Privacy

Entro il 31 marzo di ogni anno le imprese che trattano dati sensibili devono provvedere all’aggiornamento di Autocertificazioni o Dps.

COSA DEVONO FARE LE AZIENDE

1) ACQUISIRE IL CONSENSO AL TRATTAMENTO DEI DATI DAI TITOLARI DEI DATI IN LORO POSSESSO. Si tratta di ottenere il consenso scritto dagli interessati i cui dati sono detenuti dall’impresa (dati sensibili) utilizzando uno dei tanti modelli esistenti o il modello che per semplicità possiamo fornire.

2) EFFETTUARE LE NOMINE DEGLI INCARICATI AL TRATTAMENTO DEI DATI. Si tratta di incaricare per iscritto il proprio personale addetto al trattamento dei dati, definendone il tipo di operazione che gli è consentito effettuare ed impartendo le necessarie istruzioni.

3) A) Se si usano strumenti informatici adattarli intervenendo con le seguenti operazioni:

· dotare di credenziali di autenticazione gli incaricati all’accesso ai dati (password informatiche e codice di identificazione), definendo le regole del loro utilizzo, i criteri di sicurezza da adottare, le modalità di disattivazione.

· Proteggere l’accesso ai sistemi informatici mediante l’attivazione di strumenti elettronici da aggiornare con cadenza semestrale (firewall personali, ecc.);

· Proteggere gli strumenti informatici dal rischio di perdita dati (es: antivirus) con verifica ed aggiornamento almeno annuali;

· Prevedere sistemi informatici, automatici o non, che prevedano il salvataggio dei dati con frequenza almeno mensile.

Per la realizzazione di questo intervento è opportuno rivolgersi al proprio gestore dei sistemi informatici e del proprio software ed hardware.

   B) Dati in forma cartacea:

· impartire al proprio personale istruzioni su come devono essere controllati e custoditi i dati, definendo i ruoli e le responsabilità;

· controllare e stabilire le modalità di accesso agli archivi cartacei, registrando ed identificando le persone ammesse ai locali dopo l’orario di chiusura, prevedendo autorizzazioni scritte.

4) FARSI RILASCIARE UN CERTIFICATO DI CONFORMITÀ, quando per adottare tali misure di sicurezza in campo informatico [punto 3-A] ci si avvale di soggetti esterni alla propria struttura. L’installatore dei programmi informatici dovrà rilasciare una dichiarazione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni di legge.

5a) AUTOCERTIFICAZIONE che sostituisce il DPS
L’art. 29, comma 1, D.L. 25 giugno 2008, n. 112, come modificato dalla relativa legge di conversione ha introdotto il comma 1-bis dell’art. 34 del Codice della protezione dei dati personali prevede che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.

ULTERIORI INDICAZIONI PER LE AZIENDE CHE DETENGONO DATI SENSIBILI

Alle imprese che detengano dati sensibili riportati su strumenti elettronici consigliamo di eseguire, oltre a quelli precedenti, anche i seguenti adempimenti:

5b) REDIGERE UN DOCUMENTO PROGRAMMATICO DENOMINATO DPS SULLA SICUREZZA DELLA GESTIONE DEI DATi (da rinnovare ogni anno entro il 31 marzo) che contenga idonee informazioni riguardo:

· quali trattamenti di dati personali vengono eseguiti;

· come sono distribuiti compiti e responsabilità all’interno della propria azienda in relazione alla gestione dei dati;

· che rischio incombono sui dati;

· Che misure sono adottare per garantire l’integrità e la disponibilità dei dati;

· Che misure sono adottate per garantire la protezione delle aree e dei locali;

· In che modo e come possa essere ripristinata la disponibilità dei dati in seguito a distruzione o danneggiamenti;

· che attività di informazione e formazione viene fatta al personale addetto alla gestione dei dati e quando (momento di ingresso in servizio e cambiamento di mansioni, o variazione rilevante delle tecnologie adottate);

· quali criteri sono adottati perchè siano adottate le qui indicate misure di sicurezza;

· i criteri di cifratura dei dati in caso di trattamento di dati relativi alla salute e alla vita sessuale, in modo da tenerli separati dagli altri dati personali;

· come ne viene impedito l’accesso abusivo con strumento elettronici;

· che istruzioni sono impartite per custodire ed utilizzare i supporti rimovibili (dischetti) in cui sono memorizzati i dati per evitare accessi o trattamenti non consentiti;

· le procedure di distruzione di tali supporti (dischetti).

6) INSERIRE UNA DICHIARAZIONE NELLA RELAZIONE ACCOMPAGNATORIA AL BILANCIO DI ESERCIZIO, che attesti l’avvenuta redazione e/o aggiornamento del sopraccitato Documento programmatico sulla sicurezza dei dati (DPS) (da ripetere ogni anno).


QUALI SONO I DATI SENSIBILI

I dati sensibili sono costituiti da qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione che siano identificati o identificabili anche indirettamente mediante riferimento a qualsiasi altra informazione (compreso anche un numero di identificazione personale) e che, contemporaneamente, siano anche idonei a:

– rivelare l’origine razziale ed etnica;

– rivelare le convinzioni religiose, filosofiche o di altro genere;

– rivelare le opinioni politiche;

– rivelare l’adesione a partiti, sindacati;

– rivelare l’adesione ad associazioni o organizzazioni a carattere religioso;

– rivelare l’adesione ad associazioni o organizzazioni a carattere filosofico;

– rivelare l’adesione ad associazioni o organizzazioni a carattere politico;

– rivelare l’adesione ad associazioni o organizzazioni a carattere sindacale;

– rivelare lo stato di salute;

– rivelare la vita sessuale.

Nessun’altro dato è considerato sensibile dalla Legge se non quelli sopra indicati. In caso di possesso di questo tipo di dati, occorre dunque preparasi a predisporre il DPS entro la scadenza citata.

ISTRUZIONI SINTETICHE SELEZIONI E GESTIONE PASSWORD

A) Selezione:
La lunghezza della password deve essere pari ad almeno 8 caratteri, salvo limitazioni tecniche nei software utilizzati in studio. In caso di limitazioni tecniche utilizzare il numero massimo di caratteri previste.

Le password da utilizzare devono:
– Essere diverse da parole presenti nei vocabolari
– Non fare riferimento con informazioni agevolmente riconducibili ai soggetti utilizzatori o ai loro familiari
– Contenere una combinazione di numeri e lettere, maiuscole e minuscole

B) Gestione:
Almeno ogni 6 mesi è obbligatorio cambiare la password. Nell’ipotesi di trattamento di dati sensibili è obbligatorio cambiare la password almeno ogni 3 mesi.

Ogni password ricevuta va modificata al primo utilizzo.

Non Bisogna:
– Rivelare la password a nessuno soprattutto attraverso il telefono;
– Scrivere la password in messaggi di posta elettronica, o su supporti cartacei conservati in ufficio;
– Rivelare o condividere la password con i colleghi di lavoro, familiari e amici;
– Utilizzare la caratteristica offerta da alcuni software, di salvare automaticamente la password per successivi utilizzi delle applicazioni;
– Archiviare la password su un qualsiasi strumento elettronico, incluso il telefono cellulare, o su supporti cartacei conservati in ufficio, senza utilizzare un sistema di crittografia.

Responsabile: Carlo Piccinato

Referenti

Paolo Corbucci tel. 030 3745324

Mauro Bonera tel. 030 3745221