STIAMO SVILUPPANDO IL NUOVO SITO. E TANTE NOVITA'...SCUSATE PER EVENTUALI DISAGI TECNICI.

Documento Programmatico sulla Sicurezza - D. P. S.

Stampa PDF

Il DPS, acronimo di Documento Programmatico sulla Sicurezza, è l'unico documento in grado di attestare l'adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro la scadenza fissata al 31 marzo di ogni anno.
Il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.

Lo staff de L'INFORMATICO si è specializzato nel rilasciare il Documento Programmatico sulla Sicurezza a tutti i titolari interessati e si adopera affinchè la vostra attività rientri nel rispetto delle norme giuridiche vigenti.

Chi deve adeguarsi?

Dal 1° gennaio 2004 e entrato in vigore il nuovo Codice che riunisce tutte le regole in materia di Privacy succedutesi nel corso degli anni a partire dalla legge 675/96.
Il 31 marzo 2006 , e il termine ultimo ed improrogabile per adempiere agli obblighi richiesti dalla nuova Legge sulla Privacy e per adottare le misure minime di sicurezza individuate dal Codice.

Qualsiasi persona giuridica pubblica o privata (azienda, professionista, associazione, ente, ecc.) che tratti dati personali di terzi (clienti, dipendenti o fornitori ecc.) nell'esercizio della propria attività professionale e obbligata ad adottare tutte le misure minime di sicurezza richieste dal nuovo Codice affinchè venga tutelata la riservatezza e la sicurezza dei dati personali contenuti negli archivi. Questi dati sono intesi sia archiviati elettronicamente che in qualunque altro modo, incluso il cartaceo.

In pratica, sono escluse dall'adeguamento al Nuovo Codice solo le persone fisiche che effettuano il trattamento di dati personali per soli fini personali e, in nessun caso, prevedano la cessione o la comunicazione a terzi dei dati in loro possesso.

Il Decreto Legislativo 30 Giugno 2003, n. 196 non lascia dubbi sulle conseguenze della sua violazione estendendo e riprendendo in modo assolutamente chiaro gli articoli della 675/96 e tutte le norme precedenti.

Il nuovo Codice:
- OBBLIGA tutti i titolari che trattano dati sensibili, di redigere entro il 31 marzo di ogni anno il Documento Programmatico Sulla Sicurezza (DPS) dei dati.
- IMPONE l'adozione di misure minime di sicurezza dei dati.
- STABILISCE il principio che il trattamento si svolga nel rispetto dei diritti, della dignità e della riservatezza dell'interessato.
- CHIARISCE e SOTTOLINEA che il consenso dovrà essere ESPRESSO, ossia fornito in riferimentoad un trattamento chiaramente individuato.
- PRECISA che le figure del Responsabile e degli Incaricati devono essere individuate per iscritto e che sia definito il loro ambito di trattamento.

- SANZIONA fino a 60.000 euro e impone il risarcimento dei danni.


( LEGGI LE SANZIONI!!! )


- AGISCE PENALMENTE con la reclusione fino a 3 anni in caso di gravi violazioni.

In parole semplici:

Si devono adeguare

  • Tutti coloro che trattano dati personali e/o sensibili (Es. buste paga/certificati medici) sia tramite strumenti informatici che in forma cartacea.

  • Tutti coloro che trattano dati sensibili e/o giudiziari tramite strumenti informatici e rientrano nelle casistiche definite dal Garante

Dovranno adeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale.


NOTIFICA AL GARANTE: necessaria per tutti coloro che rientrano nelle casistiche definite dal Garante e trattano dati personali in modo informatico o manuale.

 

Punti da Seguire:

Il Garante per la Privacy ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l'azienda deve adottare tutte le misure necessarie per l'espletamento della legge.
Lo scopo del DPS è proprio quello di descrivere la situazione attuale con riferimento ai punti stabiliti dal garante.

Brevemente i punti principali da seguire sono i seguenti:

  • Elenco dei trattamenti di dati personali
    Individuare i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l'indicazione della natura dei dati e della struttura (ufficio, funzione, ecc. ) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato.

  • Distribuzione dei compiti e delle responsabilità
    Descrizione sintetica dell'organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari ) , indicando le precise modalità per reperirli.

  • Analisi dei rischi che incombono sui dati
    Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati.

  • Misure in essere e da adottare
    Riportare, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l'efficacia.

  • Criteri e modalità di ripristino della disponibilità dei dati
    Descrivere i criteri e le procedure adottate per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati . L'importanza di queste attività deriva dall' eccezionalita delle situazioni in cui il ripristino ha luogo: è essenziale che, quando necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.

  • Pianificazione degli interventi formativi previsti
    Riportare le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere.

  • Trattamenti affidati all'esterno
    Redigere un quadro sintetico delle attivita affidate a terzi che comportano il trattamento di dati, con l'indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all'esterno, per garantire la protezione dei dati stessi.

  • Cifratura dei dati o separazione dei dati identificativi
    Vanno rappresentate le modalita di protezione adottate in relazione ai dati per cui è richiesta la cifratura - o la separazione fra dati identificativi e dati sensibili, nonché i criteri e le modalita con cui viene assicurata la sicurezza di tali trattamenti.
    Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie.

I tempi di stesura del DPS variano a seconda della dimensione dell'azienda e dalla mole di dati da processare, certamente non ci si mette un giorno... il documento programmatico richiede una attenta valutazione della situazione aziendale e dei trattamenti effettuati. Mediamente la stesura definitiva avviene nel giro di qualche settimana.
Il documento programmatico deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l'aggiornamento il 31 marzo di ogni anno. Si consiglia di non aspettare l'ultimo mese utile, perché potrebbe non bastare. Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli.
Il Titolare del trattamento deve dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell'avvenuta redazione/aggiornamento del DPS.
Il Titolare del trattamento nella logica di una gestione consapevole deve individuare tutte le persone che hanno accesso ai dati ed a ciascuna dire esattamente come si deve comportare. Inoltre deve predisporre le informative da dare a tutti coloro che gli affidano dati in cui spiega le metodiche usate nei trattamenti.

Tratto da dps-privacy.it

order viagra south africa - viagra