Sono adempimenti preliminari, cioè da eseguire prima di iniziare ogni nuovo trattamento:
Notificazione al Garante
Autorizzazione del Garante
Incarichi al trattamento
Misure di Sicurezza
Informativa all’Interessato
Potete accedere ad un singolo paragrafo selezionandolo dall’elenco o facendo scorrere la pagina. Al termine di ogni paragrafo potrete ritornare qui premendo
LA NOTIFICAZIONE AL GARANTE
La Notificazione è un’autodichiarazione che, in base alle indicazioni del Garante, state per effettuare un trattamento a rischio. Essa vi riguarda solo se nell’attività delle vostre aziende gestite in modo sistematico:
· Banche dati di dati genetici o biometrici;
· Banche dati telematiche relative alla posizione geografica di persone od oggetti;
· Banche dati sulla salute o sulla vita sessuale in via telematica;
· Banche dati per definire o valutare il profilo o la personalità degli utenti o per analizzare le abitudini o le scelte di consumo degli utenti;
· Banche dati di dati sensibili registrati a fini di selezione del personale per conto terzi o utilizzati per sondaggi d’opinione o ricerche di mercato;
· Banche dati per valutare i rischi sulla solvibilità economica o la situazione patrimoniale.
Questo elenco non è esaustivo, e, se avete dei dubbi in proposito, potete consultare la sezione relativa alla Notificazione nella pagina del GARANTE
L’AUTORIZZAZIONE DEL GARANTE
L’Autorizzazione del Garante è il permesso di effettuare trattamenti sui dati sensibili e/o giudiziari. Deve essere richiesta prima di effettuare i trattamenti, ma, nella maggior parte dei casi, non richiede alcun adempimento da parte vostra. Il Garante vi autorizza automaticamente a trattare dati sensibili e giudiziari nell’ambito delle vostre attività, alle condizioni previste dal Codice Privacy richiamate nelle seguenti Autorizzazioni Generali:
· Trattamento dei dati sensibili nei rapporti di lavoro;
· Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale;
· Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni;
· Trattamento dei dati sensibili da parte dei liberi professionisti;
· Trattamento dei dati sensibili da parte di titolari nei seguenti settori di attività:
o banche, credito, assicurazione;
o gestione fondi pensione, assistenza e previdenza;
o gestione carte di credito ed altri mezzi di pagamento;
o rilevazione dei rischi e recupero crediti;
o elaborazione dei dati in outsourcing;
o trasmissione dati;
o imbustamento e smistamento corrispondenza;
o gestione di esattorie e tesorerie;
o turismo e trasporto;
o sondaggi d’opinione e ricerche di mercato;
o selezione del personale;
o mediazione a fini matrimoniali;
-
Trattamento dei dati sensibili da parte degli investigatori privati;
-
Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici.
Oltre a quelle generali esistono anche le Autorizzazioni specifiche, rivolte a particolari tipologie di trattamento. Potete consultare quelle che vi riguardano, siano esse generali o specifiche, alla sezione Provvedimenti normativi nella pagina del GARANTE
LE LETTERE D’INCARICO
Tutte le persone fisiche che possono venire a conoscenza dei dati personali dell’azienda devono essere abilitate dal Titolare, o dal Responsabile se esiste, prima di iniziare qualunque trattamento.
Con riferimento a quanto indicato nel paragrafo I SOGGETTI ABILITATI della pagina PRIVACY, l’incarico o l’affido devono essere dati in forma scritta, all’inizio del rapporto di lavoro o collaborazione, e controfirmati dall’incaricato o dall’affidato per accettazione.
