Google
 
Web www.gruppodinamica.net
gruppo dinamica
// Homepage : Sistemi : Documento Programmatico sulla Sicurezza (DPS)

F.A.Q. - Frequently Asked Question - Documento Programmatico sulla Sicurezza (DPS)

  • DPS#0001 Chi si deve adeguare al Dlgs. 196/2003 noto come “Codice della Privacy”?
     
    Tutte le aziende, cooperative, professionisti, centri servizi, e chiunque tratti dati personali dei clienti e dei fornitori. Probabilmente avete anche un archivio dei dipendenti che oltre ai dati personali degli stessi contiene, direttamente o indirettamente, anche i loro dati “sensibili” (p.e. i certificati medici e sanitari). Tutti questi archivi (che possono essere in formato elettronico e/o cartaceo)  vanno messi in sicurezza come richiesto dalla legge ai fini di proteggere il diritto alla Privacy degli interessati.
  • DPS#0002A In cosa consiste il “Documento Programmatico della Sicurezza” richiesto dal Dlgs.196/2003?
     
    E' un documento da predisporre entro il 30/06/2004 e da aggiornare annualmente che prevede, principalmente, l’Analisi dei Rischi a cui possono venire esposti i dati personali gestiti dalla vostra Azienda e individua le misure di sicurezza che dovranno essere adottate dall'Azienda per proteggere tali dati. Costituisce, Inoltre, parte integrante del documento un mansionario che identifica le figure del responsabile e dell’incaricato della sicurezza (che possono essere interni e/o esterni alla struttura aziendale).
  • DPS#0002B Chi tratta esclusivamente dati personali non sensibili è obbligato al DPS?
     
    ASSOLUTAMENTE SI.
    L’art. 34 del D. Lgs. 196/03 recita testualmente:
    1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
    a) autenticazione informatica;
    b) adozione di procedure di gestione delle credenziali di autenticazione;
    c) utilizzazione di un sistema di autorizzazione;
    d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
    e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
    f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
    g) tenuta di un aggiornato documento programmatico sulla sicurezza;
    h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
  • DPS#0003 Le misure minime di sicurezza richieste dal Dlgs.196/2003 sembrano esagerate, assolutamente sovradimensionate rispetto alle necessità ed alle possibilità di una piccola azienda. E' vero ?
     
    Ad un primo e superficiale esame può apparire vero il commento sopraindicato. Occorre però fare una analisi obiettiva dello stato tecnologico ed informatico italiano in genere. Esistono, infatti, per l’esperienza da noi fin qui acquisita, realtà aziendali assolutamente grandi come fatturato e dipendenti ma non proporzionalmente adeguate come processi tecnologici e di sicurezza dei dati. Questo anche come limite culturale perché tutto ciò che non si conosce non si può delegare a terzi per il proprio controllo e per una rigorosa definizione. Non c’è una corretta educazione informatica in Italia e pertanto quelle che sarebbero misure minime di correttezza nel lavoro vengono confuse come misure coercitive esagerate imposte per legge. Probabilmente molte delle misure richieste dalla legge sono già prassi comune nella Vostra Azienda. Ai fini della conformità al Codice della Privacy, è molto probabile che dobbiate solo formalizzare quanto già state facendo mediante il Documento Programmatico sulla Sicurezza.
  • DPS#0004 Possiamo scegliere di ignorare questo dispositivo di legge?
     
    Assolutamente NO.
    Sono previste, infatti, sanzioni civili, amministrative e penali, pesanti per coloro che contravvengono alla normativa.
  • DPS#0005 L'adeguamento al Dlgs.196/2003 o Codice della Privacy ci porterà altri vantaggi oltre al semplice soddisfacimento dei requisiti di legge?
     
    Assolutamente Si.
    Documentare e formalizzare i propri processi organizzativi porta, per la maggioranza delle Aziende, ad individuare possibili ottimizzazioni di costo e/o di tempo. Adeguarsi al Codice della Privacy consente un miglior posizionamento sul mercato e, grazie ad un maggior controllo del vostro sistema informativo, a utilizzare al meglio le proprie risorse.
    I minori livelli di rischio raggiunti così in azienda consentiranno di ridurre le polizze assicurative in essere (rinegoziazione) e perseguire migliori condizioni per quelle future.
  • DPS#0006 Che scadenze ci sono relative al Dlgs 196/2003?30 giugno 2004. Redazione del Documento Programmatico sulla sicurezza come definito dal nuovo “Codice in materia di protezione dei dati personali” nel Disciplinare Tecnico previsto dal D. Lgs. 30 giugno 2003 n° 196 (allegato B);
    31 dicembre 2004. Adozione delle Misure minime di sicurezza come specificato agli artt. 34 (trattamento dati personali con strumenti elettronici)  e 35 (trattamento dati personali senza l’ausilio di strumenti elettronici) e 36 (adeguamento del Disciplinare Tecnico in relazione all’evoluzione tecnica del settore);
    All’inizio del trattamento dei dati personali definiti come sensibili. Notificazione del trattamento dati al Garante della privacy;
    31 marzo di ogni anno successivo al 2004. Redazione  aggiornata del Documento Programmatico sulla sicurezza.
  • DPS#0007 Quali sono le sanzioni?
     
