamento degli stessi, provvedendo alle necessarie formalità di legge. - provvedere, nei casi di trattamento di dati sensibili o dati giudiziari, tali definiti nell’art. 4 di cui al citato decreto legislativo, a redigere, entro il 31 marzo di ogni anno, il documento programmatico sulla sicurezza previsto dal coordinato disposto di cui all’art. 34, lett.ra g) del decreto medesimo e punto 19 del disciplinare tecnico allo stesso allegato sotto la lettera “B”. indice

adempimenti  Procedura per garantire riservatezza archivi cartacei   E' necessario garantire la massima riservatezza degli accessi agli archivi cartacei. Mansioni personali La modalità più semplice per farlo è quella di effettuare degli specifici incarichi con lettere che precisano i dati cui l'incaricato può accedere ed i trattamenti ammessi. Mansioni da organigramma Un'altra delle modalità per garantire la riservatezza negli accessi ai dati custoditi su supporti cartacei è quella di prevedere specificamente i limiti e le regole degli accessi a livello di mansionario. E' necessaria la specifica delle responsabilità e delle limitazioni di accesso per ufficio, con specifico riferimento ai trattamenti dei dati (indicazione determinazione espressa dei dati e delle tipologie di accesso ed elaborazioni consentite per ufficio o per unità organizzativa) Chiusura a chiave degli archivi Oltre alla responsabilizzazione dei soggetti è necessaria anche una vigilanza sugli accessi agli archivi che va commisurata alla pericolosità dei dati conservati in essi e può caratterizzarsi come accesso a stanze archivio chiuse a chiave, accesso ad armadi archivio provvisti di chiusura a chiave, vigilanza degli impiegati negli uffici ove sono presenti archivi cartacei. Custodia dei dati da parte dei soggetti che li trattano Quando gli incaricati effettuano i trattamenti devono comunque continuare a mantenere la riservatezza dei dati. Non devono mai lasciare incustoditi i supporti cartacei con i dati personali e possibilmente devono sempre richiuderli sotto chiave in caso di necessità di doversi allontanare anche solo momentaneamente. indice

adempimenti  Procedura di assegnazione delle credenziali   Il responsabile (o il tecnico installatore da questo incaricato) imposta i profili personali di accesso ai dati tramite strumenti elettronici, ed assegna le credenziali riservate agli incaricati. Gli incaricati provvedono a custodire la componente riservata della credenziale in modo assolutamente riservato e secondo tutte le disposizioni di sicurezza indice

adempimenti  Procedura per la custodia delle copie delle credenziali   Quando serve: la procedura per la custodia delle copie delle credenziali riservate serve nel caso in cui un incaricato che sia unico autorizzato ad effettuare un determinato trattamento di dati e sia assente, rendendosi necessario e impossibile effettuare quel trattamento senza conoscere la sua credenziale riservata. Come funziona: viene responsabilizzato un soggetto che custodirà tutte le credenziali in assoluta riservatezza e le renderà disponibili in caso di necessità secondo una procedura standard. Il responsabile nomina il custode delle password (componente riservata della credenziale). Gli incaricati in assoluta riservatezza scrivono copia della propria credenziale di accesso riservata su un foglio e lo sigillano in busta chiusa. Consegnano poi la busta al custode delle password che le chiude a chiave impedendivi l'accesso da parte di altri soggetti. In caso di necessità su richiesta del responsabile il custode delle password provvede all'apertura della busta per permettere i trattamenti necessari, viene comunicato all'assente l'accesso ai dati a lui riservati, specificando il trattamento effettuato, al rientro questi modificherà la password e provvederà a consegnarne nuova copia in busta sigillata al custode delle password. indice

adempimenti  Procedura per la gestione delle istanze degli interessati   L'interessato è titolare di tutti i diritti di cui all'art. 7: L'interessato è colui al quale si riferiscono i dati, quindi è il soggetto tutelato dalla norma, deve con esattezza poter conoscere ogni informazione relativa al trattamento dei suoi dati (anche accedere direttamente ai dati, o a copie all'uopo predisposte, in diversi casi stabiliti dalla legge); ha il potere di esercitare diverse azioni nei confronti del titolare (e gli spettano in genere tutti i diritti di cui all'art. 7). Deve ricevere risposta esaustiva alle domande che rivolga in relazione al trattamento. E' necessario proporgli una informativa dettagliata preliminarmente all'inizio del trattamento dei dati e può rivolgersi al garante per ottenere informazioni sul trattamento che lo riguarda. L'interessato ha diritto a trovare risposta in una procedura con caratteristiche che ne garantiscono i diritti (art. 8 e 9): 1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalita' al titolare o al responsabile, anche per il tramite di un incaricato, alla quale e' fornito idoneo riscontro senza ritardo. 1. La richiesta rivolta al titolare o al responsabile puo' essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante puo' individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta puo' essere formulata anche oralmente e in tal caso e' annotata sinteticamente a cura dell'incaricato o del responsabile. 2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato puo' conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato puo', altresi', farsi assistere da una persona di fiducia. 4. L'identita' dell'interessato e' verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato e' una persona giuridica, un ente o un'associazione, la richiesta e' avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti. L'art. 10 stabilisce poi il diritto di accesso diretto ai dati, da parte dell'interessato indice

