Il termine per la realizzazione del Documento Programmatico sulla Sicurezza del 31 marzo 2004, dopo la proroga del garante al 30 giugno e successivamente al 31 dicembre 2004, è stato ulteriormente prorogato al 31 dicembre 2005. Entro tale termine le aziende e le pubbliche amministrazioni dovranno adottare le "misure minime" di sicurezza, introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi, e redigere il documento programmatico in materia di sicurezza (DPS).

Per quando concerne l'aggiornamento per gli anni successivi esso deve essere redatto entro il 31 marzo di ciascun anno ed il titolare dei dati personali riferisce, nella relazione accompagnatoria del bilancio d'esercizio, l'avvenuta redazione o aggiornamento.

Mettersi in regola vuol dire non incorrere in multe e sanzioni. Se non hai ancora redatto il DPS, richiedi un preventivo gratuito e affidaci la consulenza. Risolveremo il tuo problema in brevissimo tempo.

Altre sezioni utili:

• Sezioni Principali
• Documenti Elaborati
• Sanzioni amministrative
• Domande Frequenti

D.P.S. - Redazione e Adeguamento DPS

La REDAZIONE del DPS è formata da varie parti identificabili in 5 sezioni principali:

1. Identificazione delle risorse da proteggere. Non è infatti possibile indicare delle misure di protezione senza avere individuato i “beni” che si vogliono proteggere.
2. Analisi dei Rischi. Individuati i beni da proteggere, occorrerà valutare a quali minacce sono esposti. Si potranno eventualmente indicare già alcuni accorgimenti adottati per abbattere o controllare il rischio.
3. Definizione ed attuazione della Politica di Sicurezza Aziendale. Procedendo con l’analisi dei rischi, occorrerà definire un piano di sicurezza aziendale. Questo presenterà l’insieme delle misure fisiche, logiche ed organizzative necessarie per tutelare le strutture preposte al trattamento dei dati.
4. Piano di verifica delle misure adottate. La verifica dell’efficacia e della validità nel tempo delle misure di sicurezza adottate è punto fondamentale di tutto il processo per Ia sicurezza. Molto spesso la bontà di una soluzione adottata si può valutare solo “monitorando” nel tempo gli effetti di tale soluzione.
5. Piano di formazione degli incaricati. Mediante questo strumento, gli incaricati del trattamento vengono informati ed istruiti sui rischi individuati e sugli strumenti da utilizzare per prevenire i possibili danni.   

D.P.S. - Sanzioni Amministrative

L’obbligo di redigere il documento programmatico sulla sicurezza è generalizzato a tutti i casi in cui si trattino dati personali generici, sensibili o giudiziari con l'ausilio di strumenti elettronici.

E' bene notare che per dato generico si intende il nome e cognome di una persona o la ragione sociale di un'azienda.

Sanzioni Amministrative:

Omessa, inidonea informativa: Dati comuni: € 3.000 - 18.000, dati sensibili: € 5.000 - 30.000;

Cessione dati: € 5.000 - 30.000;

Comunicazione dati sanitari in violazione del Codice: € 500 - 3.000;

Omessa o incompleta notificazione: € 10.000 - 60.000;

Omessa informazione o esibizione di documenti al Garante: € 4.000 - 24.000.

Sanzioni Penali:

Trattamento illecito dei dati: Dati comuni: Reclusione 6 - 18 mesi, dati sensibili: Reclusione 12 - 13 mesi;

Falsità in dichiarazioni e notificazioni al Garante: Reclusione 6 - 36 mesi;

Omissione misure minime di sicurezza: Arresto fino a 2 anni o ammenda da € 10.000 a 50.000 (ravvedimento operoso);

Inosservanza provvedimenti del Garante: Reclusione 3 - 24 mesi.

Responsabilità civile:

"Chiunque cagiona ad altri danni per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee atte ad evitare il danno" (art. 2050 codice civile). 

D.P.S. - Documenti Elaborati

Per l’attuazione del progetto VERRANNO ELABORATI i seguenti DOCUMENTI:

• Lettere di nomina dei responsabili e degli incaricati
• Lettere di incarico specifiche e generiche
• Stampa organigramma aziendale
• Analisi dei rischi hardware e software
• Piani di formazione degli incaricati
• Profili di autorizzazione degli incaricati
• Sistemi posti a protezione dei dati
• Sistemi posti a protezione dei dati
• Istruzioni di backup e ripristino dati
• Elenco applicazioni utilizzate

Elenco degli strumenti utilizzati per il trattamento

• Elenco sedi e uffici
• Elenco banche dati
• Modalità di accesso ai locali
• Stampa formulario raccolta dati

D.P.S. - Domande Frequenti  

Cosa sono le Misure Minime?

'Le misure minime sono il complesso delle misure tecniche, informatiche,organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dalla legge.'

Cosa deve fare chi tratta i dati senza l'ausilio di computer e reti?

Chi tratta dati personali senza tali mezzi è tenuto ad adottare le seguenti cautele:

·         aggiornare periodicamente l'individuazione dell'ambito del trattamento consentito

·         prevedere procedure per la conservazione di determinati atti in archivi ad accesso selezionato

·        prevedere procedure per un'idonea custodia degli atti affidati agli incaricati per lo svolgimento dei relativi compiti                                                                                                                                           

·         identificare chi accede ai dati 

Backup e Ripristino dei Dati

La normativa in merito è abbastanza esauriente, i dettami legislativi si possono trovare essenzialmente negli articoli 18 - 19.5 e 23. Analizzando attentamente il Codice si comprende la necessità di applicare le regole che vengono applicati dagli esperti in sicurezza e disaster recovery, che essenzialmente sono: Analizzando attentamente il Codice si comprende la necessità da parte di (…) di affidarsi ad esperti in sicurezza e disaster recovery  per applicare e rispettare le regole concernenti:

• la redazione di una policy che stabilisca gli obiettivi;
• l’identificazione di dati/files che vanno "protetti";
• l’identificazione delle misure di prevenzione
• lo sviluppo di un piano di recupero
• l’analisi dell’impatto di una situazione di emergenza 

Quali sono i Dati Sensibili?

'La legge definisce Dato Sensibile: "I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,           l' adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" (art. )..' 

Quali sono i Dati Personali?

La legge definisce Dato Personale: "Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediate riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. ).

Gli Studi Legali siamo soggetti alla notificazione?

'La maggior parte dei trattamenti di dati effettuati nell'esercizio dell'attività  forense non e' soggetta a notificazione al Garante.'

Dobbiamo adottare le misure minime?

I dati devono essere protetti da misure di sicurezza idonee e preventive, riducendo al minimo i rischi di distribuzione, perdita, anche accidentale, accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta. In particolare, se dati sensibili o dati giudiziari sono trattati con strumenti elettronici, occorre redigere un documento programmatico sulla sicurezza (DPS) entro il 31 dicembre 2005.

Dobbiamo nominare gli incaricati?

Si , tutte le persone fisiche che hanno accesso ai dati a vario titolo (avvocati, praticanti, collaboratori e personale amministrativo) devono essere  designate per iscritto quali incaricate del trattamento.