Home » Consulenza » Privacy in azienda

Applicazione in azienda della legge sulla Privacy

Il nuovo Testo Unico sulla Privacy D.Lgs. 196/03 (sostituisce una serie di norme tra le quali: la legge del 31 dicembre 1996 n. 675, il DPR del 28 luglio 1999 n. 318, il decreto legislativo del 28 dicembre 2001 n. 467, ecc.), pubblicato sulla Gazzetta Ufficiale il 29/07/2003 ed entrato in vigore il 1 gennaio 2004, definisce alcune norme e comportamenti da adottare per il corretto trattamento dei dati personali, sia che riguardino persone fisiche o giuridiche (“dati personali” oltre che dati sensibili).

Il Decreto Legislativo prende in esame non solo l’aspetto burocratico/cartaceo ma anche quello informatico, si parla soprattutto di sicurezza dei dati (archiviazione, privilegi di accesso), gestione delle autenticazioni (gestione account di sistema e gestione password) ed anche di strumenti per la sicurezza informatica come il come il firewall, che sarà necessario per alcune aziende che si collegano ad Internet.

Il responsabile dell’attuazione di queste normative è il titolare dell’azienda, che quindi ne risponde anche dal punto di vista penale. Il titolare deve garantire l’applicazione delle istruzioni date dal Disciplinare Tecnico, ad esempio: una garanzia sulla periodicità del cambio delle password, il backup settimanale dei dati, ecc.

Chi dovrà adeguarsi

Tutti coloro che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.). Chiaramente gli adeguamenti variano in base alla tipologia di dati trattati e all'utilizzo degli stessi.

Tempi di adeguamento

In teoria tutti, privati e pubblici, dovrebbero aver adeguato le proprie strutture secondo le disposizioni del decreto. Tutte le misure minime di sicurezza richieste (password, backup, antivirus, ecc.) eventuale DPS (Documento Programmatico sulla Sicurezza) per quelle che trattano dati sensibili con strumenti elettronici/informatici o comunque obbligate a farlo, dovrebbero essersi adeguate. In realtà non è così!

I motivi sono diversi: poco tempo da dedicare, non è stato trovato un partner ideale, i costi preventivati erano eccessivi, ecc.

Sanzioni

Le sanzioni sono diverse in base al reato. Di seguito ne sono riportate alcune di esempio:

Art. 169: Omessa adozione di misure necessarie alla sicurezza dei dati. Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 a 50.000 euro.

Art. 161: BLA BLA BLA BLA.......

Art. 163: BLA BLA BLA BLA.......

Potremmo snocciolare uno a uno tutti gli articoli e le relative sanzioni, come si legge spesso navigando su internet, ma alla fine la domanda che vi porreste è "Chissa perchè queste cifre?" oppure .....Lasciamo a voi la domanda e la risposta.

Come adeguarsi

Innanzitutto bisogna capire cosa richiede questa nuova legge e solo successivamente si potrà programmare un adeguamento progressivo dell’azienda, adottando idonee misure di sicurezza (fisiche e logiche).

Il nostro lavoro inizia con una visita presso la Vostra sede. Durante tale incontro i nostri professionisti Vi aggiorneranno sulle novità normative, rispondendo alle Vostre domande, chiarendo gli eventuali dubbi, rischi e possibili conseguenze degli inadempimenti, in modo che possiate decidere consapevolmente come agire.

Gli interventi di adeguamento:

  1. Analisi della struttura informatica dell’azienda e la stesura di un elenco di tutti le azioni da adottare per adeguare la struttura alla nuova legge;
  2. Determinazione dei dati: comuni, sensibili, ecc;
  3. Analisi della sicurezza dei dati;
  4. Analisi strutturata dei rischi;
  5. Redazione della modulistica richiesta dalla legge (informativa, consenso);
  6. Definizione nomine (responsabile del trattamento, incaricati interni ed esterni, amministratore di password ecc.);
  7. Elaborazione di un vademecum per dipendenti, che contiene le indicazioni pratiche da seguire per il corretto trattamento dei dati (per aziende con strutture complesse);
  8. Gestione privacy nell’eventuale presenza su internet;
  9. Approntamento o implementazione delle misure di sicurezza minime ed idonee per la protezione dei dati;
  10. Adeguamento alle nuove modifiche dei requisiti tecnici;
  11. Notifica ed Autorizzazione al trattamento dei dati;
  12. Redazione o revisione del Documento Programmatico Sulla Sicurezza;
  13. Consulenza aperta, ovvero assistenza di un tecnico-professionista personale per ogni dubbio e problema;
  14. Nel caso in cui l’intervento prevede anche un adeguamento della struttura informatica, verrà rilasciata una dichiarazione di piena conformità relativa alle misure minime di sicurezza richieste dal Disciplinare Tecnico;

L’intervento consulenziale è finalizzato all’ottenimento del massimo vantaggio aziendale, collegato al lavoro di analisi che verrà effettuato precedentemente, per migliorare le procedure, distribuire le responsabilità, coinvolgere tutti i soggetti dell’Azienda in una seria politica di “tutela” nel trattamento dei dati e di sicurezza informatica. Con questa premessa l’adeguamento deve essere visto come un investimento, fatto a fronte dell’assolvimento di un obbligo burocratico.

Per avere maggiori informazioni o ricevere la visita di un nostro professionista potete contattarci via mail: info@e-creation.it