In questa sezione sono riassunti gli adempimenti che ogni Titolare, responsabile o incaricato è tenuto ad espletare a scadenze periodiche, in funzione delle rispettive competenze. Se i Titolari comunicheranno gli adempimenti in modo organico ai propri incaricati e questi ultimi li eseguiranno con puntualità ed efficienza, l’azienda avrà fatto passi fondamentali per la sicurezza dei dati e la tutela della privacy.
Con il Provvedimento del 27 novembre 2008, il Garante ha semplificato le norme relative alle misure minime di sicurezza per le piccole e medie imprese, gli studi professionali, gli artigiani e le imprese che non trattano dati sensibili o giudiziari. In particolare, il Codice Privacy ora suddivide i gestori dei trattamenti in:
A. aziende che trattano i dati personali anche per fini diversi da quelli amministrativi e contabili, o che comunque non rientrano tra quelle delle categorie B e C
appartengono a questa categoria, a puro titolo esemplificativo, tutte le aziende ed i liberi professionisti dei settori sanitario, giuridico, di selezione del personale per conto terzi, di profilazione per sondaggi d’opinione o ricerche di mercato, ecc.;
B. aziende che trattano i dati personali esclusivamente per fini amministrativi e contabili, in particolare piccole e medie imprese, liberi professionisti ed artigiani
appartengono a questa categoria tutte le aziende, i liberi professionisti ed i lavoratori autonomi che trattano dati personali per fini amministrativi e contabili; l'Ufficio del Garante ha precisato che nei fini amministrativi e contabili sono inclusi i trattamenti di dati sensibili conseguenti ad obblighi di legge, purché detti trattamenti non siano l'oggetto primario dell'attività sociale. Ciò vuol dire che, ad esempio, i commercialisti, i consulenti del lavoro, i concessionari, i mediatori del credito, ecc., di norma appartengono a questa categoria;
C. aziende che trattano dati personali non sensibili o dati sensibili dei loro dipendenti o collaboratori, relativi allo stato di salute, senza indicazione della diagnosi, o all’adesione ai sindacati
appartengono a questa categoria tutte le aziende, pubbliche e private, i liberi professionisti ed i lavoratori autonomi che trattano esclusivamente i dati sensibili dei loro dipendenti per osservare obblighi di legge, cioè quelli relativi alle dichiarazioni di malattia o all’adesione al sindacato.
Il Codice Privacy, particolarmente nell'Allegato B e con le eventuali semplificazioni previste dal Provvedimento del 27 novembre 2008, stabilisce i termini entro cui deve essere eseguito ogni adempimento. Noi consigliamo l'esecuzione alle scadenze indicate qui di seguito.
Per quanto riguarda le note seguenti, vi precisiamo che il “Report” può essere un foglio di carta qualsiasi su cui riportare l’informazione che è stata effettuata una verifica od una modifica, e che gli incarichi particolari (Amministrazione del Sistema, Salvataggio dei Dati, Custodia delle parole chiave e Custodia della Sede Operativa) possono essere svolti direttamente dal Titolare o dal Responsabile, se esiste.
Ogni giorno
Per tutti gli Incaricati:
Comunicazione agli interessati dell’informativa ed acquisizione del relativo consenso, se dovuto.
Uso dei soli archivi cartacei abilitati al trattamento.
Archiviazione dei documenti cartacei al termine della giornata lavorativa.
Accesso alle sole base dati abilitate, utilizzando esclusivamente le credenziali assegnate.
Per l’Incaricato all’Amministrazione del Sistema:
Report degli interventi effettuati sull’hardware e sul software, per nuove installazioni, manutenzione o anomalie, con rilascio delle certificazioni di conformità se il soggetto è esterno all’azienda.
(quello che segue è un pressante invito a salvaguardare l’integrità dei vostri dati, nonostante quanto prescritto dal Codice Privacy)
Aggiornamento del software antivirus o verifica dello stesso, se l’aggiornamento è automatico.
Per l’Incaricato alla Custodia delle parole chiave:
(solo per le aziende di cui al punto A)
Report degli interventi effettuati sulle password, per aggiornamenti o interventi di sblocco.
Per l’Incaricato alla Custodia della Sede Operativa:
Report degli interventi di manutenzione effettuati nella Sede Operativa, con rilascio delle certificazioni di conformità se il soggetto è esterno all’azienda.
