31 marzo 2011: scadenza per l’aggiornamento del DPS

Come ogni anno, a marzo è necessario provvedere all’aggiornamento del Documento Programmatico di Sicurezza (DPS) che deve essere tenuto secondo le regole stabilite dall’art. 34 e dall’Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196, il famoso Codice in materia di protezione dei dati personali.

Il DPS rappresenta una fotografia reale del sistema di sicurezza attivo a all’interno dell’organizzazione e il percorso di adeguamento intrapreso per adeguarsi alla normativa privacy. È obbligatorio quando l’organizzazione tratta con strumenti elettronici dati sensibili o giudiziari, ma se viene adottato anche negli altri casi rappresenta una delle misure idonee indicate dal Codice all’art. 31. Inoltre è importante che sia conosciuto e applicato da tutti i livelli dell’organizzazione (anche per questo è necessario riferire, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza).

I contenuti del DPS sono:

-          Elenco trattamenti dati personali

-          Distribuzione compiti e responsabilità

-          Analisi dei rischi

-          Misure da adottare e adottate

-          Descrizione criteri disaster recovery

-          Previsioni interventi formativi

-          Descrizione criteri da adottare per trattamenti affidati all’esterno

-          Descrizione criteri per cifratura o separazione di dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali dell’interessato

Sembra semplice ma invece non lo è, troppe cose di cui tener conto e… per questo Consulenti privacy si offre per farti dormire sogni tranquilli! Non è possibile mettersi a norma in un giorno, come si legge su alcuni siti… la stesura del DPS richiede una attenta valutazione della situazione in materia di sicurezza e dei trattamenti effettuati.

Noi di Consulenti privacy offriamo consulenza tout court per supportarti in ogni fase di questo processo e non solo… anche per il DPS la nostra consulenza privacy dura per un intero anno!

Possiamo inoltre risolvere tutte le problematiche relative alla tutela dei dati personali sotto l’aspetto legale, procedurale, informatico e della formazione del personale. Il team è composto da avvocati, consulenti aziendali, ingegneri informatici, esperti in procedure della P.A., per affrontare in modo corretto e semplice il trattamento dei dati personali.

Chiedi senza impegno una verifica dello stato di adeguamento in merito alla sicurezza nella tua organizzazione e un preventivo… ti meraviglierai di come siamo efficienti! Scrivi a comunicazioni@consulentiprivacy.it

Comments(0)

Art. 37 codice privacy: obbligo di notificazione del trattamento al Garante

1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione.

3. La notificazione è effettuata con unico atto anche quando il trattamento comporta iltrasferimento all’estero dei dati.4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile achiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.

Comments(0)