Documento programmatico
sulla
sicurezza nel trattamento dei dati personali
- ex art. 34 lett. g) D.Lgs. 196/2003 e regola 19 Allegato B -
Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da adottare per il trattamento dei dati personali effettuato dallo Studio Legale dell’Avv. Salvatore TIMPANARO.
Il presente documento è stato redatto dall’Avv. Salvatore Timpanaro in qualità di titolare e responsabile per la sicurezza, che provvede a firmarlo in calce.
Elenco dei trattamenti di dati personali
e struttura di riferimento
Lo Studio Legale tratta i seguenti dati:
- Øa) dati comuni dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali;
- Øb) dati comuni dei clienti, dagli stessi forniti per l’espletamento degli incarichi affidati allo studio, compresi i dati sul patrimonio e sulla situazione economica, o necessari per fini fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi;
- Øc) dati comuni di terzi, forniti dai clienti per l’espletamento degli incarichi affidati allo studio, compresi i dati sul patrimonio e sulla situazione economica, o necessari a fini fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi, o per atti giudiziari;
- Ød) dati comuni dei fornitori concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria;
- Øe) dati comuni di altri Avvocati e professionisti cui lo studio affida incarichi o si rivolge per consulenze, quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti a finalità fiscali o dati di natura bancaria.
I dati non pubblici vengono acquisiti previa l’informativa che si allega al presente D.P.S.
Questi dati vengono trattati e conservati in appositi fascicoli riposti in un’unico vano-cabina armadio dotato di chiusura, nonché trattati tramite computer in rete in locali protetti e con accesso ad internet, archiviati al termine della pratica.
Lo studio, ove vengono trattati i dati, è ubicato in un palazzo storico in condominio in zona centrale, dotato di portone di ingresso a chiusura automatica. Sito al primo piano. I singoli locali che compongono lo studio, sono dotati ciascuno di porta con chiusura a chiave, così come l’archivio.
Lo studio è dotato di allarme elettronico volumetrico antintrusione con password.
La sala di attesa per i clienti è ricavata in un ampio locale posto all’ingresso assolutamente ben separato e distanziato dai vani ove trovansi le postazioni di lavoro.
Lo studio è dotato di cassaforte con chiusura a chiave.
Ogni postazione di lavoro dello studio è dotato di un computer ( con relativo gruppo di continuità ) connesso in rete.
L’unico computer connesso ad internet con connessione ADSL è quello in dotazione al sottoscritto redattore il documento programmatico.
In un altro locale si trovano il fax e la fotocopiatrice.
Il sistema operativo dei computer è Windows XP.
Lo studio adopera Internet Explorer, OutlooK Express.
Lo studio non adopera per la gestione delle pratiche sistema elettronico, ma un’agenda cartacea gestita direttamente dal sottoscritto.
L’antivirus adoperato è Kasperski.
Il Firewall adoperato compreso in Windows.
Ruoli, compiti e responsabilità
Titolare e responsabile del trattamento è l’Avv. Salvatore Timpanaro.
Amministratore del sistema è l’Avv. Salvatore Timpanaro.
Incaricato del trattamento è l’Avv. Salvatore Timpanaro ( titolare dello studio).
Tecnico incaricato dell’assistenza e manutenzione degli strumenti elettronici è La Giglia Antonio, titolare Ditta Off-On corrente in Nicosia via Santa Lucia.
I dati comuni dei clienti, dei fornitori o di terzi, i dati comuni di altri Avvocati e professionisti cui lo studio affida incarichi o si rivolge per consulenze, i dati giudiziari dei clienti, i dati giudiziari di terzi, oltre che dal titolare, sono trattati anche dall’Avv. Lucia Mirabella nonché dagli Avvocati Daniela Zito e, Arianna Pagliazzo ( collaboratori “ autonomi “) e dai Dott.ri Giuseppina Campione e Giovanni Garigliano, praticanti avvocati.
I dati afferenti i pagamenti a favore di terzi fornitori, la contabilità e i rapporti bancari dello studio sono esclusivamente tenuti dall’Avv. Salvatore Timpanaro, che si occupa della amministrazione. Questi dati non sono in rete né vengono trattati elettronicamente ma esclusivamente con documenti cartacei.
