Il 31 marzo 2008 scade il termine per la revisione e l'aggiornamento del DPS documento programmatico per la sicurezza dei dati, obbligo previsto dal D. LGS. 196 del 30 giugno 2003 più noto come "Codice in materia di protezione dei dati personali" o anche "Testo Unico sulla Privacy", per tutti coloro che trattano dati sensibili o giudiziari attraverso l'utilizzo di strumenti elettronici.
La revisione e l'aggiornamento del DPS oltre ad essere misure imposte dalla legge, previste dal "disciplinare tecnico" allegato B del D. Lgs. 30 giugno 2003 n. 196, risultano essere anche di estrema importanza in quanto permettono di effettuare una revisione del sistema di sicurezza e della protezione dei dati trattati nonché, una nuova analisi dei rischi e delle minacce.
Dal 1 gennaio 2004, ovvero, da quando è entrata in vigore il "Codice in materia di protezione dei dati personali" (D.Lgs. 30 giugno 2003, n. 196) tutti coloro che effettuano un trattamento di dati personali, sensibili e giudiziari sono obbligati a rispettare le misure minime di sicurezza.
Particolarmente importante, nel nuovo testo, è l'estensione dell'obbligatorietà di dette misure minime di sicurezza non solo alle aziende che trattano dati sensibili o giudiziari ma anche a professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.).
Lo scopo delle misure minime di sicurezza è quello di garantire e di proteggere il più possibile, da accessi non consentiti, i dati personali, sensibili o giudiziari dei cittadini in possesso di aziende od enti.
A tal fine, nel "disciplinare tecnico" allegato B del D. Lgs. 30 giugno 2003 n. 196, il legislatore ha espressamente indicato quali sono i requisiti minimi di sicurezza che dovranno essere implementati da chiunque effettui il trattamento di dati per mezzo di elaboratori informatici e nello specifico riguardano:
· autenticazione informatica;
· adozione di procedure di gestione delle credenziali di autenticazione;
· utilizzazione di un sistema di autorizzazione;
· aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
· protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
· adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
· tenuta di un aggiornato Documento Programmatico sulla Sicurezza;
· adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Una delle misure minime di sicurezza previste dal "Codice sulla privacy", come già sopra riportato, riguarda la redazione e l'aggiornamento del "Documento Programmatico Sulla Sicurezza (DPS)".
Il DPS, è un manuale per la pianificazione della sicurezza dei dati in azienda e descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc..
Lo scopo del DPS è quello di descrivere le procedure impiegate per l'analisi dei rischi, la distribuzione dei compiti, misure approntate, la distribuzione delle responsabilità, tenuto conto di quanto stabilito dal Garante nell' art. 34 e Allegato B, regola 19, del D.Lgs. 30 giugno 2003, n. 196 ed è l'unico documento in grado di attestare l'adeguamento della struttura a quanto previsto nel "Testo Unico sulla Privacy.
Il DPS fornisce, in sostanza, una fotografia reale della filosofia che l'azienda adotta per garantire la protezione, l'integrità, la conservazione, la tutela dei dati personali trattati.
I punti salienti del DPS sono:
1. Identificazione delle risorse da proteggere; "Beni" che si vogliono proteggere.
2. Analisi dei Rischi. Valutazione delle minacce e delle vulnerabilità a cui sono esposti i beni individuati.
3. Definizione ed attuazione della Politica di Sicurezza Aziendale; Definizione di un piano di sicurezza aziendale ed individuazione delle misure fisiche, logiche ed organizzative che sono adottate o che si intendono adottare per tutelare le strutture preposte al trattamento dei dati.
4. Piano di verifica delle misure adottate; Verifica dell'efficacia e della validità nel tempo delle misure di sicurezza adottate
5. Piano di formazione degli incaricati; per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire i danni.
Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di ispezione da parte degli organi di controllo preposti, quali Guardia di Finanza e Polizia Postale.
L'omessa adozione delle misure minime di sicurezza è punita, ai sensi dell'Art. 169 del D.Lgs. 30 giugno 2003, n. 196 "Testo Unico sulla Privacy", con l'arresto fino a due anni o con l'ammenda da € 10.000,00 (euro diecimila/00) a € 50.000,00 (euro cinquantamila/00).
La mancata adozione di misure idonee espone il titolare del trattamento a responsabilità civili e al risarcimento del danno, sempre salvo ben più gravi provvedimenti in relazione al danno o all'illecito penale.
DOTTORE COMMERCIALISTA
REVISORE CONTABILE
70032 - BITONTO (BA)
Tel.: 080/3713314
Fax: 080/3740815
E-mail: info@studiosaracino.it
Sito web: www.studiosaracino.it
0 commenti:
Posta un commento