Convegno Tecnobanca ?8

 

La delega al responsabile del trattamento ex legge 675/96 sulla privacy

 

sintesi dell’intervento di Adalberto Biasiotti

 

 

Sintesi dell’intervento di Adalberto Biasiotti

La recente legge sulla tutela dei dati personali ha formalizzato il ruolo del responsabile del trattamento, come persona particolarmente esperta nel campo della sicurezza informatica. Su questo nuovo profilo professionale incombono obblighi e responsabilità non da poco, che però debbono essere debitamente formalizzati in fase di nomina da parte del titolare. Il convegno esamina gli aspetti tecnici e normativi legati alla impostazione e convalida della delega

 

 

Ad integrazione dell’intervento orale, offro di seguito un documento, che costituisce traccia di un ordine del giorno e successiva delibera del consiglio di amministrazione della società, atto a rispettare gli obblighi imposti dalla legge 675/96, ed in particolare la individuazione del titolare, la designazione del o dei responsabili e la compilazione della notificazione, da inviare al Garante per la protezione dei dati personali entro il 31 marzo 1998

Traccia del punto xx dell'ordine del giorno nella convocazione

Adempimenti ex legge 675/96 sulla protezione dei dati personali: individuazione del titolare, designazione dei responsabili, compilazione della notificazione (adempimenti da completare entro 31 marzo 1998)

Traccia di delibera

Sul punto xx dell'ordine del giorno, il consiglio di amministrazione, preso atto della relazione del presidente, ritiene che non esistano i requisiti per individuare diverso " titolare del trattamento " ed individua pertanto il legale rappresentante della società, Signor Tizio, come " titolare del trattamento " ai sensi della legge 675/96.

Su proposta del titolare, preso atto della esistenza dei requisiti di esperienza ed affidabilità previsti dall'articolo 8 comma 1 di detta legge, designa all'unanimità come "responsabile del trattamento " i seguenti soggetti (persona fisica o giuridica):

 

responsabile del trattamento numero 1: Signor .................................

responsabile del trattamento numero 2: Signor .................................

responsabile del trattamento numero 3: Signor .................................

Il consiglio prende atto che rientra tra i compiti del titolare del trattamento, di concerto con i responsabili:

- impartire analitiche istruzioni per iscritto ai responsabili,

- ripartire tra di essi i compiti relativi agli adempimenti di legge,

- individuare famiglie omogenee di incaricati o singoli incaricati, sia appartenenti alla azienda che collaboratori esterni, ed impartire loro le opportune istruzioni per il trattamento, generiche e specifiche, atte a rispettare i dettati di legge,

- compilare e sottoscrivere, con i responsabili, la notificazione di trattamento al Garante per la protezione dei dati personali,

- vigilare sulla attività di responsabili ed incaricati ed, in genere, provvedere a tutti gli adempimenti previsti dalla legge 675/96 e successive modificazioni ed integrazioni.

 

(N.d.R.: A questo punto è possibile allegare al verbale del consiglio di amministrazione le analitiche istruzioni di trattamento, che consentono di identificare con accuratezza la ripartizione dei compiti tra i vari responsabili. Tuttavia, poiché questo compito è affidato dalla legge al titolare, potrebbe essere superflua questa puntualizzazione. Lascio ai destinatari di questa traccia di scegliere se allegare o meno le istruzioni, od almeno una loro sintesi.

È evidente che se viene allegata almeno una sintetica descrizione delle istruzioni e quindi vengono individuate le ripartizioni di responsabilità, in un certo senso il consiglio di amministrazione è coinvolto a supporto delle decisioni del titolare).

 

Il consiglio di amministrazione inoltre delibera che l'assunzione della qualifica di titolare non comporta alcun compenso, e che il titolare potrà avvalersi di consulenti esterni, ove indispensabile per un più puntuale e tempestivo adempimento degli obblighi di legge.

Ove uno o più dei responsabili del trattamento sia persona fisica o giuridica esterna alla società, il Consiglio attribuisce al titolare la delega a trattare le relative condizioni economiche, tecniche e contrattuali del rapporto di collaborazione, operando di concerto con gli organi aziendali interessati, come il responsabile interno del trattamento, la direzione dei servizi informativi, la direzione acquisti, ecc.

Tale delega include il potere di modificare i termini della delega, come sopra enunciati.

I responsabili (se presenti) accettano la designazione.

 

 

 

Traccia di designazione del responsabile e di istruzioni analiticamente impartite per iscritto - responsabile n. 1 (responsabile addetto al trattamento automatizzato di dati personali)

 

 

Il sottoscritto ……?., nella sua qualità di titolare del trattamento di dati personali ai sensi delle definizioni di cui all'articolo 1, comma 2 della legge 675/96 designa il signor……..

