|
Regolamento
Il software
D.P.S. ON LINE è stato creato per consentire una
semplice compilazione mirata alla registrazione e la stampa
del Documento Programmatico sulla Sicurezza.
Ogni singolo utente dovrà essere registrato e accettare
le condizioni economiche e l'assunzione di ogni responsabilità
civile e penale, al termine di tale procedura avrà a
disposizione per la compilazione e la stampa 1 D.P.S. al costo
Euro 100,00 + iva.
Le aziende che intendono utilizzare questo strumento per redigere
il D.P.S. per i propri clienti dovranno compilare e firmare
un contratto che prevede l'acquisto di uno o più blocchi
da 10 D.P.S. al costo di Euro 800,00+iva, oltre l'accettazione
delle condizioni economiche e l'assunzione di ogni responsabilità
civile e penale.
Per ragioni di sicurezza, legali e amministrative oltre alla
USER da noi fornita e la PASSWORD scelta dal cliente/utente,
viene registrato l'indirizzo IP (18.224.32.243),
la data e l'ora di ogni accesso.
Informatizzare declina ogni responsabilità di qualsiasi
natura e genere sulla compilazione, l'elaborazione, la stampa,
e l'uso in genere del software. |
|
|
|
|
|
Informativa
ex art. 13 D.lgs. 30.06.2003, n. 196
"Codice in
materia di protezione dei dati personali"
Desideriamo informarLa
che il D.lgs. 196/2003 prevede il diritto alla protezione
dei dati personali. In ossequio a questa legge, il trattamento
di tali dati si svolgerà nel rispetto dei Suoi diritti
e delle libertà fondamentali, nonché della Sua
dignità, con particolare riferimento alla riservatezza,
all’identità personale e al diritto alla protezione
dei Suoi dati personali.
Ai sensi dell'articolo 13 del
D.lgs. 196/2003, La informiamo che:
a) I dati da Lei forniti o raccolti
presso terzi, sono trattati nel Suo interesse per perseguire
attività di elaborazione dati. In conformità
ai requisiti di sicurezza richiesti dalla legge, il trattamento
sarà effettuato solo tramite sistemi informatici mediante
l’utilizzo di sistemi di trasmissione dati e reti di
comunicazione elettronica ed in ossequio alle prescrizioni
contenute nell’ Autorizzazione n. 5/2004 al trattamento
dei dati sensibili da parte di diverse categorie di titolari
(G.U. n. 190 del 14 agosto 2004) (Capo III - Attività
di elaborazione di dati)
b) Il conferimento dei
dati è facoltativo. Un eventuale rifiuto di consentire
il trattamento di tali dati potrebbe però comportare
l’impossibilità di prosecuzione del rapporto poiché
verrebbe a mancare il perseguimento delle attività
di cui al comma a); Al
solo fine di far fronte ai necessari adempimenti fiscali,
i dati personali saranno, inoltre, comunicati allo studio
di commercialisti al quale è affidata la gestione di
tali adempimenti.
c) In ogni momento potrai
esercitare i Suoi diritti nei confronti del titolare del trattamento,
ai sensi dell’art.7 del D.lgs.196/2003. In particolare:
1) E' Suo diritto ottenere
la conferma dell'esistenza o meno di propri dati personali
e la loro messa a disposizione in forma intelligibile;
2) Ha diritto di avere
conoscenza dell'origine dei dati, della finalità e
delle modalità del trattamento, della logica applicata
al trattamento, degli estremi identificativi del titolare
e dei soggetti cui i dati possono essere comunicati;
3) Ha inoltre diritto
ad ottenere l'aggiornamento, la rettificazione e l'integrazione.
dei dati, la cancellazione, la trasformazione in forma anonima
o il blocco dei dati trattati in violazione della legge;
4) Ha il diritto di opporsi,
per motivi legittimi, al trattamento dei dati.
Dichiaro di aver letto l’informativa
e di accettare le modalità di trattamento e finalità
in essa previste. I dati personali forniti a
sono indispensabili per fornire i servizi richiesti.
Il titolare del trattamento è:
con sede in
Acconsento che , mi tenga informato
anche mediante newsletter, riguardo aggiornamenti legislativi,
novita’, proposte commerciali sui servizi svolti.
