La Vostra realtà è conforme alle recenti disposizioni fornite dal Garante Privacy ed al nuovo regolamento stilato dalla Comunità Europea in merito al trattamento dei dati personali?

Solo una corretta analisi dei documenti in essere, della struttura informatica, logistica e dell’organizzazione comportamentale può identificare eventuali non conformità e le successive soluzioni idonee ad adeguare la Vostra struttura alle normative vigenti garantendo le esigenze procedurali ed operative del cliente.

La consulenza proposta supporta il cliente nelle fasi di identificazione delle tipologie di dati trattati, redazione di tutta la documentazione necessaria alla gestione di rapporti interni ed esterni, , informative, consensi, liberatorie, gestione di eventuali notifiche al Garante, organizzazione di eventi formativi per il personale coinvolto nel trattamento dei dati al fine di ottimizzare l’attività quotidiana.

Le competenze maturate negli anni e consolidate dalle numerose certificazioni acquisite e le collaborazioni con partner specializzati ci consentono di strutturare adeguamenti personalizzati della vostra rete informatica, di siti internet, portali, comunicazioni, archiviazione digitale, sistemi di stampa.

ADEGUAMENTO DI LEGGE SULLA PRIVACY

Il 25 maggio 2018 sarà il termine ultimo concesso per rendere conforme al Nuovo Regolamento Europeo 2016/679 il Trattamento Dati Personali.

Il 1° gennaio 2004 è entrato in vigore il D.Lgs. n. 196/2003, “Codice in materia di protezione dei dati personali”.

Il decreto, che sostituisce la Legge n. 675/1996 e il successivo D.P.R. n. 318/1999, stabilisce che chiunque tratti dati personali debba rispettare alcuni principi generali:

  • garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali;
  • dare sempre l’informativa del trattamento agli interessati e, in caso di presenza di dati sensibili e/o particolari, richiedere il consenso;
  • effettuare i trattamenti secondo la normativa vigente, in sicurezza e in modo coerente con le finalità della raccolta evitando eccessi valutando il criterio di necessità indicato nell’art. 3 della normativa;
  • adeguare la gestione degli archivi cartacei e le apparecchiature elettroniche in essere con misure idonee a proteggere i dati personali e ad impedire accessi abusivi;
  • consentire l’accesso ai dati trattati ed il successivo trattamento (n.b. la consultazione è un trattamento) solo al personale debitamente incaricato e formato;
  • formare opportunamente gli incaricati al fine di renderli edotti in merito ai rischi civili e penali che incombono sul trattamento dei dati, delle misure di sicurezza disponibili, dei profili della disciplina di legge, delle responsabilità.

Tutti coloro che trattano dati personali comuni, sensibili, giudiziari sono dunque obbligati a:

  • applicare le misure minime di sicurezza previste dall’articolo 33;
  • verificare che le misure di sicurezza siano applicate sia all’interno dell’azienda, che da parte di soggetti esterni investiti della carica di incaricati esterni e/o autonomi titolari (commercialista, consulente del lavoro, studi legali, consulenti, tecnici) del trattamento dei dati personali;
  • nominare gli eventuali responsabili e gli incaricati dei trattamenti e provvedere alla loro formazione in tema di protezione dei dati personali.

Tali misure minime di sicurezza devono essere adottate al fine di prevenire i seguenti rischi:

  • distruzione dei dati personali (anche accidentale);
  • perdita dei dati personali (anche accidentale);
  • accesso non autorizzato ai dati personali;
  • trattamento non consentito.

Le misure minime di sicurezza previste dal D.Lgs. 196/2003 per il trattamento dei dati personali con strumenti elettronici, sono le seguenti:

  • utilizzare un sistema di autenticazione informatica (es.: nome utente e password);
  • utilizzare parole chiave composte da almeno 8 caratteri;
  • utilizzare parole chiave che non contengano riferimenti riconducibili all’incaricato;
  • modificare la parola chiave, a cura dell’incaricato, al primo utilizzo;
  • modificare la parola chiave ogni 6 mesi (ogni 3 in caso di trattamento di dati sensibili);
  • utilizzare un sistema di autorizzazione diversificata (es.: suddivisione in base alle mansioni svolte);
  • aggiornare i profili di trattamenti consentiti agli incaricati e agli addetti alla gestione e alla manutenzione degli strumenti elettronici;
  • proteggere gli strumenti elettronici e i dati rispetto a trattamenti illeciti (es.: azioni di virus, o di altri software intrusivi e dannosi; attacchi da parte di pirati informatici);
  • adottare procedure per la custodia delle copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi;
  • la Legge n. 35/2012 “Semplificazioni” abroga l’art. 19 dell’allegato B del d.lgs 196/2003 che imponeva l’aggiornamento del documento programmatico sulla sicurezza entro il 31 marzo di ogni anno, ma non ha parimenti eliminato per il Titolare e Responsabile del trattamento l’obbligo di dimostrare in positivo di aver adottato le misure minime/idonee a garantire la disponibilità, l’integrità e la tutela dei dati trattati. Si evince quindi la necessità di redigere un Documento Tecnico, con data certa, che descrive le procedure e le misure in essere a garanzia della sicurezza del trattamento in essere. Si precisa che i dati sensibili sono costantemente oggetto di trattamento senza che se ne abbia la percezione (la detrazione di quote sindacali in buste paga, la destinazione del 5×1000 e/o 8×1000 tramite CUD di dipendenti e modelli fiscali);
  • adottare tecniche di cifratura o codici identificativi per determinati trattamenti idonei a rivelare lo stato di salute o la vita sessuale degli interessati.

Per il trattamento dei dati personali senza l’ausilio di strumenti elettronici le misure minime da adottare sono:

  • aggiornare periodicamente l’ambito del trattamento consentito ai singoli incaricati;
  • adottare procedure atte ad un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
  • adottare procedure per la conservazione di atti e documenti in archivi ad accesso selezionato e disciplinare le modalità di accesso a detti archivi, con identificazione di coloro che vi accedono.
Adeguamenti privacy