adempimenti  Informative e consensi DIPENDENTI CLIENTI FORNITORI   Consenso informato: Ogni soggetto cui si riferiscano direttamente o indirettamente i dati trattati deve essere informato del trattamento con riferimento ai diritti ed agli obblighi di cui al Decreto Legge 196/2003. Per i dati personali e sensibili è necessario che l'interessato esprima il proprio consenso anteriormente rispetto all'effettuazione del trattamento, consenso del quale è poi necessario conservare copia per attestare, in caso di bisogno, l'avvenuta sottoscrizione.  Di seguito quadro riassuntivo dei requisiti da adottare per portare a conformità le informative consenso: DIPENDENTI Descrizione diritti di cui all'ART. 7 SPECIFICA CHE SI TRATTA DI INFORMATIVA CONSENSO PER DATI RELATIVI A RAPPORTO DI LAVORO DATI SENSIBILI SPECIFICA SPECIFICA PAGHE ESTERNE: ULTERIORE SOTTOSCRIZIONE APPOSITA DOPPIA COPIA CLIENTI FORNITORI DATI SENSIBILI WEB indice

adempimenti  Lettere di incarico indice RESPONSABILE del trattamento   RESPONSABILE del trattamento - nomina (facoltativa se il titolare segue in prima persona il trattamento dei dati); - lettera di incarico con precisazione dei compiti; - consegna istruzioni relative custodia ed uso in sicurezza dei supporti rimovibili; - consegna istruzioni sulla custodia dei dati durante le sessioni di lavoro degli elaboratori, nel caso di breve assenza dell'incaricato; - consegna istruzioni per la custodia in sicurezza delle credenziali di autenticazione; - formazione sulle procedure per la gestione dei dati in sicurezza e per la conformità tecnica degli strumenti elettronici; - manca la definizione di uno specifico profilo di autorizzazione per l'accesso ai dati trattati con strumenti elettronici relativo al responsabile, con assegnazione delle necessarie credenziali di accesso secondo i criteri di conformità stabiliti dalla legge. INCARICATI al trattamento - nomina di tutti i soggetti che sono incaricati ad uno o più trattamenti di dati; - lettera di incarico per ciascuno con precisazione dei compiti; - consegna istruzioni sulla custodia ed uso in sicurezza dei supporti rimovibili (ad ognuno); - consegna istruzioni sulla custodia dei dati durante le sessioni degli elaboratori nel caso di breve assenza dell'incaricato (ad ognuno); - consegna istruzioni per la custodia in sicurezza da parte degli incaricati delle credenziali di autenticazione (ad ognuno); - formazione sulle procedure per la gestione dei dati in sicurezza e per la conformità tecnica degli strumenti elettronici (ad ognuno); - manca la definizione di uno specifico profilo di autorizzazione per ogni incaricato per l'accesso ai dati trattati con strumenti elettronici; - assegnazione delle necessarie credenziali di accesso secondo i criteri di conformità stabiliti dalla legge.  CUSTODE PASSWORD - nomina del soggetto che deve custodire con assoluta segretezza copia delle credenziali di ogni incaricato per garantire, in caso di assenza degli stessi e di assoluta necessità di accesso ai dati, la possibilità di accesso ai dati; - lettera di incarico per il custode delle password; - predisposizione della procedura per la custodia delle credenziali riservate.  ACCESSI FUORI ORARIO - nomina di tutti i soggetti che sono incaricati ad accedere agli archivi o ai dati fuori dall'orario di lavoro; - lettera di incarico per ciascuno con precisazione dei compiti e dei limiti di accesso; - istruzioni su modalità di accesso in assoluta sicurezza. indice

adempimenti  Inventario archivi, ambienti, strumenti elettronici   Diversi documenti da redigere per : permettere la descrizione della disponibilità ed integrità dei dati; consentire una valutazione sui livelli di selezione degli accessi agli archivi cartacei; valutare gli archivi in formato elettronico ed i trattamenti effettuati con strumenti elettronici; applicare le misure minime di sicurezza; indice