Potrò esercitare in qualsiasi momento presso il Titolare
del Trattamento, secondo quanto stabilito dall'articolo 7
del citato Dlgs. 196/03, il diritto di controllare, aggiornare,
modificare o cancellare i dati personali forniti. Dichiaro
di essere a conoscenza che la richiesta di cancellazione dei
dati comporterà anche l’immediata risoluzione
del contratto e la cessazione dei servizi erogati.
|
|
|
Introduzione
Tutte le aziende, pubbliche e private, sono tenute a trattare i dati
personali secondo "misure minime di sicurezza", come dal
Decreto Legislativo 30 giugno 2003 n. 196 ("Testo Unico sulla
Privacy"). Tali misure devono
essere descritte all’interno del Documento Programmatico sulla
Sicurezza (DPS o DPsS), che conterrà le regole del trattamento
e della conservazione dei dati personali e sensibili nell’ambito
dell’azienda. Il DPS rappresenta perciò lo strumento di
riferimento per il trattamento dei dati personali e sensibili, ma
soprattutto indica la strategia di sicurezza che devono seguire tutti
i dipendenti, collaboratori, partner e fornitori. Entro il 31 marzo
di ogni anno il DPS deve essere aggiornato e allegato al bilancio
annuale. Il termine per il 2005 è stato fissato al 31 dicembre
2005. Se, per certificare ragioni, non sarà possibile redigerlo
entro il 31 dicembre 2005, il termine ultimo per l'adeguamento degli
strumenti elettronici che non consentono l'adozione delle misure minime
di sicurezza entro il 31 dicembre 2005 sarà il 31 marzo 2006.
Le misure di sicurezza adeguate non sono state specificate in dettaglio
dalla legge, ma ordina alle aziende la classificazione dei propri
dati, la realizzazione di un organizzazione informatica per proteggerli,
il rilevamento dei rischi per eventuali perdite dati e trattamenti
non conformi. Tra queste misure appunto la redazione del DPS da mantenere
sempre aggiornato e, in caso di richiesta, sottoposto all’autorità
giudiziaria.
|
Il codice in materia di protezione
dei dati personali (D.lgs
196/03) prevede tra le varie integrazioni alla disciplina
della privacy la formazione degli incaricati del trattamento dei dati.
(Si ricorda che gli incaricati sono le persone fisiche autorizzate
a compiere operazioni di trattamento dal titolare o dal responsabile.
Normalmente si tratta di dipendenti o collaboratori del titolare del
trattamento.) L'allegato
B al Testo Unico, che sostituisce il d.p.r. 318/99
per le misure minime di sicurezza, prevede, all'art. 19, che il Documento
programmatico sulla sicurezza debba contenere, tra l'altro, la previsione
di interventi formativi riguardanti:
- i rischi che incombono sui dati;
- le misure disponibili per prevenire eventi dannosi;
- i profili della disciplina sulla protezione dei dati personali piu
rilevanti in rapporto alle relative attivita;
- le responsabilita che ne derivano;
- le modalita per aggiornarsi sulle misure minime adottate dal titolare. |
|
Dati
- "dato
personale": qualunque informazione relativa a persona
fisica, persona giuridica, ente od associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale;
- "dati
identificativi": i dati personali che permettono l'identificazione
diretta dell'interessato;
- "dati sensibili":
i dati personali idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose, filosofiche
o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare
lo stato di salute e la vita sessuale.
Soggetti
- "titolare":
la persona fisica, la persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali
e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
- "responsabile": la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente, associazione
od organismo preposti dal titolare al trattamento di dati personali;
- "incaricati": le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile.
I dati personali
a) Il nome, il cognome, l'indirizzo, il numero di telefono, il codice
fiscale, la Partita Iva, dati bancari...
b) Informazioni circa la composizione del nucleo familiare, la professione
esercitata da un determinato soggetto, sia fisico che giuridico,
la sua formazione...
I dati sensibili
c) Fotografie, radiografie, video, suoni, impronte...
d) Informazioni relative al profilo creditizio, alla retribuzione...
e) Informazioni relative alla salute di un soggetto, alla vita sessuale,
alla partecipazione ad associazioni di categoria, a partiti, trattenute
sindacali, cartelle cliniche, rilevazioni di presenze...
|
|
Misure minime previste dalla legge
sulla privacy per il trattamento dei dati con l'ausilio di mezzi informatici
[top]
Le misure minime riguardano:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati
e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute
o la vita sessuale effettuati da organismi sanitari.
