CHECK LIST ADEMPIMENTI EX LEGGE 675/96
Aggiornamento 09 2000
|
|
Adempimento |
scadenza |
|
01 |
invio lettera informativa dipendenti |
08 05 97 |
|
02 |
invio lettera informativa clienti |
08 05 97 |
|
03 |
invio lettera informativa fornitori |
08 05 97 |
|
04 |
raccolta consenso dipendenti |
08 05 97 |
|
05 |
raccolta consenso clienti |
08 05 97 |
|
06 |
raccolta consenso fornitori |
08 05 97 |
|
07 |
risposta ad informativa clienti |
secondo necessit?/p> |
|
08 |
risposta ad informativa fornitori |
secondo necessit?/p> |
|
09 |
delibera C.d.A. per eventuale nomina responsabile interno |
secondo necessit?/p> |
|
10 |
delibera C.d.A. per eventuale nomina responsabili?esterni |
entro 31 03 98 |
|
11 |
prelevata notificazione e dischetto presso uff. postale |
prima del 31 03 98 |
|
12 |
compilata ed inviata notificazione |
entro 31 03 98 |
|
13 |
se vengono trattati dati sensibili, richiesta autorizzazione oppure verificato che il trattamento ricade tra le autorizzazioni generali gi?concesse dal Garante?(aut. N.....) |
secondo necessit?/p> |
|
14 |
se vengono trasferiti in paesi non appartenenti all’Unione Europea?dati personali, inviata notificazione al Garante e rispettato intervallo di attesa di 15 gg |
secondo necessit?/p> |
|
15 |
se vengono trasferiti fuori dal territorio nazionale dati personali sensibili (ex artt 22 e 24), inviata notificazione al Garante e rispettato intervallo di attesa di 20 gg |
secondo necessit?/p> |
|
16 |
impartite istruzioni analitiche e scritte a responsabile interno |
secondo necessit?/p> |
|
17 |
impartite istruzioni analitiche e scritte a responsabili esterni |
secondo necessit?/p> |
|
18 |
impartite istruzioni ad incaricati interni |
08 05 97 |
|
19 |
impartite istruzioni ad incaricati esterni |
07 05 97 |
|
20 |
avviata formazione per gli incaricati interni ed esterni |
Secondo necessit?/p> |
|
21 |
attivato sportello per diritto di accesso |
08 05 97 |
|
22 |
allineate misure di sicurezza sui requisiti minimi del Regolamento ex DPR 318/99 (vedi filetraspsic). In particolare: |
29 03 2000 |
|
22.1 |
Effettuata ricognizione degli archivi (suddivisi in archivi con? dati personali e con dati sensibili) e?delle modalit?di trattamento |
29 03 2000 |
|
22.2 |
Aggiornate le modalit?di trattamento secondo i principi restrittivi |
29 03 2000 |
|
22.3 |
Nominato amministratore di sistema, se opportuno |
29 03 2000 |
|
22.4 |
Nominati preposto alla gestione delle parole chiave, se opportuno |
29 03 2000 |
|
22.5 |
Definiti privilegi di accesso agli archivi automatizzati |
29 03 2000 |
|
22.6 |
Installati antivirus aggiornati |
29 03 2000 |
|
23 |
allineate misure di sicurezza sui requisiti appropriati ex art 2050 C.P. |
secondo necessit?/p> |
|
24 |
Impartite disposizioni afferenti alla gestione di impianti di ripresa audio e video |
Secondo necessit?/p> |
|
25 |
avviate procedure di vigilanza e controllo, a cura del titolare del trattamento? (vedi file chkispez675) |
secondo necessit?/p> |
Note esplicative
01 L'invio della lettera informativa dipendenti ?un atto dovuto, ed molto spesso occorre comprendere in questa informativa anche i familiari?
?/span>
02 L'invio della lettera informativa ai clienti, che nella fattispecie sono in particolare i passeggeri, pu?essere realizzato mediante l'affissione pubblica in localit?e con modalit?tali che possa essere agevole per i passeggeri acquisire l'informativa stessa. Il Garante ha gi?sottolineato che per ragioni di semplicit?operativa?la soluzione ? del tutto accettabile?