adempimenti  Documento programmatico sulla sicurezza indice   A) ELENCO DEI TRATTAMENTI DEI DATI PERSONALI E' necessario indicare descrizione di tutti i trattamenti di dati sensibili e giudiziari, finalità e modaltà B) DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ NELL’AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI E' necessario indicare descrizione delle disposizioni aziendali su trattamenti di dati sensibili, personali, comuni, giudiziari, soggetti, incarichi, documentazioni, metodologie. C) ANALISI DEI RISCHI CHE INCOMBONO SUI DATI E' necessario indicare descrizione completa minacce e rischi specifici, rischi per integrità dei dati, per riservatezza, per disponibilità. D) INTEGRITA’ E DISPONIBILITA’ DEI DATI – PROTEZIONE DEGLI AMBIENTI E' necessario indicare descrizione della gestione della salvaguardia di: completezza, difesa, riservatezza, disponibilità dei dati, protezione delle aree e dei locali, autorizzazioni E) RIPRISTINO DEI DATI E' necessario indicare descrizione procedure per recupero e ripristino dati e descrizione attività preventive per evitare distruzione o danneggiamento degli stessi F) INTERVENTI FORMATIVI E' necessario indicare descrizione del piano relativo ad interventi formativi per incaricati, specificando calendario, oggetto di formazione privacy (norma, sicurezza, procedure interne, misure minime interne) G) DESCRIZIONE DEI CRITERI DI TRATTAMENTO E DI SICUREZZA DA ADOTTARE QUALORA IL TRATTAMENTO SIA AFFIDATO A SOGGETTI ESTERNI (OUTSOURCING) E' necessario indicare descrizione dettagliata dei criteri di sicurezza da adottare per la gestione dei dati da parte di esterni, l'outsourching non esonera il titolare dagli obblighi di sicurezza indice

adempimenti  Istruzioni per i dipendenti   Istruzioni per non lasciare incustodito lo strumento elettronico durante una sessione (chiavi hardware e codici software)    Disposizioni per assicurare la disponibilità dati in caso di assenza prolungata di un incaricato (apertura busta e necessità aggiornamento password, incarico provvisorio avvertendo l'incaricato assente dell'intervento fatto) Istruzioni per gli incaricati relative alla tutela della segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato (anche modalità realizzazione password e aggiornamento della stessa) Policy aziendale relativa alla privacy, è strumento che può acquisire efficacia di accordo tra le parti nella contrattazione collettiva di lavoro o di regolamento interno aziendale idoneo a vincolare i dipendenti o più in generale le parti al rispetto delle disposizioni di sicurezza in materia di privacy indice

adempimenti  Formazione ai dipendenti Obbligatoria   Obbligatoria La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali, va documentata annualmente nel documento programmatico sulla sicurezza indice

adempimenti  Sanzioni indice   Misure idonee In caso di causazione di danno nel trattamento dei dati personali Responsabilità civile oggettiva (gravoso onere prova per liberarsi) Misure minime Per mancata adozione delle misure minime di sicurezza Sanzioni amministrative da € 10.000,00 a € 50.000,00 Sanzioni penali fino a 2 anni di reclusione Informativa Violazione delle disposizioni di cui all'articolo 13 Sanzione amministrativa da € 3.000,00 a € 18.000,00 Dati sensibili o giudiziari da € 5.000,00 a € 30.000,00 Consenso Violazione delle disposizioni di cui all'articolo 23 Sanzioni penali da 6 a 18 mesi di reclusione, se mediante comunicazione o diffusione dei dati da 6 a 24 mesi di reclusione Varie violazioni Violazione delle disposizioni di cui all'articolo 8, 11, 17, 25, 26, 27 e 45 Sanzioni penali da 1 a 3 anni di reclusione Notifica Per ritardata omessa incompleta notifica Sanzioni amministrative da € 10.000,00 a € 60.000,00 Sanzioni penali da 6 mesi a 3 anni di reclusione indice

servizi  Indice dei servizi Indice dei servizi indice  check up generale 20/28 VAI ‡  relazione sui profili di non conformita' riscontrati 21/28 VAI ‡  conformità tecnica dei sistemi elettronici 22/28 VAI ‡  certificazione della conformità tecnica dei sistemi informatici 23/28 VAI ‡  cd per la completa gestione documentale 24/28 VAI ‡  consulenza per adozione procedure amministrative 25/28 VAI ‡  continua… formazione 26/28 VAI ‡  continua… documento programmatico sulla sicurezza 27/28 VAI ‡  assistenza semestrale ed annuale 28/28 VAI ‡ indice