Le modalità tecniche per corrispondere
a tali prescrizioni sono contenute nel disciplinare tecnico, allegato
B del Decreto Legislativo 196 del 30/6/2003. Per chi
tratta dati sensibili vedi anche il DPS.
|
|
Sanzioni [top]
Gli obblighi di legge prevedono che il titolare del trattamento
debba adottare tutte le misure necessarie per garantire un livello
di sicurezza adeguato al valore dei propri dati, e che tali misure
siano costantemente aggiornate allo stato dell'arte e correttamente
funzionanti. Ciò significa che il titolare del trattamento
non risponde solo dei danni causati direttamente, ma anche di quelli
provocati da tutti i propri dipendenti e persino da terzi, se non
ha correttamente implementato le giuste misure di sicurezza per impedirli.
In questo caso si applica l'inversione dell'onere della prova: non
è necessario che chi ha subito il danno debba provare la responsabilità
oggettiva del titolare del trattamento, ma toccherà a questi
provare di avere adottato tutte le misure idonee ad evitare il danno.
Nel caso di mancato adeguamento, le responsabilità in cui si
rischia di incorrere sono sia di tipo civile che penale con multe
da 3.000 a 60.000 euro e reclusione dai 6 mesi ai 3 anni. Le pene
pecuniarie possano subire sensibili modifiche in casi particolari,
con penale massima aumentabile sino a tre volte o, al contrario, riduzioni
della pena qualora il soggetto s'impegni ad adeguarsi alla normativa
in tempi brevi. Il Garante per la Privacy, in caso di infrazione alla
normativa, può ordinare all'azienda la sospensione di ogni
attività di trattamento dei dati personali fino a che non saranno
risolti i problemi emersi. |
|
La normativa vigente che regola
la tutela dei dati personali. [top]
Il Codice di Tutela dei Dati Personali, emanato con DPR
n. 196 del 30 Giugno 2003, ed entrato in vigore il 1 gennaio
2004. Il Codice riunisce in unico contesto (Testo Unico) la legge
madre sulla protezione dei dati (675/1996)
e gli altri decreti legislativi, regolamenti e codici deontologici
che si sono succeduti in questi anni, e contiene anche importanti
innovazioni che tengono conto della “giurisprudenza” del
Garante e della direttiva UE 2000/58 sulla riservatezza nelle comunicazioni
elettroniche.
Novità contenute nel nuovo
Codice sulla Privacy [top]
Il Testo Unico adegua, sotto l’aspetto tecnologico ed esperienza
acquisita, la precedente normativa fornendo due direttive fondamentali:
i dati personali, contenuti nel sistema informativo aziendale, devono
essere tutelati dall’insieme delle “misure minime di sicurezza”,in
parte già presenti nel DPR
318/99; tali misure non sono sufficienti ma solo necessarie
alla definizione della struttura del sistema, che deve essere stabilito
di volta in volta in funzione dell’analisi dell’intero
modello aziendale.
Cosa indicare nel DPS [top]
l'elenco dei trattamenti di dati personali, la distribuzione dei
compiti e delle responsabilità nell'ambito delle strutture
preposte al trattamento dei dati, l'analisi dei rischi che incombono
sui dati, le misure da adottare per garantire l'integrità
e la disponibilità dei dati, nonché la protezione
delle aree e dei locali rilevanti ai fini della loro custodia e
accessibilità, la descrizione dei criteri e delle modalità
di ripristino della disponibilità dei dati in seguito a distruzione
o danneggiamento, la previsione di interventi formativi degli incaricati
del trattamento, per renderli edotti dei rischi che incombono sui
dati, delle misure disponibili per prevenire eventi dannosi, dei
profili della disciplina sulla protezione dei dati, la descrizione
dei criteri da adottare per garantire l'adozione delle misure minime
di sicurezza in caso di trattamenti di dati personali affidati,
in conformità al codice, all'esterno della struttura del
titolare, per i dati personali sensibili, idonei a rivelare lo stato
di salute e la vita sessuale, l'individuazione dei criteri da adottare
per la cifratura o per la separazione di tali dati dagli altri dati
personali dell'interessato
Il titolare, il responsabile, l’incaricato
e l’interessato [top]
Titolare : la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione
od organismo cui competono le decisioni in ordine alle finalità,
alle modalità del trattamento di dati personali e agli strumenti
utilizzati, compreso il profilo della sicurezza.
Responsabile : la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione ed organismo preposti dal titolare al trattamento
dei dati personali. I compiti affidati al responsabile sono specificati
analiticamente per iscritto.
Incaricati : le persone fisiche autorizzate
a compiere operazioni di trattamento dal titolare o dal responsabile.
Interessato : la persona fisica, la
persona giuridica, l'ente o l'associazione a cui si riferiscono
i dati personali.
