• User

    Libero professionista: leggi per la conservazione dati clienti

    Salve

    Volevo sapere dove posso trovare un elenco delle norme da rispettare, sempre che ci siano degli obblighi per il libero professionista, inerenti la conservazione dei dati dei clienti dal materiale fotografico / grafico fornito fino ad eventuali tabelle che contengono elenchi di dati clienti come ad esempio quelli necessari all'invio di una newsletter.

    Grazie


  • User

    La conservazione del materiale grafico/fotografico non gode di alcuna tutela.
    Quanto ai dati dei clienti, esattamente a quali dati ti riferisci?


  • User

    Nei dati cliente potrebbero esserci tutto il materiale testuale inerente alla parte pubblica del sito, che essendo appunto pubblica non credo coperti particolari problematiche, alcune volte invece vengono forniti PDF inerenti listini prezzi o schede tecniche che finiscono in un area riservata.

    Altri contenuti sensibili potrebbe occasionalmente accadere per elenchi di anagrafiche quali nome, cognome ed email che vanno passate in qualche script per eliminare doppioni, o normalizzare i dati. Quando accade una volta effettuato il lavoro elimino i file ricevuti e forniti.


  • User

    Del materiale che mi hai elencato, solo la conservazione di elenchi di anagrafiche quali nome, cognome ed email, gode di tutela. Come puoi immaginare, si tratta di quella prevista dal codice privacy (d.lgs. 196/2003).
    Se ti viene richiesta solo un'operazione (script per eliminare doppioni), seppur anche questa rientri nella definizione di "trattamento", direi che potresti sistemare il tutto con una lettera di incarico e, eseguita l'operazione, cancellerai i dati. Se invece tra i tuoi compiti c'è anche la "conservazione" del db o dell'elenco, allora in quel caso dovrai seguire le prescrizioni della normativa.


  • User

    nelle occasione in cui avviane il passaggio dei dati è per una manipolazione o un esame preliminare di fattibilità
    dopo di che provvedo ad eliminarli

    nel caso in cui decidessi mi servisse mantenerli da quanto ho capito dovrei far riferimento a questo:
    garanteprivacy it - doveri

    leggendo nello specifico mi pare di capire che l'unico punto dove viene descritto tecnicamente cosa va fatto è questo:
    In particolare, il titolare deve adottare le misure minime di sicurezza (articolo 33 del Codice e Allegato B al Codice)
    non posso mettere il link poiché non sono premium


    Art. 33. Misure minime

    1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

    Art. 34. Trattamenti con strumenti elettronici

    1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

    a) autenticazione informatica;

    b) adozione di procedure di gestione delle credenziali di autenticazione;

    c) utilizzazione di un sistema di autorizzazione;

    d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

    e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

    f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

    g) [soppressa] (1);

    h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

    1-bis. [abrogato] (2)

    1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. (3)


    leggendo quanto previsto dall'articolo, nel mio caso lavorando da solo a casa mia gli obblighi sarebbero:

    • effettuare l'accesso al PC con account utente username + password
    • mantenere aggiornato il sistema operativo e i software
    • backup

    Fondamentalmente sono cose che già faccio poiché ho un mac fisso con un account utente che richiede una password di login
    MacOS aggiornato all'ultima versione come tutti i software che uso professionalmente

    Il dubbio che mi viene è sui backup, poiché utilizzo 2 metodi di backup automatici:

    • il prima crea un DMG criptato e protetto da password ( un disco virtuale non accessibile se non tramite password )
    • il secondo è time machine che effettua un backup su un disco esterno collegato tramite cavo USB, devo verificare, ma sono abbastanza certo che nell'ipotetico caso che qualcuno si rubi l'hard disk esterno non potrebbe far altro che ripristinare il sistema in maniera analoga al furto del PC principale, gli servirebbero quindi lo username + password per accedere