TUTELA DELLA PRIVACY - D.LGS.
N. 196/2003 - ULTERIORI CHIARIMENTI
Il 31 dicembre 2005 entreranno in vigore le nuove
misure minime di sicurezza in materia di privacy previste dal D.Lgs. 196/2003.
Di seguito si pubblicano alcuni modelli che potranno essere utilizzati dalle
imprese per i principali adempimenti previsti dal D.Lgs. 196/2003. Per gli
aspetti generali si rinvia alla precedente nota in materia (cfr.
Not. n. 11/2004) e
all’allegato B al D.Lgs. 196/2003. I modelli pubblicati prima dell’utilizzo
devono essere adattati alle singole realtà.
1) Lettera di designazione degli incaricati al
trattamento dei dati.
Carta intesta dell’impresa
Oggetto: Nomina ed istruzioni per gli incaricati del
trattamento ai sensi dell’art. 30 Decreto Legislativo 196/2003
Gent.mo/a Sig./Sig.ra
_________________
Il decreto legislativo 30 giugno 2003 n. 196 “Codice
in materia di protezione dei dati personali”, ha introdotto rilevanti obblighi
a carico dell’impresa, obblighi la cui inosservanza è sanzionata sia penalmente
sia in via amministrativa ed espone a responsabilità civili.
Il fine del decreto è quello di garantire che il
trattamento di dati personali si svolga nel pieno
rispetto dei diritti dell’interessato, sia esso persona fisica che società,
ente od associazione.
La legge prescrive (art. 30) che vengano
impartite da parte del titolare specifiche istruzioni agli “incaricati del
trattamento”, ossia coloro che, nell’ambito dell’impresa ed in relazione alle
mansioni affidate, trattano dati personali sia mediante sistemi informatici che
mediante documenti cartacei.
Pertanto, la scrivente impresa ____________________
corrente in ___________ via __________ in qualità di Titolare del trattamento
dei dati dell’ incarica il Dr./sig./la
sig.ra _______ nato/a a __________ il ___________ al trattamento dei dati
personali nell’ambito della mansione di __________ (ad es. segretaria,
amministrazione, magazzino, geometra di cantiere) che è chiamato/a a svolgere.
Tale incarico comporta la possibilità di raccogliere, registrare e conservare
ed in ogni caso eseguire qualsiasi altra operazione di trattamento nei limiti
delle proprie mansioni e nel rispetto delle norme di legge nonchè
delle istruzioni fornite dal titolare.
A tal fine vengono fornite
informazioni ed istruzioni per l’assolvimento del compito assegnato atte a
garantire un trattamento lecito, corretto e sicuro dei dati personali, anche
sensibili.
Accesso a banche dati aziendali
Le banche dati cui è autorizzato ad accedere per
effettuare i trattamenti (sia informatici che cartacei) sono le seguenti
(indicare le banche dati di interesse):
- Banca dati clienti
- Banca dati lavoratori
- Banca dati fornitori
- _______________________
E’ autorizzato al trattamento anche dei dati sensibili
e giudiziari di cui all’art. 4, comma 1, lett. d) ed e) del D.Lgs. 196/2003,
nei soli casi e nei limiti strettamente necessari e sufficienti per l’esercizio
della mansione espletata.
Creazione nuove banche dati. Gestione programmi
Senza preventiva autorizzazione del titolare non è
permesso realizzare nuove ed autonome banche dati, con finalità diverse da
quelle già previste.
Trattamento dei dati personali
La raccolta ed il trattamento dei dati personali,
nell’ambito delle banche dati sopra indicate, deve essere effettuato
esclusivamente in conformità alle finalità previste dal D.Lgs. n. 196/2003 ed in particolare dell’art. 11 del D.Lgs. n. 196/2003, che prevede che i dati personali oggetto di
trattamento devono essere:
- trattati in modo lecito e secondo
correttezza;
- raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in
termini compatibili con tali scopi;
- esatti e se necessario aggiornati;
- pertinenti, completi e non eccedenti rispetto alle
finalità per le quali sono raccolti e successivamente
trattati;
- conservati in una forma che consenta
l’identificazione dell’interessato per un periodo di tempo non superiore a
quello necessario agli scopi per i quali essi sono stati
raccolti o successivamente trattati.
L’incaricato dovrà, preliminarmente, classificare ogni
dato personale trattato, al fine di distinguere quelli sensibili e giudiziari,
osservando maggiori cautele per il trattamento di quest’ultimo tipo di dati.
