Adempimenti ai sensi del Decreto Legislativo 196/2003
(LEGGE SULLA PRIVACY)
il 30 Giugno le prime scadenze
Gentili Dirigenti Scolastici,
come certamente Vi sarà noto, il 30 Giugno 2004 scade il primo dei termini per adeguarsi ai dettami normativi del Decreto Legislativo 196/2003 che obbliga tutti i soggetti, persone fisiche e giuridiche, sia private che pubbliche, ad adottare le opportune misure di sicurezza e standards d’azione nel trattamento dei dati personali e sensibili.
Il mancato rispetto della norma sopra indicata comporta l’applicazione di sanzioni amministrative e, in alcuni casi, di sanzioni penali (alcune meglio specificate più avanti).
GRUPPO FOCUS S.r.l., nell’ottica della consulenza globale ai propri clienti, offre da oggi anche questo specifico servizio. Abbiamo sviluppato, tramite la stretta collaborazione con avvocati esperti del settore, un “pacchetto” per una consulenza agile e adeguata alle esigenze delle Vs. scuole.
Premessa
Dal primo gennaio 2004 é entrato in vigore il nuovo testo Unico sulla protezione dei dati personali (Decreto Legislativo del 29/07/2003 n. 196).
Il nuovo testo unico (il "codice") introduce il concetto nuovo di "tutela" dei dati, riferendosi al bisogno di proteggere il trattamento e l'esistenza stessa dei dati con riferimento non solamente ai dati "sensibili" ma a tutte le categorie di dati.
Il concetto di "riservatezza" dei dati (privacy) esprime invece solamente la necessità di impedire e regolamentare la diffusione di certe particolari categorie di dati (i dati "sensibili")
Il nuovo tracciato normativo stabilisce infatti che "chiunque ha diritto alla protezione dei dati personali lo riguardano". Tale protezione investe qualsiasi tipo di informazione riguardante persone fisiche o giuridiche, mentre per la protezione dei dati sensibili facenti capo alla sfera privata continua a rendersi applicabile anche il diritto alla privacy.
Il nuovo testo unico azzera e sostituisce tutte le norme precedenti.
Ambito applicativo
Devono adeguarsi tutti i soggetti che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati e quanto altro).
Per "trattamento" deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Per "dato personale" si deve intendere qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Le misure minime di sicurezza
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solamente se sono adottate alcune misure minime di sicurezza tra cui:
· autenticazione informatica;
· adozione di procedure di gestione delle credenziali di autenticazione;
· utilizzazione di un sistema di autorizzazione;
· aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
· protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
· adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
· tenuta di un aggiornato documento programmatico sulla sicurezza;
L'applicazione teorica e pratica delle misure minime di sicurezza deve risultare da documento/i con data; trattiamo ora del principale di tali documenti.
il DPSS - Documento Programmatico sulla Sicurezza dei Sistemi
il Manuale DPSS è il principale documento nel panorama della sicurezza del sistema. Esso attesta che la struttura ha effettuato la valutazione dei rischi dei trattamenti ed ha adottato un "piano" per la riduzione e misura dei rischi derivanti dal trattamento, che funge da prova in caso di controlli.
Il manuale deve avere data certa ed ogni anno necessita entro il 31 marzo di aggiornamento. Deve essere conservato e custodito presso la struttura ed esibito alle competenti autorità in caso di controlli.
Nel DPSS è descritta ed analizzata l'adozione delle misure minime di sicurezza ed il loro miglioramento strutturale nel tempo finalizzato a recepire il nuovo codice sulla privacy.
Per la predisposizione del manuale si rende quindi necessaria una attenta valutazione dei trattamenti di dati effettuati e per la sua stesura possono essere impiegate svariate settimane.
Pesantissime le sanzioni
ü sanzioni penali da un minimo di due mesi ad un massimo di tre anni
ü sanzioni amministrative fino a 120.000 €
ü risarcimento del danno provocato, compreso il risarcimento del danno morale arrecato.
Consulenza Privacy : la nostra proposta
GRUPPO FOCUS S.r.l., nell’ottica della consulenza globale ai propri clienti, offre da oggi anche questo specifico servizio. Abbiamo sviluppato, tramite la stretta collaborazione con avvocati esperti del settore, un “pacchetto” per una consulenza agile e adeguata alle esigenze delle Vs. Scuole evidenziando, in particolare le seguenti fasi:
· Analisi dei rischi relativamente al trattamento della banche dati aziendali con particolare attenzione ai rischi di perdita, accesso non autorizzato e trattamento non conforme;
· Definizione, all’interno di ogni organizzazione aziendale, della responsabilità e dell’incarico relativo al trattamento dei dati;
· Individuazione degli adempimenti a cui è sottoposta ogni Struttura in qualità di Titolare del Trattamento;
· Redazione del Documento Programmatico Sulla Sicurezza (DPS).
Sarà quindi la nostra azienda ad occuparsi di tutto. La Vostra Scuola sarà così al riparo da sanzioni civili e penali.
Segnaliamo che i consulenti Gruppo Focus non apporteranno nessuna modifica di alcun genere né ai Vostri software né alla Vostra rete aziendale.
Segnaliamo inoltre che non collaboriamo con nessun fornitore HW e non vendiamo nessun programma e pertanto possiamo segnalarVi tutte le eventuali procedure da adottare senza influenze esterne.
Per conoscere i costi e/o richiedere un preventivo inviare e-mail a info@gruppofocus.it indirizzata al Responsabile Settore Consulenza Direzionale di GRUPPO FOCUS.
Rimaniamo a disposizione per ulteriori chiarimenti e porgiamo i nostri distinti saluti.
L’Amministratore
Stefano Cosentino