Lo Studio si avvale all’esterno di un Commercialista ( Dott. Antonino La Giglia, con studio in Nicosia via Roma ) che tiene solo la contabilità per gli adempimenti fiscali previsti per legge.
PROFILI DI AUTORIZZAZIONE
( Sono utilizzate specifiche lettere d’incarico per impartire istruzioni scritte agli incaricati – vedi all. 2)
AVVOCATI e PRATICANTI
L’ Avv. Lucia Mirabella
in qualità di avvocato ( collaboratore autonomo ) presso lo Studio Legale Timpanaro, incaricata,
è autorizzato al trattamento dei dati personali relativi alle superiori lettere a), b), c), e), f), e g) e ad accedere alle seguenti aree: proprio computer; archivio cartaceo ( v. sopra
).
( La presente autorizzazione verrà rinnovata annualmente)
PROFILI DI AUTORIZZAZIONE
( Sono utilizzate specifiche lettere d’incarico per impartire istruzioni scritte agli incaricati – vedi all. 2)
AVVOCATI e PRATICANTI
L’ Avv. Daniela Zito
in qualità di avvocato ( collaboratore autonomo ) presso lo Studio Legale Timpanaro, incaricata,
è autorizzato al trattamento dei dati personali relativi alle superiori lettere a), b), c), e), f), e g) e ad accedere alle seguenti aree: proprio computer; archivio cartaceo ( v. sopra
).
( La presente autorizzazione verrà rinnovata annualmente)
PROFILI DI AUTORIZZAZIONE
( Sono utilizzate specifiche lettere d’incarico per impartire istruzioni scritte agli incaricati – vedi all. 2)
AVVOCATI e PRATICANTI
L’ Avv. Arianna Pagliazzo
in qualità di avvocato ( collaboratore autonomo ) presso lo Studio Legale Timpanaro, incaricata,
è autorizzato al trattamento dei dati personali relativi alle superiori lettere a), b), c), e), f), e g) e ad accedere alle seguenti aree: proprio computer; archivio cartaceo ( v. sopra
).
( La presente autorizzazione verrà rinnovata annualmente)
PROFILI DI AUTORIZZAZIONE
( Sono utilizzate specifiche lettere d’incarico per impartire istruzioni scritte agli incaricati – vedi all. 2)
AVVOCATI e PRATICANTI
L'Avv.Giuseppina Campione in qualità di praticante presso lo Studio Legale Timpanaro, incaricata, è autorizzata al trattamento dei dati personali limitatamente alla sola partecipazione alle udienze ( attività giudiziale ).
( La presente autorizzazione verrà rinnovata annualmente)
PROFILI DI AUTORIZZAZIONE
( Sono utilizzate specifiche lettere d’incarico per impartire istruzioni scritte agli incaricati – vedi all. 2)
AVVOCATI e PRATICANTI
Il Dott. Giovanni Garigliano in qualità di praticante presso lo Studio Legale Timpanaro, incaricato,
è autorizzato al trattamento dei dati personali limitatamente alla sola partecipazione alle udienze ( attività giudiziale ).
( La presente autorizzazione verrà rinnovata annualmente)
Il Dott. Salvatore Campione in qualità di praticante presso lo Studio Legale Timpanaro, incaricato,
è autorizzato al trattamento dei dati personali limitatamente alla sola partecipazione alle udienze ( attività giudiziale ).
( La presente autorizzazione verrà rinnovata annualmente)
Analisi dei rischi
E’ stata compiuta l’analisi dei rischi che si può così sintetizzare:
per i dati comuni dei clienti ( dagli stessi forniti per l’espletamento degli incarichi affidati allo studio, compresi i dati sul patrimonio e sulla situazione economica, o necessari per disposizioni fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi), per i dati comuni di terzi (forniti dai clienti per l’espletamento degli incarichi affidati allo studio, compresi i dati sul patrimonio e sulla situazione economica, o necessari per disposizioni fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi, o per atti giudiziari) per i dati comuni dei fornitori (concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai rapporti fiscali) per i dati comuni di altri avvocati e professionisti cui lo studio affida incarichi (quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai rapporti fiscali) e per i dati comuni dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali: il rischio legato alla loro gestione può definirsi basso.
Per i dati giudiziari dei clienti, i dati giudiziari di terzi, il rischio legato alla loro gestione è da definirsi medio.
