Notiziario: PRIVACY: APPROFONDIMENTO – L’AGGIORNAMENTO COSTANTE DELLE MISURE MINIME ED IDONEE DI SICUREZZA

notiziario del 15/03/2017

www.sinernet.net

gilioli marasi

PRIVACY: APPROFONDIMENTO – L’AGGIORNAMENTO COSTANTE DELLE MISURE MINIME ED IDONEE DI SICUREZZA

A cura di Nino Papani

Il Documento Programmatico sulla Sicurezza è un documento interno che descrive il livello di implementazione della gestione della privacy aziendale, ai sensi del D.Lgs. 196/2003.
L’obbligo formale di aggiornare il D.P.S. entro il 31 marzo di ogni anno è stato abrogato dall’esercizio 2011 come già precisato nella nostra precedente mail informativa “privacy: l’aggiornamento del documento programmatico sulla sicurezza”.

Tuttavia ai sensi dell’art.31 del D.Lgs 196/2003 i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di:

  • distruzione o perdita, anche accidentale, dei dati stessi;
  • di accesso non autorizzato;
  • di trattamento non consentito o non conforme alle finalità della raccolta.

Il trattamento deve rispettare almeno le misure minime di sicurezza declinate:

  • all’articolo 34 (trattamenti con strumenti elettronici);
  • nel Disciplinare Tecnico Allegato B;
  • all’art.35 (trattamenti senza l’ausilio di strumenti elettronici).

RISASCIMENTO DEL DANNO
L’Art. 15 disciplina i danni cagionati per effetto del non corretto trattamento dei dati.
“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.”

Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11 D.Lgs 196/2003
Il richiamo all’art. 2050 del c.c. comporta l’inversione dell’onere della prova a carico di chi svolge attività pericolosa. Pertanto chiunque provochi un danno ha l’obbligo di dimostrare di aver posto in essere ogni misura idonea ad evitarlo

Per questo motivo è importante avere un documento annuale delle misure minime ed idonee di sicurezza poste in essere. Tale documento, stante la continua evoluzione sia normativa, che tecnologica ed organizzativo-aziendale, deve essere costantemente aggiornato.

Il Nuovo Regolamento Europeo 2016/679 in vigore dal 25 Maggio 2016 che sarà applicato dal 25 Maggio 2018 pone infatti l’accento sul principio di Accountability che comporta l’onere in capo al titolare del Trattamento dei dati di dimostrare l’adozione di tutte le prescrizioni privacy e sulla valutazione d’impatto sulla protezione dei dati.

ALTRI ASPETTI DA CONSIDERARE
Qualora l’impresa si avvalga di figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti (amministratori di basi di dati, amministratori di reti e di apparati di sicurezza e amministratori di sistemi software complessi) il Titolare del Trattamento deve nominare tali figure Amministratori di Sistema. Tale funzione può essere ricoperta da personale interno, o da società esterne nominate Responsabili in Outsourcing con la funzione di Amministratore di Sistema.

L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

La gestione della privacy deve essere completa ed esaustiva e deve interessare:

  • la security aziendale, analizzndo in modo approfondito i flussi dei dati all’interno dell’azienda, i tipi di dati trattati, da chi vengono trattati e i rischi connessi.
  • la normativa giuslavoristica,
  • i provvedimenti del Garante inerenti i controlli sui lavoratori.

E’ auspicabile che le aziende adottino Regolamenti efficaci sul trattamento di dati mediante strumentazione elettronica e cartacea da parte degli incaricati.

Nel caso di sito web aziendale occorrerà valutare attentamente quali tipi di dati vengono richiesti ( esempio eventuali iscrizioni a newsletter) ed i tipi di cookie usati per avere informative corrette (privacy policy).

L’installazione di un sistema di Videosorveglianza, necessita di un preventivo accordo sindacale o in mancanza di questo di una specifica autorizzazione della DTL territoriale competente, ed è subordinata al rispetto delle previsioni del Provvedimento del garante in materia di videosorveglianza dell’8 Aprile 2010.

Lo Studio rimane a disposizione per ulteriori chiarimenti.

Se non visualizzate correttamente questa email: visualizzatela nel Vs. browser.

Seguici su
twitter | wordpress
creiamo valore

studio associato rag. augusto gilioli rag. fabrizio marasi

Annunci