Condividi:        

DPS --- CHI DEVE FARLO???

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

DPS --- CHI DEVE FARLO???

Postdi Albert » 15/06/04 01:39

Si ma qualcuno sa dirmi esattamente chi deve farlo? che la cosa non mi sembra tanto chiara.
Io ho due siti web, un forum e una mailing list e quindi dati personali di proprietà altrui in un database on line, dopo essermi perso un po' nella rete ho anche trovato una guida al DPS:
http://www.ipsoa.it/specialeprivacy/upl ... 1-6-04.pdf
La guida fa riferimento a un documento da compilare che alla fine ho travato qui: http://www.ipsoa.it/specialeprivacy/upload/DPS-1.pdf
Dopo averlo letto ho ancora più dubbi di prima: a parte il fatto che dovrò studiarmi il significato esatto e legale di "dati sensibili" ancora non mi è chiaro se essere in possesso di un una cinquantina di indirizzi email senza nome e cognome e senza altri dati ineerenti, mi faccia costretto a compilare il DPs, dovrò leggermi anche tutti i documenti contenuti in questa pagina http://www.ipsoa.it/specialeprivacy/Mod ... List_0.asp
e ho dei seri dubbi se dopo aver evitato svariati incartamenti cerebrali,
farò in tempo a capire se sono esentato dal compilare il DPS oppure preparare le carte per un ipoteca sulla casa e un buon avvocato per non andare a finire in galera...........
Se qualcuno sa darmi un aiutino a capirci qualcosa
gli accendo un cero alla Madonna

come si dice dalle mie parti:
"n'ci si pole crede!, n'se ne pole più!"

Saluti a tutti dalla Maremma maiala!!
Albert
Albert
Utente Junior
 
Post: 27
Iscritto il: 21/01/04 00:14

Sponsor
 

mi sono letto....quasi tutto....e

Postdi Albert » 15/06/04 02:08

speriamo di fare buona informazione specialmente per una paio di amici un po terrorizzati dal DPS:

dopo aver indagato un po ecco cosa ho scoperto:

Chi deve compilare il DPS?
http://www.ipsoa.it/specialeprivacy/Doc ... inkparam=7
Il Documento programmatico per la Sicurezza deve essere predisposto solo dai titolari di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici. Sembra improbabile che chi tratta esclusivamente dati relativi ai propri clienti o fornitori, derivanti quindi da normali rapporti commerciali abbia nella documentazione tali dati, che potrebbero, invece esserci qualora vi fossero dipendenti, collaboratori, ecc.
Assai più probabile che i dati sensibili siano trattati dallo studio professionale, sia riferiti allo studio stesso che ai dati eventualmente elaborati a seguito dell'incarico ricevuto ( inabilità, malattie, adesione sindacale, scelta 8 per mille, ecc.)


Che cosa sono i dati sensibili?
http://www.ipsoa.it/specialeprivacy/Doc ... inkparam=7
Un'impresa tratta solo i dati relativi ai propri clienti e fornitori necessari per poter svolgere la propria attività; un professionista tratta solo i dati necessari per poter svolgere l'incarico che gli è stato affidato; entrambi devono predisporre il Documento Programmatico per la Sicurezza? (Pierluigi C.)

La definizione di "dato sensibile" si trova nell'articolo 4 del D.Lgs.196/2003: sono quei dati che sono idonei a rivelare:

* origine: razziale, etnica;
* convinzioni o opinioni: religiose, politiche, sindacali, filosofiche o di altro genere;
* stati di salute e vita sessuale: patologie attuali e pregresse, terapie in corso, anamnesi familiare, ecc.

Il Documento programmatico per la Sicurezza deve essere predisposto solo dai titolari di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici. Sembra improbabile che chi tratta esclusivamente dati relativi ai propri clienti o fornitori, derivanti quindi da normali rapporti commerciali abbia nella documentazione tali dati, che potrebbero, invece esserci qualora vi fossero dipendenti, collaboratori, ecc.
Assai più probabile che i dati sensibili siano trattati dallo studio professionale, sia riferiti allo studio stesso che ai dati eventualmente elaborati a seguito dell'incarico ricevuto ( inabilità, malattie, adesione sindacale, scelta 8 per mille, ecc.)


