Adempimenti privacy - la scadenza è vicina
Importanti novità in materia di Privacy. A partire daI 15 dicembre 2009 è entrato in vigore il provvedimento in materia di amministratore di sistema, emanato dall’Autorità Garante per la protezione dei dati personali il 27 novembre 2008. Si tratta di un provvedimento nato da una riflessione del Garante a seguito della valutazione dell’assenza della disciplina per l’amministratore di sistema nel codice previsto dal D.Lgs. 196/03 e che comporta rilevanti novità per coloro che dovranno adempiere a quanto previsto dalla normativa entro e non oltre il 31/03/2010
Ma vediamo nel dettaglio quali sono le principali novità?
SEMPLIFICAZIONE DELLA GESTIONE DELLA PRIVACY
La novità principale riguarda le piccole e medie imprese ( bilancio annuo non superiore ai 10 milioni di euro e numero di dipendenti in numero inferiore a 50 ) che:
• trattano dati personali non sensibili
• trattano come dati sensibili esclusivamente quelli relativi ai propri dipendenti e collaboratori
• trattano dati personali unicamente per finalità amministrative e contabili.
Tali realtà saranno escluse dagli obblighi previsti dal Codice della Privacy e potranno accedere ad una procedura semplificata
OBBLIGHI DOCUMENTALI
Per chi non potrà accedere alla procedura semplificata sarà necessario compilare una serie di documenti:
Inquadramento effettivo degli amministratori di sistema
Predisposizione e rilascio delle nomine agli amministratori di sistema con elenco delle funzioni ad essi attribuite. Tali indicazioni dovranno, inoltre, essere riportate in un documento interno all’azienda che dovrà essere costantemente aggiornato.
Integrazione delle informative ai dipendenti della presenza di amministratori di sistema che potrebbero venire a conoscenza dei dati dei dipendenti stessi.
L’Informativa dovrà essere rilasciata anche agli Amministratori di sistema, che loggandosi vedranno presenti e trattati anche i propri dati.
CONTROLLO DEGLI ACCESSI E REGISTRAZIONE DEI LOG
Lo storico della loggatura dovrà essere conservato per un periodo non inferiore ai sei mesi
Le registrazioni, infine, dovranno avere caratteristiche di inalterabilità, completezza e possibilità di verifica della loro integrità. Si dovrà, inoltre, indicare il riferimento temporale e l’evento collegato.
In caso di affidamento in outsourcing sarà necessario ricevere la lista degli amministratori di sistema ed un documento contenente le modalità di tutela della privacy che il fornitore intenderà adottare-
LA SOLUZIONE PROPOSTA DA CONSORZIO INFOTEL
Per far fronte a tali novità, Consorzio Infotel (www.consorzioinfotel.it ), società specializzata nell’ambito della produzione di soluzioni informatiche nell’ambito della Sicurezza, presenta il nuovo software per la gestione degli adempimenti previsti dal Codice in materia di protezione dei dati personali integrato con le ultime modifiche normative.
Si tratta della Soluzione più semplice sul mercato per adempiere alle direttive del Garante in merito all’Amministratore di Sistema
PER I LETTORI DEL PORTALE www.informationsecuritynews.it è garantito un extra-sconto sconto del 10% sull attuale prezzo promozionale – è sufficiente scrivere una mail con i propri dati e il codice ‘ISN-PROMO310’ nell oggetto.
Per informazioni
Tel: 0828.346501
Commenti
La privacy, così com'è considerata dal D.Lgs 196/03 e s.m.i., non è intesa solo come riservatezza o trattamento dei dati, ma è l'insieme dell'adozione di misure tecniche, organizzative e di sicurezza che TUTTI (enti ed imprese) devono rispettare per procedere al corretto trattamento dei dati personali e di tutte le informazioni in genere.
Quali sono le novità introdotte? ( D.L. 5/2012 in vigore dal 10 febbraio 2012)
Il D.Lgs 196/2003 e le successive modifiche ed integrazioni trattava la Privacy più che altro dal punto di vista della tutela dei dati sensibili, mentre con le ultime semplificazioni lo scopo del Decreto Privacy è stato trasformato in PROTEZIONE DEI DATI PERSONALI e si basa su due principi, che devono sempre essere validi nella corretta GESTIONE dei dati personali e di tutte le informazioni in genere.