    Le nuove misure, oltre ad essere più rigorose di quelle previste dalla vecchia normativa, implicano, qualora disattese, importanti sanzioni di carattere penale ed amministrativo.
    Trattamento illecito di dati (art.167).
    Reclusione da 6 a 18 mesi (se dal trattamento deriva nocumento) se si violano gli artt. 18, 19, 23, 126, 130;
    Reclusione da 6 a 24 mesi (se il fatto consiste nella comunicazione e/o diffusione dei dati personali) se si violano gli artt. 18,19, 23, 126, 130;
    Reclusione da 1 a 3 anni (se il fatto costituisce reato più grave: al fine di trarre profitto per se o altri o per arrecare danno) se si violano gli artt. 17, 20,  21, 22, 25, 26, 27 e 45;
    Falsità nelle dichiarazioni e notificazioni al Garante (art.168).
    Reclusione da 6 mesi a 3 anni nel caso di falsità nelle dichiarazioni e notificazioni al Garante;
    Misure minime di sicurezza (art.169)
    Reclusione fino a 2 anni o ammenda da 10.000 a 50.000 euro per coloro che omettono di adottare le misure minime di sicurezza come previste dall’art. 33 (art. 169);
    Inosservanza di provvedimenti del Garante (art.170).
    Reclusione da 3 mesi a 2 anni;
    Omessa o inidonea informativa all’interessato (art.161).
    Sanzione amministrativa da 3.000 a 18.000 euro, ex art.13 (aumentabili sino al triplo se risulta inefficace per le condizioni economiche del contravventore) per violazione dei dati;
    Violazione dei dati sensibili o giudiziari (art.161).
    Sanzione amministrativa da 5.000 a 30.000 euro e fino al triplo se risulta inefficace per le condizioni economiche del contravventore;
    Altre fattispecie (art.162).
    Sanzione amministrativa da 5.000 a 30.000 euro per cessione dei dati in violazione  dell’ art.16, 1° comma lett. b) (legittimità della cessione dei dati);
    Altre fattispecie (art.162).
    Sanzione amministrativa da 500 a 3.000 euro per la violazione art. 84, 1° comma (comunicazione di dati relativi allo stato di salute).
    Oltre alle sanzioni penali ed amministrative sopraindicate, occorre considerare le responsabilità di natura civile.
    Il Legislatore, infatti, considera il trattamento dei dati personali come attività pericolosa ex art. 2050 del Codice Civile.
    Il trattamento illecito dei dati, costituendo una violazione al diritto fondamentale alla protezione dei dati personali, espone a responsabilità civile, coloro che non hanno adottato le misure minime di protezione, a prescindere dalla determinazione di un danno patrimoniale all’interessato (danno non patrimoniale ex art. 15).
  • DPS#0008 Cosa s’intende per “Trattamento dati”?
     
    Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
  • DPS#0009 Cosa s’intende per “Dato Personale”?
     
    Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; (Anche un numero di telefono, non registrato in pubblici elenchi, oppure una email o altre informazioni).
  • DPS#0010 Cosa s’intende per “Dati Identificativi”?
     
    Sono i dati personali che permettono l'identificazione diretta dell'interessato.
  • DPS#0011 Cosa s’intende per “Dati Sensibili”?
     
    Sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
  • DPS#0012 Cosa s’intende per “Dati Giudiziari”?
     
    Sono i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
  • DPS#0013 Chi è il Titolare del trattamento ?
     
    E’ La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
  • DPS#0014 Chi è il Responsabile del trattamento ?
     
    La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
  • DPS#0015 Chi sono gli Incaricati del trattamento ?
     
    Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
  • DPS#0016 Chi è l’interessato al trattamento secondo normativa della Privacy ?
     
    La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.
  • DPS#0017 Cosa s’intende per comunicazione dei dati ?
     
    Il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
  • DPS#0018 Cosa s’intende per diffusione dei dati ?
     
    Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
  • DPS#0019 Cosa s’intende per dato anonimo ?
     
    Il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile.
  • DPS#0020 Cosa s’intende per “blocco” ?
     
    E’ la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento.
  • DPS#0021 Cosa s’intende per “banca dati” ?
     
    Un qualsiasi complesso organizzato di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti.
  • DPS#0022 Chi è il “Garante” ?
     