Misure minime di sicurezza - Soggetti obbligati
http://www.ipsoa.it/specialeprivacy/Doc ... inkparam=7

Le misure minime di sicurezza devono essere predisposte da tutti o solo da chi è obbligato a redigere il documento programmatico della sicurezza?
Gli obblighi di sicurezza dei trattamenti, compresa l'adozione delle misure minime, sono posti a carico di tutti i titolari (v. artt.31-36 del Codice) e sono diversi a seconda che il trattamento avvenga con strumenti elettronici o manualmente. Il DPS rientra nelle misure minime di sicurezza che devono essere adottate da coloro che trattano dati sensibili o giudiziari con l'utilizzo di strumenti elettronici.


Per coloro che hanno siti web personali, forum e mailing list di tipo no profit si puo dire che sono esentati???
sembra di si
Saluti
Albert
Albert
Utente Junior
 
Post: 27
Iscritto il: 21/01/04 00:14

Postdi Ribonix » 15/06/04 09:07

E' dall'inizio di Giugno che sto lavorando, o meglio impazzendo dietro al DPS... Ci mancavi anche tu a mettere il dito nella piaga... :lol:
Allah Akhbar! Allah Akhbar! Allah Akhbar!
Avatar utente
Ribonix
Utente Senior
 
Post: 346
Iscritto il: 12/02/03 22:41
Località: 3GYPT

Mi dispiace

Postdi Albert » 15/06/04 19:37

Mi dispiace veramente che ci stai impazzendo anche tu, la cosa folle è che anche oggi anche dopo aver fatto quella piccola indagine, non sono tanto sicuro di avere le idee chiare, e poi ci si mettono anche le aziende che si offrono di aiutarti a compilare il dps, a certe "modiche cifre"
Anche il fax, appena sono entrato in casa, mi ha mostrato l'ennessima proposta di assistermi nella compilazione del DPS per "soli" 180 Euro.

Forse arriverò a pagarli dalla disperazione.. (di essere ancora ignaro di che cosa in effetti devo fare) almeno avrò la unica ma solida certezza di aver perso dei soldi.

Saluti
Albert
Utente Junior
 
Post: 27
Iscritto il: 21/01/04 00:14

Re: Mi dispiace

Postdi Ribonix » 15/06/04 19:45

beh, vedo che la traccia della documentazione di quello che devi scrivere ce l'hai anche tu.
Stai sulla falsa riga di quello che hai e poi implementa laddove credi che puoi dire di più.
Purtroppo ogni società ha il suo sistema informatico. Quindi se non conosci il tuo mi sa che sei ridotto male :lol:
Non ti fare abbindolare dalle società che ti propongono di compilare il tuo DPS, se vuoi sicurezza informatica, meno gente sa del tuo sistema informatico meglio è... e risparmi qualche soldino. :)
Allah Akhbar! Allah Akhbar! Allah Akhbar!
Avatar utente
Ribonix
Utente Senior
 
Post: 346
Iscritto il: 12/02/03 22:41
Località: 3GYPT

Non rifornirmi di di ansia

Postdi Albert » 15/06/04 20:18

A parte gli scherzi, sul dar soldi a qualcuno per farmi fare il DPS pienamente d'accordo, ma il mio sistema informatico è oramai all'osso e dire che sono ridotto male è un eufemismo, un tempo guadagnavo stipendi rispettabilissimi e ho alle spalle 20 anni di informatica e 12 anni di insegnamento presso le agenzie formative europee, ma oggi preferiscono rivolgersi a chi ovviamente costa meno e per i quali la vocazione dell'insegnamento non ha nessun signifacato, il mio sistema informatico in rete non è che un paio siti web di cui uno no profit del mio paese che possiede una newsletter, e un forum, ma i dati contenuti non sono dati sensibili, solo un email e un nickname, ancora non sono riuscito a trovare un paragrafo che mi obbliga a compilare il DPS ma la cosa snervante è che ogni tanto ti arriva qualche news allarmante che ti mette la pulce nell'orecchio, e ti chiedi se per caso non hai letto male qualche comma o qualche decreto o saltato qualche paragrafo, e la mole delle documentazioni da leggere non è poca e sembra che sia come la memoria swap, poca o tanta a seconda di quanto ti ci ficchi dentro.
Possibile che con un forum con 35 iscritti rischio 10/20mila euro e un procedimento penale?
Se bastano questi dati per essere un soggetto fiscale obbligato alla compilazione del DPS, allora dimmelo tu: nel frattempo mi rileggo tutto daccapo un altra volta sperando di non saltare nulla.
.............seconde te Bastano??

