Facsimile DPS Semplificato 2011

Cari amici,


al fine di agevolare la gestione delle scadenze privacy del 31 marzo, proponiamo il nostro Facsimile DPS Semplificato 2011 redatto nel rispetto delle indicazioni del Provvedimento generale 27 novembre 2008 del Garante Privacy.

Ricordiamo che:

  • possono redigere il DPS Semplificato i soggetti pubblici e privati che trattano dati personali sensibili unicamente per correnti finalità amministrative e contabili (in particolare presso liberi professionisti, artigiani e piccole e medie imprese);
  • il documento deve essere redatto prima dell’inizio del trattamento;
  • deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.

Per approfondimenti su quale DPS redigere: SMBlog


A tutti buon lavoro,

Paolo Mazzolari

Annunci

Registro Pubblico delle Opposizioni: online dal 31 gennaio 2011

Telemarketing: dal 31 gennaio il possibile addio alle telefonate commerciali.

Con l’introduzione del nuovo comma 3-bis all’Art.130 (attraverso il DL 135/2009) del codice privacy, dal 25 novembre 2009, le comunicazioni commerciali telefoniche sono passate dal regime di “opt-in” (obbligo per le aziende di ottenere il consenso preventivo dell’interessato prima di effettuare la telefonata) a quello di “opt-out” ovvero alla possibilità solo ex-post da parte degli interessati di opporsi alle telefonate indesiderate.

Il 9 luglio 2010 il Governo ha dato il via libera alle nuove disposizioni, istituendo il Registro Pubblico delle opposizioni, al quale gli utenti potranno iscriversi se non vorranno più ricevere telefonate contenenti messaggi promozionali, commerciali, informazioni per sondaggi e altre iniziative di telemarketing. Il 17 novembre 2010, il regolamento è entrato in vigore, il registro è stato affidato alla gestione della Fondazione Ugo Bordoni e sarà accessibile online dal 31 gennaio 2011 all’indirizzo www.registrodelleopposizioni.it


Come funziona?

Il Registro è suddiviso in due aree: l’area abbonati e l’area operatori.

Area Abbonati (Servizio gratuito)

Tramite il Registro Pubblico delle Opposizioni ogni abbonato intestatario di linea telefonica può decidere di non ricevere più telefonate commerciali.

Ci si può iscriversi gratuitamente e a tempo indeterminato al servizio tramite cinque modalità:

  • modulo elettronico sul sito web,
  • posta elettronica,
  • telefonata,
  • lettera raccomandata
  • fax.

In qualunque momento, poi, è possibile aggiornare i propri dati o revocare l’iscrizione.

Area Operatori (Servizio a pagamento)

Gli Operatori che intendono contattare gli Abbonati presenti negli elenchi telefonici pubblici per attività commerciali, promozionali o per il compimento di ricerche di mercato tramite l’uso del telefono, devono:

  • registrarsi al sistema gestito dalla Fondazione Ugo Bordoni e
  • comunicare la lista dei numeri che intendono contattare.

Il Gestore mettendo a confronto le informazioni contenute nel Registro delle Opposizioni e la lista dei numeri fornita dall’Operatore, cancellerà da quest’ultima tutti i numeri degli Abbonati che hanno richiesto di non essere contattati.

La lista aggiornata dal Gestore (ovvero “filtrata” dai numeri telefonici degli Abbonati che si sono iscritti al Registro Pubblico delle Opposizioni) sarà messa a disposizione dell’Operatore entro 24 ore dalla richiesta e avrà validità quindicinale, per consentire così il continuo aggiornamento dell’elenco delle opposizioni.

Per registrarsi al sistema di aggiornamento delle liste (presentazione dell’istanza) l’operatore deve aderire alle condizioni generali di contratto consultabili al seguente link. Le tariffe di accesso al servizio sono regolate da Decreto Ministeriale del 22 dicembre 2010 in corso di pubblicazione sulla Gazzetta Ufficiale e vanno da un mnimo di €45 per un pacchetto di numerazioni fino a 1.500 Abbonati ad un massimo di € 245.000 per un pacchetto di numerazioni fino a 25.000.000 Abbonati.