Cariche non previste dal nuovo
Codice [top]
Responsabile Ufficio Operativo : l'incaricato
che per ruolo o livello assume la responsabilità della corretta
applicazione di funzioni e/o procedure nell'ambito del proprio Ufficio
Operativo. I compiti affidati al Responsabile dell'Ufficio Operativo
sono specificati analiticamente per iscritto nel Manuale delle istruzioni
e procedure.
Addetti alla custodia delle parole chiave
: persone incaricate per iscritto alla custodia delle parole chiave
o ad accedere alle informazioni a esse relative.
Amministratori di sistema : soggetti
cui è conferito il compito di sovrintendere alle risorse
del sistema operativo e/o di gestione dei data base e di gestirne
l'utilizzo.
Incaricati della manutenzione : persone
addette alla manutenzione dell'hardware, del software applicativo
e del software di base degli elaboratori sui quali sono memorizzati
i dati personali sensibili.
Finalità delle “misure
minime di sicurezza” [top]
L'Articolo 31 del Codice dispone che i dati personali debbano essere
custoditi e controllati in modo da ridurre al minimo i rischi di:
- distruzione o perdita, anche accidentale
- accesso non autorizzato
- trattamento non consentito o conforme alla finalità della
raccolta
Il ‘trattamento di dati'
[top]
L’operazione o l’insieme di operazioni, effettuate anche
senza l’utilizzo di strumenti elettronici, relativi la raccolta,
la registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il
raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione,
la diffusione, la cancellazione e la distruzione di dati, anche
se non registrati in un database.
I “Dati personali”
[top]
Per“Dato Personale”si intende qualsiasi informazione inerente
a persona fisica, persona giuridica, ente o associazione, identificati
o identificabili, anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identificazione personale.
I “Dati sensibili”
[top]
S’intendono i dati personali atti a rivelare l'origine razziale
ed etnica, le convinzioni religiose, filosofiche o di altro genere,
le opinioni politiche, l'adesione a partiti, sindacati, associazioni
od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rilevare lo stato
di salute e la vita sessuale.
|
|
|
Allegato B.
[top]
Disciplinare tecnico in materia di misure minime di sicurezza
(Artt. da 33 a 36 del Codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare
a cura del titolare, del responsabile ove designato e dell'incaricato,
in caso di trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di autenticazione
che consentano il superamento di una procedura di autenticazione
relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un dispositivo
di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure
in una caratteristica biometrica dell'incaricato, eventualmente
associata a un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente
una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto
di adottare le necessarie cautele per assicurare la segretezza della
componente riservata della credenziale e la diligente custodia dei
dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione,
è composta da almeno otto caratteri oppure, nel caso in cui
lo strumento elettronico non lo permetta, da un numero di caratteri
pari al massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo
al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso
di trattamento di dati sensibili e di dati giudiziari la parola
chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può
essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei
mesi sono disattivate, salvo quelle preventivamente autorizzate
per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della
qualità che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito
e accessibile lo strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è
consentito esclusivamente mediante uso della componente riservata
della credenziale per l'autenticazione, sono impartite idonee e
preventive disposizioni scritte volte a individuare chiaramente
le modalità con le quali il titolare può assicurare
la disponibilità di dati o strumenti elettronici in caso
di prolungata assenza o impedimento dell'incaricato che renda indispensabile
e indifferibile intervenire per esclusive necessità di operatività
e di sicurezza del sistema. In tal caso la custodia delle copie
delle credenziali è organizzata garantendo la relativa segretezza
e individuando preventivamente per iscritto i soggetti incaricati
della loro custodia, i quali devono informare tempestivamente l'incaricato
dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti
punti e quelle sul sistema di autorizzazione non si applicano ai
trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione
di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi
omogenee di incaricati, sono individuati e configurati anteriormente
all'inizio del trattamento, in modo da limitare l'accesso ai soli
dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata
la sussistenza delle condizioni per la conservazione dei profili
di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno
annuale dell'individuazione dell'ambito del trattamento consentito
ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici, la lista degli incaricati può
essere redatta anche per classi omogenee di incarico e dei relativi
profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione
e dell'azione di programmi di cui all'art. 615-quinquies del codice
penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti
a prevenire la vulnerabilità di strumenti elettronici e a
correggerne difetti sono effettuati almeno annualmente. In caso
di trattamento di dati sensibili o giudiziari l'aggiornamento è
almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono
il salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento
di dati sensibili o di dati giudiziari redige anche attraverso il
responsabile, se designato, un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di
dati personali;
19.2. la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonchè la protezione delle
aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il
ripristino della disponibilità dei dati in seguito a distruzione
o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono sui dati,
delle misure disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali più
rilevanti in rapporto alle relative attività, delle responsabilità
che ne derivano e delle modalità per aggiornarsi sulle misure
minime adottate dal titolare. La formazione è programmata
già al momento dell'ingresso in servizio, nonchè in
occasione di cambiamenti di mansioni, o di introduzione di nuovi
significativi strumenti, rilevanti rispetto al trattamento di dati
personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione
delle misure minime di sicurezza in caso di trattamenti di dati
personali affidati, in conformità al codice, all'esterno
della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute
e la vita sessuale di cui al punto 24, l'individuazione dei criteri
da adottare per la cifratura o per la separazione di tali dati dagli
altri dati personali dell'interessato.