Gli strumenti elettronici sono:
nr. 1 computer connesso ad internet nello studio del titolare e responsabile per la sicurezza: marca “ assemblato “;
nr. 1 computer nella stanza utilizzata dall’Avv. Lucia Mirabella: marca “ assemblato “;
nr. 2 computer “ assemblati “ nella stanza utilizzata dagli avvocati (Zito, e Pagliazzo ).
Per quanto riguarda gli strumenti elettronici, possono verificarsi malfunzionamenti, guasti, eventi naturali, alterazioni delle trasmissioni.
Per quanto riguarda i software contenuti negli strumenti elettronici, possono verificarsi errori, virus, intercettazioni dei dati.
Per quanto riguarda le aree ed i locali: possono essere colpiti da eventi naturali o accessi di terzi non autorizzati.
Per ridurre i rischi sono state adottate le seguenti
Misure
Autenticazione informatica, tale misura è stata adottata dotando ciascun incaricato di una password di almeno 6 caratteri. Detta password non contiene, né conterrà, elementi facilmente ricollegabili all’organizzazione o alla persona del suo utilizzatore, né allo studio legale. La stessa viene autonomamente scelta dall’incaricato e dallo stesso custodita in una busta chiusa che viene consegnata al titolare del trattamento, il quale provvede a metterla nella cassaforte dello studio in un plico sigillato. Ogni tre mesi ciascun incaricato provvede a sostituire la propria password. Si è altresì disposto che le password vengano automaticamente disattivate dopo tre mesi di non utilizzo.
Inoltre si è disposto che a tutti gli utilizzatori di strumenti elettronici non lascino incustodito, o accessibile, lo strumento elettronico stesso.
A tale riguardo, per evitare errori e dimenticanze, è stato inserito lo screensaver automatico dopo 1 minuto di non utilizzo, con ulteriore password segreta per la prosecuzione del lavoro.
E’ previsto che si verifichi la provenienza delle e-mail.
Essendo gli incaricati autorizzati a trattare la quasi totalità dei dati, e comunque quelli giudiziari, non si è provveduto a dare disposizioni in caso di prolungata assenza o impedimento dell’incaricato. Ogni singolo computer è dotato di dispositivo antivirus di marca Avast, che viene aggiornato con funzione automatica e con scansione per ogni aggiornamento antivirus, e comunque settimanale.
Per ogni singolo computer è prevista la funzione di aggiornamento automatico del sistema fornito dalla Microsoft mediante lo strumento windows – update.
Analogo sistema di aggiornamento automatico è previsto per l’antivirus. E’ stata data istruzione che, qualora nessun aggiornamento del sistema fosse segnalato automaticamente per un periodo di mesi 6, si provveda comunque ad attivare la funzione di controllo per verificare l’esistenza o meno di detti aggiornamenti automatici.
E’ stato disposto l’obbligo di provvedere ad un backup settimanale dei dati e dei sistemi installati su computer su cd rom, i quali vengono conservati e chiusi in cassaforte, e si è data disposizione di verificare, effettuato il backup, la leggibilità del supporto e che una volta a settimana si proceda a verifica a campione della leggibilità dei dati; custode di detti backup è il titolare e responsabile del trattamento; effettuato un backup, verrà distrutto il c.d. precedente.
Si è data disposizione che, terminata la trattazione di una pratica, ogni relativo file, o dato, esistente sui computer, sia cancellato.
Si è disposto, altresì, che non siano lasciati incustoditi sulle scrivanie, o su altri ripiani, atti, documenti e fascicoli delle pratiche. I fascicoli vanno conservati negli appositi faldoni e prelevati per il tempo necessario al trattamento per esservi poi riposti, all’interno dell’unica stanza-cabina armadio chiusa.
Le comunicazioni a mezzo posta, o a mezzo telefax, dovranno essere tempestivamente smistate e consegnate ai destinatari. Quando è dato un ordine di stampa, il documento stampato dovrà essere prontamente prelevato e consegnato all’interessato.
Il locale destinato all’archivio dovrà essere chiuso a chiave. Fuori dall’orario di lavoro l’accesso all’archivio non è consentito.
