D.p.s.s. Privacy D.Lgs 195/03

APPLICAZIONE PRATICA

PRIVACY: COSA FARE PER ESSERE IN REGOLA?

Vi invitiamo a dare una lettura veloce agli adempimenti ed a chiedere a noi, qualora ce ne fosse bisogno, spiegazioni o chiarimenti.

Adempimenti

I dati personali devono essere censiti (inventario) e valutati a seconda della loro delicatezza.

Verificare di non effettuare trattamenti eccedenti o non pertinenti.

Individuare le figure attive (titolare del trattamento, responsabile, responsabile esterno, incaricati, amministratore di sistema ecc.).

Redazione dei moduli d'informativa.

Acquisizione del consenso scritto dell'interessato nei casi in cui è richiesto (vedi gli art. 11 e 12)

Notificazione al Garante (necessaria solo ove: non si rientri nei casi di esclusione di cui alla L. 675/96 art. 7 comma 5 ter).

Autorizzazione al trattamento dei dati sensibili (ove non si rientri in una delle Autorizzazioni Generali concesse dal Garante per l'anno in corso).

Adozione delle misure minime di sicurezza come previste dal DPR 28 luglio 1999, n. 318, art. 15 (mancata adozione = reato penale).

Adozione delle misure di sicurezza idonee, ovvero messa in atto di un completo piano di sicurezza (sicurezza fisiche, informatiche, organizzative). Rientra in tali misure la redazione e l’aggiornamento del documento programmatico sulla sicurezza.

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)

NB: LA NOSTRA CONSULENZA PRIVACY E' "CHIAVI IN MANO", CI OCCUPIAMO DI TUTTO NOI, ANCHE DELLA FORMAZIONE DEL RESPONSABILE. CONSULENTI CHE VI SEGUONO ED AFFIANCANO NEL TEMPO. NON SPRECATE TEMPO E SOLDI.

COSA E' IL DPS: E' l'unico documento in grado di attestare l'adeguamento della struttura alla normativa sulla tutela dei dati personali. Deve essere redatto entro il 30 giugno 2005. Il DPS è un manuale di pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.). In ogni caso si tratta di un consistente piano di gestione della sicurezza, disponibilità ed integrità dei dati, avente data certa a prova formale dell'adeguamento sostenuto. Il numero delle pagine di un manuale medio è di 150 pagine. Manuali inconsistenti e improvvisati di 10-15 pagine, non solo sono carta straccia e delle inutili perdite di tempo e soldi, ma non servono a niente ai fini dell'adeguamento e della garanzia in caso di controlli.
SCOPO DEL DPS: descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilità ecc.) ed il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa privacy.
TEMPI DI STESURA DEL DPS: certamente non ci si mette a norma in un giorno, come si legge su certi siti... il documento programmatico richiede una attenta valutazione della situazione aziendale e dei trattamenti effettuati. Per questo motivo i tempi di stesura del DPS variano da tre settimane a due mesi, mentre la nostra consulenza privacy dura per un intero anno.
PRECISAZIONI: il documento deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l'aggiornamento il 31 marzo di ogni anno, solo per questo anno il termine è stato prorogato al 30/06/2005. Si consiglia di non aspettare l'ultimo mese utile per la messa in regalo della vostra struttura, perché potrebbe non bastare.
Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli.
Una documentazione in linea con la norma BS7779 e le linee guida ISO 17799:2000 permette di costruire e mantenere nel tempo i processi che determinano e definiscono ruoli, responsabilità e procedure conformi agli obiettivi del Sistema di Gestione per la Sicurezza delle Informazioni.

Il titolare del trattamento deve dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell'avvenuta redazione/aggiornamento del DPS.