Eventuali colloqui con terzi presso la postazione di
lavoro potranno essere svolti solo dopo che tutti i documenti contenenti dati
non attinenti al colloquio siano stati collocati in
modo da non poter essere, neppure accidentalmente, visti da terzi.
a) Trattamento dei dati con strumenti elettronici
Per ogni incaricato viene
creata una “credenziale di autenticazione” che consente l’accesso in rete ai
dati, attraverso una procedura di autenticazione. A tal fine, ad ogni
incaricato è stata assegnata in via riservata una credenziale per
l’autenticazione che consiste in un codice identificativo (username)
ed una parola chiave riservata (password). Tale password dovrà essere da Lei
modificata al primo utilizzo e tale parola chiave non va comunicata ad altri se
non al custode delle chiavi designato nella persona del sig. ___________. Tale
comunicazione dovrà avvenire consegnando una busta chiusa contenente la nuova
password prescelta. Inoltre dovrà provvedere a variare con periodicità
trimestrale tale parola chiave e dovrà comunicare la nuova parola chiave,
sempre in modo riservato, al custode delle credenziali. (inserire
l’eventuale previsione di un sistema di autorizzazione).
Si ricorda che l’impresa, titolare del trattamento,
nei casi in cui è indispensabile ed indifferibile accedere ai dati trattati
dall’incaricato ed agli strumenti informatici in dotazione allo stesso sia per
le esigenze dell’ impresa sia per la sicurezza ed
operatività dello stesso sistema informatico (ad esempio nei casi di prolungata
assenza od impedimento dell’incaricato), potrà accedere mediante intervento del
custode delle credenziali nominato dall’azienda stessa.
La postazione informatica non va lasciata incustodita
durante una sessione di lavoro lasciando accessibili i dati. A tal fine deve essere
abilitato un salva schermo che intervenga dopo dieci
minuti di inattività e possa essere rimosso solo tramite specifica password che
verrà comunicata dall’incaricato con le stesse modalità sopra indicate.
Tutti i supporti magnetici utilizzati vanno riposti
negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo
che i dati contenuti sono stati resi effettivamente inutilizzabili.
E’ vietato copiare s supporti informatici rimovibili
dati personali salvo il caso in cui tale operazione sia
necessaria per usi interni dell’impresa.
L’incaricato non può installare ed utilizzare
programmi per elaboratore non autorizzati dall’impresa né privi di licenza che legittimino l’uso.
Ogni elaboratore è dotato di un sistema antivirus, il
cui aggiornamento dovrà essere controllato dall’incaricato. E’ fatto divieto di
alterare tale impostazione.
Il salvataggio dei dati deve essere effettuato ogni
giorno.
b) Trattamenti dei dati senza l’ausilio di strumenti
elettronici (trattamenti cartacei)
In base al principio di stretta pertinenza dei
trattamenti rispetto alle mansioni svolte, potrà accedere agli archivi relativi
alle banche dati di tipo cartaceo.
L’incaricato nel trattare documenti contenenti dati
sensibili o giudiziari è tenuto a custodirli fino alla restituzione in modo da
evitare l’accesso agli stessi dati a persone prive di autorizzazione.
L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati
sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso
fuori dall’orario di lavoro impone la registrazione e
identificazione delle persone ammesse ai locali.
I documenti (o copia degli stessi) non possono, senza
specifica autorizzazione, essere portati fuori dai
luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi
preventivamente autorizzati in via generale dal titolare.
Comunicazione e diffusione dei dati
In relazione alle banche dati di cui è autorizzato il
trattamento nello svolgimento delle mansioni affidate, è autorizzata la
comunicazione dei dati stessi esclusivamente ai seguenti soggetti esterni
indicati dall’azienda:
- INPS, INAIL, Sistema Cassa Edili,
Direzione Provinciale del Lavoro, Uffici Fiscali, Agenzia delle Entrate,
ogni altra Pubblica Amministrazione competente che in base a provvedimento
idoneo li richieda;
- Consulente del Lavoro ____________;
- Commercialista _________________;
- Studio Legale __________________;
- _____________________;
La comunicazione a soggetti diversi dovrà essere
preventivamente autorizzata dal titolare.
Misure di sicurezza
Ogni incaricato è tenuto ad osservare tutte le misure
di protezione e sicurezza atte a evitare rischi di distruzione, perdita,
accesso non autorizzato, trattamento non consentito, già predisposte
dall’impresa, nonché quelle che in futuro verranno
comunicate.
Per ogni altra misura ed istruzione qui non prevista
ci si richiama al D.P.S.,
che viene allegato alla presente.
