Il Modello di APA per il 2012 – Aggiornamento Privacy Annuale

Eliminato l’obbligo di redazione del DPS, possiamo adempiere all’obbligo di aggiornamento annuale del Sistema privacy aziendale attraverso un documento denominato APA, ovvero: Aggiornamento Privacy Annuale.

In calce al presente Post, Studio Mazzolari è lieto di fornire un Modello/Facsimile dell’APA2012 liberamente scaricabile ed utilizzabile.

Cos’è l’APA?

L’obbligo da parte dei Titolari di trattamento di metter mano ed aggiornare il proprio Sistema Privacy è previsto dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza). L’APA è un documento che consente di verificare la conformità delle procedure aziendali alle caratteristiche richieste dal DLgs 196/2003 e successivi Provvedimenti del Garante oltre che a verificarne l’applicazione.

Chi deve redigere l’APA?

L’Aggiornamento Privacy Annuale è adempimento obbligatorio che tutti i Titolari di trattamento devono effettuare.

A chi va inviato l’APA?

A nessuno. L’APA va conservato nel Fascicolo Privacy Aziendale presso il Responsabile del Trattamento.

Entro quando va redatto l’APA?

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, Studio Mazzolari mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo.

A tutti buona vita.

Scarica il Modello di APA2012

Annunci

Il Modello di DPS semplificato per il 2012

Cari amici,

come oramai consuetudine d’inizio anno, in vista delle scadenze del 31 marzo, Studio Mazzolari propone il proprio Modello di Documento Programmatico sulla Sicurezza (DPS 2012) semplificato.

Il Modello è aggiornato con le ultime novità legislative e dottrinali (da ultimo il  Decreto Legge “Salva Italia” 6 dicembre 2011 n°20) e arricchito di nuove note esplicative.

Passiamo ora ad un breve reminder.

Chi può redigere il DPS in forma semplificata?

Possono redigere un DPS in forma semplificata piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per correnti finalità amministrativo-contabili (inclusi i dati personali di carattere sensibile).

Per trattamenti effettuati per finalità amministrativo-contabili si intendono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.

Entro quando va redatto e/o aggiornato il DPS?

Entro il 31 marzo di ogni anno.

Quale la più importante novità rispetto all’edizione 2011

La novità più rilevante è figlia del Decreto Monti, ovvero: le informazioni relative a persone giuridiche, enti o associazioni non sono più dati personali, ergo non sono più meritevoli di protezione secondo il DLgs 196/2003. 

Attraverso la limitazione della definizione di dato personale che ora coinvolge solo ed esclusivamente persone fisiche, l’Italia si riallinea alla normativa della maggior parti dei Paesi dell’Unione Europea. Pertanto, da oggi in poi, quando si parla di “Interessato” ci si riferisce solo ad una persona fisica (per un approfondimento: SMBlog).

A tutti ancora un sereno 2012 e buon lavoro.

Scarica il Facsimle DPS 2012 Semplificato

 

Facsimile DPS Semplificato 2011

Cari amici,


al fine di agevolare la gestione delle scadenze privacy del 31 marzo, proponiamo il nostro Facsimile DPS Semplificato 2011 redatto nel rispetto delle indicazioni del Provvedimento generale 27 novembre 2008 del Garante Privacy.

Ricordiamo che:

  • possono redigere il DPS Semplificato i soggetti pubblici e privati che trattano dati personali sensibili unicamente per correnti finalità amministrative e contabili (in particolare presso liberi professionisti, artigiani e piccole e medie imprese);
  • il documento deve essere redatto prima dell’inizio del trattamento;
  • deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.

Per approfondimenti su quale DPS redigere: SMBlog


A tutti buon lavoro,

Paolo Mazzolari

Dati di traffico tlc e Internet: no a conservazione illimitata

Gestori telefonici e internet provider di nuovo sotto la lente del Garante privacy

L’Autorità ha vietato [doc web n. 1695393, 1695368 e 1683093] a tre società che operano nel settore della telefonia e Internet l’uso di dati trattati in modo illecito e ne ha ordinato la cancellazione. Tempi di conservazione dei dati di traffico telefonico  e telematico  superiori al consentito e conservazione di informazioni sui siti visitati dagli utenti alcune delle gravi violazioni emerse nel corso degli accertamenti ispettivi effettuati dall’Autorità.

I dati di traffico telefonico (numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante in caso di cellulare ecc.) e Internet (indirizzi e-mail contattati, data, ora, durata degli accessi alla rete ecc.) non riguardano il contenuto della comunicazione, ma sono comunque particolarmente delicati poiché consentono di ricostruire tutte le relazioni di una persona e le sue abitudini.

Le società dovranno innanzitutto cancellare i dati di traffico telefonico e telematico conservati oltre i tempi previsti dalla normativa italiana per finalità di accertamento e repressione dei reati:

  • ventiquattro mesi per i dati di traffico telefonico;
  • dodici mesi per i dati telematici.

In un caso, i dati di traffico telefonico risalivano addirittura a marzo 1999 e quelli di traffico telematico a giugno 2007. Da cancellare anche tutte le informazioni in grado di rivelare gusti, opinioni, tendenze degli utenti che non avrebbero mai dovuto essere archiviate nei data base (ad esempio, l’oggetto dei messaggi di posta elettronica inviati e ricevuti; i dati personali relativi alla navigazione in Internet, anche quando rappresentati dal solo indirizzo Ip di destinazione). Ad una società è stato prescritto di innalzare i livelli di sicurezza dei flussi informativi con l’autorità giudiziaria e di garantire in modo più adeguato la riservatezza delle informazioni: al posto del fax dovranno essere adottati sistemi di comunicazione sviluppati con protocolli di rete sicuri e strumenti di cifratura basati su firma digitale.

Gli accertamenti disposti dal Garante rientrano nell’ambito di un’azione comune deliberata dalle Autorità di protezione dei dati europee riunite nel Gruppo di lavoro art. 29 e sono volti a verificare l’osservanza, da parte dei fornitori di servizi di comunicazione elettronica,  degli obblighi fissati dalla normativa nazionale in materia di conservazione dei dati di traffico. I fornitori sono stati individuati sulla base di diversi criteri (quota di mercato, tipologia dei servizi forniti, dimensione nazionale o internazionale).

Modello di DPS semplificato

Come promesso, Studio Mazzolari e Policyonline propongono il proprio Modello / Facsimile di DPS Semplificato, così come indicato dal Garante nel Provvedimento generale 27 novembre 2008.

Ricordiamo che:

  • possono redigere il DPS Semplificato i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili (in particolare presso liberi professionisti, artigiani e piccole e medie imprese);
  • il documento deve essere redatto prima dell’inizio del trattamento;
  • deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.

A tutti buon lavoro.

Facsimile DPS Semplificato – Word

Facsimile DPS semplificato – PDF