Nel seguito vi forniamo alcuni esempi di lettere, in base alle diverse tipologie di incarico/affido, che potete scaricare:
Incarichi generali Incarico a dipendente/collaboratore interno
Incarico a gruppo di lavoro
Incarico a collaboratore esterno
Affido ad azienda esterna
Incarichi specifici Nomina a responsabile dei trattamenti
Nomina a responsabile esterno
Incarico all’Amministrazione del Sistema
Incarico alla Custodia delle Parole Chiave (Password)
Incarico al Salvataggio dei Dati
Incarico alla Custodia della Sede Operativa
Vi ricordiamo che gli incarichi specifici possono essere inclusi nelle lettere d’incarico generale. Tutti gli incarichi possono essere inclusi nei contratti di prestazione professionale e manuale (es. assistenza legale, consulenza informatica, custodia, pulizia, manutenzione) purché il rapporto di lavoro non sia occasionale: in tal caso si configurerebbe il solo rapporto cliente/fornitore.
Con il Provvedimento del Garante del 27 novembre 2008 consolidato, cioè aggiornato con le modifiche introdotte dai Provvedimenti del 12 febbraio 2009 e del 25 giugno 2009, è stato posto in particolare risalto la figura dell’Amministratore di sistema (AdS). Comunque, se la vostra azienda tratta i dati sensibili o giudiziari solo per fini amministrativi e contabili, oppure se il vostro ADS interviene solo per installare hardware e software o per effettuare manutenzioni a seguito di malfunzionamenti o guasti, siete esclusi dagli obblighi previsti nel provvedimento sopraccitato.
Infine, l’incarico a gruppo di lavoro, peraltro già previsto dal Codice Privacy ma quasi mai utilizzato, è stato richiamato nelle semplificazioni per le piccole e medie imprese, i liberi professionisti e gli artigiani, di cui al Provvedimento del Garante del 19 giugno 2008: utilizzatelo!
Se desiderate ulteriori chiarimenti inviate una e-mail a info@poloconsulting.net
LE MISURE DI SICUREZZA
Le misure di sicurezza richiedono, prima di iniziare qualunque trattamento, il massimo sforzo finanziario ed organizzativo, anche perché dovrete rispondere, almeno civilmente, per tutte le eventuali carenze che dovessero essere riscontrate successivamente.
Quando aprite una nuova Sede Operativa o verificate lo stato della vostra, ponetevi sempre le domande che seguono ed agite di conseguenza, utilizzando la tecnologia con un efficiente bilanciamento tra il costo dell’installazione ed il bene da proteggere.
Per installare idonee misure di sicurezza è necessario eseguire prima di tutto una rigorosa analisi dei rischi, partendo da quelli ambientali:
· Rischio idrogeologico
La vostra azienda è posta in prossimità di fiumi o torrenti o su terreni franosi od in fase di smottamento?
· Rischio sismico
La vostra azienda è posta in zona sismica?
· Rischio combustione
La vostra azienda è circondata da prati o da boschi?
La vostra azienda, oppure un’azienda vicina, esegue lavorazioni che possono produrre fiamme o scintille e/o immagazzina combustibili e/o produce materiali facilmente infiammabili?
Nella vostra azienda gli archivi cartacei sono posizionati negli stessi locali in cui sono installate apparecchiature elettriche od elettroniche (ad esempio computer)?
· Rischio allagamento
L’impianto idrico della Sede operativa, o di tutto l’edificio nel quale è sita, è installato a regola d’arte e regolarmente mantenuto?
Nota: Il livello di rischio aumenta in funzione del numero di piani che sovrastano la Sede Operativa
I computer sono sollevati dal pavimento di almeno dieci centimetri?
Gli archivi cartacei, specialmente quelli con dati sensibili e/o giudiziari, sono sollevati dal pavimento di almeno dieci centimetri?
· Rischio chimico, biologico, radioattivo
La vostra azienda, oppure un’azienda vicina, produce o immagazzina prodotti chimici, biologici o radioattivi?
Se siete soggetti ai primi due rischi procuratevi la documentazione dei costruttori e verificate che essi abbiano adempiuto alla legislazione vigente.
