1 aprile ultimo giorno per redigere o aggiornare il DPS sulla privacy

[daniart]

grazie Oris ci conto

 

[Oris]

UN pochini di dati

Questo è il testo attuale dell'art. 34 nel decreto, (che è stato modificato)

....
D.Lgs. n.196/2003 Art. 34 Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
...

fonte Diritto

Cos'è il DPS (sintesi)
La normativa sulla privacy prevede che ogni Azienda debba adottare misure di sicurezza nel trattamento dei dati personali. Un primo tipo di misure sono definite genericamente "idonee e preventive", finalizzate a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31 del Codice). A questo primo tipo, l'art. 33 aggiunge la seconda categoria delle "misure minime": i titolari del trattamento sono, comunque, tenuti ad adottare uno specifico elenco di misure minime (definite in particolare nell'allegato B al Codice della privacy) volte ad assicurare, appunto, un livello minimo di protezione dei dati personali.
Le misure di sicurezza sono prevalentemente di carattere tecnico-operativo (password per l'accesso ai trattamenti, salvataggio dei dati, protezione fisica dei supporti magnetici e cartacei, ecc.) e logistico-organizzativo (assegnazione di incarichi, istruzione e formazione) e competono a tutte le Aziende, indipendentemente dal tipo di trattamenti effettuati.
Va, anzi, chiarito che le misure di sicurezza devono essere approntate, non solo per i trattamenti effettuati con strumenti elettronici, ma anche per quelli eseguiti in forma cartacea.
Relativamente al trattamento di dati personali effettuato con strumenti elettronici, l'art. 34 dispone che esso sia consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime:

a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza.

Per quanto riguarda, invece, i trattamenti eseguiti senza l'ausilio di strumenti elettronici, l'art. 35 prevede che lo stesso sia consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

In caso di violazione dell'obbligo di adozione delle misure di sicurezza, l'art. 169 prevede l'arresto sino a due anni o l'ammenda da diecimila euro a cinquantamila euro.
È però consentito il cosiddetto "ravvedimento operoso": all'autore del reato viene imposto un termine affinché provveda a mettersi in regola e, in caso positivo, l'autore del reato è ammesso a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.
Riepilogati così i principi basilari che regolano le misure di sicurezza, un capitolo a parte va riservato al DPS, documento programmatico sulla sicurezza: il DPS è, in sostanza, una relazione scritta nella quale l'Azienda titolare dei trattamenti elenca e spiega le misure di sicurezza adottate.
I contenuti del DPS sono dettagliatamente descritti al punto 19 dell'allegato B; il documento deve, pertanto, contenere:
1. l'elenco dei trattamenti di dati personali;
2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
3. l'analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all'esterno della struttura del titolare.

In ragione di questo, per così dire, "indice dei contenuti", si deve concludere che il DPS è un documento complesso, la cui elaborazione non può essere improvvisata; la scelta aziendale di predisporre il documento va, quindi, ben ponderata.
Va, infatti, precisato che la redazione del DPS non è obbligatoria per tutte le Aziende e per tutti i trattamenti: nonostante quanto indicato più sopra alla lettera g) dell'art. 34, una più attenta lettura della norma porta a concludere che la redazione del documento programmatico sulla sicurezza sia obbligatoria qualora coesistano due condizioni:
1. l'Azienda esegua trattamenti di dati sensibili o giudiziari;
2. tali trattamenti siano effettuati mediante strumenti elettronici.
Qualora il DPS venga predisposto, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, va fatto riferimento all'avvenuta redazione o aggiornamento (punto 26 dell'allegato B).

Fobte: CONSULENZA INFORMATICA - DPS | Documento programmatico sulla sicurezza - AITSolutions

 

[il Custode]

Grazie Rob

 

[Oris]

Di nulla: ho solo copia incollato

 

[Seroli]

Appunto:

Va, infatti, precisato che la redazione del DPS non è obbligatoria per tutte le Aziende e per tutti i trattamenti: nonostante quanto indicato più sopra alla lettera g) dell'art. 34, una più attenta lettura della norma porta a concludere che la redazione del documento programmatico sulla sicurezza sia obbligatoria qualora coesistano due condizioni:
1. l'Azienda esegua trattamenti di dati sensibili o giudiziari;
2. tali trattamenti siano effettuati mediante strumenti elettronici.

Allora avevo ragione io?.....premesso che io l'ho fatto, ma per compiacenza mia, non per dovere.