Data _____________
_________________
Timbro e firma dell’impresa
Per conoscenza e accettazione da parte dell’incaricato
_________________
Firma dell’incaricato
2) Lettera per la nomina del custode delle credenziali
Carta intesta dell’impresa
Oggetto: Nomina ed istruzioni del custode delle
credenziali ai sensi del Decreto Legislativo 196/2003 per il trattamento dei
dati con sistemi informatici
Data _________
Egr. Signor
_____________
Le norme che regolamentano l’attuazione delle misure
minime obbligatorie per la sicurezza nel trattamento dei dati personali
(attualmente il disciplinare tecnico allegato al Codice sulla privacy emanato
con decreto legislativo n. 196/2003), impongono che nel caso di trattamento dei
dati utilizzando sistemi elettronici ogni incaricato del trattamento dei dati
sia munito di credenziali per l’autenticazione costituito
da un codice per l’identificazione (nome utente) associato ad una parola chiave
riservata (password) per l’accesso ai dati personali presenti nei singoli
elaboratori e/o nei sistemi informatici in rete.
L’assegnazione, la gestione e la variazione della
parola chiave deve essere caratterizzata dalla riservatezza: a tal fine lo
stesso disciplinare tecnico (punto 10) impone la individuazione
e la nomina di un “soggetto incaricato della loro custodia”. In considerazione
delle mansioni da Lei svolte in azienda e della sua qualificazione
professionale, viene, pertanto incaricato “custode
delle credenziali di autenticazione” attribuite ai singoli incaricati al
trattamento in azienda.
Pertanto lei dovrà consegnare a ciascun incaricato
l’elenco delle password a lui assegnate, avvertendolo che tali password devono
essere immediatamente modificate dall’incaricato stesso.
Nell’espletamento delle sue funzioni dovrà applicare
le misure di sicurezza disposte dall’impresa e, specificatamente, nelle gestione delle parole chiave dovrà:
- ricevere dai singoli incaricati del trattamento
comunicazione riservata in busta chiusa della sostituzione di password
effettuata;
- custodire le stesse parole chiave con modalità atte
a garantire la segretezza delle stesse parole chiave e la loro integrità come
indicato nelle procedure indicate nel “Codice di comportamento per gli
incaricati al trattamento”;
- intervenire sul profilo autorizzativo
del singolo incaricato per permettere alla stessa azienda, titolare del
trattamento, di accedere ai dati trattati da ogni incaricato con le modalità
fissate dalla stessa azienda, al solo fine di garantire l’operatività, la
sicurezza del sistema ed il normale svolgimento dell’attività aziendale in caso
di prolungata assenza od impedimento dell’incaricato che renda indispensabile
ed indifferibile l’intervento;
- informare tempestivamente l’incaricato
dell’intervento di accesso realizzato;
- con cadenza almeno semestrale dovrà distruggere le
buste ricevute dagli incaricati che abbiano interrotto
il loro rapporto con l’impresa ovvero a cui sia stato revocata la funzione di
incaricato al trattamento.
___________________________
Timbro e firma dell’impresa
Per conoscenza e accettazione da parte del custode
__________________
Firma del custode
Modello di comunicazione delle password
Incaricato ________
User-id __________
Password ________
Eventuali altre password _____
3) Lettera per l’informativa ed il consenso al
trattamento di dati personali relativamente ai dipendenti dell’impresa
Carta intesta dell’impresa
Oggetto: Informativa ai sensi dell’art. 13 del decreto
legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione
dei dati personali”.
Acquisizione del consenso dell’interessato al
trattamento dei dati comuni e sensibili ai sensi dell’art. 23 del decreto
legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione
dei dati personali”.
Egregio Signor / Gentile Signora
_________________________
Come previsto dall’art. 13 del D.Lgs. 196/2003 di
seguito si fornisce la necessaria informativa in merito ai dati personali che
dovranno essere forniti all’atto dell’assunzione nonché nel corso dello
svolgimento del rapporto di lavoro:
a) Natura, finalità e modalità di trattamento dei dati
Saranno acquisiti i “dati identificativi” ossia i dati
che permettono l’identificazione diretta dell’interessato nonché il codice
fiscale, i dati necessari per l’accreditamento delle retribuzioni. Saranno
acquisiti analoghi dati relativi ai componenti il nucleo famigliare.
Inoltre, nello svolgimento del rapporto potrà essere
necessario acquisire e trattare dati “sensibili” (così elencati dall’articolo 4
del “Codice in materia di protezione dei dati personali”: “i
dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a
partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo
stato di salute”) e dati che presentano rischi specifici, come indicati
dall’art. 17 del D.Lgs. 196/2003.
L’interessato potrà fornire ogni altro dato relativo a
cespiti reddittuali propri o di altri componenti il
nucleo famigliare.
Il trattamento dei dati personali comuni e sensibili,
richiesti o acquisiti sia preventivamente all’instaurazione del rapporto di
lavoro che nel corso o dopo la cessazione dello stesso, ha la finalità di
permettere gli adempimenti retributivi, contributivi, di assicurazione e
fiscali, connessi alla corresponsione delle retribuzioni ed ai relativi
adempimenti di legge, nonché ogni altro adempimento previsto dalla legge e/o
dal contratto collettivo in materia di lavoro subordinato.