L’Operatore, per la presentazione e l’aggiornamento dell’istanza, può comunicare con il gestore attraverso due modalità:

  • Modalità 1 : Email + Raccomandata con Ricevuta di Ritorno (propria casella di posta elettronica tradizionale + raccomandata con ricevuta di ritorno).
  • Modalità 2 : PEC + Firma Digitale (propria casella di Posta Elettronica Certificata (PEC) +  propria Firma Digitale con valore legale).

DPS a parte: le semplificazioni delle altre misure minime di sicurezza

Rimanendo nell’ambito dei trattamenti effettuati con strumenti elettronici, la FAQ più ricorrente è la seguente:


una volta individuato il regime di DPS applicabile, di quali altre semplificazioni posso usufruire?


Anzitutto ricordiamo i soggetti che possono avvalersi delle semplificazioni privacy:

Soggetti pubblici e privati che

a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili  riferiti ai propri dipendenti e collaboratori anche a progetto  quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale (Regime DPS: Autocertificazione sostitutiva del DPS.)

b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238). (Regime DPS: DPS semplificato)


I sopra individuati soggetti possono avvalersi delle seguenti modalità semplificate:

  1. Istruzioni in materia di misure minime di sicurezza previste dall’Allegato B): possono essere impartite agli Incaricati anche oralmente;
  2. Accesso ai sistemi informatici: si può utilizzare un qualsiasi sistema di autenticazione basato su uno username associato a una password (come procedura di autenticazione può essere adottata anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete).
  3. Sistema di autorizzazione: qualora sia necessario diversificare l’ambito del trattamento consentito, possono essere assegnati agli incaricati (singolarmente o per categorie omogenee)  corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
  4. Aggiornamento Antivirus: almeno annualmente (se il computer non è connesso a Internet, l’aggiornamento deve essere almeno biennale).
  5. Backup: frequenza almeno mensile (il backup può non riguardare i dati non modificati dal momento dell’ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino).

I soggetti destinatari delle semplificazioni privacy, inoltre, possono non applicare le nuove misure necessarie di sicurezza relative agli Amministratori di sistema.

Privacy: il giro di boa del 31 marzo

Cari amici,

eccoci al consueto appuntamento annuale col Decreto Legislativo 196/2003 (Codice Privacy), per la parte relativa alle scadenze del 31 marzo.


Facciamo un ripasso del Privacy audit che dobbiamo affrontare :


Aggiornamento DPS (alla luce anche delle nuove prescrizioni relativa agli Amministratori di sistema)

Entro e non oltre il 31 marzo di ogni anno, l’azienda deve aggiornare il proprio “Documento Programmatico sulla Sicurezza” (DPS) che deve contenere (regola 19 dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”, del DLgs 196/2003):

  • l’elenco dei trattamenti di dati personali;
  • la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (N.B.: gli Amministratori di sistema, devono essere sempre persone fisiche ben individuate all’interno del DPS ed i loro nomi devono essere comunicati o resi conoscibili a tutti i soggetti interessati);
  • l’analisi dei rischi che incombono sui dati;
  • le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (…);
  • la previsione di interventi formativi degli incaricati del trattamento (…);
  • la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare.

Tali elementi “obbligatori” del DPS devono ovviamente contenere informazioni aggiornate alla data di redazione del Documento Programmatico per cui è importante pianificare per tempo tutte le attività da svolgere e le funzioni aziendali da coinvolgere (i.e.: l’ufficio Risorse Umane per i piani formativi e l’ufficio Sicurezza per le misure di sicurezza).


Nota al CDA sul DPS

Ogni anno occorre riportare (allegato B, punto 26) nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza.

Nuovi Responsabili esterni che trattano dati sensibili per l’azienda

Nel caso l’azienda abbia nominato Responsabili del trattamento esterni che trattano anche dati sensibili per conto dell’azienda Titolare del trattamento (i.e.: società terze a cui sono affidati in outsourcing alcuni trattamenti di dati) è necessario richiedere a tali Responsabili copia del loro DPS (da citare nel proprio aggiornamento).


