sicurezza privacy

Pagina iniziale

Libreria

Le misure minime di sicurezza privacy

Prezzo: 49,00 € (58,80 € IVA compresa)

Autore:   Marco Bernasconi

Data Pubblicazione:   29 Giugno 2009 - 6° Edizione

Numero Pagine:   274 manuale e allegati + 56 di bozze

Dimensione File:   da 327KB a 1292KB, a seconda del formato

Opzioni prodotto:

Formato:

Quantita:

1 (Prodotto disponibile)

Inserisci nel carrello

• Prodotti correlati

• Invia ad un amico

Alla scoperta delle semplificazioni	Il manuale illustra in modo semplice quali misure di sicurezza imprese e professionisti debbano adottare, ai sensi della normativa privacy. Il manuale è aggiornato con le novita' previste per il ruolo di Amministratore del sistema, in vigore a partire dal 1° luglio 2009.
Dieci domande, tra le tante, alle quali il manuale dà risposta	1) Quali sono le misure di sicurezza privacy? 2) A quali semplificazioni ho diritto? 3) Come devo attribuire gli incarichi e le responsabilità? 4) Come posso capire se tratto dati sensibili? 5) Come faccio a valutare i rischi per la sicurezza? 6) Quali regole devo applicare per i dati che tratto senza gli strumenti elettronici? 7) Come devo trattare i dati con i computer e con gli altri strumenti elettronici? 8) Quando devo redigere il documento programmatico sulla sicurezza (DPS)? 9) Posso redigere il DPS in forma semplificata? 10) Quando è invece sufficiente redigere l’autocertificazione, sostitutiva del DPS?
Dalla teoria alla pratica	Insieme al manuale viene fornita una bozza dei documenti, che le imprese ed i professionisti che trattano dati personali devono redigere: - documento programmatico sulla sicurezza, in forma sia ordinaria, che semplificata (secondo le indicazioni fornite dal Garante, con il provvedimento di semplificazione del 27 novembre 2008) - autocertificazione sostitutiva, del documento programmatico sulla sicurezza, ammessa nei casi previsti dalla legge 133 del 6 agosto 2008.
La personalizzazione dei documenti	Le bozze dei documenti sono su file elettronico: l’utilizzatore può quindi copiare facilmente il documento che interessa, per poi personalizzarlo e procedere alla sua stampa, mettendosi in regola con la normativa.