servizi  Check up privacy indice   Analisi preliminare: serve a valutare le esigenze del cliente in rapporto all'adozione delle nuove misure di sicurezza comporta: Analisi del sistema informatico Effettuata in azienda da un nostro tecnico specializzato -         sistema antivirus -         sistema firewall -         sistema autenticazione -         sistema autorizzazione -         sistema di salvataggio di sicurezza Questionario sull'adozione delle misure di sicurezza Redatto dal nostro incaricato intervistando il titolare o il responsabile dei dati -       valutazione del profilo di sicurezza dell'azienda -       valutazione delle misure documentali -       valutazione delle procedure di sicurezza indice

servizi  Relazione sui profili di non conformità riscontrati indice RELAZIONE dettagliata e scritta contenente:   Profili di non conformità dal punto di vista tecnico   Descrizione delle caratteristiche dei sistemi (con specifica delle singole macchine) che non sono conformi alle disposizioni di sicurezza del Codice Privacy: -              sistema Antivirus -              sistema Firewall -              sistema Autenticazione -              sistema Autorizzazione -              sistema di Salvataggio di sicurezza Profili di non conformità dal punto di vista amministrativo/documentale   Le procedure e gli adempimenti carenti nell'organizzazione e nella gestione amministrativa Descrizione dettagliata degli interventi necessari per la conformità tecnica Installazioni, aggiornamenti, altre attività necessarie per ogni macchina Descrizione dettagliata degli interventi necessari per la conformità amministrativa a documentale Descrizione delle procedure amministrative o degli adempimenti documentali che è necessario adottare per rendere conforme il trattamento dei dati dal punto di vista amministrativo Procedure – Informative – Incarichi – Soggetti – Istruzioni - Custodia/vigilanza Dettagliati riferimenti normativi per esteso indice

servizi  Si portano a conformità tecnica i sistemi elettronici indice   Intervento tecnico Secondo la relazione che descrive il risultato del check up e le indicazioni degli interventi necessari contenute in essa, si concorda con il titolare o con il responsabile, in relazione ad ogni macchina, l'intervento più adatto alle esigenze specifiche per portare a conformità i sistemi. Il tecnico effettua gli aggiornamenti, le installazioni, le sostituzioni di sistema operativo, le definizioni dei profili di accesso ed ogni altra attività che sia necessaria. L'intervento dà luogo al rilascio di Certificazione di Conformità ai sensi del Codice per la protezione dei dati personali. indice

servizi  Certificazione indice   PREVISIONE LEGISLATIVA: Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico. (DT n. 25) Contenuto della certificazione: inventario degli strumenti elettronici scheda tecnica antivirus* scheda tecnica firewall* scheda tecnica autenticazione* scheda tecnica autorizzazione* scheda tecnica salvataggio di sicurezza* *se il cliente opta per un intervento completo Descrizioni per ogni scheda: descrizione della situazione precedente all'intervento descrizione dell'intervento realizzato descrizione della situazione conclusiva e conforme    La certificazione di conformità si conclude con la attestazione formale della conformità dei sistemi elettronici alle disposizioni del Decreto Legislativo 196/2003 e Disciplinare Tecnico allegato. indice

servizi  CD per la completa gestione documentale indice   Il CD è lo strumento che consente la completa autonomia del titolare o del responsabile nella gestione degli adempimenti documentali documenti contenuti (redatti in collaborazione con un legale specializzato): lettera di incarico per il responsabile lettera di incarico per gli incaricati lettera di incarico per il manutentore del sistema lettera di incarico per l'accesso agli archivi fuori orario lettera di incarico per il custode delle password informativa / consenso per il trattamento dei dati sensibili informativa / consenso per i dipendenti informativa / consenso per i clienti e fornitori documento programmatico sulla sicurezza  compilazione veloce tutti i documenti sopraindicati sono realizzati con l'uso dei comandi modulari di Microsoft Word e consentono un inserimento dei dati semiautomatico e molto veloce sono inoltre presenti indicazioni precisissime sui dati da inserire in ogni campo  help in linea è possibile consultare in ogni momento un help in linea che consente di navigare in modo veloce e preciso in tutti i documenti e supporti del CD  pagine di supporto con descrizioni tecniche o indicazioni, scadenziario oltre ai documenti per la gestione amministrativa il CD contiene dei materiali che illustrano le caratteristiche tecniche dei sistemi, indicazioni sull'uso dei documenti, uno scadenzario completo degli adempimenti necessari, un file in formato Excel per la gestione degli incarichi  manuale nel CD è contenuto un manuale ipertestuale che consente di conoscere gli aspetti principali delle misure di sicurezza nel trattamento dei dati personali e di navigare, durante la consultazione del manuale, verso ogni altro materiale contenuto del CD indice

