Consulenza Privacy e DPS

images (1)

Didacto Servizi Srl  assiste il Cliente nella compilazione del Dps e di tutti i documenti relativi.

Il D. Lgs. n. 196/03, oltre all’enunciazione di principi generali, impone una serie di verifiche e controlli da effettuare con cadenza periodica, o per espressa previsione normativa, o perchè necessario procedere ad alcune modifiche ogni qualvolta muti uno degli elementi essenziali dell’organizzazione aziendale.

Adempimenti per i quali il Codice sulla Privacy prevede una cadenza almeno annuale):

  • verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’acceso ai dati particolari per gli incaricati;
  • fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente;
  • programmare interventi di formazione per gli incaricati del trattamento;
  • provvedere all’aggiornamento delle patch dei programmi per computer, nel caso di trattamento dei dati comuni (regola 17, Allegato B del D. Lgs n. 196/03).

Adempimenti a cadenza periodica:

  • aggiornare i software antivirus, per tutti i tipi di dati (regola 16, Allegato B del D. Lgs n. 196/03);
  • provvedere all’aggiornamento delle patch dei programmi per computer, nel caso di trattamento di dati sensibili (regola 17, Allegato B del D. Lgs n. 196/03)
  • provvedere al salvataggio dei dati (regola 18, Allegato B del D. Lgs n. 196/03)
  • aggiornare le password assegnate agli incaricati (regola 5, Allegato B del D. Lgs n. 196/03)

31 marzo di ogni anno:

  • aggiornare il DPS (Documento Programmatico sulla Sicurezza): all’interno del DPS deve essere previsto un “Piano di formazione per gli incaricati” che dovrà essere rivisto annualmente.

Prima di iniziare il trattamento:

  • notificazione al Garante (se dovuta) (D. Lgs. n. 196/03 art. 37) e valutare le relative autorizzazioni.

Documento Programmatico sulla Sicurezza

Il DPS (Documento Programmatico sulla Sicurezza) è un documento in cui sono descritti i trattamenti dei dati personali gestiti in azienda, l’organizzazione di sicurezza dell’azienda e l’analisi dei rischi che incombono sui dati personali. Il suo obiettivo è la creazione di una precisa e particolareggiata descrizione del sistema informativo aziendale e delle misure di sicurezza adottate dall’azienda in difesa del trattamento dei dati personali (e dei dati sensibili) sia mediante mezzi informatici sia mediante altri mezzi, ad esempio gli archivi cartacei.

Il DPS (Documento Programmatico sulla Sicurezza), secondo la regola 19 dell’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” (del D. Lgs. n. 196/03), deve essere redatto e aggiornato dal titolare dei dati, o da un responsabile designato entro il 31 marzo di ogni anno e deve essere menzionato nella relazione accompagnatoria del bilancio d’esercizio.

Il D. Lgs. n. 196/03 all’art. 34 lett. g, fa rientrare il DPS tra le misure minime di sicurezza in caso di trattamento dei dati personali con strumenti elettronici, confermandone l’ obbligo di redazione e di aggiornamento.
Il Legislatore affida, sostanzialmente, al DPS il ruolo di dichiarazione di adeguamento dell’ azienda e/o dello studio professionale.

In sintesi, il DPS contiene informazioni riguardo a:

  • l’elenco del trattamento dei dati personali (regola 19.1, Allegato B);
  • la distribuzione dei compiti e delle responsabilitá nell’ambito delle strutture preposte al trattamento dei dati (regola 19. 2, Allegato B);
  • l’analisi dei rischi che incombono sui dati (regola 19.3, Allegato B);
  • le misure da adottare per garantire l’integritá e la disponibilitá dei dati e della protezione delle aree e dei locali, rilevanti ai fini della loro custodia ed accessibilitá (regola 19.4, Allegato B);
  • la descrizione dei criteri e delle modalitá per il ripristino della disponibilitá dei dati in seguito a distruzione o danneggiamento, adottando idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni (regole 19.5 e 23, Allegato B);
  • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsbilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare (regola 19.6, Allegato B);
  • la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformitá al codice, all’esterno della struttura del titolare (regola 19.7, Allegato B);
  • l’individuazione dei criteri da adottare per la cifratura o per la separazione di dati personali idonei a rivelare lo stato di salute e la vita sessuale (contenuti in elenchi, registri o banche di dati trattati da organismi sanitari ed esercenti le professioni sanitarie) dagli altri dati personali dell’interessato (regole 19.8 e 24, Allegato B).

 

 

Annunci