Manuale		Pag.
1° Capitolo Quadro generale		13
1	Cosa deve garantire la sicurezza	13
2	Le misure idonee di sicurezza	15
	1 La natura dei dati e le caratteristiche del trattamento	15
	2 La classificazione delle misure di sicurezza	15
	3 L’aggiornamento delle misure di sicurezza	17
	4 Il risarcimento per danni	17
	5 Le regole per i fornitori di servizi di comunicazione elettronica	19
3	Le misure minime di sicurezza	21
	1 Le sanzioni amministrative che colpiscono le violazioni in materia di misure minime	22
	2 Le sanzioni penali che colpiscono le violazioni in materia di misure minime	24
	3 I soggetti interessati	26
2° Capitolo Definizione di compiti, ruoli e procedure e formazione		28
1	Il titolare del trattamento	29
2	Il responsabile del trattamento	31
	1 Chi nominare responsabile	32
	2 Il responsabile per la sicurezza	32
	3 L’amministratore di sistema	33
	4 Il vigilatore dei dati	38
3	L’incaricato del trattamento	39
	1 Chi può essere incaricato	40
	2 Le istruzioni per la sicurezza	41
	3 Il preposto alla custodia delle parole chiave	41
	4 Il soggetto incaricato della manutenzione del sistema	42
	5 Il custode dell’archivio ad accesso controllato	43
	6 Gli incaricati per la gestione dei dati di traffico telefonico e telematico	44
4	La formazione degli incaricati	46
	1 L’introduzione e diffusione della cultura della sicurezza	48
	2 Posta elettronica ed Internet	49
5	La predisposizione e l’aggiornamento del mansionario privacy	50
3° Capitolo Le coordinate per definire le misure minime di sicurezza		53
1	La natura dei dati trattati	53
	1 I dati sensibili	54
	2 I dati giudiziari	56
	3 I trattamenti che presentano rischi specifici	59
	4 Le procedure per la classificazione dei dati	60
2	Gli strumenti utilizzati per il trattamento	61
	1 L’evoluzione per i trattamenti effettuati con mezzi elettronici	61
	2 L’impiego delle tecniche biometriche	62
3	L’elenco dei trattamenti di dati personali	68
	1 La banca dati dei sistemi informativi	70
4° Capitolo L’analisi dei rischi		72
1	Valutazione delle minacce	72
2	L’impatto degli eventi negativi	76
3	La gestione dei rischi	76
5° Capitolo La protezione di aree e locali		78
1	Casi particolari	79
6° Capitolo I trattamenti senza l’ausilio di strumenti elettronici		80
1	L’affidamento agli incaricati e la custodia di atti e documenti	82
2	L’archiviazione di atti e documenti	84
3	I supporti non informatici	84
4	Le prescrizioni per i campioni biologici ed i dati genetici	85
7° Capitolo I trattamenti con strumenti elettronici		85
1	Adozione di un sistema di autenticazione informatica	86
2	Adozione di un sistema di autorizzazione	95
3	Il controllo delle attività svolte	98
4	Misure di protezione di strumenti e dati	100
	1 La separazione e la cifratura dei dati	101
	2 La trasmissione dei dati	106
	3 La tempestiva cancellazione dei dati	108
	4 La protezione di strumenti e dati dal rischio di intrusione	111
	5 Il controllo sullo stato della sicurezza	115
5	Il ripristino dei dati	117
	1 Le procedure per il ripristino dei dati	118
	2 Custodia ed uso dei supporti rimovibili	121
6	Le ulteriori prescrizioni per i dati genetici	123
7	Il certificato di conformità	124
8° Capitolo I dati personali affidati dal titolare all’esterno		127
1	I possibili criteri	128
2	Le clausole contrattuali	128
9° Capitolo Il documento programmatico sulla sicurezza		131
1	L’autocertificazione sostitutiva del DPS	131
2	Il DPS semplificato	133
3	Modalità ordinaria e semplificata a confronto	135
4	La duplice natura del documento programmatico	138
5	Il DPS nell’ambito del bilancio di esercizio	139
6	Chi deve redigere il documento	141
7	L’attribuzione della data certa	141
8	L’approvazione del documento	142
10° Capitolo La mappa delle misure minime di sicurezza		143
1	Il rapporto tra le diverse classi di sicurezza	145

Allegati		Pag.
Normativa		149
Decreto legislativo 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali (Estratto)		149
Disciplinare tecnico in materia di misure minime di sicurezza		186
Dpr 28 luglio 1999, n.318 - Norme per l'individuazione delle misure minime di sicurezza		190
Provvedimenti del Garante		194
Autorizzazione al trasferimento verso responsabili del trattamento residenti in Paesi terzi, 10 aprile 2002		194
Parere in materia di prima applicazione delle misure minime di sicurezza, 22 marzo 2004		205
Provvedimento generale sulla videosorveglianza, 29 aprile 2004 (Estratto)		211
Istituti di credito - Rilevazione di impronte digitali ed immagini: limiti e garanzie, 27 ottobre 2005 (Estratto)		212
Nuove misure di sicurezza presso i gestori per le intercettazioni, 15 dicembre 2005 (Estratto)		216
Il decalogo su corpo e privacy, 9 maggio 2006		220
Tabulati telefonici e misure di sicurezza, 1° giugno 2006 (Estratto)		221
Linee guida in materia di trattamento di dati personali di lavoratori, 23 novembre 2006 (Estratto)		222
Autorizzazione al trattamento dei dati genetici, 22 febbraio 2007 (Estratto)		225
Le linee guida per posta elettronica e internet, 1° marzo 2007		226
Sicurezza siti archeologici e uso dei dati biometrici, 8 novembre 2007 (Estratto)		235
Sicurezza dei dati di traffico telefonico e telematico, 17 gennaio 2008, modificato il 24 luglio 2008		237
Divieto di utilizzare un sistema biometrico per verificare la presenza di praticanti avvocati, 23 gennaio 2008		245
Riconoscimento vocale e gestione di sistemi informatici, 28 febbraio 2008 (Estratto)		246
Semplificazioni di taluni adempimenti per trattamenti per finalità amministrative e contabili, 19 giugno 2008		247
Linee guida per i trattamenti nell’ambito delle sperimentazioni cliniche di medicinali, 24 luglio 2008 (Estratto)		248
Rifiuti di apparecchiature elettriche ed elettroniche e misure di sicurezza dei dati personali, 13 ottobre 2008		249
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico, 27 novembre 2008		255
Misure e accorgimenti prescritti per le funzioni di amministratore di sistema, 27 novembre 2008		264
Linee guida in tema di fascicolo sanitario elettronico e di dossier sanitario, 5 marzo 2009		273

