• User Attivo

    Documento programmatico sulla sicurezza

    Ciao a tutti
    fino ad oggi la questione DPS per alcuni miei clienti è stata presa troppo alla leggera. Ora che hanno letto di sanzioni pesanti tutti tremano ed hanno paura di cadere in sanzioni pesanti. Ed ovviamente a chi triturano le ODP ?? A me !!

    Prendendo come esempio di un cliente che ha un atelier di abiti per gli sposi, sono costretti a redarre tale documento ??
    La sua situazione:

    • sito web dove riceve le richieste d'informazioni
    • negozio fisico dove ovviamente vengono presi i dati dei clienti per l'acquisto, modifica degli abiti. Questi dati sono presi dal titolare e dalle commesse
    • accesso ai diversi PC solo dal titolare
    • contabilità interna

    Ho saputo che per essere in regola con il DPS bisogna adottare alcuni sistemi di sicurezza ad esempio impostazione della password con alcuni criteri, sistema di backup e ripristino (so che deve essere presente un sistema per dimostrare che tutti funzioni correttamente) ... altro non so..

    Sapete darmi maggiori informazioni ??
    Grazie


  • Super User

    Ciao Seven,

    il DPS deve essere redatto da professionisti, enti od aziende che archiviano tramite computer o comunque modalità digitali dati personali dei loro clienti.
    Dare indicazioni per la redazione del DPS in tale sede credo sia improponibile, per cui ti invio al sito del Garante per la privacy.


  • User Attivo

    Ciao bsaett,
    scusami per il ritardo della risposta e dei ringraziamenti, ma non ho avuto molto tempo per seguire il forum.

    Ho parlato con il cliente è la Sua situazione è questa:

    • 2 PC per leggere la posta e rispondere ai clienti
    • 1 PC per la fatturazione quindi per gestire le fatture ai clienti e le fatture dei fornitori

    Le buste paghe dei dipendenti non vengono gestite dal cliente ma dal commercialista, che ovviamente di DPS non ne sa nulla.

    Quello che volevo sapere in questo momento è quali accorgimenti prendere per essere in regola con la legge, perchè ho provato a trovare delle risorse in rete, ma non ho trovato nulla che spiegasse bene le precauzioni da prendere. La mia paura è sorta quando ho sentito, anche se non ho ben capito, delle persone parlare di password registrate e imbustate o di sistemi di backup specifici.

    Ripeto ho un pò di confusione perchè ho sentito parlare delle persone che forse non avevano tanto ben chiara la situazione e le richieste del garante della privacy.

    Per il documento vedrò di affidarmi a qualcuno competente, in tal caso potresti indicarmi tu stesso qualcuno di fidato.

    Grazie.


  • User Attivo

    Ciao bsaett,
    scusami per il ritardo della risposta e dei ringraziamenti, ma non ho avuto molto tempo per seguire il forum.

    Ho parlato con il cliente è la Sua situazione è questa:

    • 2 PC per leggere la posta e rispondere ai clienti
    • 1 PC per la fatturazione quindi per gestire le fatture ai clienti e le fatture dei fornitori

    Le buste paghe dei dipendenti non vengono gestite dal cliente ma dal commercialista, che ovviamente di DPS non ne sa nulla.

    Quello che volevo sapere in questo momento è quali accorgimenti prendere per essere in regola con la legge, perchè ho provato a trovare delle risorse in rete, ma non ho trovato nulla che spiegasse bene le precauzioni da prendere. La mia paura è sorta quando ho sentito, anche se non ho ben capito, delle persone parlare di password registrate e imbustate o di sistemi di backup specifici.

    Ripeto ho un pò di confusione perchè ho sentito parlare delle persone che forse non avevano tanto ben chiara la situazione e le richieste del garante della privacy.

    Per il documento vedrò di affidarmi a qualcuno competente, in tal caso potresti indicarmi tu stesso qualcuno di fidato.

    Grazie.


  • User Attivo

    Finalmente ho trovato una risorsa chiara e completa.
    Se interessa a qualcuno è qui
    hostingservizi.it/privacy/Privacy_in_Pratica.pdf

    Alla pagina 40 di questa guida viene riportato quanto segue

    Il documento programmatico della sicurezza si rende obbligatorio nel caso di trattamento di dati sensibili o giudiziari attraverso gli strumenti elettronici, ma è fortemente consigliato anche in assenza di obbligo (articolo 34 comma 1g).
    Quindi mi pare di capire che il mio cliente, non trattando dati sensibili, non è obbligato a redarre il DPS. Giusto ?