Il trattamento, come definito dall’art. 4, comma 1,
lett. a) del D.Lgs. 196/2003, sarà effettuato sia avvalendosi di strumenti
elettronici sia senza l’utilizzo di tali strumenti. In ogni caso i dati
personali saranno trattati con le modalità indicate nell’art. 11, del citato
decreto legislativo.
b) Natura obbligatoria o facoltativa dei conferimento
Il conferimento dei dati ed il relativo trattamento ha
natura obbligatoria in forza della vigente legislazione in materia di lavoro, e
del vigente c.c.n.l..
c) Conseguenze di un eventuale rifiuto al consenso del
trattamento da parte dell’interessato
L’eventuale, parziale o totale, rifiuto di conferire i
dati comporta l’impossibilità di perseguire le finalità sopra indicate.
d) Soggetti ai quali possono essere comunicati i dati
Il trattamento dei dati personali comporta che gli
stessi saranno eventualmente comunicati a:
- alle Pubbliche Amministrazioni, per lo svolgimento
delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai
regolamenti;
- alle organizzazioni appartenenti al sistema A.N.C.E.
- Confindustria allo scopo di aderire alle normative
contrattuali, nonchè alle organizzazioni sindacali
per un riscontro contabile dei contributi sindacali versati;
- alle casse di previdenza ed assistenza (
- alla società assicuratrice ai fini della riscossione
del premio relativo alle polizze che questa impresa ha in essere;
- ai consulenti esterni di cui si avvale questa
impresa, specialmente per la gestione del servizio paghe
e contributi;
- a studi legali, per l’assistenza legale in
controversie di cui sia parte l’impresa;
- ai committenti, in adempimento delle vigenti
disposizioni di legge e di contratto, al fine di garantire la sicurezza nei
cantieri edili presso i quali opererà l’interessato.
In ogni caso i dati comunicati saranno solo quelli
strettamente necessari per il perseguimento delle finalità sopra indicate.
Verranno a conoscenza dei sui
dati anche gli incaricati al trattamento addetti all’ufficio amministrativo,
tecnico ___________ dell’impresa nei limiti strettamente necessari per
l’espletamento dei compiti assegnati a ciascun ufficio.
e) Diritti dell’interessato
Di seguito si riporta il testo dell’art. 7 del Codice,
che indica i diritti dell’interessato:
Art. 7 - Diritto di accesso
ai dati personali ed altri diritti
1. L’interessato ha diritto di ottenere la conferma
dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora
registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento
effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei
responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali
i dati personali possono essere comunicati o che possono venirne a conoscenza
in qualità di rappresentante designato nel territorio dello Stato, di responsabili
o incaricati.
3. L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando
vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma
anonima o il blocco dei dati trattati in violazione di legge, compresi quelli
di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente
trattati;
c) l’attestazione che le operazioni di cui alle
lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il
loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi,
eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un
impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in
parte:
a) per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano
a fini di invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione commerciale.
f) Titolare del trattamento dei dati
Il titolare del trattamento dei dati è _____ (indicare
la denominazione dell’impresa), con sede in _____________, via _____________,
n. ___.
Potranno venire a conoscenza dei sui
dati anche gli incaricati al trattamento addetti all’ufficio amministrativo
dell’impresa.
g) Consenso
Il consenso, ove necessario, può essere prestato in
tutto o in parte.
_________ (data)
_____________
timbro e firma dell’impresa
CONSENSO AL TRATTAMENTO DEI DATI PERSONALI DEL
DIPENDENTE
In relazione alla richiesta formulatami e preso atto
dell’informativa di cui sopra - in particolare dei diritti a me riconosciuti
dall’art. 7, del decreto legislativo 30 giugno 2003, n. 196 - presto il mio
consenso per il trattamento di tutti i dati, comuni, sensibili e con rischi
specifici, di cui alla presente informativa, ivi compresa la comunicazione, per
le finalità e nei limiti indicati dalla presente informativa.
________________ (Data)
________________
(firma leggibile del lavoratore)
________________ (Data)
________________
(Nome e Cognome) (firma
leggibile dei familiari) - per i minorenni la firma deve essere del genitore
4) Lettera per l’informativa ed il consenso al
trattamento di dati personali relativamente a clienti e fornitori
Carta intesta dell’impresa
Spett.le ____________,
La scrivente informa che per l’instaurazione e
l’esecuzione dei rapporti contrattuali con Voi in corso è in possesso di dati
anagrafici e fiscali acquisiti anche verbalmente direttamente o tramite terzi,
a voi relativi, dati qualificati come personali dalla legge.