 

responsabile del trattamento,

 

affidandogli le incombenze e le responsabilità di cui all'articolo 8 di detta legge, sulla base delle sue dichiarazioni e dopo aver appurato, per quanto ragionevolmente possibile, la loro corrispondenza al vero ed idoneità al rispetto delle caratteristiche di esperienza, capacità ed affidabilità, con particolare riguardo alla sicurezza dei dati, richieste dalla legge menzionata, attenendosi alle istruzioni scritte allegate.

E' fatto specifico obbligo al responsabile ed a tutti i suoi dipendenti e collaboratori, che possono comunque assumere la veste di incaricati (ex articolo 19) di rispettare il divieto di comunicazione e diffusione dei dati trattati (ex articolo 21), non solo in vigenza del presente incarico, ma anche per tutto il tempo successivo durante il quale sarà in vigore tale divieto, senza limiti temporali.

(Firma del titolare che designa il responsabile)

 

Per accettazione

(Firma del responsabile)

 

Istruzioni analitiche per il responsabile addetto al trattamento automatizzato di dati personali

 

Il responsabile del trattamento, nell’ambito delle responsabilità e dei compiti che gli vengono attribuiti, deve attenersi strettamente alle finalità e modalità di trattamento, nei limiti e con le modalità indicate dal titolare. In particolare, deve:

- trattare i dati nel rispetto degli obblighi di legge,

- mantenere stretti contatti con gli altri responsabili, per coordinare la varie fasi del trattamento,

- aggiornare con tempestività ed accuratezza il data base, sulla scorta delle indicazioni che verranno date dal responsabile della raccolta dei dati e della gestione del diritto di accesso,

- vegliare sull’attività degli incaricati, dipendenti o terzi collaboratori

- assistere il titolare nella sua azione di vigilanza

 

Deve inoltre:

 

Sviluppare e promuovere una politica di sicurezza, ed in particolare:

- interpretare ed applicare correttamente le istruzioni impartite dal titolare del trattamento

- assistere il titolare nella messa a punto di appropriate strategie e metodologie, compatibilmente con la necessità di effettuare nei tempi e nei modi stabiliti i trattamenti definiti

- assicurare una specifica tutela ai dati personali ed ai dati particolari, anche sensibili

 

Coordinare l'azione di eventuali altri addetti alla sicurezza, che operano presso il sistema informativo centrale o presso sistemi informativi secondari

 

Individuare, esaminare e proporre gli investimenti, relativi alla sicurezza, accertandosi che il rapporto prezzo/prestazioni degli stessi sia compatibile con gli obiettivi proposti in termini di:

regolare funzionamento del sistema informativo.

compatibilità con altri apparati o sistemi esistenti

 

Individuare le famiglie omogenee di incaricati, o singoli incaricati, con specifiche mansioni nel trattamento manuale dei dati, impartendo le opportune istruzioni. A titolo esemplificativo e non limitativo, si possono sin da ora individuare le seguenti famiglie omogenee

 

Addetti alla gestione del data base

Addetti alla manutenzione dei sistemi informativi

Addetti alla manutenzione degli applicativi per i sistemi informativi

Capo turno sala macchine

Collaboratori esterni addetti alle pulizie

Collaboratori esterni addetti alla impiantistica

 

Ad ognuna di queste famiglie o singolo incaricato consegnata verranno impartite delle raccomandazioni generali di sicurezza e specifiche istruzioni

 

Fornire linee guida agli incaricati dello sviluppo di applicativi, per introdurre in essi le appropriate salvaguardie e controlli di sicurezza

 

Compilare e tenere aggiornato l'elenco degli incaricati, inclusi gli eventuali terzi collaboratori, ricadenti nel suo ambito di responsabilità

 

Impartire opportune istruzioni a tutti gli incaricati in merito al divieto generalizzato di comunicazione e diffusione dei dati personali, in particolare sensibili, illustrando agli incaricati le eccezioni previste dalla legge o consentite dalla lettera di informativa e raccolta di consenso specificamente sottoscritta dagli interessati

 

Coordinare le proprie attività e competenze con quelle del servizio formazione, onde mettere a punto un idoneo programma educazione, addestramento e sensibilizzazione su problematiche di sicurezza fisica e logica del trattamento, applicabile a tutti gli incaricati e mettendo a disposizione la propria specifica esperienza in materia di trattamento dei dati personali, anche per attività di docenza

 

Predisporre procedure di accesso ai locali ove sono custoditi dati personali tali da garantire la riservatezza dei dati stessi ed impedire che dipendenti o terzi, non aventi la qualifica di incaricati, possano venire a conoscenza dei dati presenti in tali siti, in particolare elaborando ed attuando una procedura di gestione delle chiavi dei siti (locali o singoli contenitori), che racchiudono dati personali su supporto cartaceo o altro

 