In presenza delle altre tre tipologie di rischio, consultate il Testo unico sulla tutela della salute e della sicurezza nei luoghi di lavoro o rivolgetevi ad un esperto del settore.
Dopo i rischi ambientali occorre analizzare quelli che possono portare a furti, distruzione o perdite, anche accidentali di dati, ed uso improprio, con o senza dolo, degli stessi:
· Rischio intrusione
Esistono due tipi di intrusione: quella fisica, cioè compiuta da persone fisiche, e quella virtuale, compiuta utilizzando Internet, la tecnologia Wireless, ecc.
Per quanto riguarda i rischi connessi al primo tipo, ponetevi le domande che seguono:
I locali della vostra azienda sono protetti da un efficiente impianto antifurto, collegato direttamente con un servizio di vigilanza?
Gli accessi esterni alla vostra azienda sono protetti da dispositivi di dissuasione durante le ore non lavorative (cancelli o portoni antisfondamento, porte blindate con serrature di sicurezza, finestre con griglie o saracinesche con fermo, ecc.)?
Gli accessi esterni alla vostra azienda sono protetti da dispositivi di dissuasione durante le ore lavorative (impianti videocitofonici, vetrate antisfondamento, ecc.)?
Le porte dei locali, specialmente quelli contenenti computer, server od archivi di dati sensibili e/o giudiziari, sono dotate di serrature di sicurezza?
Tutti i computer ed i server sono forniti di credenziali d’accesso (UserName e Password)?
Tutti computer sono forniti di dispositivi di blocco (es. “screen saver” con password) per i temporanei abbandoni della postazione di lavoro?
L’accesso alle base dati contenenti dati sensibili e/o giudiziari è consentito solo agli utenti forniti di credenziali d’autorizzazione?
L’accesso agli archivi cartacei contenenti dati sensibili e/o giudiziari è permesso solo ad un numero limitato e controllato di persone autorizzate?
Le successive domande riguardano invece i rischi connessi al secondo tipo:
I vostri computer e/o i server di rete sono protetti da un efficiente hardware o software “firewall”, aggiornato automaticamente?
Anche l’accesso a Internet dei vostri computer è protetto da credenziali d’accesso?
I vostri computer e/o i server di rete sono protetti da un efficiente software “antivirus”, aggiornato automaticamente?
Nota: Il livello di rischio aumenta se trattate dati sensibili o giudiziari
· Rischio furto
Come per l’intrusione, esistono due tipi di furto: quello effettuato da persone fisiche e quello compiuto tramite accessi esterni da Internet, sistemi wireless, ecc.
Per quanto riguarda il primo tipo, le domande da porsi sono le seguenti:
I computer, particolarmente quelli portatili, sono dotati di dispositivi di ancoraggio con chiave alle scrivanie?
I supporti di salvataggio ed i documenti riservati dell’azienda sono posti in luoghi sicuri?
Gli armadi, particolarmente quelli contenenti dati sensibili e/o giudiziari, sono forniti di serratura di sicurezza?
Disponete di strumenti per la distruzione dei documenti obsoleti, come ad esempio un trita-documenti?
Per il secondo tipo le domande da porsi sono quelle relative all’intrusione, poiché molto raramente quest’ultima è distinguibile dal furto di dati personali, anche secondo le più recenti interpretazioni della legge.
Nota: Il livello di rischio aumenta se trattate dati sensibili o giudiziari
· Rischio perdita accidentale
Anche la perdita dei dati personali trattati dall’azienda è punito dal Codice Privacy, in quanto essi sono resi liberamente disponibili a terzi che, trattandoli, potranno farne un uso illecito. In ogni caso tale evento rappresenta una perdita economica per l'azienda.
Le domande che dovrete porvi per ridurre questo rischio sono le seguenti:
Tutti i computer fissi e/o i server sono protetti da un gruppo di continuità che garantisca il mantenimento dell’energia elettrica per il tempo necessario al salvataggio dei dati in corso di elaborazione?