    E’ l'Autorita' istituita dalla legge 31 dicembre 1996, n. 675.
  • DPS#0023 Cosa s’intende per “comunicazione elettronica” ?
     
    E’  ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile.
  • DPS#0024 Cosa s’intende per “chiamata” ?
     
    La connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale.
  • DPS#0025 Cosa s’intende per “ reti di comunicazione elettronica” ?
     
    I sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato.
  • DPS#0026 Cosa s’intende per “rete pubblica di comunicazioni” ?
     
    Una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico.
  • DPS#0027 Cosa s’intende per “servizio di comunicazione elettronica” ?
     
    I servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002.
  • DPS#0028 Cosa s’intende per “abbonato” ?
     
    Qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate.
  • DPS#0029 Cosa s’intende per “utente” ?
     
    Qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata.
  • DPS#0030 Cosa s’intende per “dati relativi al traffico”?
     
    Qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione.
  • DPS#0031 Cosa s’intende per “dati relativi all’ubicazione” ?
     
    Ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico.
  • DPS#0032 Cosa s’intende per “posta elettronica” ?
     
    Messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.
  • DPS#0033 Cosa s’intende per “misura minima” ?
     
    Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31.
  • DPS#0034 Cosa s’intende per “strumenti elettronici” ?
     
    Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
  • DPS#0035 Cosa s’intende per “autenticazione informatica” ?
     
    L’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identita'.
  • DPS#0036 Cosa s’intende per “credenziali di autenticazione” ?
     
    Sono i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica.
  • DPS#0037 Cosa s’intende per “parola chiave” ?
     
    E’ la  componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.
  • DPS#0038 Cosa s’intende per “profilo di autorizzazione” ?
     
    E’ l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa puo' accedere, nonche' i trattamenti ad essa consentiti.
  • DPS#0039 Cosa s’intende per “sistema di autorizzazione” ?
     
    E’ l’insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalita' di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
  • DPS#0040 Da cosa deriva la Vostra competenza nello specifico settore?
     
    Gruppo Dinamica è una società composta da professionisti che operano, con esperienza ventennale,  nel  settore dell’Information Technology.
    Il core business della nostra azienda è costituito dalla gestione della sicurezza aziendale nell’ambito delle problematiche relative alla gestione di sistemi informatizzati.
    Il nostro punto di forza è costituito dal continuo aggiornamento e dall’affidabilità  dei nostri collaboratori che ci hanno portato ad annoverare tra i nostri clienti anche  il Tribunale di Treviso, a favore del quale abbiamo realizzato un software, per la gestione informatizzata dei procedimenti esecutivi.
    Una corretta gestione aziendale, inoltre, ci permette di fornire  servizi di consulenza  a prezzi del tutto competitivi.
  • DPS#0041 Come posso essere sicuro che, dopo il vostro intervento, la mia struttura potrà essere rispettosa delle norme del Codice in materia di protezione dei dati personali?
     
    La nostra società, a fronte dell’intervento per l’analisi e la redazione del Documento Programmatico per la Sicurezza,  rilascia una DICHIARAZIONE scritta, a norma del p.to 25 del Disciplinare Tecnico, allegato B) D. Lgs. 196/03, che attesta le conformità degli interventi effettuati e dei documenti prodotti al Disciplinare Tecnico stesso. 
  • DPS#0042 Qual è il costo per il Vostro intervento?
     
    Prima di analizzare i costi che un intervento in ambito di sicurezza aziendale  comporta, è importante comprendere che azioni apparentemente innocue quali l’inidonea informativa all’interessato, l’illecita cessione dei dati, l’illecito trattamento dei dati, la mancata adozione delle misure minime di sicurezza e/o del Documento Programmatico per la Sicurezza (DPS). Comportano delle conseguenze di ordine amministrativo e penale, oltre che civile. Le pene per tali inadempienze variano dal pagamento di sanzioni pecuniarie (da 5.000 a 60.000 euro) alla condanna al pagamento di un ammenda (da 10.000 a 50.000 euro) sino a pene detentive (da tre mesi a due anni), oltre all’eventuale risarcimento dei danni.
    Questo non vuol essere un motivo per eludere la risposta al quesito qui riportato. Aggiungiamo che un preventivo può essere fatto sulla base dei seguenti parametri:
    a) numero dei punti rete all’interno della struttura;
    b) numero dei dipendenti che accedono ai dati;
    c) numero dei collaboratori e delle strutture esterne che hanno accesso ai dati;
    d) numero delle banche dati trattate.
    Il costo per il nostro intervento, in ogni caso, può andare da un minimo di 800 euro sino a crescere a seconda della complessità della gestione dei dati trattati.
    I nostri esperti sono comunque a Vostra completa disposizione per un preventivo gratuito.