03 La lettera informativa ai fornitori pu?essere ben pi?semplicemente ed in modo pi?snello compilata inserendo in ogni contratto di fornitura di beni e servizi uno specifico?articolo, nel quale si offre l'informativa relativa, ad esempio l'utilizzo delle referenze bancarie e simili?
?/span>
04 La raccolta del consenso da parte di dipendenti non sempre ?necessaria, ma lo diventa quando le modalit?di trattamento dei dati possono lasciare spazio perch?i dipendenti possano esprimere consensi selettivi?
05 La raccolta del consenso da parte dei fornitori?si pu?facilmente realizzare facendo firmare il contratto?per accettazione, avendo avuto cura di inserire, come prima accennato, una clausola di tipo standardizzato
?
06 La societ?capogruppo e tutte le societ?collegate non riceveranno praticamente mai delle lettere di informativa da parte dei clienti ed il caso non sembra quindi di particolare rilievo?
?/span>
07 La societ?capogruppo e tutte le societ?collegate avranno invece numerose occasioni di rispondere a lettere di informativa inviate dai fornitori. Si raccomanda di tenerne copia, anche per avere una chiara idea del tipo dei dati al cui trattamento si ?espressa approvazione; non dare mai consensi a dati non chiaramente elencati?
08 La delibera da parte del cda ?stata gi?fatta e eventuali future varianti possono essere notificate al garante utilizzando il modulo?di notificazione gi?compilato e di inserendo solamente la variante. ?indispensabile contrassegnare in modo appropriato il primo foglio della notificazione laddove appunto si menziona il fatto che si tratta di nuova notificazione o variante di una gi?avanzata?
09 ?evidente che?l'amministrazione o comunque il soggetto che nomina il responsabile del trattamento deve avere cura, in caso di variante, di rispettare le formalit?di legge, in particolare impartendo le analitiche e dettagliate istruzioni previste dalla legge?
?/span>
10 Valgono le stesse considerazioni fatte in precedenza?
11 Ricordo che la notificazione su dischetto ?sempre reperibile presso gli uffici postali, perch?ogni giorno nasce qualche azienda che ha bisogno di notificare il trattamento al Garante o ha bisogno di notificare qualche variazione di trattamento?
?/span>
12 Le modalit?di compilazione ed invio delle notificazioni sono le consuete, anche per?notificazione di variante
13 In linea di massima si pu?ritenere che i dati sensibili trattati?rientrino fra le autorizzazioni generali concesse dal Garante?
?/span>
14?Valgono le stesse considerazioni precedenti?
15 Valgono le considerazioni precedenti?
16 vedi sopra 09
17 vedi sopra 10
18 SAP ha gi?avuto a disposizione un manuale degli incaricati interni ed hanno effettuato un corso di aggiornamento. Occorre accertarsi che le istruzioni siano state date all'universo degli incaricati interni. Inoltre diligenza vuole che non basti consegnare il manuale prestampato, ma venga istituita un'occasione di formazione personalizzata, anche mediante strumenti di computer based training?
?/span>
19 Valgono le stesse considerazioni, tenendo presente che la rosa degli incaricati esterni pu?esser assai pi?vasta di quanto si possa pensare; ad esempio possono esser incaricati i tecnici di manutenzione dei computer, il personale addetto alle pulizie, che talvolta ha occasione di esaminare documenti che non sono stati custoditi con le appropriate attenzioni. Si tratta quindi di una sorta di fascia di sicurezza di cui si deve far tesoro. Parimenti in questa categoria rientrano eventuali societ?esterne di consulenza che possono?venire a conoscenza, nell'ambito del rapporto di lavoro, di dati personali afferenti a SAP
20 vedi 18
21 La attivazione di questo sportello rappresenta un passo fondamentale per mettere in rapporto l’ente che tratta i dati con i soggetti i cui dati vengono trattati. Ho gi?raccomandato di attivare uno sportello unico per la societ?capogruppo e tutte le altre, anche per semplificare la informativa ai passeggeri, che viene cos?unificata, e la formazione di tutto il personale addetto, che deve ricordare un unico punto di riferimento?