Tutti i computer portatili sono "guardati a vista", specialmente durante le trasferte?
Tutti i computer ed i server sono di recente fabbricazione?
Tutti i sistemi operativi ed i programmi applicativi installati sono soggetti a regolari revisioni ed aggiornamenti da parte del produttore?
Effettuate il salvataggio dei dati personali dell’azienda almeno una volta alla settimana?
Nota: Il livello di rischio aumenta se trattate dati sensibili o giudiziari
Anche se le vostre risposte evidenziano una situazione di alto rischio, non preoccupatevi. Ognuno, in base alla tipologia dei dati trattati ed alla criticità dei trattamenti a cui li sottopone, deve giudicare se le misure di sicurezza che ha attuato sono realmente idonee a cautelarlo contro queste tipologie di rischi.
Il Codice Privacy contiene una serie di norme che sono definite misure minime di sicurezza. La non osservanza di queste norme espone il titolare a sanzioni penali (arresto sino a tre anni). Vi consigliamo vivamente di leggere il Testo commentato delle misure minime richieste dal Codice Privacy
Per cautelarvi anche dal punto di vista civile, dovrete sicuramente adottare misure superiori a quelle minime. Noi vi consigliamo di attuare, per ogni Sede Operativa, almeno le seguenti misure di sicurezza:
Protezione dei Luoghi fisici
Ø Installare uno o più estintori nella Sede Operativa.
Ø Installare un sistema d’allarme volumetrico, collegato all’Incaricato alla Custodia della Sede Operativa.
Ø Sollevare dal pavimento il “case” del vostro computer con materiali non assorbenti dello spessore di almeno dieci centimetri;
Ø Posizionare gli archivi cartacei su piani distanti almeno dieci centimetri dal pavimento.
Ø Installare porte con serratura a tutti gli accessi pedonali e carrabili e dispositivi di bloccaggio removibili (fermi) a tutte le finestre della Sede Operativa.
Ø Verificare che l’impianto di videosorveglianza, se esiste, sia conforme al Codice Privacy. Leggete in proposito il documento Videosorveglianza nella sezione Adempimenti generali.
Protezione degli Utenti
Ø Redigere il Mansionario Privacy, che contiene le norme generali e specifiche per ogni incaricato, l’elenco degli incaricati e le rispettive mansioni e la descrizione della procedura di “Disaster Recovery”.
Ø Assegnare ad ogni incaricato una UserName personale (ricordate che non dovrete mai più assegnarla ad altri) e disattivare quelle non più utilizzate.
Ø Far inserire da ogni incaricato la sua Password, lunga almeno otto caratteri, in tutti i computer su cui lavora.
Ø Installare su tutti i computer lo “screen saver” con password di protezione.
Protezione dell’Hardware
Ø Installare un gruppo di continuità sulla rete di alimentazione elettrica dei computer della Sede Operativa.
Ø Fornire tutti i computer portatili di un dispositivo di ancoraggio alla scrivania od alla parete.
Protezione del Software
Ø Installare su tutti i computer i seguenti programmi software con aggiornamento automatico: antivirus, firewall, antispyware.
Ø Verificare che per ogni computer siano disponibili il supporto tecnico e gli aggiornamenti sulla sicurezza per il sistema operativo e che in essi non vi sia traccia di "copie non autorizzate".
Protezione dei Dati
Ø Definire la procedura di salvataggio dei dati personali dell’azienda, cioè il "Backup", e quella di "Disaster Recovery".
Ø Mettere i supporti removibili contenenti il salvataggio dei dati e quelli del software di installazione (sistemi operativi e programmi applicativi) in un luogo sicuro dell’azienda oppure, se non esiste, presso la vostra abitazione.
Ø Mettere i supporti cartacei contenenti dati sensibili o giudiziari dentro armadi dotati di serratura.
Ø Installare un dispositivo trita-documenti.