Con riferimento a tali dati vi informiamo che:
- i dati vengono trattati in
relazione alle esigenze contrattuali ed ai conseguenti adempimenti degli
obblighi legali e contrattuali dalle stesse derivanti nonché per conseguire una
efficace gestione dei rapporti commerciali;
- i dati verranno trattati in
forma scritta e/o su supporto magnetico, elettronico e telematico;
- il conferimento dei dati stessi è obbligatorio per
tutto quanto è richiesto dagli obblighi legali e contrattuali e pertanto
l’eventuale rifiuto a fornirli o al successivo trattamento potrà determinare
l’impossibilità della scrivente a dar corso ai rapporti contrattuali medesimi;
- il mancato conferimento, invece, di tutti i dati che
non siano riconducibili ad obblighi legali o contrattuali verrà
valutato di volta in volta dalla scrivente e determinerà le conseguenti
decisioni rapportate all’importanza dei dati richiesti rispetto alla gestione
del rapporto commerciale;
- ferme restando le comunicazioni e diffusioni
effettuate in esecuzione di obblighi di legge, i dati potranno essere
comunicati in Italia a:
- istituti di credito
- società di informazioni commerciali
- professionisti e consulenti
- _________________
- ai fini della gestione dei nostri diritti relativi
al singolo rapporto commerciale, per le medesime finalità, i dati potranno
venire a conoscenza delle seguenti categorie di incaricati
___________
___________
- i dati verranno trattati
per tutta la durata dei rapporti contrattuali instaurati e anche
successivamente per l’espletamento di tutti gli adempimenti di legge nonché per
future finalità commerciali;
- relativamente ai dati medesimi
Di seguito si riporta il testo dell’art. 7 del Codice,
che indica i diritti dell’interessato:
Art. 7 - Diritto di accesso
ai dati personali ed altri diritti
1. L’interessato ha diritto di ottenere la conferma dell’esistenza
o meno di dati personali che lo riguardano, anche se non ancora registrati, e
la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento
effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei
responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali
i dati personali possono essere comunicati o che possono venirne a conoscenza
in qualità di rappresentante designato nel territorio dello Stato, di
responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando
vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma
anonima o il blocco dei dati trattati in violazione di legge, compresi quelli
di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente
trattati;
c) l’attestazione che le operazioni di cui alle
lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il
loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi,
eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un
impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in
parte:
a) per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano
a fini di invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione commerciale.
- titolare del trattamento dei dati è _____ (indicare nominativo e sede dell’impresa)
Data __________________
Timbro e Firma dell’impresa
______________________
CONSENSO AL TRATTAMENTO DEI DATI PERSONALI DEL CLIENTE
- FORNITORE
Data ____________
________________
Timbro e firma del fornitore cliente
(legale rappresentante)
5) Lettera di nomina del responsabile esterno del
trattamento dei dati
(Questo modello può essere
utilizzato per il consulente del lavoro, il commercialista ecc.)
Carta intestata dell’impresa
Data _____________________________
Spett. Ditta/Studio/Professionista
_______________________
Ai sensi dell’art. 29 del decreto legislativo 196/2003
e delle intese intercorse, e nell’ambito dell’incarico professionale assegnato
consistente ____________________ (ad esempio: elaborazione paghe, predisposizione
documentazione fiscale...), vi comunichiamo la nomina a responsabile del
trattamento delle banche dati di seguito individuate e di quelle che in futuro
Vi verranno affidate nell’ambito dello stesso incarico
professionale:
- _______________________
- _______________________
- _______________________
- _______________________
Nel vostro incarico dovrete attenervi alle istruzioni
impartite per rispettare tutti gli obblighi della legge
compreso il profilo della sicurezza:
- individuare gli
incaricati del trattamento e successivamente diramare le istruzioni scritte
necessarie per un corretto, lecito, sicuro trattamento; le istruzioni dovranno
essere integrate con le adeguate prescrizioni sulle misure di sicurezza da
applicare definite in base al sistema di sicurezza richiamato più avanti;
- attuare gli obblighi di informazione e acquisizione
del consenso, quando richiesto, nei confronti degli interessati;
- predisporre l’eventuale notificazione iniziale e le
eventuali successive variazioni verificando l’esattezza e la completezza dei
dati;
- garantire all’interessato l’effettivo esercizio dei
diritti previsti dall’art. 7 del decreto legislativo n.196/2003,
in ordine all’accesso ai dato e a tutti i diritti di
aggiornamento,rettificazione,cancellazione e di opposizione;
- collaborare per l’attuazione delle prescrizioni del
Garante;
- predisporre ed aggiornare un sistema di sicurezza
idoneo a rispettare le prescrizioni dell’art. 31 del decreto legislativo n.196/2003, nonché adeguare il sistema alle norme
regolamentari in materia di sicurezza, curandone l’applicazione da parte degli
incaricati.
