[ L' Esperto Risponde ]
Chi deve adeguarsi alla normativa?
Tutte le società, imprese individuali, cooperative, professionisti, possessori di partita IVA , ONLUS e tutti i soggetti giuridici.
Entro quando ci si deve adeguare?
La Nuova Legge sulla Privacy è già in vigore dal 1° gennaio di quest'anno, vi sono quindi numerosi adempimenti che devono essere già stati adottati da tutte le aziende, ad es.: la nomina degli incaricati, le richieste consensi, le informative ai dipendenti, ecc.., sono tutti adempimenti che devono essere già operativi.
Gli adempimenti prorogati sono quelli relativi al sistema informatico ed all'adozione delle misure minime di sicurezza. La redazione del DPS (Documento Programmatico sulla Sicurezza) che originariamente doveva essere adottatea entro il 31 marzo è stata prorogata al 31 dicembre 2004.
Attenzione! E' quasi certo che non ci saranno ulteriori proroghe. Quindi ogni soggetto nell'arco del 2004 deve mettersi in regola.
Che cos'è il DPS (Documento Programmatico sulla Sicurezza)?
Il legislatore ha introdotto anche in questa materia l'istituto dell'autocertificazione, oramai largamente utilizzato in materia di sicurezza impiantistica, sanitaria, ecc...
Volendo sintetizzare possiamo dire che l'azienda deve procedere ad una auto-analisi delle strutture informatiche, dei trattamenti dati, delle banche dati e dei rischi per tutto il sistema. Ciò fatto l'azienda deve descrivere in modo dettagliato i provvedimenti e le contromisure adottate che devono corrispondere a “requisiti minimi di sicurezza”. Una volta redatta questa analisi va sottoscritta da parte del Titolare e conservata tra i documenti aziendali.
Verrà esibita a richiesta in caso di controllo o contestazione. [leggi articolo: cosa è il DPS]
Esiste uno schema uguale per tutti da adottare?
No è necessaria una specifica analisi che prenda in considerazione :
- Dati trattati
- Uffici coinvolti
- Ambiente fisico in cui vengono trattati
- Individuazione del Personale con accesso ai dati
- Procedure di protezione accesso dati in essere
- Sistema informatico in essere
- Opzioni antiintrusione in essere
- Prodotti antivirus installati
- Procedure backup utilizzate
- Adozione nomine incaricati/responsabili
Se non ho computer e sistemi informatici devo fare il DPS?
No, il DPS va redatto solo in presenza di dati conservati su supporto informatico.
Attenzione! Ciò non esime l'azienda dall'adozione di tutte le indicazioni contenute nel Decreto Legislativo relative a dati su supporto cartaceo e costruzione dell'impianto incarichi/ informative/consensi.
I miei dati risiedono su server remoti: devo fare il DPS?
Si, in quanto il Titolare dei dati (cioè colui al quale l'interessato li ha affidati) è l'azienda. Nel caso in cui i dati vengano affidati a strutture esterne quali: server remoti, commmercialisti, consulenti del lavoro, avvocati, ecc... l'azienda dovrà comunque vigilare ed assicurarsi che essi vengano trattati secondo normativa.
Cosa succede se non ci si adegua al D.Lgs 196/03?
Il legislatore ha previsto una grande novità: non sono più previste solo sanzioni amministrative, infatti il non rispetto delle norme produce un illecito penale sanzionato con ammende pecuniarie e, nei casi più gravi, con la reclusione.
Se mi sono messo in regola devo notificarlo al garante?
No, i documenti attestanti l'adesione al dettato legislativo vanno conservati tra i documenti aziendali.
Attenzione! Ogni anno, in sede di approvazione del bilancio, l'azienda dovrà produrre dichiarazione ufficiale attestante l'adesione alle normative del D.Lgs 196/03.
Adeguarsi oltre che un obbligo di legge, è anche un'opportunità per ripensare e migliorare la propria sicurezza interna e offrire ai propri clienti maggiori garanzie e tutela dei loro dati.
|
