Privacy

Testo Unico sulla privacy D.Lgs. 196 del 30/06/2003
Pianeta Informatico offre il servizio completo di consulenza in materia di privacy 
fin dalle origini della disciplina: la competenza legale, la competenza tecnica e 
la competenza organizzativa adeguata per supportare i nostri clienti.
 L’offerta è rivolta a:

  • amministratori di Sistema
  • responsabili HR
  • responsabili Privacy
  • responsabili Marketing

I nostri consulenti  affiancheranno il tuo personale durante il percorso di analisi, mantenimento e aggiornamento di un sistema di gestione privacy volto a rispettare i seguenti obblighi normativi:

  • classificazione e tipologia di trattamento dei dati
  • analisi dei rischi
  • misure di sicurezza
  • organigramma Privacy
  • informative e consensi
  • incarichi e nomine
  • procedure e Istruzioni
  • formazione
  • documento sulla sicurezza dei dati
  • log management

Continueranno a tenerti aggiornato su tutto ciò che sarà necessario implementare per adeguare la tua attività in materia privacy.


Le nuove modifiche al codice della Privacy

 

privacy

 

 

Il Decreto Monti “Salva Italia”, Comma 2 dell´art. 40 del D.L. 6 dicembre 2011 n. 201

Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:

all´articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.

  • a) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.
  • b) Il comma 3-bis dell’articolo 5 è abrogato.
  • c) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.
  • d) La lettera h) del comma i dell’articolo 43 è soppressa.

 

Il Decreto SEMPLIFICAZIONI del 9 febbraio 2012, n. 5

Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

  • a) all’articolo 21 dopo il comma 1 è inserito il seguente: «1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.»;
  • b) all’articolo 27, comma 1, è aggiunto, in fine, il seguente periodo: “Si applica quanto previsto dall’articolo 21, comma 1-bis.”;
  • c) all’articolo 34 è soppressa la lettera g) del comma 1 ed è abrogato il comma 1-bis;
  • d) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.

 

 

Cosa cambia?

Eliminazione della figura giuridica dalla definizione di interessato

Il concetto base di questo articolo è il seguente: viene soppresso dalla definizione di interessato il concetto di persona giuridica ovvero l’ambito di applicazione della legge tocca solamente i dati che riguardano le persone Fisiche e non più le persone giuridiche (aziende associazione etc).

A prima vista può sembrare una grande semplificazione per le aziende e spesso si è sentito dire in questi giorni: “io vendo solo ad altre aziende non a privati quindi…”

Tuttavia ciò non significa che le imprese non debbano seguire la norma del Codice della privacy e le indicazioni del Garante per la protezione dei dati relativi alle persone fisiche poiché esse trattano, e continueranno a trattare, anche dati di persone fisiche. Le imprese giornalmente gestiscono ad esempio nome dell´amministratore di altre società, il nome ed il cognome del direttore marketing o di quello di produzione , il nome della segretaria del commercialista o dell’avvocato, il nome ed i riferimenti personali di chi fa assistenza tecnica ai computer.

NON ESISTE in pratica AZIENDA che nel lavoro quotidiano non trattino anche dati di persone fisiche (nomi, cognomi, indirizzari, rubriche, ecc.).

Per esempio trattano dati personali le aziende che:

  • Hanno dipendenti
  • Hanno collaboratori
  • Hanno un CRM con nomi e cognomi
  • Recuperano da WEB attraverso FORM informazioni per spedire pubblicità
  • Hanno dei curricula
  • Hanno la videosorveglianza
  • Ricevono della posta elettronica
  • Fanno navigare su Internet dipendenti

Rimozione Documento Programmatico per la Sicurezza (DPS) dalle Misure Minime

In riferimento all’obbligo, finora previsto, dell’aggiornamento entro il 31 marzo di ogni anno del Documento Programmatico per la Sicurezza (DPS), il d.l. 9 febbraio 2012, n. 5 – attualmente all’esame del Parlamento per la conversione in legge – ha,modificato alcune disposizione del Codice in materia di protezione di dati personali, sopprimendo in particolare dagli adempimenti in materia di misure minime di sicurezza proprio il Documento Programmatico per la Sicurezza (DPS). Pertanto, salvo che intervengano modifiche da parte del Parlamento,

l’obbligo di redigere e aggiornare periodicamente il citato DPS è venuto meno.
Allo stesso modo decade l’obbligo di riferire, nella relazione accompagnatoria del bilancio di esercizio, dell’avvenuta redazione del DPS.