_______________
Timbro e firma dell’impresa
Il/La sottoscritto/a
_________________________________ dichiara di accettare l’incarico sopra conferito
e si impegna a procedere al trattamento dei dati personali attendendosi alle
istruzioni impartite nel rispetto di quanto richiesto dalla legge
Data ___________
_______________
Timbro e firma
6) Documento programmatico sulla sicurezza (DPS)
Di seguito si pubblica la guida per redigere il DPS predisposta dall’Autorità Garante per
Parte I - Istruzioni
Per ciascuna regola dell’Allegato B al D.Lgs. 196/2003
sono riportati i contenuti, le informazioni essenziali e gli ulteriori elementi
da inserire nel DPS.
Elenco dei trattamenti di dati personali (regola 19.1)
Contenuti
In questa sezione sono individuati i trattamenti
effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con
l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.)
interna od esterna operativamente preposta, nonché degli strumenti elettronici
impiegati.
Nella redazione della lista si può tener conto anche
delle informazioni contenute nelle notificazioni eventualmente inviate al
Garante anche in passato.
Informazioni essenziali
Per ciascun trattamento vanno indicate le seguenti
informazioni secondo il livello di sintesi determinato dal titolare:
Descrizione sintetica: menzionare il trattamento dei
dati personali attraverso l’indicazione della finalità perseguita o
dell’attività svolta (es.,
fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di
persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o
collaboratori, fornitori, ecc.).
Natura dei dati trattati: indicare se, tra i dati
personali, sono presenti dati sensibili o giudiziari.
Struttura di riferimento: indicare la struttura
(ufficio, funzione, ecc.) all’interno della quale viene
effettuato il trattamento. In caso di strutture complesse, è possibile indicare
la macro-struttura (direzione, dipartimento o servizio del personale), oppure
gli uffici specifici all’interno della stessa (ufficio contratti, sviluppo
risorse, controversie sindacali, amministrazione-contabilità.)
Altre strutture che concorrono al trattamento: nel
caso in cui un trattamento, per essere completato, comporta l’attività di
diverse strutture è opportuno indicare, oltre quella che cura primariamente
l’attività, le altre principali strutture che concorrono al trattamento anche
dall’esterno.
Descrizione degli strumenti elettronici utilizzati: va
indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c.
anche portatili, collegati o meno in una rete locale,
geografica o Internet; sistemi informativi più complessi).
Ulteriori elementi per descrivere gli strumenti (Da
indicare facoltativamente)
Identificativo del trattamento: alla descrizione del
trattamento, se ritenuto utile, può essere associato un codice, facoltativo,
per favorire un’identificazione univoca e più rapida di
ciascun trattamento nella compilazione delle altre tabelle.
Banca dati: indicare eventualmente la banca dati
(ovvero il data base o l’archivio informatico), con le relative applicazioni,
in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo
di dati che risiedono in più di una banca dati. In tal caso le banche dati
potranno essere elencate.
Luogo di custodia dei supporti di memorizzazione:
indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano
(in quale sede, centrale o periferica, o presso quale fornitore di servizi,
ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di
conservazione dei supporti magnetici utilizzati per le copie di sicurezza
(nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il punto può essere
approfondito meglio in occasione di aggiornamenti.
Tipologia di dispositivi di
accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli
incaricati per effettuare il trattamento: pc,
terminale non intelligente, palmare, telefonino, ecc.
Tipologia di
interconnessione: descrizione sintetica e qualitativa della rete che collega i
dispositivi d’accesso ai dati utilizzati dagli incaricati: rete locale,
geografica, Internet, ecc.
Le predette informazioni possono essere completate o
sostituite da schemi, tabelle, disegni di architettura del sistema informativo
o da altri documenti aziendali già compilati e idonei a fornire in altro modo
le informazioni medesime.
Distribuzione dei compiti e delle responsabilità
(regola 19.2)
Contenuti
In questa sezione occorre descrivere sinteticamente
l’organizzazione della struttura di riferimento, i compiti e le relative
responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare
anche mediante specifici riferimenti documenti già predisposti (provvedimenti,
ordini di servizio, regolamenti interni, circolari), indicando le precise
modalità per reperirli.
Informazioni essenziali (v. anche tab. 2)
Struttura: riportare le indicazioni delle strutture
già menzionate nella precedente sezione.
Trattamenti effettuati dalla struttura: indicare i
trattamenti di competenza di ciascuna struttura.
Compiti e responsabilità della struttura: descrivere
sinteticamente i compiti e le responsabilità della struttura rispetto ai
trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati,
consultazione, comunicazione a terzi, manutenzione tecnica
dei programmi, gestione tecnica operativa della base dati (salvataggi,
ripristini, ecc.). Anche in questo caso è possibile utilizzare, nei termini
predetti, altri documenti già predisposti.