Si è data istruzione che il materiale cartaceo asportato e destinato allo smaltimento dei rifiuti sia - previa distruzione con il “ tritacarte “ - riposto negli appositi sacchi di plastica e che detti sacchi siano chiusi in modo che il materiale cartaceo residuo così trattato negli stessi contenuti non possa accidentalmente fuoriuscire, e che detto materiale sia giornalmente asportato.
Il rischio di accesso ai locali dello studio, può essere definito basso, atteso che l’ingresso allo studio è controllato, e che lo studio è dotato di citofono e chiusura con porta blindata e allarme elettronico.
Il rischio di accesso alle singole stanze può essere definito basso, atteso che le stesse sono dotate di porte con chiusura e l’ingresso di terzi estranei avviene solo previa accettazione e controllo.
Il rischio di accesso ai singoli strumenti da parte di persone non autorizzate può essere definito basso, essendo controllato l’accesso allo studio da parte di terzi; la zona di attesa dei clienti molto distanziata ed affatto separata dagli strumenti.
Le aree ed i locali potrebbero essere interessati da eventi naturali, quali incendi, allagamenti e corto circuiti, pur avendo lo studio provveduto ad adottare le disposizioni di sicurezza stabilite dalla L. 626/94. Essendo lo studio dotato di dispositivi salvavita, il rischio può comunque definirsi basso.
Per quanto riguarda gli strumenti elettronici, il rischio può essere definito basso, essendo state adottate dallo studio le misure di sicurezza, tendenti a ridurre il rischio gravante sui dati e derivante dalla gestione di detti strumenti.
Per quanto riguarda la documentazione cartacea, il rischio può essere definito basso, essendo l’archivio chiuso a chiave in un’unica stanza-cabina, ed essendo state adottate le altre misure indicate, fatta eccezione ovviamente per gli eventi naturali.
Il telefax in uso stampa su carta normale e non su carta chimica e, quindi, non esiste pericolo di deterioramento dei documenti ricevuti a mezzo fax.
Per quanto riguarda i supporti di memorizzazione, il rischio di deterioramento dei dati da essi portati può essere ritenuto basso, attesi i frequenti back up, ed il fatto che i CD degli stessi sono conservati in un cassaforte, così come i dischi di installazione dei programmi software adottati.
Atteso –infine- che gli incaricati al trattamento dei dati sono qualificati ed affidabili e dimostrano riservatezza ed attenzione nella gestione dei dati stessi, il rischio afferente la riservatezza, o la distrazione, o l’incuria degli stessi, può essere definito basso.
Inoltre i dati, quanto comuni che giudiziari, per gli affari trattati dallo Studio ed il tipo di clientela dello Studio non paiono essere, come detto, di particolare interesse per terzi.
Si ritiene che verranno adottate le seguenti ulteriori misure.
Entro il termine del 30.06.2006 sarà installato sistema di firma elettronica per la trasmissione delle e-mail.
Criteri e modalità di ripristino
della disponibilità dei dati
Sarà inoltre adottata ogni altra misura che dal tecnico della manutenzione venisse ritenuta utile e necessaria per migliorare la sicurezza degli strumenti elettronici.
Nell’ipotesi di distruzione o danneggiamento dei dati o degli strumenti elettronici, si predisporrà entro il 30.06.2006 apposito piano di ripristino degli stessi, impartendosi comunque sin d’ora le seguenti istruzioni:
a) avvertire il titolare del trattamento dei dati ed il medesimo che ha in custodia il c.d. di back up nonché i c.d. contenenti i vari software dello studio installati sugli strumenti elettronici;
b) rivolgersi immediatamente e chiedere l’intervento del tecnico manutentore della ditta Off.-On di La Giglia Antonino sollecitandone al più presto l’assistenza;
c) reinstallati i programmi danneggiati o distrutti, sempre che non sia necessario sostituire l’intero hardware, provvedere a reinstallare tutti i dati contenuti nel c.d. di back up;
d) provvedere all’aggiornamento dei sistemi operativi una volta reinstallati;
e) verrà dato incarico al tecnico manutentore di suggerire ogni altra misura;
f) in ogni caso, viene data esplicita istruzione che il ripristino dei dati e dei sistemi sia effettuato entro e non oltre 7 giorni;
g) al fine di evitare eventi di perdita e di danneggiamento degli strumenti elettronici e dei datti in essi contenuti, si prevede che per due volte all’anno sia effettuata manutenzione in modo adeguato dal tecnico incaricato.