saluti
Albert
Albert
Utente Junior
 
Post: 27
Iscritto il: 21/01/04 00:14

Postdi Ribonix » 15/06/04 20:41

Qualunque dato sensibile che tu tratti deve essere utilizzato solo da te e devi dimostrare che adotti delle misure o meno per fare in modo che i tuoi dati non vengono sparsi in giro...
Io ho già quasi compilato il DPS, te ne passerei volentieri una copia, ma essendo dati sensibili potrai comprendere perchè non lo faccio.
Non ho molto tempo per rilleggerlo, le pagine sono a decine, spero solo che ci sia una tregua e che proroghino la scadenza...
Allah Akhbar! Allah Akhbar! Allah Akhbar!
Avatar utente
Ribonix
Utente Senior
 
Post: 346
Iscritto il: 12/02/03 22:41
Località: 3GYPT

Postdi kadosh » 15/06/04 22:34

Dunque, l'argomento DPS è delicato, se da un lato può sembrare di difficile e ardua comprensione come ogni nuova legge, dall'altro espone ed anzi aumenta la chiarezza dello Stato in materia di Sicurezza e Privacy.

Innanzitutto, vi consiglio di scaricare il Decreto Legislativo 196.

Sintetizzando invece sul TESTO UNICO cercherò di entrare nel dettaglio riassumendo i punti principali.

Il Documento programmatico sulla sicurezza è un documento disciplinato dall’ART. 34 del Nuovo Testo Unico sulla Privacy. Deve essere redatto entro il 31 marzo di ogni anno ed il titolare dei rapporti nell’organigramma della privacy riferisce, nella relazione accompagnatoria del bilancio d’esercizio, dell’avvenuta redazione o aggiornamento.
Nell'ambito delle misure transitorie del 2004, i soggetti pubblici e privati tenuti per la prima volta a redigere il DPS, non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l’aggiornamento 2004 in itinere.
Per quanto concerne in 2004 il termine di redazione è prorogato al 30 giugno per adottare le nuove “misure minime” di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e per redigere il documento programmatico in materia di sicurezza (dps).

Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta sia coloro che ne abbiano già redatto o aggiornato uno nel 2003. Dal prossimo anno, decorso il periodo transitorio connesso all’entrata in vigore del Codice della privacy, il termine per l’aggiornamento del dps rimarrà fissato al 31 marzo.
Deve contenere:

- l’elenco dei trattamenti di dati personali

- la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento

- l’analisi dei rischi che incombono sui dati

- le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

- la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati

- la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare

- per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato (organismi sanitari).


Da chi deve essere redatto? Molto semplice. Da chiunque, pubblico o privato, tratti dati personali sensibili.
Questo è specificato nell'articolo 1 del Codice:
Il dato personale di chiunque va protetto.
Tutto quello che segue nel Testo Unico, spiega l'articolo 2, è finalizzato a questa garanzia.

Il fatto dei costi bè...tutto è relativo. Io per 200 EUR vendo solo l'ossatura del DPS che ho realizzato, in formato HTML, Excel e PDF. La compilazione dello stesso, se devo farla io, mi richiederebbe tempo e conoscenza del cliente per la quale la eseguo, quindi è una spesa in più valutabile in base alle ore spese.

Consiglio che tutti si interessino all'argomento, la Finanza so che farà pochi sconti oltre la data del 30 giugno. ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi JeanCarrel » 16/06/04 20:54

Scusate se mi intrometto.

Io sono un libero professionista. Ho soltanto ragione sociale e partita iva dei clienti.
A dire il vero nemmeno in un elenco (ne cartaceo, ne digitale).
Tengo solo una copia delle fatture.

Cosa devo fare?
Ci sono dentro anch'io?

Grazie per le risposte.
Fede
Linux Registered User #353428
JeanCarrel
Newbie
 
Post: 5
Iscritto il: 16/06/04 20:44

Postdi kadosh » 16/06/04 22:49

Jean nel tuo caso specifico non si entra nel merito del DPS, dato che tu non tratti dati INFORMATICI. Il Testo Unico riguarda il trattamento dei dati telematici, mentre per i dati cartacei vige sempre la precedente legge 675/96 e successive modifiche.
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Dati sensibili

Postdi Albert » 17/06/04 07:13

Ecco un altra occasione per fare un quesito sui dati sensibili, e tranquillizzare, i soliti ignoti e anche me stesso.