Analisi dei rischi che incombono sui dati (regola
19.3)
Contenuti
Descrivere in questa sezione i principali eventi
potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili
conseguenze e la gravità in relazione al contesto fisico–ambientale
di riferimento e agli strumenti elettronici utilizzati.
Informazioni essenziali (v. anche tab. 3)
Elenco degli eventi: individuare ed elencare gli
eventi che possono generare danni e che comportano, quindi, rischi per la
sicurezza dei dati personali. In particolare, si può prendere in considerazione
la lista esemplificativa dei seguenti eventi:
1) comportamenti degli operatori:
- sottrazione di credenziali di autenticazione
- carenza di consapevolezza, disattenzione o incuria
- comportamenti sleali o fraudolenti
- errore materiale
2) eventi relativi agli strumenti:
- azione di virus informatici o di programmi
suscettibili di recare danno
- spamming o tecniche di
sabotaggio
- malfunzionamento, indisponibilità o degrado degli
strumenti
- accessi esterni non autorizzati
- intercettazione di informazioni in rete
3) eventi relativi al contesto fisico-ambientale:
- ingressi non autorizzati a locali/aree ad accesso
ristretto
- sottrazione di strumenti contenenti dati
- eventi distruttivi, naturali o artificiali
(movimenti tellurici, scariche atmosferiche, incendi,
allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti
ad incuria
- guasto a sistemi complementari (impianto elettrico,
climatizzazione, ecc.)
- errori umani nella gestione della sicurezza fisica
E’ possibile, per ulteriori dettagli, rinviare a
documenti analoghi già redatti in tema di piani di sicurezza e gestione del
rischio, come ad es.:
Business Continuity Plan, Disaster
Recovery Plan, ecc. (si tenga però presente che le
analisi alla base di questi altri documenti possono avere una natura ben
diversa).
Impatto sulla sicurezza: descrivere le principali
conseguenze individuate per la sicurezza dei dati, in relazione a ciascun
evento, e valutare la loro gravità anche in relazione alla rilevanza e alla
probabilità stimata dell’evento (anche in termini sintetici: es., alta/media/bassa). In questo
modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da
contrastare.
L’analisi dei rischi può essere condotta utilizzando
metodi di complessità diversa: l’approccio qui descritto è volto solo a
consentire una prima riflessione in contesti che per dimensioni ridotte o per
altre analoghe ragioni, non ritengano di dover procedere ad una
analisi più strutturata.
Misure in essere e da adottare (regola
19.4)
Contenuti
In questa sezione vanno riportate, in forma sintetica,
le misure in essere e da adottare per contrastare i rischi individuati. Per
misura si intende lo specifico intervento tecnico od organizzativo posto in
essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica
minaccia), come pure quelle attività di verifica e controllo nel tempo,
essenziali per assicurarne l’efficacia.
Le misure da adottare possono essere inserite in una
sezione dedicata ai programmi per migliorare la sicurezza.
Informazioni essenziali
Misure: descrivere sinteticamente le misure adottate
(seguendo anche le indicazioni contenute nelle altre regole dell’Allegato B del
Codice).
Descrizione dei rischi: per ciascuna misura indicare
sinteticamente i rischi che si intende contrastare (anche qui, si possono
utilizzare le indicazioni fornite dall’Allegato B).
Trattamenti interessati: indicare i trattamenti
interessati per ciascuna delle misure adottate.
Determinate misure possono non essere riconducibili a
specifici trattamenti o banche di dati (ad esempio, con riferimento alle misure
per la protezione delle aree e dei locali).
Occorre specificare se la misura è già in essere o da
adottare, con eventuale indicazione, in tale ultimo caso, dei tempi previsti
per la sua messa in opera.
Struttura o persone addette all’adozione: indicare la
struttura o la persona responsabili o preposte all’adozione delle misure
indicate.
Ulteriori elementi per la descrizione analitica delle
misure di sicurezza (v. anche tab. 4.2) (Da indicare facoltativamente).
Oltre alle informazioni sopra riportate può essere
opportuno compilare, per ciascuna misura, una scheda analitica contenente un
maggior numero di informazioni, utili nella gestione operativa della sicurezza
e, in particolare, nelle attività di verifica e controllo.
Queste schede sono a formato libero e le informazioni
utili devono essere individuate in funzione della specifica misura. A puro
titolo di esempio, possono essere inserite informazioni relative a:
- la minaccia che si intende contrastare;
- la tipologia della misura (preventiva, di contrasto,
di contenimento degli effetti ecc.);
- le informazioni relative alla responsabilità
dell’attuazione e della gestione della misura;
- i tempi di validità delle scelte (contratti esterni,
aggiornamento di prodotti, ecc.);
- gli ambiti cui si applica (ambiti fisici - un
reparto, un edificio, ecc. - o logici - una procedura, un’applicazione, ecc.).