22 L'allineamento delle misure di sicurezza ?operazione alquanto complessa, che varia a seconda che ci si trovi davanti a personal computer funzionanti in modo autonomo, personal computer portatili,? personal computer collegati in reti chiuse o su reti collegate tramite modem. Ulteriori prescrizioni vanno attuate quando ci si trova davanti a sistemi di trattamento di dati su supporto cartaceo. Ho consegnato un?testo alquanto articolato, che pu?essere presentato sull'intranet societario, a disposizione di tutti i responsabili che potranno con ogni probabilit?trovare una risposta a quasi tutti i loro dubbi?
22.1 Per esperienza passata, una accurata ricognizione degli archivi e una accurata individuazione delle attuali modalit?di trattamento rappresenta un'impresa molto difficile. Sono convinto che?presso l'ente?siano presenti numerosi archivi di difficile individuazione, perch?span style="mso-spacerun: yes">? organizzati e gestiti da soggetti individuali, spesso ad insaputa della direzione della soprintendenza. Occorre anche suddividere gli archivi che hanno una?finalit?di ricerca scientifica e storica, per i quali sono previste particolari modalit? Una volta individuato un archivio, bisogna specificare come oggi? esso ?gestito e da chi. Indi si passa alla fase 22.2
22. 2 In questa fase occorre, sulla base dei? dati acquisiti al punto precedente, procedere?all'emissione di nuove regolamentazioni,?diverse per archivi automatizzati, e manuali, per archivi con dati personali e sensibili, nelle quali?viene ridotto al minimo il numero delle persone che hanno accesso a questi archivi, e vengono soprattutto definiti i privilegi di lettura, scrittura, creazione, cancellazione eccetera
22.3?La nomina dell'amministratore di sistema fa riferimento al fatto che uno specifico incaricato debba gestire i settaggi del sistema di controllo dell'accesso logico. Ad esso non?incombe alcuna responsabilit?in merito alla definizione dei privilegi di accesso, che vengono definiti dal responsabile del trattamento, mentre compete l'obbligo di governare in modo appropriato i parametri dell'accesso logico. La nomina non ?obbligatoria, ma risponde a comportamenti di comune diligenza
22. 4 Il preposto alla gestione delle parole chiave ?un normale incaricato, cui viene affidato il compito di assistere gli altri incaricati della gestione di questi utili strumenti di controllo dell'accesso. Egli pu?custodire le buste chiuse sigillate nelle quali ogni incaricato ha scritto la propria parola chiave ed educare ed esortare i propri colleghi?ad un utilizzo appropriato delle parole chiave,?evitando che vengano scambiate fra due incaricati o che vengano gestite in modo non sufficientemente riservato?
Nulla obbliga alla nomina di un preposto addetto la gestione delle parole chiave ma?diligenza vuole che questa operazione venga fatta, a riprova di attenzione, anche?in periferia, su questi delicati aspetti
22.5 Questa fase ?diversa da quella elencata al punto 22.2, perch?in essa il rispetto delle regole ?affidato possa alla pubblicazione dei regolamenti ed a periodici controlli, mentre in questa fase devono essere introdotti dei?vincoli di natura informatica, che governano il controllo dell'accesso logico agli archivi?
22.6 Se l’aggiornamento non ?centralizzato, far bene attenzione a che i vari incaricati aggiornino le loro edizioni
?
23 Non mi stanco mai di ricordare che il regolamento sulle misure minime altro non fa che prescrivere misure minime, la cui attuazione?certamente non esime il titolare del trattamento da eventuali responsabilit?civili e penali,?ove si abbia rilevare che le misure in essere, pur essendo conformi alle minime, non erano conformi a quelle appropriate, previste dall'articolo 15 della legge. Raccomando pertanto che terminata questa fase pi?urgente di attivazione delle misure minime,?si esaminino con maggiore attenzione le modalit?grazie le quali dalle misure minime si potr?passare a quelle appropriate
24 Il Garante ha pi?volte dichiarato che tali impianti rientrano appieno nella categoria di trattamenti soggetti alla tutela della legge; si applicano i principi della informativa, talvolta del consenso, dell’accesso, della riservatezza, della emanazione di istruzioni agli incaricati virgin hair extensions
25 E?un preciso obbligo di legge, in carico al titolare del trattamento?