Pianificazione
degli interventi formativi previsti
La formazione degli incaricati viene effettuata all’inizio del rapporto di collaborazione o di praticantato, all’installazione di nuovi strumenti per il trattamento dei dati, e comunque con frequenza annuale. Essa tende a sensibilizzare gli incaricati sulle tematiche di sicurezza, facendo comprendere i rischi e le responsabilità (con specificazione delle sanzioni connesse penali e disciplinari) che riguardano il trattamento dei dati personali.
Inoltre, essa tende alla compiuta spiegazione del concetto di quale sia la natura ed il contenuto dei dati comuni/sensibili e giudiziari, con l’invito a segnalare eventuali disfunzioni dei sistemi operativi e, nel dubbio, di richiedere al titolare se un dato possa avere o meno natura sensibile/comune o giudiziaria.
La formazione è fatta dal titolare dello studio.
Nel caso in cui il trattamento dei dati sensibili e/o giudiziari venga affidato a soggetti esterni, che li trattino con strumenti elettronici, per avere la garanzia che essi adottano le misure minime di sicurezza si esigerà dagli stessi una dichiarazione di avere redatto il documento programmatico sulla sicurezza, nel quale attestino di aver adottato le misure minime previste dal disciplinare.
Alle ditte che provvedano ad effettuare prestazioni che comportano accesso di estranei allo studio, viene dato incarico scritto con richiesta di specificazione dei nominativi delle persone che accedono ed espresso invito a limitarsi alle sole attività pertinenti alla prestazione per cui accedono.
Si allegano: A)l’informativa al Cliente; B) la lettera di istruzioni agli incaricati.
Nicosia, lì
Il titolare
Avv. Salvatore Timpanaro
ALLEGATO 1. INFORMATIVA AL CLIENTE
INFORMATIVA AI SENSI DELL'ART. 13 D. LGS. 196/2003
Gentile Cliente,
ai sensi dell'art. 13 D. Lgs. 196/2003 (di seguito T.U.), ed in relazione ai dati personali di cui lo studio entrerà in possesso, La informiamo di quanto segue:
1. Finalità del trattamento dei dati.
II trattamento è finalizzato unicamente alla corretta e completa esecuzione dell'incarico professionale ricevuto, sia in ambito giudiziale che in ambito stragiudiziale.
2. Modalità del trattamento dei dati.
a) II trattamento è realizzato per mezzo delle operazioni o complesso di operazioni indicate all'art. 4 comma 1 lett. a) T.U.: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
b) Le operazioni possono essere svolte con o senza l'ausilio di strumenti elettronici o comunque automatizzati.
c) II trattamento è svolto dal titolare e/o dagli incaricati del trattamento.
3. Conferimento dei dati.
II conferimento di dati personali comuni, sensibili e giudiziari è strettamente necessario ai fini dello svolgimento delle attività di cui al punto 1.
4. Rifiuto di conferimento dei dati.
L'eventuale rifiuto da parte dell'interessato di conferire dati personali nel caso di cui al punto 3 comporta l'impossibilità di adempiere alle attività di cui al punto 1.
5. Comunicazione dei dati.
I dati personali possono venire a conoscenza degli incaricati del trattamento e possono essere comunicati per le finalità di cui al punto 1 a collaboratori esterni, soggetti operanti nel settore giudiziario, alle controparti e relativi difensori, a collegi di arbitri e, in genere, a tutti quei soggetti cui la comunicazione sia necessaria per il corretto adempimento delle finalità indicate nel punto 1.
6. Diffusione dei dati.
I dati personali non sono soggetti a diffusione.
7. Trasferimento dei dati all'estero.
I dati personali possono essere trasferiti verso Paesi dell'Unione Europea e verso Paesi terzi rispetto all'Unione Europea nell'ambito delle finalità di cui al punto 1.