Va sottolineato però che gli obblighi del DPS costituivano solamente due dei ventinove punti previsti dalle misure minime di sicurezza, i restanti obblighi sono rimasti invariati.

in realtà la rimozione del DPS ha reso obbligatori alcuni documenti che in precedenza non era necessario compilare, in quanto inclusi nel DPS. 

Cosa fare?

 

Gli obblighi sono rimasti invariati, ad eccezione della compilazione del Documento Programmatico sulla Sicurezza che non è più obbligatorio.

In particolare si deve:

  • Avere le Informative corrette, ricordandosi che ora riguardano solamente le persone fisiche.
  • Verificare di recuperare i consensi per i trattamenti non esenti ex Art. 24
  • Effettuare la notificazione se dovuto a fronte dei 6 trattamenti esplicitati dal’Art. 37
  • Avere le 27 Misure minime
  • Compilare i documenti che sono rimasti obbligatori per le misure minime di sicurezza e che prima, essendo integrati nel DPS, non venivano redatti.

In particolare nel vecchio documento programmatico era presente un documento denominato Organigramma Privacy in cui erano contenuti i dati trattati e le distribuzione dei compiti agli incaricati con i relativi profili di autorizzazione. Con l’abolizione del DPS (punto 19) rimangono tuttavia gli obblighi relativi ai punti 14 e 15 che determinano la costruzione di un nuovo documento relativo agli incaricati (chi sono, a quali dati possono accedere e con che profili).

Rimangono inoltre gli obblighi relativi ai punti 23 e 25 che determinano la creazione di un nuovo documento in sostituzione del piano di disaster recovery che era presente nel vecchio DPS.

Si presenta quindi per le aziende l’obbligo di avere una nuova documentazione che chiameremo Manuale Organizzativo Della Privacy, e che adempie alle misure minime rimaste nell’allegato B.

 

privacy


Cosa tratta la legge 196 del 2003

Dal 1 Gennaio 2004 è in vigore, in Italia, il “Codice in materia di protezione dei dati personali” (D.lgs 196 del 30/6/2003) che riforma interamente la disciplina sulla privacy, in particolare per quanto riguarda le misure minime di sicurezza a garanzia del corretto trattamento dei dati personali.

 

Pianeta Informatico si adegua per rispondere alle esigenze delle piccole e medie imprese di allineare i propri standard di lavoro alla nuova normativa sulla privacy prevista dal decreto legislativo n. 196/2003. Con questa legge, infatti, si rendono necessarie per ogni ente pubblico o privato, società, ditta individuale, libero professionista ma anche scuole, ospedali, amministrazioni pubbliche, etc. una analisi dettagliata delle metodologie e tipologie di trattamento dei dati personali effettuato. Tale analisi richiede la conoscenza approfondita della legge e specifiche competenze nel settore informatico, visto che la maggior parte dei dati che circolano tra i soggetti avviene attraverso supporti elettronici. Per questo motivo non è sufficiente un esperto legale che analizzi le problematiche di un’azienda senza conoscere le strutture informatiche e allo stesso tempo non è possibile compiere questa analisi da parte di un esperto informatico che ignori quanto prevede la normativa in tema di privacy. Dall’unione di queste due competenze nasce, invece, un servizio che può esaminare a 360 gradi le problematiche con cui si scontrano le aziende nel processo di trattamento dei dati, indicando le soluzioni migliori in rapporto alla singola specifica realtà.

Diversi sono i rapporti che le aziende devono regolamentare con i soggetti con cui entrano in contatto: clienti, fornitori, dipendenti, soci, ditte esterne di consulenza, potenziali clienti, etc.

La legge sulla privacy prevede l’obbligo di predisporre specifiche lettere d’incarico, informative per l’autorizzazione al trattamento dei dati, comunicazioni di garanzia sul corretto trattamento, avvertenze da inserire nelle email, etc.

Pianeta Informatico redige tutte le modulistiche necessarie secondo il d. lgs. n. 196/2003 specificamente per ogni singola realtà.

Esegue inoltre presso la sede dell’azienda uno screening generale della situazione, valuta le eventuali carenze rispetto a quanto previsto dal Codice della Privacy ed individua le misure di sicurezza da adottare per portare la realtà aziendale in linea con la legge.

L’analisi si focalizza sulla struttura fisica degli ambienti di lavoro, sull’impostazione logica dei trattamenti dei dati personali, sugli strumenti utilizzati per eseguire i trattamenti e sul livello di formazione degli incaricati al trattamento.

Il mancato adeguamento alle disposizioni legislative comporta l’applicazione di sanzioni penali ed amministrative, oltre che la condanna, in sede civile, in caso di risarcimento danni richiesto da chi dimostri di essere stato danneggiato per la mancata adozione di idonee misure di sicurezza.