Home / News Consulenza / News Privacy / Semplificazione privacy

Il 9 dicembre 2008 è stato pubblicato sulla Gazzetta Ufficiale il provvedimento del garante del 27 novembre 2008 che semplifica le misure di sicurezza della privacy per aziende di piccole dimensioni con trattamenti minimi di dati personali.

Una prima semplificazione era stata introdotta dal D.lgs 112/2008 "Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria", in cui,  “Per i soggetti che trattano soltanto dati personali non sensibili e l'unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi”, l'obbligo di redigere il DPS e' sostituito dall’ autocertificazione di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte redatta dal titolare del trattamento.
Tale misura però si è rivelata difficilmente applicabile poiché è sufficiente trattare il dato della malattia del figlio del dipendente in congedo o di un dipendente in aspettativa legata ad una carica politica per impedire l'utilizzo delle misure semplificate. Inoltre tale semplificazione comporta un alto livello di responsabilità penale legata ad una falsa dichiarazione nell’autocertificazione

Con il provvedimento del 27 novembre la semplificazione è diventata reale.

 

Chi può usufruirne

Possono usufruire di tale provvedimento sia soggetti pubblici che privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalità amministrative e contabili.

In sostanza
In sostanza nella misura semplificata dell’applicazione del Testo unico sulla privacy l’All.B in cui sono riportate le misure minime di sicurezza è sostituito dal prospetto allegato al provvedimento del Garante (in particolare sono escluse le regole 20, 22, 23, 24, 25, 26, 29 dell’All.B).

• Le istruzioni agli incaricati del trattamento possono essere impartite oralmente con indicazioni di semplice e chiara formulazione.
• Per l'accesso ai sistemi informatici si può utilizzare una qualsiasi username strettamente personale associato ad una password segreta.
• L'username deve essere disattivato quando l'incaricato non ha più titolo per accedere ai dati (e non più dopo 6 mesi di non utilizzo).
• Come modalità di accesso agli archivi informatici si può usare la procedura di login propria del sistema operativo presente sui PC in rete.
• La password non deve essere obbligatoriamente di otto caratteri e non c’è alcun obbligo di modifica dopo 3/6 mesi.
• Non c’è più l’incaricato per la custodia delle credenziali. E’ sufficiente che il titolare definisca le modalità secondo cui intende assicurare la disponibilità dei dati in caso di assenza dell’incaricato.
• Non c’è più l’obbligo di verifica annuale del mantenimento delle caratteristiche degli incaricati a fronte dei profili di autorizzazione definiti.
• L’aggiornamento degli antivirus è previsto almeno annualmente
• Se il pc non è connesso a reti di comunicazione elettronica accessibili al pubblico l’aggiornamento antivirus deve essere almeno biennale
• Il back-up dei dati deve essere almeno mensile e deve comunque essere sempre presente una copia per il ripristino.
• Il DPS va aggiornato solo nel caso in cui cambi qualcosa se no rimane in vigore quello dell’anno precedente.
• Il DPS semplificato deve contenere:
• Identificazione del titolare del trattamento ed eventuali responsabili
• Descrizione generale dei trattamenti effettuati (finalità, persone interessate, dati raccolti, destinatari a cui possono essere comunicati i dati, incaricati e relative responsabilità, descrizione delle misure di sicurezza adottate per prevenire i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non conforme alle finalità della raccolta
• Per i trattamenti cartacei c’è l’obbligo di custodia per l’incaricato durante il trattamento affinché non accedano persone non autorizzate a documenti contenenti dati sensibili. Mentre non c’è più l'obbligo di identificazione del personale che accede agli uffici dopo la chiusura

Chi Siamo | Software | Internet | Consulenza aziendale | Formazione | Shop on-line | Free Download | News Consulenza | Area Clienti

Home | Contatti | Cerca | Mappa del Sito

Copyright © 2008 GONETWORK > www.gonetwork.it - Soluzioni internet e consulenza aziendale - Dati societari
Sede Principale: Via Vetraia 7/11 Viareggio (LU) - P.IVA 01725820466 - Altre sedi: Milano, Torino, Genova | Validate > XHTML 1.0 Transitional! | CSS