    A questo punto è tenuto a redarre qualche documento o dichiarazione per quanto riguarda il trattamento dei dati personali provenienti dalle richieste per email ?

    Deve dichiarare, oltre sulla form di richiesta d'informazioni presente sul proprio sito web, anche con una documentazione cartacea chi è il titolare del trattamento dei dati personali ?

    Mille grazie.


  • Super User

    Ciao Seven,

    l'adozione del DPS è obbligatoria per professionisti, enti o aziende che trattano dati personali (anche sensibili) a mezzo di strumenti elettronici.
    A mio parere il tuo cliente rientra nell'obbligo in questione. Ovviamente è sempre utile chiedere un secondo parere a qualche esperto della materia.
    Per quanto riguarda le modalità di compilazione del DPS si possono trovare numerose guide online, anche sul sito del Garante.


  • User Attivo

    Ciao
    penso di aver chiarito alcuni punti e avere ora un pò di idee più chiare

    Ma cosa accade se le aziende gli anni precedenti ad un eventuale controllo non hanno mai fatto nulla ?

    Cmq il DPS penso che sia obbligatorio anche per quelle aziende che tranno dati personali anche a livello cartaceo e sono convinto che moltissime aziende non sono in regola.


  • User Attivo

    ops


  • Dato che compilo abitualmente tali documenti ti offro la mia opinione.

    Premesso che i regolamenti non prevedono la conservaqzione delle versioni storiche, non ha nessuna importanza il non aver fatto nulla in passato, basta avere le scartoffie agiornate (e rispettare quanto in esse descritto) nel momento del controllo.

    A prescindere dal regolamento un pochetto di carta che descrive il sistema è comunque utilissima in ogni realtà che dispone di un sistema informatico.

    Per la cronaca la tariffa che pratico io è intorno ai cento euro per la prima stesura e venticinque per l'aggiornamento annuale.

    Faccio compilare un questionario e in una oretta di lavoro con apposito software il documento è pronto, dopo di che un'altra oretta per l'indottrinamento del responsabile ed è fatta.


  • La situazione è leggermente cambiata ed ora coloro che trattano soltanto tipologie di dati di ordinaria amministrazione se la possono cavare con la seguente autocertificazione:

    [CENTER]Autocertificazione sostitutiva DPS

    Obbligo di cui alla lettera g) del comma 1 e al punto 19 dell'Allegato B

    Ai sensi degli articoli 34 comma 1-bis DLgs 196/2003 e 47 DPR 445/2000[/CENTER]

    La sottoscritta ………………. con sede in …………………………………….., P. iva …………………………, nella persona del Legale rappresentante ……………………………., consapevole che il rilascio di false dichiarazioni ad un pubblico ufficiale o la presentazione di false documentazioni sono punibili a termine degli artt. 495 e 496 del Codice penale,

    [CENTER]D I C H I A R A

    Ai sensi dell’art. 34, comma 1-bis del D.Lgs. 196/2003[/CENTER]

    ü di effettuare il trattamento di dati personali non sensibili;
    ü che i dati di cui sopra sono trattati in osservanza delle misure di sicurezza prescritte dal D.Lgs. 196/2003 e dall’All. B) allo stesso.

    ………………………., lì……………

    [RIGHT].[/RIGHT]

    [RIGHT]……………………………..[/RIGHT]


  • User Attivo

    Ciao criceto,
    ti ringrazio per aver aggiornato la situazione autocertificazione.

    Ti mando un MP o una email per illustrarti la mia situazione così saprai effettuarmi una valutazione.

    Ciao e grazie


  • Confermo quanto scritto da criceto, questa è anche l'indicazione che ho avuto da chi segue questioni sulla privacy all'interno della mia associazione di categoria (artigiano).
    L'autocertificazione è possibile (loro mi hanno consigliato di evitare il DPS se non necessario, quando non si trattano dati sensibili o giudiziari in via elettronica), però bisogna sempre ricordare che gli obblighi sulla sicurezza vanno comunque rispettati, inoltre è consigliabile realizzare un faldone dove si andranno a mettere tutti i dati relativi alle proprie postazioni PC (tipo di pc, software TUTTI utilizzati con relative licenze, fatture acquisto, descrizione periferiche etc...)