Definire e mantenere un programma di risk management, comprensivo della fase di valutazione del rischio, in particolare per i dati personali e quelli particolari, compresi quelli sensibili, mantenendosi aggiornato sullo stato dell'arte in Italia ed all'estero, in tema di evoluzione della normativa sulle misure di sicurezza informatica, sulle tipologie di frodi ed in generale su nuove tecniche di attacco e difesa dei sistemi informativi

Delineare e mantenere costantemente aggiornato un piano generale di sicurezza, conforme ci requisiti minimi che verranno gradualmente individuati dal garante comunque tali da consentire mantenere allineate la sicurezza del trattamento con lo stato dell’arte, ed in particolare:

- illustrare il piano di sicurezza agli incaricati

- accertarsi che esso permetta di raggiungere un livello omogeneo di sicurezza dell'intero sistema informativo

- mantenere aggiornata la documentazione di supporto del piano di sicurezza

 

 

Definire ed attuare un piano di regolare back up dei dati, sia presso i sistemi centrali, sia presso i sistemi periferici

 

Definire, attuare e governare una politica di controllo logico degli accessi, tale da prevenire l’accesso a dati personali e sensibili di chiunque non abbia la qualifica di incaricato e non debba comunque ad essi accedere, per ragioni del suo incarico

 

Definire, attuare e governare una politica di controllo logico degli accessi, tale da prevenire il trattamento non consentito o non autorizzato di dati personali e sensibili, da parte di chiunque non abbia la qualifica di incaricato e non debba comunque trattarli, per ragioni del suo incarico

 

Coordinare un programma di prevenzione di infezioni da virus, inclusa la scelta di appropriati applicativi di prevenzione, la fornitura di linee guida per gli incaricati e l'aggiornamento costante di questo programma

 

Stabilire norme e linee guida per l'allestimento di un piano di disaster recovery e di funzionamento di emergenza, riferito ad ogni parte critica del sistema informativo

 

Accertarsi che tutti i sistemi informativi che si interfacciano con il sistema informativo in questione rispettino dei requisiti minimi di sicurezza ed affidabilità, tali da non compromettere i requisiti di sicurezza ed affidabilità già definiti per il sistema informativo in questione

 

Assistere gli altri responsabili nella messa a punto ed attuazione di misure di sicurezza atte a soddisfare specifici requisiti di sistemi informativi locali

 

Effettuare delle periodiche ispezioni e valutazioni del rispetto delle misure di sicurezza adottate

 

Raccogliere e riferire al titolare ogni incidente o violazione relativo alla sicurezza del sistema informativo, anche ove tali eventi non abbiano arrecato un danno diretto e quantizzabile

 

Proporre e supportare iniziative di ricerca e sviluppo in tema di miglioramento delle misure di sicurezza

 

Supportare la attività degli ispettori, eventualmente incaricati di verificare il livello di sicurezza del sistema informativo

 

Nota bene: Tutti gli adempimenti sopra descritti devono essere attuati di concerto con gli organi aziendali gerarchicamente e funzionalmente coinvolti, per prevenire conflitti di competenza e di responsabilità. In caso di dubbio, il responsabile deve rivolgersi al titolare per gli appropriati interventi.

 

Traccia di designazione del responsabile e di istruzioni analiticamente impartite per iscritto - responsabile n. 2 (responsabile addetto alla raccolta dei dati, all’aggiornamento ed al trattamento manuale di dati personali)

 

 

Il sottoscritto ……?., nella sua qualità di titolare del trattamento di dati personali ai sensi delle definizioni di cui all'articolo 1, comma 2 della legge 675/96 designa il signor……..

 

responsabile del trattamento,

 

affidandogli le incombenze e le responsabilità di cui all'articolo 8 di detta legge, sulla base delle sue dichiarazioni e dopo aver appurato, per quanto ragionevolmente possibile, la loro corrispondenza al vero ed idoneità al rispetto delle caratteristiche di esperienza, capacità ed affidabilità, con particolare riguardo alla sicurezza dei dati, richieste dalla legge menzionata, attenendosi alle istruzioni scritte allegate.

E' fatto specifico obbligo al responsabile ed a tutti i suoi dipendenti e collaboratori, che possono comunque assumere la veste di incaricati (ex articolo 19) di rispettare il divieto di comunicazione e diffusione dei dati trattati (ex articolo 21), non solo in vigenza del presente incarico, ma anche per tutto il tempo successivo durante il quale sarà in vigore tale divieto, senza limiti temporali.