Inoltre, ricordarsi sempre di eseguire con il massimo scrupolo quanto è citato nella sezione Adempimenti periodici
Queste misure sono di carattere generale e, pur essendo superiori a quelle minime, nel vostro caso possono non essere idonee.
Se cercate un esperto del settore sicurezza informatica inviate una e-mail al nostro partner info@bitwisesolutions.it o andate sul suo sito www.bitwisesolutions.it
L’INFORMATIVA ED IL CONSENSO
Quando nasce un nuovo rapporto di lavoro o d’affari, il primo compito del Titolare, attraverso i suoi incaricati, è fornire l’informativa all’interessato. Essa è il documento nel quale gli spiegate a cosa vi servono i suoi dati personali e come avete intenzione di trattarli. A questo punto l’interessato ha gli elementi per acconsentire o per negarvi il consenso al trattamento.
Se il trattamento ha solamente finalità amministrative e contabili, l’informativa può essere orale e non richiede consensi: ne esponete una copia nei vostri uffici ed il vostro incaricato spiega all’interessato a cosa vi servono i dati.
L’informativa deve contenere:
a) le finalità e le modalità del trattamento a cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenza di un eventuale rifiuto a fornire i dati;
d) i soggetti e le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
e) i diritti di cui all’art. 7 [accesso, aggiornamento, modifica, integrazione, conservazione e cancellazione dei dati personali];
f) gli estremi identificativi del titolare e, se designato, del responsabile.
L’informativa è dovuta una sola volta, salvo che non cambi uno degli elementi sopraccitati.
Se i trattamenti non sono comuni a tutti gli interessati occorre redigere informative differenziate per i relativi trattamenti. Ciò vuol dire che, se per alcuni clienti fate dei trattamenti specifici, dovete redigere una nuova informativa, relativa a questi trattamenti, od inglobarla in quella generale.
L’informativa può essere orale se il trattamento non riguarda i dati sensibili o giudiziari. La comunicazione all’interessato deve avvenire entro e non oltre l’atto della registrazione dei dati, eccetto quando:
a) i dati sono trattati per assolvere ad obblighi di legge;
b) i dati sono trattati per svolgere investigazioni difensive;
c) comporta un impiego di mezzi che il Garante, prescrivendo eventualmente misure alternative, giudica sproporzionato rispetto al diritto tutelato.
L’informativa orale non vi esenta dall’obbligo di avere, presso la sede, una o più informative scritte, da consegnare all’interessato su richiesta dello stesso.
L’informativa deve essere scritta se il trattamento riguarda i dati sensibili o giudiziari. Vi ricordiamo che i dati sensibili o giudiziari non possono essere diffusi, eccetto i casi previsti dalla legge (che riguardano esclusivamente soggetti pubblici).
Il modulo di consenso, che dovete trattenere debitamente firmato, deve contenere:
a) il consenso al trattamento dei dati per le finalità indicate nell’informativa;
b) il consenso alla comunicazione dei dati ai soggetti indicati nell’informativa;
c) il consenso alla diffusione dei dati, se prevista, con le modalità indicate nell’informativa.
Vi consigliamo, per questioni di spazio, di separarlo dall’informativa: quest’ultima potrebbe essere costituita da più fogli uguali per tutti, da fotocopiare all’occorrenza.
Vi ricordiamo che i dati non possono essere comunicati a terzi, eccetto per gli obblighi di legge, se:
a) è decorso un periodo di tempo superiore a quello necessario agli scopi indicati nell’informativa;
b) le finalità sono diverse da quelle indicate nell’eventuale Notificazione del trattamento al Garante.
Il consenso, per l'uso dei dati non sensibili o giudiziari, non è richiesto quando il trattamento:
-
è necessario per adempiere ad un obbligo di Legge;
-
è necessario per eseguire obblighi derivanti da un contratto;
-
riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, con i limiti stabiliti dalla Legge in merito alla conoscibilità e pubblicità dei dati;
-
riguarda dati relativi allo svolgimento di attività economiche, con i limiti stabiliti dalla Legge in merito al segreto aziendale ed industriale;
-
è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo;
-
è necessario per lo svolgimento delle indagini difensive o per far valere un diritto in sede giudiziaria;
-
è necessario per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati;
-
è effettuato da associazioni, enti od organismi senza scopo di lucro;
-
è necessario per esclusivi scopi scientifici, statistici, storici.