Chi possiede nome e cognome partiva iva e ragione sociale e quindi nome cognome, indirizzo, via, CAP, località di una persona non rientra negli obblighi del DPS.

Chi invece ha un forum o una newsletter, e possiede solo l'indirizzo email e un nickname e nient'altro di un utente???
Va da se che non sono nemmeno questi dati sensibili che invece riguardano strettamente la persona come la data di nascita per esempio. e particolare condizioni di salute ecc ......

o mi sbaglio??

Albert
Albert
Utente Junior
 
Post: 27
Iscritto il: 21/01/04 00:14

Postdi JeanCarrel » 17/06/04 08:42

Jean nel tuo caso specifico non si entra nel merito del DPS


Innanzitutto grazie per la risposta.

In effetti leggendo la legge si fa menzione soltanto ad aziende, quindi i liberi professionisti (come ad esempio un piastrellista) non dovrebbero fare nulla.

Io poi dei miei clienti ho soltanto i dati che sono riportati sui biglietti da visita, quindi di "publico dominio".

Anche se un giorno dovessi decidermi a fare un elenco su un foglio excel (o meglio OOO calc :-)), non penso che cambi molto, vero?

Grazie ancora.
Fede[/quote]
Linux Registered User #353428
JeanCarrel
Newbie
 
Post: 5
Iscritto il: 16/06/04 20:44

Postdi gamptw » 17/06/04 12:23

Come ha scritto molto chiaramente Kadosh, il DPS 2004 deve essere predisposto OBBLIGATORIAMENTE (misure minime) solo da chi tratta dati sensibili o giudiziari (in breve: sanità, notai, commercialisti ed avvocati).
SICURAMENTE è CONSIGLIABILE (misure idonee) predisporlo anche nel caso di semplice trattamento di dati personali (fornitori, impiegati, clienti) per evitare eventuali richieste di risarcimento danni.

Dal momento che non va inviato al Garante, ma semplicemente conservato, si consiglia ai fini probatori di dare al documento data certa (autoprestazione in posta)

Dati questi due punti la materia rimane -al solito- nebulosa. Per quel che concerne l'interpretazione della terminologia, come gli ampi concetti di "dato personale" o "misura idonea" il garante (http://www.garanteprivacy.it) aveva dichiarato che entro il 1 giugno avrebbe emesso delle "riflessioni" di concerto con esperti del settore. Ovviamente la cosa non è avvenuta.

In data 11 giugno ha però emesso una breve, aleatoria e "non obbligatoria per l'adempimento dell'obbligo" guida ("Guida operativa per redigere il Documento programmatico sulla sicurezza.pdf") della quale riporto solo la premessa:
QUOTE
La presente guida mira a facilitare l’adempimento dell’obbligo di redazione del
documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e
medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche.
La guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio
utilizzarla per adempiere all’obbligo.
La guida è strutturata in due parti: la prima contiene istruzioni per sviluppare il
DPS negli aspetti descrittivi oppure nella compilazione di alcune tabelle riportate nella
seconda parte.
Nella guida sono anche evidenziati altri elementi utilizzabili facoltativamente -comprese
alcune tabelle-, che si ritengono utili per una più approfondita definizione
del DPS.
UNQUOTE

Da notare quindi che si profila chiaramente l'ipotesi che qualsiasi persona giuridica sia compresa tra coloro che dovranno predisporre -nella parte di loro competenza- il DPS.

Recentemente la CEDCAMERA della Camera di Commercio di Milano ha messo a disposizione sia un corso on-line (a 150 euro) di tre ore per la comprensione della legge e del DPS ed un software per la sua compilazione (a xxxyyy euro, solo dopo averlo provato). Prima di sborsare tali cifre ci penserei due volte.

Ieri (giugno 16) era girata voce di una proroga ulteriore ma la questione risulta del tutto inestente dal momento che dovrebbe essere emanata con Decreto Legislativo.

Vi consiglio di dare un'occhiata ad Interlex (http://www.interlex.it) per i commenti in proposito.