  • User Attivo

    Evitare di redarre il DPS mi sembra quasi impossibile, dato che la legge dice che tutte le aziende che trattano dati personali, anche se non sensibili, sono costrette a redarre il DPS.
    Ora che si tratti di Autocertificazione, DPS semplificato o qualsiasi altra tipologia di DPS questa è un altra questione.

    Nel mio caso vorrei capire se posso fare un DPS semplificato, un Autocertificazione oppure se mi devo rivolgere ad uno specialista per redarre un documento più articolato.

    In pratica io fornisco servizi di creazioni e posizionamento nei Mdr ai clienti. Inoltre sono proprietario di alcuni siti, unicamente da me gestiti, di diversa tipologia come ad esempio social network, directory, blog, comparatore di prezzi, sito di vendita online, ecc

    Per tutti le tipologie di siti vengono visualizzati, tramite software di statistiche, gli accessi ai diversi siti.
    Per alcuni servizi rivendo della pubblicità dove fornisco al cliente un' area riservata dove poter consultare i click ricevuti e qui vengono forniti indirizzi IP e conteggio dei click.

    Alcuni dei miei siti sono hostati su un server a noleggio da me gestito, mentre altri sono gestiti dai provider tipo Aruba.

    Ho alcune collaborazioni d'affiliazione con alcune aziende tipo Ebay e Zanox per la pubblicazione, diciamo, dei loro prodotti sui miei siti.

    Gestendo siti di qualche cliente vengo fornito dei dati FTP ed eventuali dati per l'accesso ai database.

    Tramite software gestisco le fatture emesse.

    Secondo voi basterebbe una sorta di autocertificazione non trattando dati sensibili ?
    Quali accorgimenti, richiesti dalla legge, dovrei prendere a livello di sicurezza ?
    Devo prendere dei provvedimenti per il salvataggio delle informazioni che passano sui server ?

    Grazie mille


  • L'autocertificazione NON E' il DPS. Il DPS è obbligatorio per chi tratta dati sensibili e giudiziari, dato che una nuova legge ha chiarito che nel caso in cui vengano gestiti esclusivamente dati personali, non sussiste più l'obbligo di redazione del DPS.
    Gli accorgimenti da adottare sono quelli indicati nell'allegato B come scritto nel testo dell'autocertificazione.
    Per quanto riguarda i dati sui server, secondo me dovresti inviare una lettera di incarico di responsabile del trattamento dei dati personali (dei tuoi clienti-utenti, sempre che tu gestisca effettivamente dati personali, non so se il semplice IP rientra in questo, anche perché allora lo dovrebbero fare tutti, anche il privato che gestisce un sitarello personale) al provider che ti gestisce lo spazio. E' una cosa che non fa praticamente nessuno, ma secondo me andrebbe fatto, poi che loro acconsentano a firmartelo è un altro discorso. Ovviamente loro non saranno responsabili di danni dovuti a "buchi" del tuo software, ma almeno risponderanno nel caso in cui, ad esempio, qualcuno entri in webfarm e rubi fisicamente la macchina, o cose di questo tipo.
    Poi io non sono un esperto, quindi verifica tutto ciò che ho scritto.


  • User Attivo

    Ora è tutto più chiaro, rimango comunque in attesa di criceto o altre persone che mi possano dare maggiori certezze.
    A questo punto compilo l'autocertificazione.
    L'autocertificazione deve riportare data certa ?

    Grazie per i chiarimenti


  • User Attivo

    Scusami dopo posso trovare tutta la documentazione dell'autocertificazione e relativi allegati ?

    Grazie


  • La novità è quella introdotta dalla legge n.133/2008 art.29 che va ad aggiungere all'art.34 il comma 1 bis (del D.Lgs 196/2003) che esonera dalla redazione del DPS e introduce l'obbligo dell'autocertificazione, il che non significa che non si debbano adempiere agli obblighi previsti dell'allegato B.

    Ma come hai giustamente scritto tu, attendiamo una conferma da chi è più esperto di noi.

    La normativa la trovi sul sito del Garante Privacy
    http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa/Italiana/Il+Codice+in+materia+di+protezione+dei+dati+personali


  • a)L'autocertificazione non esime dall'incaricare i propri addetti o le entità esterne alla gestione dei dati.
    E' ovvio che costoro debbano sapere che cosa possono/devono fare o non fare.

    b)Secondo me la data certa non occorre ma cosa ti costa spedirtela per raccomandata?