Bozze dei documenti		Pag.
Documento programmatico sulla sicurezza		3
Premessa		3
Bozza del Documento programmatico sulla sicurezza		5
1	L’elenco dei trattamenti dei dati personali	8
	1 Tipologie di dati trattati	8
	2 Caratteristiche di aree, locali e strumenti con cui si effettuano i trattamenti	9
	3 La mappa dei trattamenti effettuati	11
2	Mansionario privacy ed interventi formativi degli incaricati	13
3	Analisi dei rischi che incombono sui dati	18
4	Misure atte a garantire l’integrità e la disponibilità dei dati	22
	1 La protezione di aree e locali	23
	2 La custodia e l’archiviazione di atti, documenti e supporti	24
	3 Le misure logiche di sicurezza	27
5	Criteri e modalità di ripristino dei dati	33
6	L’affidamento di dati personali all’esterno	35
7	Controllo generale sullo stato della sicurezza	37
8	Dichiarazioni d’impegno e firma	38
Allegati		40
	Scheda analitica descrittiva dei singoli trattamenti	40
	Scheda analitica descrittiva delle singole misure di sicurezza	41
	Allegato A) – Tabella di supporto al paragrafo 1.1	42
	Allegato B) – Guida operativa per redigere il DPS pubblicata dal Garante in data 11 giugno 2004	46
Autocertificazione sostitutiva del DPS		55

Con il codice privacy (Dlgs 196/2003, entrato in vigore in data 1° gennaio 2004) il quadro delle misure di sicurezza, che devono essere adottate nel trattamento dei dati personali, è cambiato profondamente.

Ferma restando la distinzione tra misure idonee, la cui inosservanza espone alla responsabilità per danni, e misure minime, dalla mancata adozione delle quali conseguono addirittura responsabilità di ordine penale, per quanto riguarda la individuazione di queste ultime è stato mandato in soffitta il Dpr 318/1999, per essere sostituito dal disciplinare tecnico in materia di misure minime di sicurezza, che è entrato a fare parte integrante del codice privacy, di cui costituisce l’Allegato B.

La legge 133/2008, entrata in vigore il 22 agosto 2008, ed il relativo provvedimento del Garante del 27 novembre 2008, pubblicato sulla G.U. ed entrato in vigore il 9 dicembre 2008, hanno introdotto rilevanti semplificazioni, per taluni trattamenti di dati sensibili posti in essere a fini esclusivamente amministrativo – contabili (ivi inclusi quelli aventi per oggetto alcuni dati relativi ai lavoratori). Le semplificazioni riguardano due aspetti:

la redazione del Documento programmatico sulla sicurezza, che era in precedenza obbligatoria in tutti i casi di trattamento di dati sensibili e/o giudiziari con l’impiego di elaboratori elettronici.
Oggi si possono presentare tre diversi casi:
- esonero dall’obbligo di redigere il documento, a condizione che il titolare provveda ad ufficializzare una autocertificazione sostitutiva
- facoltà di redigere il DPS in forma semplificata, osservando quanto ha disposto il provvedimento di semplificazione del Garante del 27 novembre 2008
- obbligo di redigere il DPS in modo ordinario, analogamente a quanto avveniva in passato
le rimanenti misure minime di sicurezza, diverse da quelle legate alla redazione del DPS, possono in taluni casi essere adottate avvalendosi di alcune semplificazioni, codificate dal provvedimento del Garante del 27 novembre 2008, invece che con le modalità ordinarie.