Ricordarsi che un "canovaccio" non esiste, salvo per quelle figure giuridiche che già dal 2000 avevano l'obbligo di compilare il DPS le quali, ora, si trovano solo a dover "aggiornare secondo la nuova normativa" il nuovo DPS invece di "predisporlo" ex novo.

La gran confusione è data dal fatto che il garante ha ridotto le guide ad un mero upgrade delle incombenze già predisposte della legge 675/96 -ora abrogata dal TU/DL 196/03- invece di emanare linee precise e, susseguentemente, dal fatto che tutti cercano di dare interpretazione propria al nuovo Testo Unico.

Io sto seguendo tre Aziende in questo momento ed i problemi interni sono parecchi. A ciò si aggiunga che la Guardia di Finanza ha già effetuato circa 6000 controlli in
Milano e Provincia a che la "notifica" al garante -da inviarsi non oltre il 30 aprile solo in via telematica- fosse stata effettuata.

Non contate su proroghe, quindi, ma al massimo che la Guardia di Finanza possa essere meno restrittiva in questo primo periodo (ricordarsi che il DPS ha come data certa per la compilazione completa il 31 dicembre 2004 -per eventuali adeguamenti informatici -ad esempio-; ad ora sono richieste le "misure minime di sicurezza -> vedi l'allegato B punto 19 ed artt. da 33 a 36 del Testo unico").

Sulla questione monetaria, Sempre come ha scritto Kadosh, l'eventuale ausilio di risorse esterne è variabile a seconda della figura giuridica, dimensioni di essa ed servizi richiesti. MOlte aziende si affidano ad esterni anche per la compilazione del DPS, che comporta un notevole dispendio di tempo. Così come per il coordinamento delle risorse interne atte al reperimento delle informazioni necessarie.
Sembrerebbe assurdo ma in tutte le Aziende presso le quali mi trovo io devo "ficcare" il naso nei dati aziendali perché i/l responsabili/e (persone fisiche -ie Direttore del personale o Dei Sistemi Informativi- all'interno della struttura nominate dal Titolare (persona giuridica -l'Amministratore Delegato, in breve, che è colui ad essere soggeto alle sanzioni civili e penali) "non ha/nno tempo". Da questo una tariffazione molto alta, a fronte di lavoro imbrobo.

Chiudo con la semplice constatazione che a fronte di chi ha interpretato in modo corretto il concetto di deroga/proroga teporale -alias ulteriore tempo per meglio definire e completare il DPS- la maggior parte ne ha solo preso atto rinviando il problema sull'agenda. Solo quando si è letto che il DPS dovrà essere pienamente completato entro il 31 mazo 2005, in coincidenza all'emanazione della "relazione accompagnatoria del bilancio di esercizio", si sono improvvisamente tutti svegliati (il portafoglio fa da padrone).

Infine, i casini del signor Urbani hanno distolto molti da scadenze, come quella in essere, che sono tutt'altro che da sottovalutare.
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano

Postdi JeanCarrel » 17/06/04 22:12

Gentilissimo e chiarissimo.

Mi chiedevo posso effettura anche in comune la

Dal momento che non va inviato al Garante, ma semplicemente conservato, si consiglia ai fini probatori di dare al documento data certa (autoprestazione in posta)


Quindi per riasumere TUTTI dovrebbero fare il DPS e mettersi a norma con relative attrezzature (hw e/o sw), ma solo chi tratta dati "sensibili" e/o "giudiziari" deve inviare notifica al Garante.

Saluti.
Fede
Linux Registered User #353428
JeanCarrel
Newbie
 
Post: 5
Iscritto il: 16/06/04 20:44

Postdi gamptw » 18/06/04 00:06

JeanCarrel ha scritto:
Quindi per riasumere TUTTI dovrebbero fare il DPS e mettersi a norma con relative attrezzature (hw e/o sw), ma solo chi tratta dati "sensibili" e/o "giudiziari" deve inviare notifica al Garante.