(Firma del titolare che designa il responsabile)

 

Per accettazione

(Firma del responsabile)

 

Istruzioni analitiche per il responsabile addetto alla raccolta dei dati, all’aggiornamento ed al trattamento manuale di dati personali

 

Il responsabile del trattamento, nell’ambito delle responsabilità e dei compiti che gli vengono attribuiti, deve attenersi strettamente alle finalità e modalità di trattamento, nei limiti e con le modalità indicate dal titolare. In particolare, deve:

- trattare i dati nel rispetto degli obblighi di legge,

- mantenere stretti contatti con gli altri responsabili, per coordinare la varie fasi del trattamento,

- aggiornare con tempestività ed accuratezza il data base, sulla scorta delle indicazioni che verranno date dal responsabile della raccolta dei dati e della gestione del diritto di accesso,

- vegliare sull’attività degli incaricati, dipendenti o terzi collaboratori

- assistere il titolare nella sua azione di vigilanza

 

Deve inoltre:

 

Elaborare il testo della lettera di informativa e di raccolta di consenso, suddiviso per specifiche tipologie di interessati come dipendenti, clienti, fornitori, eventuali altre categorie da definire di concerto con titolare

Inviare le lettere di informativa, raccogliere il consenso, trasmetterlo per quanto di competenza al responsabile del trattamento automatizzato

 

Gestire il diritto di accesso, compilando il registro degli accessi ed impartendo appropriate istruzioni agli incaricati addetti al diritto di accesso. Se del caso, questa ultima attività potrà essere svolto con la assistenza di altre entità aziendali, individuate di concerto con il titolare

 

Comunicare tempestivamente al responsabile del trattamento automatizzato eventuali variazioni ed aggiornamenti dei dati presenti nel data base aziendale

 

Individuare le famiglie omogenee di incaricati, o singoli incaricati, con specifiche mansioni nel trattamento manuale dei dati, impartendo le opportune istruzioni. A titolo esemplificativo e non limitativo, si possono sin da ora individuare le seguenti famiglie omogenee

 

Addetti alla gestione del personale

Addetti alla gestione polizze assicurative

Addetti alla amministrazione contabilità in genere

Addetti all’ufficio legale

Addetti al servizio clienti, anche telefonico

Addetti al servizio approvvigionamento

Addetti alla informativa e raccolta del consenso

Collaboratori esterni addetti alle pulizie

Collaboratori esterni addetti alla impiantistica

 

Ad ognuna di queste famiglie o singolo incaricato consegnata verranno impartite delle raccomandazioni generali di sicurezza e specifiche istruzioni

 

Compilare e tenere aggiornato l'elenco degli incaricati, inclusi gli eventuali terzi collaboratori, ricadenti nel suo ambito di responsabilità

 

Impartire opportune istruzioni a tutti gli incaricati in merito al divieto generalizzato di comunicazione e diffusione dei dati personali, in particolare sensibili, illustrando agli incaricati le eccezioni previste dalla legge o consentite dalla lettera di informativa e raccolta di consenso specificamente sottoscritta dagli interessati

 

Coordinare le proprie attività e competenze con quelle del servizio formazione, onde mettere a punto un idoneo programma educazione, addestramento e sensibilizzazione su problematiche di sicurezza fisica e logica del trattamento, applicabile a tutti gli incaricati e mettendo a disposizione la propria specifica esperienza in materia di trattamento dei dati personali, anche per attività di docenza

 

Curare i rapporti con enti aziendali atipici, come ad esempio la cassa integrazione malattie e predisponendo una lettera di informativa e raccolta di consenso per la gestione delle pratiche di rimborso, che possono contenere dati personali e sensibili, che debbono essere comunicati a specifici soggetti

 

Mantenere i contatti con studi legali ed altri enti esterni alla azienda, individuando le modalità con le quali è possibile comunicare a detti enti o singole persone i dati personali e sensibili in possesso dell'azienda

 

Predisporre procedure di accesso ai locali ove sono custoditi dati personali tali da garantire la riservatezza dei dati stessi ed impedire che dipendenti o terzi, non aventi la qualifica di incaricati, possano venire a conoscenza dei dati presenti in tali siti, in particolare elaborando ed attuando una procedura di gestione delle chiavi dei siti (locali o singoli contenitori), che racchiudono dati personali su supporto cartaceo o altro

 

Definire ed attuare una procedura di distruzione sicura di supporti cartacei od altro, che contengono dati personali virgin hair extensions

 

Raccogliere e riferire al titolare ogni incidente o violazione relativo alla sicurezza del sistema informativo, anche ove tali eventi non abbiano arrecato un danno diretto e quantizzabile

 

Proporre e supportare iniziative di ricerca e sviluppo in tema di miglioramento delle misure di sicurezza

 

Supportare la attività degli ispettori, eventualmente incaricati di verificare il livello di sicurezza del trattamento

 

Nota bene: Tutti gli adempimenti sopra descritti devono essere attuati di concerto con gli organi aziendali gerarchicamente e funzionalmente coinvolti, per prevenire conflitti di competenza e di responsabilità. In caso di dubbio, il responsabile deve rivolgersi al titolare per gli appropriati interventi.