Nella seguente matrice si riassumono i diversi casi che si possono presentare, incrociando la coordinata costituita dalla natura dei soggetti che trattano i dati personali e dalle motivazioni per cui essi effettuano il trattamento (intestazione delle tre colonne) con quella costituita dalla tipologia di dati che vengono trattati con strumenti elettronici (intestazione delle quattro righe):

			Tipologie di soggetti che trattano i dati personali
			Pubblici, Liberi professionisti, Artigiani, PMI		Altri soggetti
			Solo per correnti finalità amministrative e contabili	Anche oltre le finalità amministrative e contabili	Qualsiasi sia la finalità del trattamento
T i p o l o g i e	d i d a t i	No sensibili / No giudiziari	DPS: NO Altre semplificazioni: SI	DPS: NO Altre semplificazioni: SI	DPS: NO Altre semplificazioni: SI
		No sensibili / Si giudiziari	DPS: autocertificazione Altre semplificazioni: SI	DPS: autocertificazione Altre semplificazioni: SI	DPS: autocertificazione Altre semplificazioni: SI
		Sensibili solo lavoro / Indifferente giudiziari	DPS: autocertificazione Altre semplificazioni: SI	DPS: autocertificazione Altre semplificazioni: SI	DPS: autocertificazione Altre semplificazioni: SI
		Anche altri sensibili / Indifferente giudiziari	DPS: semplificato Altre semplificazioni: SI	DPS: ordinario Altre semplificazioni: NO	DPS: ordinario Altre semplificazioni: NO

Il primo ordine di semplificazioni riguarda la generalità dei soggetti che trattano dati personali, nell’ipotesi in cui essi trattino con strumenti elettronici soltanto una o più delle seguenti tipologie di dati personali:

dati di natura comune (nella matrice, riga “No sensibili / No giudiziari”)
dati giudiziari (nella matrice, riga “No sensibili / Si giudiziari”)
dati comuni il cui trattamento presenta rischi specifici (nella matrice, una delle due righe di cui sopra, in funzione del fatto che si trattino o meno anche dati giudiziari)
dati sensibili relativi allo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi: ad esempio, si utilizzano gli strumenti elettronici solo per conteggiare i giorni di malattia dei dipendenti, senza però indicare quale sia la malattia (nella matrice, riga “Sensibili solo lavoro / Indifferente giudiziari”)
dati sensibili relativi all’adesione ad organizzazioni sindacali o a carattere sindacale, da parte dei propri dipendenti e collaboratori anche a progetto, ivi inclusi i dati relativi alle trattenute sindacali (nella matrice, riga “Sensibili solo lavoro / Indifferente giudiziari”).

Nelle ipotesi di cui sopra si applicano le seguenti semplificazioni:

nei casi in cui, in vigenza delle precedenti disposizioni, doveva essere redatto il Documento programmatico sulla sicurezza, è ora possibile sostituire tale adempimento con la redazione e sottoscrizione di una autocertificazione, ai sensi dell'articolo 47 del Dpr 445/2000 – Dichiarazioni sostitutive dell’atto di notorietà, nella quale il titolare del trattamento dichiara quanto segue: di trattare come unici dati sensibili quelli, riferiti ai propri dipendenti e collaboratori anche a progetto, costituiti dallo stato di salute o malattia, senza indicazione della relativa diagnosi, ovvero quelli costituiti dalla adesione dei lavoratori ad organizzazioni sindacali o a carattere sindacale, osservando le altre misure di sicurezza prescritte, diverse da quelle legate alla redazione ed attuazione del DPS
nell’adozione delle altre misure di sicurezza, diverse da quelle legate alla redazione ed attuazione del DPS, ci si può avvalere delle semplificazioni introdotte dal Garante con il provvedimento del 27 novembre 2008.