Saluti.
Fede


sì. Solo una minima precisazione: la notifica, per coloro ai quali spettava, doveva essere già essere stata fatta (il limite era il 31 marzo, prorogato al 30 aprile).
La predisposizione del DPS (o Documento, per distinguerlo dalla notifica) è successiva alla (eventuale) notifica ed è consigliabile averlo già in ufficio per il 30 giugno (con data certa tramite autoprestazione in posta, atto notarile o altro mezzo idoneo..il primo è il più semplice e meno costoso) poiché, se del caso la Finanza dovesse venire a fare una ispezione, tu sei andato chiaramente esprimendo al Garante di non poter essere ancora del tutto a norma e che predisporrai per le scadenze succesive i sistemi di sicurezza minimi. Compilerai solo le parti minimali che ti competono (ie, clienti, fornitori, dipendenti -se ne hai uno hai, ovviamente, un dato personale che deve avere un minimo di protezione).
In pratica ti metti subito in una piccola botte di ferro (non in senso...per fregare l'ordinamento giudiziario ma...) per proteggere sia la tua persona giuridica sia chi ha rapporti commerciali (ie clienti, fornitori) con te verso la Giustizia; in questo modo potrai avere più tempo per assolvere alla normativa completa (non rimandarla, ma compilarla a poco a poco :-).

ciao
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano

Postdi gamptw » 18/06/04 06:48

gamptw ha scritto:In pratica ti metti subito in una piccola botte di ferro (non in senso...per fregare l'ordinamento giudiziario ma...) per proteggere sia la tua persona giuridica sia chi ha rapporti commerciali (ie clienti, fornitori) con te verso la Giustizia; in questo modo potrai avere più tempo per assolvere alla normativa completa (non rimandarla, ma compilarla a poco a poco :-).

ciao


Ti pongo in velocità solo un esempio (NB la disciplina dei dati non trattatati elttronicamente è all'art. 35 del 196/03).

Per quanto tu vada dicendo che hai solo biglietti da visita dei tuoi clienti, hai cmq una ragione sociale ed una Partita IVA. Sicuramente avrai nel PC (e nella rete interna/LAN -questa è una delle novità: prima contavano solo i PC con connessioni all'esterno) dei dati Personali relativi ad essi (ammettiamo anche sia una mail o delle schede di commento. Ti trovi con un dato personale (da art 4, comma 1 lettera b : “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale). Ora, non ti è richiesto compilare il DPS con tutti i dati che puoi avere nel PC, ma solo come questi possano essere posti al sicuro.

Esempio: nel mio piccolo, anch'io sono un libero professionista, ho compilato il DPS -scrivo in breve poiché tra 10 minuti esco e non tornerò prima di sera- in modo da identificare il PC ove siano contenuti i dati personali (schede clienti e fornitori, commenti, la/le rubrica/he contenenti dati come # di telefono ed e-mail o indirizzi e P-IVA). Che questo è protetto da una password di almeno 8 caratteri (ove SW e HD lo permettano, altrimenti è il massimo dei caratteri disponibili), ragion per la quale se la donna delle pulizie [si sa mai :)] decidesse di usare il PC a scopi privati si troverebbe impossibilitata ad accedere al Sistema. Il metodo di conservazione dei dati (Backup) e luogo di conservazione di essi per aggiornamenti e ripristino (ammettiamo che, accidentalmente, per disperazione dessi fuoco al PC distrugggendolo), e sistema di sicurezza "meccanico" (cassaforte, ad esempio) ove questi backup sono conservati.

L'ho messa molto semplicisticamente, e sembra quasi ridicola, ma in questo modo dimostro aver proceduto ( o almeno evidenzio lo stato dell'arte) ad adempimenti minimi di sicurezza.

Il TU 196/03 è interessante, IMHO, proprio per il fatto che va a riassumere in poche norme scritte tutto quanto precedeva, lasciando spazio alla vera e propria "sicurezza" dei dati, spesso molto trascurati. Magari all'inizio sarà dura ma poi -credo- la stada sia solo in discesa.

Comunque, per chiudere, ho visto che neanche questa notte il Garante ha mosso un dito tanto su linee guida quanto sulle "riflessioni".

ciao
a.
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano

Postdi dado » 18/06/04 11:18

Se può tornare utile, posto questo link e i riferimenti in esso contenuti:
http://www.swzone.it/articoli/docprogsic/

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Ribonix » 24/06/04 14:54

La persona che lavora con me al DPS mi ha appena confermato che ci sarà la sospirata proroga al il 31/12/2004.
Prima di mettere altra brace sul fuoco sto procedendo anch'io alle debite verifiche...
Allah Akhbar! Allah Akhbar! Allah Akhbar!
Avatar utente
Ribonix
Utente Senior
 
Post: 346
Iscritto il: 12/02/03 22:41
Località: 3GYPT

Postdi gamptw » 24/06/04 17:35

Ribonix ha scritto:La persona che lavora con me al DPS mi ha appena confermato che ci sarà la sospirata proroga al il 31/12/2004.
Prima di mettere altra brace sul fuoco sto procedendo anch'io alle debite verifiche...