Amministratori di Sistema

L’operato degli Amministratori di Sistema, in base alla nuova normativa, deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte del Titolare del trattamento o del Responsabile, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.


Piani di formazione

È necessario ogni anno predisporre un piano di formazione privacy per tutti coloro che trattano dati personali. La formazione in ambito privacy è un obbligo di legge: occorre “rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” (punto 19.6 dell’allegato B).


Ricordiamo, inoltre, le Principali misure di sicurezza necessarie da adottare (la cui inosservanza prevede sanzioni amministrative comprese tra un minimo di ventimila ed un massimo di centottantamila euro):

  • “Disciplinare interno sull’uso di Internet e Posta elettronica”, documento obbligatorio attraverso il quale si comunica ai Dipendenti e Collaboratori la Policy aziendale circa l’uso corretto della posta elettronica e della rete Internet indicando chiaramente le modalità di uso degli strumenti messi a disposizione e  in che misura e con quali modalità vengano effettuati controlli (Provvedimento Garante 1 marzo 2007);

A tutti buon lavoro,

Paolo Mazzolari


Nuove regole per l’informazione giuridica

Regole più chiare per la pubblicazione di sentenze e provvedimenti giurisdizionali su riviste giuridiche, cd rom, siti istituzionali

Regole più chiare per la pubblicazione di sentenze e provvedimenti giurisdizionali su riviste giuridiche, cd rom, dvd, siti istituzionali e maggiori tutele per i minori coinvolti in vicende processuali.

Il Garante privacy, sulla base di segnalazioni e quesiti ricevuti e dopo ampia consultazione con gli operatori e gli editori del settore, ha adottato specifiche Linee guida sull’informazione giuridica.

Le Linee guida, in via di pubblicazione sulla Gazzetta Ufficiale, non si applicano all’attività giornalistica e non incidono sulle norme processuali (non riguardano quindi gli originali delle sentenze e degli altri provvedimenti giurisdizionali, né il loro deposito nelle cancellerie giudiziarie).

Questi in sintesi i punti più rilevanti del provvedimento:

  • Devono essere oscurati, sempre e in ogni caso, i dati dei minori  e delle parti nei procedimenti che hanno ad oggetto i rapporti di famiglia e lo stato delle persone (ad es. controversie in materia di matrimonio, filiazione, adozione, abusi familiari, richieste di rettificazione di sesso), anche quando il giudizio si riferisca ad aspetti patrimoniali o economici.
  • Devono, inoltre, essere omessi i dati relativi ad altre persone dai quali si possa desumere, anche indirettamente, l’identità dei soggetti tutelati. I dati vanno oscurati non solo nei  provvedimenti riprodotti per esteso, ma anche in quelli diffusi sotto forma di massima o nell’ambito di un elenco.
  • Oltre a questa forma di tutela assoluta, in tutti gli altri casi chiunque sia interessato (le parti in un giudizio civile o l’imputato in un processo penale, ma anche un testimone o un consulente) può rivolgere un’istanza al giudice, prima della conclusione del processo, con la quale chiede che, in caso di riproduzione del provvedimento per finalità di informazione giuridica, siano oscurati le generalità e ogni altro elemento in grado di identificarlo. L’istanza deve indicare i “motivi legittimi” che la giustificano: ad es. la delicatezza del caso o la particolare natura dei dati contenuti nel provvedimento (stato di salute, vita sessuale). Se l’istanza è accolta si appone una annotazione sull’originale della sentenza. L’anonimizzazione può essere disposta dal giudice, anche d’ufficio, nei casi in cui la diffusione di informazioni particolarmente delicate possa arrecare conseguenze negative alla vita di relazione o sociale dell’interessato (ad es. in ambito familiare o lavorativo). Non spetta all’ufficio giudiziario, ma a chi riceve la copia dei provvedimenti con l’annotazione che dispone l’oscuramento delle generalità, provvedere in tal senso ove intenda riprodurli o diffonderli, anche sotto forma di massima, per finalità di informazione giuridica.