In questi giorni si sta molto parlando del DPS - documento programmatico sulla sicurezza- legato alla normativa sulla privacy.

Infatti, entro il 31 marzo coloro che trattano dati sensibili e giudiziari mediante strumenti elettronici (fax, scanner, singolo elaboratore, ect) dovranno redigere o aggiornare il suddetto documento.

Va sottolineato come gli obblighi non si concludano con la sola preparazione del DPS: a scadenze prefissate si dovranno attuare azioni ben precise.

La d.ssa Patrizia Meo (p@tty (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?action=viewprofile;username=p@tty)), specialista sull’argomento, ha preparato per AICEL uno schema riassuntivo di tutti gli adempimenti che si dovranno avviare per risultare in regola con le richieste della normativa vigente.

La documentazione è disponibile (http://www.aicel.it/database/Scadenze_privacy.pdf)

Questo l’elenco dei post in Aicel dove si affrontano le questioni inerenti la “nuova” normativa sulla privacy (D.Lgs 196 del 30/06/2003):

In AGORA' (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?board=agora)
- normativa privacy - incombenze (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1143708297/1#1)

In RASSEGNA STAMPA (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?board=RASSEGNA)
- Privacy: primo sito internet bocciato dal garante (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1142246325)

In BUROCRAZIA (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?board=Burocrazia)
- Chiarimento legge privacy ecommerce (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1143649463)
- Link utile per la privacy!! (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1143288466)
- privacy... mi fate un riassuntino? (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1133371816)
- Privacy: secondo voi se... (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1140172050)
- Ispezioni del Garante 1 semestre 2006 (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1139319419)
- Legge sulla privacy (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1135155008)
- privacy -comunicazioni non prettamente commerciali (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1138272324)
- DPS, per chi avesse deciso di redigerlo... (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1133817578)
- Legge 196/03... una interpretazione interessante (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1128526325)
- Legge sulla Privacy (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1118652400)

In RIFERIMENTI NORMATIVI (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?board=normativa)
- Privacy: al via programma di ispezioni (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1121182738)
- Abrogazione 675/96 (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1115742323)
- Dlgs 196/03 - Tutela della privacy (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=11135741720)

In LINK UTILI + FAQ GENERALI (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?board=altrilnk)
- Lezioni di Privacy (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1120470347)

In OFFRO (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?board=Cerco_offro)
- Privacy e DPS (http://www.aicel.it/cgi-bin/unishop/yabb/nph-YaBB.pl?num=1135096873)

Spero di non aver dimenticato niente, se manca qualche link segnalatecelo pure, così verrà integrato.
Se dovete approfondire l'argomento privacy vi prego di volervi agganciare a questo post, così creiamo una risorsa unica maggiormente fruibile ;)

Solo due piccole aggiunte:
qui trovate un software free (http://www.pianosicurezza.it/?page=privacydps) per la compilazione del DPS che vi consentirà di redigere un documento corretto con pochi passi e di mantenerlo aggiornato, come previsto x legge, con un minimo impegno e senza bisogno di particolari nozioni tecniche

Inoltre poichè giorni fa era comparsa sul giornale (se none rro sole 24 ore) la notizia in merito all'obbligatorietà della "data certa" di redazione del DPS qui c'è un articolo (http://www.studiocataldi.it/news_giuridiche_asp/news_giuridica_3049.asp) ... un tantino legalese, ma abbastanza esaustivo che spiega in quali casi è opportuna la data certa
a presto
Flavia

Infatti, ho appena ricevuto una comunicazione di Patrizia circa la questione della data certa: sta approfondendo l'argomento.

Entro breve dovrebbe postare per chiarire alcuni aspetti.

... attendiamo fiduciosi ;)

Colgo l'occasione per rigraziarla per la documentazione e la disponibilità che ha dimostrato.

ciao

Ciao, un pò latitante ma ci sono.
Domani scade la redazione del DPS che ricordo va adottato da chi tratta dati sensibili e giudiziari con strumenti elettronici.
Va ricordato che esistono diversi modelli di DPS e diversi siti propongono delle schede. Sul sito del Garante www.garanteprivacy.it è stata pubblicata, nel 2004, una guida operativa, che suggerisce delle linee guida sulla redazione del DPS.
Arrivo al punto tanto discusso DATA CERTA. Si o no.
Non esiste una previsione del genere nel Codice, ma solo entro "il 31 marzo di ogni anno, il titolare redige un documento programmatico sulla sicurezza".
Aggiungo che, il titolare che redige il bilancio d'esercizio, se dovuto, riferisce dell'avvenuta redazione o aggiornamento del DPS.
:) Buon lavoro Patty

Domandina al volo: è richiesto l'invio telematico.