Ovviamente :( il Garante nulla dice o menziona.

Ecco il link preciso:
http://www.governo.it/Governo/Consiglio ... 605&pg_c=2

Ed ecco la parte cui si riferisce:
- un decreto-legge che differisce al 31 dicembre 2004 il termine di scadenza dei consigli degli Ordini professionali (provinciali, regionali e nazionali), già previsto per il 30 giugno 2004, al fine di coordinare tale scadenza con il regolamento che definirà le procedure elettorali ed il funzionamento degli organi disciplinari, in corso di predisposizione; ulteriori proroghe riguardano il regime transitorio concernente i procedimenti per la dichiarazione dello stato di adottabilità ed i procedimenti civili innanzi al tribunale per i minorenni (30 giugno 2005), nonchè alcuni termini in materia di protezione e trattamento dei dati personali;



Mah...realtà lavorativa e gioco politico continuano imperituri :(

ciao
a.
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano

Postdi gamptw » 25/06/04 06:45

Ribonix ha scritto:La persona che lavora con me al DPS mi ha appena confermato che ci sarà la sospirata proroga al il 31/12/2004.


Ora, nella notte sono usciti un po' di pareri legali (nulla ancora sia sul sito del garante o del Governo, se non quanto già menzionato nel mio precedente).

A questo punto sembra che (leggi però i punti a e b):

Il 22 giugno 2004 è stato varato dal Consiglio dei Ministri il provvedimento mediante il quale sono state stabilite nuove date di scadenza in materia di obblighi relativi all’adeguamento alle misure minime e di sicurezza e per la redazione del documento programmatico sulla sicurezza. In specie, il Consiglio dei Ministri ha modificato l’articolo 180 del Codice Privacy, ovvero quello contenente le disposizioni transitorie in materia di sicurezza.
È slittato così al 31 dicembre 2004 l’obbligo di redazione del documento programmatico, avendo stabilito il provvedimento, la sostituzione della precedente data sussistente nel testo emergendo così la seguente versione definitiva del primo comma di cui all’art. 180 Codice privacy: “Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste dal Decreto del Presidente della Repubblica 28 luglio 1999 n. 318, sono adottate entro il 31 dicembre 2004.”

Citando così le misure di sicurezza contemplate agli artt. 33-35 e l’allegato B), sì è incluso il rinvio al 31 dicembre dell’obbligo di tenuta di un aggiornato documento programmatico, ovvero un documento in cui sia riportata “la fotografia” delle misure di sicurezza che il titolare adotta in relazione alla tutela ed alla salvaguardia dei dati personali e sensibili detenuti in formato elettronico. Inoltre, l’intervento del legislatore è avvenuto anche su un altro punto cruciale dell’art. 180, ovvero laddove era richiesto dal precedente testo di legge l’adempimento all’obbligo – da parte del titolare del trattamento - dell’adozione di quelle misure di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare sulla base di idonee misure un incremento dei rischi, non dovendo più il titolare provvedere entro un anno dall’entrata in vigore del codice (quindi entro il 31 dicembre 2004) bensì entro il 31 marzo 2005.

Attenzione, però:
a) il rinvio è riferito solo alle misure di sicurezza e non a tutti gli altri adempimenti previsti dal codice, come informative, consenso al trattamento, istruzioni per gli incaricati e quant'altro !!!
b) Vale sempre in termini condizionali, fintanto che non esce il decreto sulla gazzetta...
c) commento personale
Rimango sempre più basito....hanno assimilato qualcosa di buono al sistema dei condoni...e poi ci si chiede perché in Italia le leggi non vengono nemmeno prese in considerazione (aspetta aspetta, tanto il condono arriva...) :( (non conosco lo smiley PUAH!)

a.
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "DPS --- CHI DEVE FARLO???":


Chi c’è in linea

Visitano il forum: Nessuno e 33 ospiti