        |
 |
|
 Servizio Civile VolontarioConvenzioniAssicurazioniAPSConsulenzeIstruzioni per l'UsoFAQPrivacy |
|
|
ABACO PER LA PRIVACY NEI CIRCOLI ANSPI
Il nuovo codice della Privacy (D.Lgs n.196 del 30.06.2003) entrato in vigore il 01.01.2004 disciplina il trattamento dei dati dei cittadini al fine di tutelarne la riservatezza.
Esso ha definito:
-“dato personale meritevole di riservatezza" qualunque informazione relativa a "persona fisica, persona giuridica ente od associazione" identificati o identificabili (…).
-“trattamento” qualunque operazione, effettuata anche senza l'ausilio di personal computer, concernente “la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, (…), la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.."
La normativa ha imposto una serie di obblighi a chi effettua il trattamento (Titolare del trattamento) ed ha attribuito numerosi diritti esclusivamente a colui cui si riferiscono i dati (Interessato del trattamento).
Gli obblighi normativi si estrinsecano"sostanzialmente" in misure di sicurezza che interessano:
- il sistema informativo (rete locale" server" singole stazioni di lavoro" antivirus" firewall);
- le procedure operative (modus operandi);
- i dipendenti e collaboratori che trattano i dati personali;
- le strutture fisiche (es. locali aziendali).
I principali diritti attribuiti all'interessato sono quelli di conoscere e controllare le modalità di raccolta dei propri dati e di ottenerne l'aggiornamento, la rettifica e la cancellazione.
Pur nella specificità e completezza del testo, la normativa ha disciplinato (ed elencato) soltanto le misure minime di sicurezza, lasciando al Titolare del trattamento l'onere di individuare ed applicare ulteriori misure , misure idonee di sicurezza , volte a minimizzare il rischio insito in ogni trattamento.
Diritto dell'Interessato è, infatti, quello che il Titolare adotti tutte le misure di sicurezza atte a garantire la riservatezza dei dati, in relazione al tipo di attività ed alla struttura operativa del Titolare.
L'adozione delle misure minime di sicurezza è un obbligo normativo, sanzionato con provvedimenti in materia penale ed amministrativa; invece la mancata applicazione delle misure idonee emerge, anche o soltanto, in sede di responsabilità civile (richiesta di risarcimento danni) e comporta la condanna del titolare che non dimostri che il danno, pur essendo in relazione col trattamento effettuato, non poteva essere evitato in alcun modo malgrado le “corrette” misure di sicurezza applicate.
La normativa ha, inoltre, previsto che l'intera organizzazione del trattamento dei dati deve essere accompagnata da una serie di documenti cartacei che hanno:
- carattere descrittivo;
- carattere impegnativo e probatorio.
(organizzative, tecniche, procedurali e fisiche), adottate e da adottare da parte dell'organizzazione del Titolare del trattamento.
Il D.P.S. deve contenere:
- l'elenco e la descrizione dei trattamenti;
- la definizione delle strutture aziendali responsabili di tale processo;
- l'analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l'integrità, la disponibilità ed il ripristino dei dati;
- la previsione di idonei interventi formativi;
- la descrizione dei criteri da seguire per garantire le misure minime di sicurezza;
- le figure aziendali che, nello svolgimento ordinario del “normale” rapporto di lavoro, saranno incaricate del trattamento dei dati.
Il D.P.S. è obbligatorio soltanto per le realtà che trattano dati personali sensibili e giudiziari.
Il D.P.S. deve avere data certa e deve essere oggetto di revisione annuale.
- Notifica al garante (soltanto per alcuni soggetti e/o per il trattamento di alcune tipologie di dati);
- lettera di Informativa (da parte del Titolare del trattamento);
- autorizzazione al trattamento dei dati personali, c.d. Consenso (da raccogliere a firma del, l'Interessato);
- lettere di Incarico al proprio personale coinvolto nel trattamento dei dati, conformemente a quanto previsto nel D.P.S. (da parte del Titolare del trattamento).
Fra le misure minime di sicurezze, e quindi obbligatorie, rientra anche la formazione a tutti coloro (interessati esclusi) che sono coinvolti nel trattamento dei dati. La normativa prevede l'effettuazione di “interventi formativi” per rendere edotto il personale coinvolto dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal Titolare.
La formazione deve essere programmata “già al momento dell'ingresso in servizio" nonché in occasione di cambiamenti di mansioni" o di introduzione di nuovi significativi strumenti" rilevanti rispetto al trattamento di dati personali.
Il D.Lgs n.196 del 30.06.2003 rappresenta una ricomposizione dei tasselli che, dopo numerose modifiche ed integrazioni della L. 6/756 ne costituivano un vero puzzle ed è caratterizzato da un grado di dettaglio, precedentemente non previsto, che impone alle singole realtà una revisione di tutte le misure già adottate.
Fra le diverse innovazioni" l'attuale normativa ha rovesciato il principio su cui si fonda l'obbligo di notifica al garante; ha differenziato le misure di sicurezza in minime e idonee ed ha regolamentato soltanto le prime; ha introdotto gli obblighi di redigere il D.P.S. e di effettuare interventi formativi.
Abaco, forte della propria esperienza in 20 anni di consulenzadella sicurezza nella gestione dei dati ha realizzato in collaborazione con Anspi Nazionale un servizio dedicato alla soluzione della normativa presso i circoli.
I documenti scaricabili on-line sono in formato pdf Acrobat® reader™ o Microsoft® Word
Per scaricare il programma gratuito, vi preghiamo di andare al sito www.adobe.it e seguire la procedura indicata. |
|