Il consenso deve essere sempre scritto quando il trattamento riguarda dati sensibili o giudiziari. Stiamo parlando dei rapporti con enti o professionisti della sanità (medici, laboratori di analisi, ecc.), della giustizia (avvocati, investigatori privati, ecc.), della Pubblica Amministrazione (commercialisti, consulenti del lavoro,ecc.), ma anche quando il trattamento è richiesto dalla legge (identificazione del cliente per pagamenti con carte di credito od assegni, per acquisto di autoveicoli o di SIM telefoniche, ecc.).
Il trattamento dei dati sensibili può essere effettuato senza consenso quando:
-
è relativo agli aderenti alle confessioni religiose, sempre che i dati non siano comunicati all’esterno;
-
è relativo all’adesione ad organizzazioni sindacali;
-
è effettuato da associazioni, enti od organismi senza scopo di lucro, sempre che i dati non siano comunicati all’esterno;
-
è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo (il consenso può essere richiesto successivamente o ad un terzo autorizzato);
-
è necessario per lo svolgimento delle indagini difensive o per far valere un diritto, esclusivamente in sede giudiziaria;
-
è necessario per adempiere ad un obbligo di Legge nella gestione del rapporto di lavoro, nei limiti previsti dall’Autorizzazione del Garante.
In seguito al Provvedimento del Garante del 19 giugno 2008, le piccole e medie imprese, i liberi professionisti e gli artigiani usufruiscono delle seguenti semplificazioni per i soli dati personali, esclusi quelli sensibili e giudiziari:
·
· Se non avete modo di spiegare i contenuti dell’informativa di persona, potete inviare all’interessato l’informativa breve suggerita dal Garante, insieme o sul primo documento (se è un vostro cliente sulla conferma, fattura, ecc., se è un fornitore sull’ordine), come segue:
Utilizziamo, anche tramite collaboratori esterni, i dati che vi riguardano esclusivamente per le nostre finalità [amministrative e contabili / di marketing], anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al vs. diritto di accesso ed agli altri vs. diritti, sono riportate sull’informativa completa a vs. disposizione presso la ns. sede.
Nel seguito vi forniamo alcuni esempi di informative complete, sia generiche che relative ad alcune categorie lavorative:
Informative generali Informativa per dati personali
Informativa per dati sensibili
Informative personalizzate Informativa per assunzione dipendente
Informativa per studio di commercialisti
Informativa per studio di consulenti del lavoro
Informativa per studio immobiliare
Informativa per studio legale
Informativa per studio medico
Alcuni avvertimenti:
· Se volete intrattenere rapporti con un potenziale cliente ed avete reperito il suo nominativo da archivi pubblici, non avete necessità di inviargli l’informativa completa, se non su sua espressa richiesta. Se invece mandate pubblicità a potenziali clienti col metodo della circolare (spamming), sappiate che state commettendo un reato, anche se i nominativi provengono da un archivio pubblico. Leggete in proposito il Parere del Garante del 29 maggio 2003 (regole per un corretto invio delle e-mail pubblicitarie).
· Se desiderate comunicare ad altre aziende o diffondere tramite il vostro sito dati dei vostri clienti e/o fornitori, dovete prima ottenere da loro il relativo consenso.
· Se sul vostro sito acquisite dati personali tramite un modulo di richiesta informazioni, sappiate che esso deve contenere l'informativa breve sopraccitata, ovviamente modificata nella finalità del trattamento.
Se desiderate ulteriori chiarimenti inviate una e-mail a info@poloconsulting.net