Questo vuol dire che le aziende od enti sono OBBLIGATI al rispetto del principio di protezione dei dati personali e del principio di necessità, cioè DEVONO proteggere i dati personali ed informazione in genere di terzi (di cui si è in possesso per un determinato fine o scopo) attuando tutte le misure minime necessarie nel rispetto del disciplinare tecnico di cui all'allegato B del D.Lgs 196/03.
Novità nelle definizioni
Scompare la tutela delle persone giuridiche, quindi le aziende che trattano dati di sole aziende od enti non sono tenute a garantire le misure minime di sicurezza, nè sono tenute alla protezione dei propri dati.
E' stata modificata la definizione di "DATO PERSONALE": qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Ciò vuol dire che il Titolare (azienda od ente) deve impedire la diffusione anche sottoforma di comunicazione o consultazione (anche accidentale) di tutti i dati personali di persona fisica, attuando tutte le misure organizzative/logistiche/procedurali/informative in linea con il progresso tecnico che configurano il livello minimo di sicurezza in relazione ai rischi previsti dall'art.31 del D.Lgs 196/03 (obblighi di sicurezza) ai fini di prevenire il trattamento illecito o l'errata custodia e controllo dei dati e la distruzione o perdita (anche accidentale) del dato o l'utilizzo non conforme allo scopo (elusione del principio di necessità).
L'inosservanza di tale obbligo comporta l'arresto sino a 2 anni o l'adempimento alla prescrizione con sanzione pecuniaria pari ad 1/4 del massimo amministrativo di € 50.000 (cioè € 12.500).
Come precedentemente indicato è stato abrogato il DPS, ma è necessario produrre una relazione o regolamento tecnico in cui siano indicate le misure di sicurezza effettivamente attuate, compresa la formazione ai lavoratori; infatti il D.L. 5 del 9 Febbraio 2012 ha solo eliminato il DPS così come definito dalla prima versione del D:Lgs196/03, ma l'art.34 ed il disciplinare tecnico (allegato B) resta integralmente applicabile dovendo quindi i titolari del trattamento provvedere a predisporre:
a) l’autenticazione informatica;
b) l’ adozione di procedure di gestione delle credenziali di autenticazione;
c) l’utilizzazione di un sistema di autorizzazione;
d) l’aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici – dovendo fornire istruzioni chiare e formarli laddove necessario per l’effettiva protezione dei dati;
e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
Con la differenza che pur non chiamandosi più DPS dovrà comunque sussistere da parte del Responsabile la redazione di un documento atto ad attestare al Titolare, di aver adempiuto coerentemente all’adozione delle misure di cui all’art. 34 ed all’Allegato B.
Questo aspetto assumerà particolare importanza in sede di controllo e verifica del rispetto degli obblighi da parte dell'ente competente preposto ai controlli (guardia di finanza). Sarà inoltre necessario prevedere un aggiornamento annuale delle misure attuate, quindi aggiornamento del regolamento, dove saranno indicati l'esito dei controlli periodi che devono essere preventivati ed effettuati a campione sotto forma di audit.
In pratica la normativa in materia di sicurezza dei dati personali è nel concetto equiparabile alla sicurezza e tutela della salute dei lavoratori, ma nel caso della Privacy l'oggetto della protezione e prevenzione sono i dati personali (e non solo dati sensibili).
Queste novità introdotte fanno pensare che il Garante voglia tutelare i dati personali attraverso una vera e propria gestione degli stessi e delle informazioni relative ai dati personali oggetto del trattamento, quindi con una relazione dettagliata e con allegati integrativi riguardanti l'elenco e le nomine dei titolari e degli incaricati al trattamento dei dati personali,nomine degli amministratori di sistema (se presenti), elenco e controllo delle password (gestione delle consegne e modifiche periodiche delle stesse), etc..
La raccolta, registrazione, conservazione e, in generale, l'utilizzo di immagini viene configurato come trattamento di dati personali, pertanto sono stati emanati principi generali per la tutela degli stessi che vengono rispettati mediante l'adozione di opportune misure quali l'informazione specifica riferita al tipo di registrazione svolta e per quali scopi. (es: protezione incolumità degli individui, protezione delle proprietà). I dati oggetto di videosorveglianza devono poi essere protetti con le misure di sicurezza previste dall'art.31 e seguenti del Codice della Privacy.