Treviso, 20 marzo 2006 La protezione dei dati personali e la Privacy

Treviso, 20 marzo 2006
La protezione dei dati personali e la Privacy D.lgs 196/2003
Pag 1/2
Dall'1/1/2004 è in vigore il D.Lgs. 30 Giugno 2003 n. 196 "Codice in materia di protezione dei dati personali", detto
anche “Testo Unico sulla Privacy” che sostituisce, innovandola, la precedente normativa di cui alla Legge 675/96.
In sintesi il nuovo Codice richiede, a tutti coloro che per l’espletamento della loro attività trattano dati personali, di
adottare alcune “misure minime” per la sicurezza per il trattamento dei dati stessi.
• Nomina di alcune figure specifiche previste dal D.lgs stesso (Titolare del trattamento, Responsabile del
trattamento, incaricati);
• Pianificazione della formazione per il personale incaricato del trattamento dei dati;
• Definizione di adeguate Informative e raccolta del consenso da parte degli interessati;
• Analisi dei dati e delle banche dati personali che vengono trattate;
• Assegnazione di permessi e criteri di accesso ai dati personali;
• Protezione elaboratori contro rischi di intrusione e virus;
• Adozione di adeguate misure di protezione sugli archivi cartacei/fisici;
• redazione di un Documento Programmatico Sicurezza (DPS) con cadenza annuale.
Adeguamento alla Normativa 196/2003 sulla Privacy: cosa fare per i personal computer, che contengono
dati (lettere, gestionali, posta elettronica, ecc…) - non dati sensibili:
-
Verificare che il sistema operativo in uso supporti l’accesso tramite login e password (sistemi operativi
windows XP / 2000, sistemi linux / Apple sono compatibili con la norma in quanto gestiscono l’autenticazione
all’accesso; mentre sistemi operativi: windows 98 / me / 95 non sono “compatibili” con la norma )
- Gli elaboratori devono essere configurati in modo da consentire l’accesso con profili di autorizzazione
differenti, specifici per i singoli incaricati. Ciascun incaricato deve poter accedere all’elaboratore con la propria
credenziale di autenticazione (login e password);
- Impostare sul computer la password di accesso secondo i criteri stabiliti dalla norma (lunghezza minima 8
caratteri alfanumerici), diversificata da utente ad utente;
- Prevedere l’aggiornamento della password ogni 6 mesi, 3 mesi se in presenza di dati sensibili o giudiziari;
- Attivare lo screensaver (salvaschermo) con password sul computer;
- Installare l’antivirus sul computer con aggiornamento automatico tramite internet; impostare la scansione
automatica della posta e dei files; se non collegato ad Internet provvedere all’aggiornamento manuale periodico
almeno ogni 6 mesi;
- Pianificare la scansione mensile del disco;
- Installare o attivare il firewall sul computer se questo è connesso ad internet, nel caso di windows xp è
sufficiente attivare il firewall presente all’interno del sistema operativo.
- Impostare il back-up (copia di sicurezza dei dati) almeno settimanale, dei documenti office, della posta
elettronica, dell’eventuale gestionale, mentre non è necessario effettuare il back-up dei programmi.
Definire quindi:
- una procedura di ripristino dei dati;
- un piano di verifica del funzionamento dei back-up;
- Eseguire periodicamente l’aggiornamento del sistema operativo;
- Eseguire periodicamente la pulizia del sistema con programmi tipo spy-bot, ad aware, ecc..;
- Acquistare una unità UPS o gruppo di continuità;
- Impartire precise istruzioni agli incaricati affinché adottino le necessarie cautele nella gestione dei dati e della
protezione delle loro credenziali di accesso al sistema (password)
Siti Internet:
- inserire sempre la ragione sociale completa di partita IVA;
- togliere la mail che comporti l’esecuzione diretta del programma di posta elettronica ma utilizzare solo un form
raccolta dati con la casella di spunta per l’autorizzazione al trattamento dei dati personali;
Documento Programmatico sulla Sicurezza (DPS):
Documento nel quale l’azienda attesta di operare in conformità al D.lgs 196/2003 e di garantire un adeguato livello di
protezione nel trattamento di dati personali.
È obbligatorio per le aziende in possesso di dati sensibili o giudiziari (vedi definizione sottoriportata).
Per le aziende non in possesso di dati sensibili, si consiglia di redigere un documento attestante tutte le azioni messe in
atto. Tale documento, che risulta essere un documento programmatico, risulta pratico ed utile sia per controlli interni
(operare in conformità alla normativa) sia nel caso di un controllo esterno (autorità).