8. Diritti dell'interessato.
L'art. 7 T.U. conferisce all'interessato l'esercizio di specifici diritti, tra cui quello di ottenere dal titolare la conferma dell'esistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile; l'interessato ha diritto di avere conoscenza dell'origine dei dati, della finalità e delle modalità del trattamento, della logica applicata al trattamento, degli estremi identificativi del titolare e dei soggetti cui i dati possono essere comunicati; l'interessato ha inoltre diritto di ottenere l'aggiornamento, la rettificazione e l'integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge; il titolare ha il diritto di opporsi, per motivi legittimi, al trattamento dei dati.
9. Titolare del trattamento.
Titolare del trattamento è l’Avv. Salvatore Timpanaro con studio in Nicosia alla via F.lli Testa, civico 53,. Palazzo Cirino.
Per ricevuta comunicazione
Data: ___________ Firma _____________________
ALLEGATO 2. LETTERA DI INCARICO
Il sottoscritto _________________ in qualità di Titolare/Responsabile del trattamento dei dati dello Studio Legale _______________________ sito in ____________________________
INCARICA
il Dr./sig./la sig.ra ___________________________nato/a a ________________ il ___________ al trattamento dei dati (personali / sensibili / giudiziari ) nell'ambito delle funzioni di __________________ (legale, praticantato, segreteria) che è chiamato/a a svolgere presso questo Studio.
A tal fine vengono fornite informazioni ed istruzioni per l'assolvimento del compito assegnato:
- Il trattamento dei dati deve essere effettuato in modo lecito e corretto;
- i dati personali devono essere raccolti e registrati unicamente per finalità inerenti l'attività svolta;
- è necessaria la verifica costante dei dati ed il loro aggiornamento;
- è necessaria la verifica costante della completezza e pertinenza dei dati trattati;
- devono essere rispettate le misure di sicurezza predisposte dal Titolare/Responsabile in generale ed elencate nel d.p.s.
Per ogni operazione del trattamento deve essere garantita la massima riservatezza ed in particolare:
a) divieto di comunicazione o diffusione dei dati senza la preventiva autorizzazione del Titolare/Responsabile;
b) l'accesso ai dati è autorizzato limitatamente all'espletamento delle proprie mansioni ed esclusivamente negli orari di lavoro;
c) la fase di trattamento dei dati dovrà essere preceduta dalla informativa al cliente in forma scritta e dal consenso di quest’ultimo al trattamento nei casi previsti dalla legge;
d) in caso di interruzione, anche temporanea, del lavoro verificare che i dati trattati non siano accessibili a terzi non autorizzati;
e) le proprie credenziali di autenticazione sono strettamente personali e devono rimanere riservate. Tali credenziali sono elencate nel documento programmatico sulla sicurezza dello Studio e univocamente associate all’incaricato al quale sono state fornite.
Gli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dei dati dovranno essere osservati anche in seguito a modifica dell'incarico e/o cessazione del rapporto di lavoro.
Qualsiasi altra istruzione può essere fornita dal Titolare che provvede anche alla formazione degli incaricati.
Per ogni altra misura qui non prevista si fa riferimento al documento programmatico sulla sicurezza adottato dallo Studio.
TRATTAMENTO CONSENTITO
a) raccogliere, registrare e conservare i dati presenti negli atti e documenti contenuti nei fascicoli di studio e nei supporti informatici avendo cura che l'accesso ad essi sia possibile solo ai soggetti autorizzati;
b) qualsiasi accesso e trattamento espressamente previsto dal profilo di autorizzazione associato e descritto nel d.p.s.;
c) qualsiasi altra operazione di trattamento nei limiti delle proprie mansioni e nel rispetto delle norme di legge.
Data ________________ L’incaricato
__________________________________
LEGGE SULLA PRIVACY
Il D.L. 30 giugno 2003 n. 196 "Codice in Materia di Protezione dei Dati Personali" è entrato in vigore il 1 gennaio 2004 e definisce le misure minime di sicurezza idonee che devono essere utilizzate nel trattamento dei dati. ……’per "trattamento" deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati’…. Art. 34. Trattamenti con strumenti elettronici. 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. L’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati, viola l'obbligo per il titolare dei dati, compreso il diritto fondamentale alla protezione dei dati personali delle persone che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt. 15 e 152 del Codice). Pertanto, in aggiunta alle conseguenze appena citate, il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili ("minime"), costituisce anche reato (art. 169 del Codice), che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro.
Per ulteriori informazioni vai a Garante della Privacy (www.garanteprivacy.it)