Concretamente cosa significa? come si può effettuare?

ciao

Circa l'obbligo di invio telematico leggo (http://www.pianosicurezza.it/?page=privacyinfo/adeguamento)questo:

MOTIVO
Tutti coloro che trattano dati personali e/o sensibili* sia tramite strumenti informatici che in forma cartacea.
* Es. buste paga/certificati medici

OBBLIGO

Adeguarsi alle MISURE MINIME DI SICUREZZA (MMS) e redigere il Documento Programmatico sulla Sicurezza con rinnovo annuale e/o ad ogni modifica sostanziale

Quindi - se indendo bene - in questi casi non è richiesto l'invio, ma solamente la stesura del documento... interpretazione corretta?

ciao

L'invio telematico o notifica viene fatto nei casi particolari.
L'adozione delle misure minime spetta a tutti quelli che trattano i dati sia con strumenti elettronici sia in cartaceo.
Il DPS è una delle misure minime, di cui abbiamo più volte parlato, che ogni anno si andrà ad aggiornare.
Non bisogna inviare il DPS a nessuno, è un documento che rimane in azienda (es. documento sulla 626 e altri).
Barbara accennava giustamente alle buste paga e certificati medici. Questi documenti vanno custoditi ponendo molta attenzione.
Può essere utile un cassetto chiuso a chiave o cassaforte, solo il personale autorizzato può averne accesso. Inoltre, l'invio che ne viene fatto al consulente via fax o e-mail comporta delle particolari attenzioni proprio per il loro contenuto (dati sensibili).

Ciao Patty,

sei sicura che non bisogna inviare a nessuno il DPS?

In ufficio aumentano il numero di richieste di clienti che vogliono il DPS e di soggetti che ci chiedono se siamo in regola con il DPS.

Al momento non è stato ancora inviato a nessuno, proprio come tu hai indicato, ma se non ricordo male il DPS non va "allegato" al bilancio?

Ciao
Cisco

non vorrei sbagliarmi, ed in questo patty potrà correggermi  ;), ma in bilancio dovresti semplicemente fare una piccola realzione indicando che hai redatto il DPS secondo quanto disposto dal decreto, indicando data redazione ed eventuali "azioni da intraprendere" che hai programmato nei mesi successivi (del tipo non ho un firewall meccanico, ma è in previsione nei prossimi 2 mesi)
flavia

Nell'allegato B, Disciplinare Tecnico, la regola 26 dice:
"Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza".
Non tutte le aziende redigono il bilancio, ma solo SRL, SPA ect..
Sarà compito del commercialista che aggiungerà nella relazione, che la società in data 31/03/2006 ha adottato il DPS o qualcosa di simile. Ma non si allega al bilancio! Io personalmente non mi occupo di bilanci, :-[ chiedete al commercialista all'atto della compilazione del bilancio.

Per Cisco nn capisco a chi dovresti inviare il DPS. Ai clienti??

ciao patty,

si, alcuni ce lo stanno chiedendo!

ciao

Il cliente x chiedere copia del DPS deve avere dei validi motivi. Cioè: ti ha affidato dei dati , tipo sensibili, e vuole sapere quali misure hai adottato. Se sei stato nominto Responsabile, il titolare può controllare se ti sei adeguato. Ma non vedo il motivo per cui il cliente ti chiede il DPS. Inoltre il DPS contiene delle informazioni importanti per l'azienda (rischi intrusioni, server, ect.) Potrebbe essere utile se il cliente te lo chiede, scrivere una lettera, in cui indichi di esserti adeguato al D.lgs 196/2003, di aver adottato le misure minime, il DPS, di aver incaricato il personale. Secondo me è una soluzione che tra l'altro ho già adottato. Potresti anche invitarlo in azienda e vedere personalmente il DPS e come gestisci i dati.
;)

IL documento in pdf di patty , scadenze privacy sembra essere danneggiato, mi confermate? voi riuscite a leggerlo?

IL documento in pdf di patty , scadenze privacy sembra essere danneggiato, mi confermate? voi riuscite a leggerlo?


Io lo leggo benissimo, forse devi aggirtnarti AcrobatReader (http://www.adobe.it/products/acrobat/readstep2.html).

Ciao

/me

Scusate l'ignoranza!
Ma se i dati dei miei clienti, sono nel sito di e-commerce, il cui server è di proprietà del provider, devo preparare ugualmente questo documento??

Scusate l'ignoranza!
Ma se i dati dei miei clienti, sono nel sito di e-commerce, il cui server è di proprietà del provider, devo preparare ugualmente questo documento??


Sicuro che devi fare il DPS? ::)

NOn lo so...ma credo che la prossima settimana chiudo la mia attività, ne ho piene le scatole di queste menate.
Ogni giorno ne sbuca una nuova e sinceramente sono stufo.
Vado in piazza, al bar e sorseggiando un caffè, penso a quant sono fortunato.

Probabilmente voi siete piu preparati di me e piu ottimisti, in fin dei conti, ho altre attività piu' redditizie.
Se il commercio elettronico deve sottostare a queste assuridtà, è meglio che mi dedico ad altro.
Scusate il mio disappunto e la mia delusione.

Sicuro che mi metto ad analizzare il grado di rischio che ha il mio pc di compromettere dei dati personali...

Mi sa che siamo impazziti.