Ogni settimana
Per il Titolare o il Responsabile, se esiste:
Report delle variazioni dei luoghi fisici, rilevanti ai fini della sicurezza dei dati;
Report delle variazioni del personale incaricato e/o dei loro compiti;
Report delle variazioni dell’hardware, rilevanti ai fini della sicurezza. dei dati;
Report delle variazioni del software, rilevanti ai fini della sicurezza dei dati;
Report delle variazioni del trattamento dei dati.
Per l’Incaricato al Salvataggio dei dati:
(solo per le aziende di cui al punto A)
Salvataggio delle base dati oppure, se viene effettuato con frequenza superiore, verifica di esistenza ed efficienza delle copie di salvataggio.
Ogni mese
Per l’Incaricato al Salvataggio dei dati:
(solo per le aziende di cui ai punti B e C)
Salvataggio delle base dati oppure, se viene effettuato con frequenza superiore, verifica di esistenza ed efficienza delle copie di salvataggio.
Per l’Incaricato all’Amministrazione del Sistema:
Verifica della procedura di “Disaster Recovery” (esistenza ed efficienza del software applicativo e di sistema e delle copie di salvataggio), come descritta nel Mansionario Privacy
Aggiornamento delle “patch” del software di sistema installato o verifica dello stesso, se l’aggiornamento è automatico.
(solo per le aziende di cui al punto A)
Sostituzione delle password di gestione e cancellazione delle password utente obsolete.
Ogni tre mesi
Per tutti gli Incaricati:
(solo per le aziende di cui al punto A)
Sostituzione delle password per l’accesso ai dati sensibili e giudiziari.
Per l’Incaricato alla Custodia delle parole chiave:
(solo per le aziende di cui al punto A)
Verifica dell’avvenuta sostituzione delle password per l’accesso ai dati sensibili e giudiziari.
Ogni sei mesi
Per tutti gli Incaricati:
(solo per le aziende di cui al punto A)
Sostituzione di tutte le password attive.
Per l’Incaricato alla Custodia delle parole chiave:
(solo per le aziende di cui al punto A)
Verifica dell’avvenuta sostituzione di tutte le password attive.
Ogni anno (entro il 31 marzo)
Per l’Incaricato al Salvataggio dei dati:
Archiviazione degli archivi cartacei dell’anno precedente.
Distruzione degli archivi cartacei legalmente obsoleti.
Archiviazione delle copie di salvataggio dell’anno precedente.
Distruzione delle copie di salvataggio legalmente obsolete.
Per il Titolare o il responsabile, se esiste:
Report delle variazioni dei luoghi fisici, rilevanti ai fini della sicurezza dei dati.
Report delle variazioni del personale incaricato e/o dei loro compiti.
Report delle variazioni dell’hardware, rilevanti ai fini della sicurezza dei dati.
Report delle variazioni del software, rilevanti ai fini della sicurezza dei dati.
Report delle variazioni dei dati e/o del loro trattamento.
Verifica del sistema di autorizzazione all’accesso ai dati sensibili e giudiziari.
(solo per le aziende di cui al punto A)
Verifica dei piani di manutenzione e sviluppo per la sicurezza dell’anno precedente.
Programmazione degli interventi formativi degli incaricati.
Programmazione degli interventi di manutenzione e di sviluppo per la sicurezza dei dati.
Aggiornamento del Documento Programmatico Sulla Sicurezza (DPSS)
NOTA: Per sapere chi deve, perché, come e quando compilare questo documento, selezionatelo qui sopra.
(solo per le aziende di cui al punto B)
Aggiornamento, solo se nell’anno precedente avete fatto delle modifiche, del Documento Semplificato Sulla Sicurezza (DSSS), altrimenti, redazione della Dichiarazione di estensione di validità del DSSS, ai sensi dell'art. 47 del D.P.R. 445/2000.
NOTA: Per sapere chi deve, perché, come e quando compilare questi documenti, selezionateli qui sopra.
(solo per le aziende di cui al punto C)
Redazione della Dichiarazione sostitutiva dell’atto di notorietà ai sensi dell’art. 47 del D.P.R. 445/2000.
NOTA: Per sapere chi può, come e quando compilare questo documento, selezionatelo qui sopra.
Se desiderate ulteriori chiarimenti inviate una e-mail a info@poloconsulting.net