Sede legale: Via Venier,55 – 31100 TREVISO - P.IVA 03504920296 – CCIAA TV – REA 277023
Sede operativa: 0425/440100 – fax 0425 441154 – e-mail : [email protected] - sito web: www.aires.info
Pag 2/2
Informativa (Art.13):
tutte le persone fisiche o giuridiche di cui si tratta il dato personale devono essere previamente informate attraverso un
modello di informativa per clienti/fornitori, il quale dovrà essere necessariamente adattato alle esigenze aziendali,
con particolare riferimento a:
- Le finalità del trattamento cui sono destinati i dati;
- La natura obbligatoria o facoltativa del conferimento dei dati;
- Le conseguenze di eventuale rifiuto a rispondere;
- I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venire a
conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
- I diritti dell’interessato (Art. 7 );
- Gli estremi identificativi del titolare e, se designati, del suo rappresentante nel territorio dello stato e del responsabile.
L’informativa può anche essere data oralmente, tuttavia sarà difficile dimostrare l’avvenuta comunicazione.
Frase eventualmente da riportare in fattura/ricevuta:
Informativa privacy di cui al d.lgs. 196/03
Vi informiamo che i vostri dati sono trattati solo per finalità consentite dalla legge e per scopi contrattuali.
Tali dati saranno pertanto comunicati a banche, società di servizi e Studi commerciali, vi sono riconosciuti i diritti di
cui agli art. 7 e 13 del d.lgs 196/2003.
Ulteriori informazioni sono a vostra disposizione presso nostra Sede/ufficio oppure sul sito www………………
Informativa per e-mail e fax: da stampare/pubblicare su “piede di pagina” e-mail/fax con le opportune modifiche:
Il presente messaggio di posta elettronica e l’eventuale allegato contengono informazioni di carattere
confidenziale rivolte esclusivamente al destinatario sopra indicato.
E’ vietato l’uso, la diffusione, distribuzione o riproduzione da parte di ogni altro soggetto.
Nel caso aveste ricevuto questo messaggio per errore, siete pregati di segnalarlo immediatamente al mittente e
distruggere quanto ricevuto senza farne copia. I dati personali sono trattati da:…………….(nome azienda).
Consenso (Artt.23, 24, 26): oltre a dare l’informativa al cliente/fornitore, è necessario avere il consenso scritto
dell’interessato tutte le volte che il dato personale viene utilizzato per finalità ulteriori rispetto a quelle previste
dall’esecuzione del contratto e dagli obblighi di legge (ad es. quando si attuano iniziative promozionali o pubblicitarie
sui clienti). E’ necessario inoltre tutte le volte che si trattano dati “sensibili” e, in questo caso, deve sempre essere
manifestato in forma scritta.
La formazione:
La norma prevede venga fornito una adeguato piano di formazione continua rivolto ai responsabili ed agli incaricati al
trattamento e finalizzato: alla sensibilizzazione del personale e ai temi sulla tutela dei dati personali.
A tal fine l’ AIRES organizza un incontro formativo (del costo di € 450+iva, a carico dell’Associazione) rivolto
ai Soci, per martedì 4 aprile o martedì 11 aprile dalle ore 15:30 alle ore 18:30 .
Tale corso si terrà solo se verrà confermata l’adesione di almeno 15 partecipanti (disponibili 50 posti)
Alcune definizioni:
- Dati sensibili: idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”;
- Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente, identificati o identificabili;
- Dato anonimo: non riconducibili all’ interessato identificato o identificabile;
- Dati identificativi: permettono l’identificazione diretta dell’interessato;
- Dati giudiziari: i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, sanzioni
amministrative da reato, o la qualità di imputato o di indagato;
- Interessato: soggetto al quale si riferiscono i dati;
- Titolare: soggetto cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali e
agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
- Responsabile: soggetto preposto dal titolare al trattamento di dati personali;
- Incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento;
- Amministratore di sistema: soggetto cui è conferito il compito di amministratore di rete;
- Custode delle password: soggetto a cui è conferita la gestione delle password degli incaricati al trattamento.
Sede legale: Via Venier,55 – 31100 TREVISO - P.IVA 03504920296 – CCIAA TV – REA 277023
Sede operativa: 0425/440100 – fax 0425 441154 – e-mail : [email protected] - sito web: www.aires.info