  • Ecco una bozza di nomina di entità esterna:

    Mod. C060
    RESPONSABILE ESTERNO:


    Denominazione **
    CodiceFiscale
    [CENTER][CENTER]
    **[/CENTER][/CENTER]
    Egregio Signore, Gentile Signora, Spettabile Ditta, Studio, ecc…

    il sottoscritto …………………… in qualità di titolare del trattamento dei dati, Le affida/affida a codesta Spettabile ditta l’incarico di **Responsabile del Trattamento dei dati in esterno. **
    Accettando questo incarico Lei/la Ditta si impegna ad eseguire il trattamento dei dati conformemente al dettato legislativo, nel pieno rispetto del Documento Programmatico Sulla Sicurezza dei dati del quale riceve copia e nella piena consapevolezza degli obblighi assunti e delle responsabilità che ne derivano.
    L’incarico assegnatole riguarda il trattamento dei dati e relative autorizzazioni come da allegato.

    Le persone che Lei/la Ditta nominerà per l’espletamento di specifiche mansioni saranno scelte fra soggetti con comprovate qualità morali e professionali che garantiscano idonea garanzia del rispetto delle norme vigenti in materia di trattamento dei dati. Sull’operato dei soggetti incaricati Lei vigilerà costantemente al fine di evitare che vengano disattese le norme relative all’utilizzo delle banche dati, con particolare riguardo al profilo della sicurezza.


    Oltre a quanto sopra riportato, Le sono assegnate le seguenti mansioni:

    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Incaricati al trattamento
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Amministratori di sistema
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, un custode delle Password
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più incaricati alla manutenzione degli strumenti utilizzati per il trattamento e la custodia dei dati
    · Autorizzare gli incaricati all’utilizzo degli strumenti per l’accesso alle banche dati e, con l’eventuale cooperazione dell’Amministratore del sistema, assegnare loro le credenziali di autenticazione per il superamento delle procedure di autenticazione
    · Consegnare al Titolare elenco dei luoghi dove vengono trattati e custoditi i dati
    · Verificare lo stato di efficienza di tutti gli strumenti informatici utilizzati per la sicurezza dei dati, pianificando con l’eventuale Amministratore di sistema la periodicità degli aggiornamenti da eseguire per quanto riguarda i programmi Antivirus o qualsiasi altra soluzione informatica ritenuta idonea a diminuire i rischi di infezioni del sistema o accessi non autorizzati
    · Garantire agli interessati il pieno esercizio dei diritti previsti dall’artt. 7, 8, 9 e 10 del D. Lgs 196/2003
    · Attuare gli obblighi relativi all’informativa sulla privacy in fase di acquisizione del consenso
    · Collaborare con il Garante per l’espletamento delle sue funzioni di accertamento, ispezione e controllo
    · Informare tempestivamente il Titolare del trattamento di qualunque circostanza rilevante in merito ai rischi sulla sicurezza dei dati, ad eventuali danni subiti dalle banche dati o dagli strumenti utilizzati per la loro gestione o custodia, alle revoche degli incarichi assegnati e a qualsiasi modifica che si renda necessaria nelle procedure elencate nel Documento Programmatico Sulla Sicurezza.
    La qualifica assegnatale è da intendersi tacitamente rinnovata ogni anno sino a revoca dell’incarico comunicata dal Titolare per iscritto o con idonei mezzi informatici, o rassegnando le proprie dimissioni da comunicare nelle stesse modalità con un preavviso di almeno 30 giorni.

    Addi,

    Il Titolare del trattamento ______________________________


    Il Responsabile esterno per accettazione ­_________________________


  • Inoltre è opportuno predisporre documentazione della prorpia infrastruttura informatica.
    Trattare tale cosa sul forum però è piuttosto difficile e dispersivo.
    Se la cosa viene reputata di interesse generale potrei pubblicare a sezioni la documentazione che reputo utile e che predispongo per la clientela.
    (Notare bene che la nostra è una azienda informatica e non uno studio legale per cui non garantisco che quello che facciamo sia corretto ed inattaccabile)

    Se interessati fatemi sapere e, a partire dalla autocertificazione illustro le altre scartoffie che reputo utili o indispensabili.