Il secondo ordine di semplificazioni, relative al trattamento di altri dati sensibili (diversi cioè da quelli riferiti ai lavoratori, sopra analizzati), cui nella matrice si riferisce la riga “Anche altri sensibili / Indifferente giudiziari”, trova applicazione solo se si verificano congiuntamente le seguenti condizioni:

il titolare del trattamento è un soggetto pubblico o, se è un soggetto privato, è un libero professionista, un artigiano o una piccola – media impresa. Rientrano in tale ambito, come ha precisato il Garante
- i soggetti previsti dall’articolo 2083 del codice civile: sono piccoli imprenditori i coltivatori diretti del fondo, gli artigiani, i piccoli commercianti e coloro che esercitano un'attività professionale organizzata prevalentemente con il lavoro proprio e dei componenti della famiglia
- i soggetti che il DM 18 aprile 2005 considera PMI: imprese che a) hanno meno di 250 occupati e b) hanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro. Per un approfondimento di tale regola si rimanda all’allegato Provvedimento del Garante del 27 novembre 2008, in calce al quale si riporta la parte del DM 18 aprile 2005 che interessa
il trattamento dei dati sensibili è effettuato esclusivamente per correnti finalità amministrative e contabili. Per quanto concerne il significato da attribuire a tale espressione, utili indicazioni possono essere tratte dal provvedimento del 19 giugno 2008 del Garante, avente per oggetto semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili, nel quale si chiarisce quanto segue:
- per correnti finalità amministrative e contabili si devono intendere quelle che riguardano la ordinaria attività di gestione amministrativa e contabile, anche in relazione all’adempimento di obblighi contrattuali e normativi
- nell’ambito di tale attività vengono gestite informazioni attinenti in genere ad altre imprese, amministrazioni, clienti, fornitori e dipendenti
- le attività possono articolarsi, ad esempio, nella gestione di ordinativi, di buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti.

Nei casi in esame le misure minime di sicurezza, ivi incluse quelle legate alla redazione del DPS (che è obbligatoria) possono essere poste in essere in modo semplificato, seguendo le indicazioni fornite dal provvedimento del Garante del 27 novembre 2008.

Nei due casi residuali presentati dalla matrice (soggetti pubblici, liberi professionisti, artigiani, PMI che trattano i dati sensibili per finalità eccedenti, quelle correnti di natura amministrativa e contabile, nonché i soggetti diversi e le imprese non PMI in tutti i casi) non si applica alcuna semplificazione: sia la redazione del DPS, che gli altri adempimenti in materia di misure minime di sicurezza, devono continuare ad essere realizzati in modo ordinario, analogamente a quanto avveniva prima dell’entrata in vigore della legge 133/2008.

Spaventato dall’eccessivo buonismo, cui si è ispirata la normazione in materia di sicurezza nel corso del 2008, il legislatore si è ravveduto, con l’articolo 44 del DL 207/2008, pubblicato in G.U. ed entrato in vigore il 31 dicembre 2008. Tale articolo ha dato un bel giro di vite alle sanzioni, che colpiscono le irregolarità commesse in materia di sicurezza privacy, agendo come segue:

introducendo pesanti sanzioni di carattere amministrativo (la misura di base va da 20.000 a 120.000 euro), in precedenza non previste
inasprendo le preesistenti sanzioni di natura penale.

Valutando l’insieme degli interventi, effettuati nel corso del 2008, si può desumere la chiara filosofia del legislatore, in materia di misure di sicurezza privacy: sono misure talmente importanti, che ci siamo impegnati, anche attraverso un’opera di semplificazione, per renderle economicamente ed organizzativamente accessibili a tutti i soggetti che trattano dati personali. Non siamo quindi più disposti a tollerare inadempienze, per cui abbiamo inasprito notevolmente le sanzioni.

Prodotti correlati

Dati personali: la privacy nei trasferimenti all'estero + Le misure minime di sicurezza privacy

Dati personali: la privacy nei trasferimenti all'estero

Prezzo: 78,00 €

(93,60 € IVA compresa)

Inserisci nel carrello

Prezzo: 49,00 €

(58,80 € IVA compresa)

Inserisci nel carrello

Invia ad un amico