Ulteriori misure in caso di trattamento
di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso
abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo
di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia
e l'uso dei supporti rimovibili su cui sono memorizzati i dati al
fine di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari
se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono
essere riutilizzati da altri incaricati, non autorizzati al trattamento
degli stessi dati, se le informazioni precedentemente in essi contenute
non sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso
ai dati in caso di danneggiamento degli stessi o degli strumenti
elettronici, in tempi certi compatibili con i diritti degli interessati
e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei a rivelare lo stato di
salute e la vita sessuale contenuti in elenchi, registri o banche
di dati con le modalità di cui all'articolo 22, comma 6,
del codice, anche al fine di consentire il trattamento disgiunto
dei medesimi dati dagli altri dati personali che permettono di identificare
direttamente gli interessati. I dati relativi all'identità
genetica sono trattati esclusivamente all'interno di locali protetti
accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente
autorizzati ad accedervi; il trasporto dei dati all'esterno dei
locali riservati al loro trattamento deve avvenire in contenitori
muniti di serratura o dispositivi equipollenti; il trasferimento
dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi
di soggetti esterni alla propria struttura, per provvedere alla
esecuzione riceve dall'installatore una descrizione scritta dell'intervento
effettuato che ne attesta la conformità alle disposizioni
del presente disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio
d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento
del documento programmatico sulla sicurezza.
Trattamenti senza l'ausilio di
strumenti elettronici [top]
Modalità tecniche da adottare
a cura del titolare, del responsabile, ove designato, e dell'incaricato,
in caso di trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite
istruzioni scritte finalizzate al controllo ed alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di trattamento,
degli atti e dei documenti contenenti dati personali. Nell'ambito
dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati, la
lista degli incaricati può essere redatta anche per classi
omogenee di incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili
o giudiziari sono affidati agli incaricati del trattamento per lo
svolgimento dei relativi compiti, i medesimi atti e documenti sono
controllati e custoditi dagli incaricati fino alla restituzione
in maniera che ad essi non accedano persone prive di autorizzazione,
e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari
è controllato. Le persone ammesse, a qualunque titolo, dopo
l'orario di chiusura, sono identificate e registrate. Quando gli
archivi non sono dotati di strumenti elettronici per il controllo
degli accessi o di incaricati della vigilanza, le persone che vi
accedono sono preventivamente autorizzate.
|
Aggiornamenti
24 maggio 2007 - Guida pratica e misure di semplificazione
per le piccole e medie imprese
Il Garante per la Protezione dei dati Personali delibera una Guida
Pratica per le PMI: la Delibera
e la Guida.
I dati devono essere pertinenti, non eccedenti rispetto a finalità
legittime. Le operazioni di trattamento (quali la raccolta, comunicazione
o diffusione di dati personali) sono effettuate anche a cura del responsabile
(se designato) e degli incaricati del trattamento. Altri argomenti:
titolare e responsabile del trattamento. Incaricati del trattamento,
la notifica. L'informativa. Il consenso dell'interessato. Dati sensibili
e adempimenti. Documento Programmatico Sicurezza (DPS).
10 marzo 2007 - Linee guida per le aziende
con dipendenti: email e internet
Le politiche dell'azienda per evitare abusi
nel controllo delle email e dei log file nei confronti
dei propri dipendenti; le misure idonee, tutelando i diritti delle
persone e aziendali.
Il problema dei logfile, traffico internet, e-mail e archiviazione
messaggi. Navigazione e limiti. |
|
|
|