Può essere opportuno indicare chi ha compilato la
scheda e la data in cui la compilazione è terminata.
Criteri e modalità di ripristino della disponibilità
dei dati (regola 19.5)
Contenuti
In questa sezione sono descritti i criteri e le
procedure adottati per il ripristino dei dati in caso di loro danneggiamento o
di inaffidabilità della base dati. L’importanza di queste attività deriva
dall’eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale
che, quando sono necessarie, le copie dei dati siano disponibili e che le
procedure di reinstallazione siano efficaci.
Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure
adottate per il salvataggio dei dati al fine di una corretta esecuzione del
loro ripristino.
Informazioni essenziali (v. anche tab. 5.1)
Per quanto riguarda il ripristino, le informazioni
essenziali sono:
Banca dati/Data base/Archivio: indicare la banca dati,
il data base o l’archivio interessati.
Criteri e procedure per il salvataggio e il ripristino
dei dati: descrivere sinteticamente le procedure e i criteri individuati per il
salvataggio e il ripristino dei dati, con eventuale rinvio ad un’ulteriore
scheda operativa o a documentazioni analoghe.
Pianificazione delle prove di ripristino: indicare i
tempi previsti per effettuare i test di efficacia delle procedure di
salvataggio/ripristino dei dati adottate.
Ulteriori elementi per specificare i criteri e le
procedure per il salvataggio e il ripristino dei dati (v. anche tab. 5.2) (Da
indicare facoltativamente)
Data base: identificare la banca, la base o l’archivio
elettronico di dati interessati.
Criteri e procedure per il salvataggio dei dati:
descrivere sinteticamente la tipologia di salvataggio e la frequenza con cui viene effettuato.
Modalità di custodia delle copie: indicare il luogo
fisico in cui sono custodite le copie dei dati salvate.
Struttura o persona incaricata del salvataggio:
indicare la struttura o le persone incaricate di effettuare il salvataggio e/o
di controllarne l’esito.
Pianificazione degli interventi formativi previsti
(regola 19.6)
Contenuti
In questa sezione sono riportate le informazioni
necessarie per individuare il quadro sintetico degli interventi formativi che
si prevede di svolgere.
Informazioni essenziali
Descrizione sintetica degli interventi formativi:
descrivere sinteticamente gli obiettivi e le modalità dell’intervento
formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in
servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi
elaboratori, programmi o sistemi informatici, ecc) .
Classi di incarico o tipologie di incaricati
interessati: individuare le classi omogenee di incarico a cui
l’intervento è destinato e/o le tipologie di incaricati interessati, anche in
riferimento alle strutture di appartenenza.
Tempi previsti: indicare i tempi previsti per lo
svolgimento degli interventi formativi.
Trattamenti affidati all’esterno (regola 19.7)
Contenuti
Redigere un quadro sintetico delle attività affidate a
terzi che comportano il trattamento di dati, con l’indicazione sintetica del
quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale
trasferimento si inserisce, in riferimento agli
impegni assunti, anche all’esterno, per garantire la protezione dei dati
stessi.
Informazioni essenziali
Descrizione dell’attività “esternalizzata”:
indicare sinteticamente l’attività affidata all’esterno.
Trattamenti di dati interessati: indicare i
trattamenti di dati, sensibili o giudiziari, effettuati nell’ambito della
predetta attività.
Soggetto esterno: indicare la società, l’ente o il
consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti
della disciplina sulla protezione dei dati personali (titolare o responsabile
del trattamento).
Descrizione dei criteri: perché sia garantito un
adeguato trattamento dei dati è necessario che la società a
cui viene affidato il trattamento rilasci specifiche dichiarazioni o
documenti, oppure assuma alcuni impegni anche su base contrattuale, con
particolare riferimento, ad esempio, a:
1. trattamento di dati ai soli fini
dell’espletamento dell’incarico ricevuto;
2. adempimento degli obblighi previsti
dal Codice per la protezione dei dati personali;
3. rispetto delle istruzioni
specifiche eventualmente ricevute per il trattamento dei dati personali o
integrazione delle procedure già in essere;
4. impegno a relazionare
periodicamente sulle misure di sicurezza adottate - anche mediante eventuali
questionari e liste di controllo - e ad informare immediatamente il titolare
del trattamento in caso di situazioni anomale o di emergenze.
Parte II - Tabelle
Per ciascuna regola sono riportate, di seguito, una o
più tabelle.
Le istruzioni per la compilazione dei campi che le
compongono è contenuta nella Parte I.
Per ciascuna tabella può essere indicata
facoltativamente anche la data di compilazione, che può rivelarsi utile qualora
la tabella sia compilata in data significativamente diversa (antecedente)
rispetto alla redazione finale del DPS.