servizi  Consulenza per adozione procedure amministrative indice   Affiancamento al responsabile per renderlo autonomo nella gestione di tutti i profili amministrativi e documentali necessari al trattamento completo dei dati personali  Supporto nella stesura dei documenti più complessi, nella adozione delle procedure di lavoro, nella gestione degli incaricati  procedura per riservatezza accessi ad archivi cartacei  procedura di assegnazione delle credenziali  procedura per la custodia di copie delle credenziali  procedura di gestione delle istanze degli interessati  informative e consensi  lettere di incarico  inventario archivi, ambienti, strumenti elettronici  documento programmatico sulla sicurezza  istruzioni per i dipendenti  formazione ai dipendenti indice

servizi  continua… Formazione indice   La formazione è prevista dalla legge come attività obbligatoria: "La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali, va documentata annualmente nel documento programmatico sulla sicurezza" offriamo: Formazione per il Responsabile formazione per gli incaricati Formazione sulle caratteristiche tecniche di conformità Formazione sull'uso degli strumenti tecnici che garantiscono la sicurezza deidati Formazione sulle procedure amministrative e sugli adempimenti documentali Formazione sul trattamento dei dati in sicurezza indice

servizi  continua… Documento programmatico sulla sicurezza indice   Un servizio importante è quello di supporto nella realizzazione e compilazione del Documento programmatico sulla sicurezza che si deve adattare dettagliatamente alle realtà cui si riferisce (documento obbligatorio e fondamentale). Tramite affiancamento di un nostro esperto al titolare, o al responsabile, è possibile realizzare un Documento programmatico completo, dettagliato, fondato sulla conoscenza, l'esperienza e i materiali di cui disponiamo. Il DPS rispecchia fedelmente le attività svolte per introdurre le misure di sicurezza nella gestione dei dati, è quindi possibile mettere a frutto tutte le attività svolte in affiancamento e gli interventi tecnici da noi realizzati, con allegata ns certificazione di conformità, per predisporre una descrizione dettagliata del sistema di sicurezza approntato nonchè della conformità aziendale alle disposizioni di legge; il DPS è il più importante documento perché è il primo riferimento per le autorità deputate a svolgere i controlli di conformità e le società di capitali sono tenute a farne menzione nella relazione accompagnatoria al bilancio. indice

servizi  Assistenza semestrale ed annuale indice   Offriamo un servizio completo di ASSISTENZA che permette di far fronte a tutte le necessità che periodicamente si impongono nel trattamento dei dati personali ASSISTENZA Semestrale: aggiornamento degli strumenti elettronici al fine di proteggere i dati dal rischio di intrusione e dal rischio derivante da virus informatici art.16, Allegato B); per il trattamento di dati sensibili aggiornamento dei programmi per elaboratori elettronici al fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B). Annuale: aggiornamento dell'ambito di trattamento consentito ai singoli incaricati e verifica della sussistenza delle condizioni per la conservazione delle autorizzazioni di accesso; entro il 31 marzo di ogni anno, redazione del Documento programmatico sulla sicurezza di cui all’art. 19 Allegato B; programmazione (nel documento programmatico sulla sicurezza) e svolgimento interventi di formazione per gli incaricati del trattamento; aggiornamento dei programmi per elaboratori elettronici al fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B). Obblighi di legge: annualmente occorre aggiornare l'individuazione dell'ambito di trattamento consentito ai singoli incaricati e verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni di accesso relative agli incaricati; annualmente, entro il 31 marzo di ogni anno, occorre redigere il predetto Documento programmatico sulla sicurezza di cui all’art. 19 Allegato B; semestralmente occorre aggiornare gli strumenti elettronici utilizzati al fine di proteggere i dati dal rischio di intrusione e dal rischio derivante da virus informatici art.16, Allegato B); annualmente (semestralmente per il trattamento di dati sensibili) occorre aggiornare i programmi per elaboratori elettronici al fine di prevenirne difetti di funzionamento e vulnerabilità (art. 17, Allegato B); settimanalmente deve essere effettuato il salvataggio dei dati ed a tal fine devono essere fornite istruzioni organizzative e tecniche agli incaricati; annualmente devono essere programmati (nel documento programmatico sulla sicurezza) e tenuti interventi di formazione per gli incaricati del trattamento; indice