seven

Evitare di redarre il DPS mi sembra quasi impossibile, dato che la legge dice che tutte le aziende che trattano dati personali, anche se non sensibili, sono costrette a redarre il DPS.
Ora che si tratti di Autocertificazione, DPS semplificato o qualsiasi altra tipologia di DPS questa è un altra questione.

Nel mio caso vorrei capire se posso fare un DPS semplificato, un Autocertificazione oppure se mi devo rivolgere ad uno specialista per redarre un documento più articolato.

In pratica io fornisco servizi di creazioni e posizionamento nei Mdr ai clienti. Inoltre sono proprietario di alcuni siti, unicamente da me gestiti, di diversa tipologia come ad esempio social network, directory, blog, comparatore di prezzi, sito di vendita online, ecc

Per tutti le tipologie di siti vengono visualizzati, tramite software di statistiche, gli accessi ai diversi siti.
Per alcuni servizi rivendo della pubblicità dove fornisco al cliente un' area riservata dove poter consultare i click ricevuti e qui vengono forniti indirizzi IP e conteggio dei click.

Alcuni dei miei siti sono hostati su un server a noleggio da me gestito, mentre altri sono gestiti dai provider tipo Aruba.

Ho alcune collaborazioni d'affiliazione con alcune aziende tipo Ebay e Zanox per la pubblicazione, diciamo, dei loro prodotti sui miei siti.

Gestendo siti di qualche cliente vengo fornito dei dati FTP ed eventuali dati per l'accesso ai database.

Tramite software gestisco le fatture emesse.

Secondo voi basterebbe una sorta di autocertificazione non trattando dati sensibili ?
Quali accorgimenti, richiesti dalla legge, dovrei prendere a livello di sicurezza ?
Devo prendere dei provvedimenti per il salvataggio delle informazioni che passano sui server ?

Grazie mille

seven

Ora è tutto più chiaro, rimango comunque in attesa di criceto o altre persone che mi possano dare maggiori certezze.
A questo punto compilo l'autocertificazione.
L'autocertificazione deve riportare data certa ?

Grazie per i chiarimenti

seven

Scusami dopo posso trovare tutta la documentazione dell'autocertificazione e relativi allegati ?

Grazie

seven

Ciao criceto
io sono interessato, più che altro sono anche ben disposto ad affidarmi a te o alla tua azienda, l'importante che la consulenza offerta mi dia certezza di aver redatto i documenti corretti e secondo i termini di legge.

Anche perchè come dici tu, sul forum è un pò difficile essere molto chiari.

seven

Sono contento che finalmente qualcuno dice le cose come stanno realmente.
Fai bene a non prenderti alcuna responsabilità su leggi così troppo vaghe e in continuo mutamento.

Diversamente da te vi sono alcune professionisti che non si prendono le loro responsabilità in caso di consulenza errata.
Tipico esempio è il commercialista ... che se sbaglia, a farti dei conti o non ti invia le tasse da pagare, chi paga sei sempre tu.

ti mando il MP

Grazie

seven

Bene allora non ti invio nessun messaggio privato
Molto gentile Criceto.

aleb 0

Buonasera a tutti.
Mi sono iscritto perchè ho letto questo thread e ho notato un pò di confusione.
Permettetemi di fare chiarezza.
Il DPS è il Documento programmatico sulla Sicurezza. In pratica è una fotografia dell'azienda nell'utilizzo dei dati conferiti. Non ha requisiti formali, il che significa che può essere redatto in qualsivoglia forma e su qualsivoglia supporto. Però per agevolarne la stesura il Garante della Privacy mette a disposizione delle linee guida.
Tutti coloro che trattano in qualche modo dati sensibili devono redarlo. E intendo TUTTI. Dire che che chi tratta solo dati personali (sensibili per definizione) non lo deve fare è assolutamente sbagliato, così come sostituire il DPS con l'autocertificazione (che di fatto è inutile).
Gli unici che possono esimersi dal compilarlo sono coloro che utilizzano per la loro attività dei semplici dati fiscali di fatturazione. Questo in seguito ad un chiarimento di qualche anno fa del Garante della Privacy che si era giustamente reso conto che piccole realtà, come per esempio l'idraulico, non trattavano di fatto alcun dato. Ma rimane una eccezione.
Inoltre il DPS è solo una parte degli obblighi previsti dal D.Lgs. 196/03. Restano a carico di TUTTI senza alcuna esclusione gli obblighi di informare clienti e/o soggetti terzi(tramite apposite informative) e nominare (ove necessario in base alla struttura aziendale) Responsabili, Incaricati e Amministratore di Sistema.
Fin qui ho parlato degli aspetti legislativi della normativa della Privacy ed ora passo a quelli pratici.
Non basta che il DPS sia presente in azienda, ma deve essere anche chiaro e leggibile. Nella forma che si preferisce ma CHIARO. Non serve a niente il mero elenco dei pc e degli archivi se non fotografa i trattamenti effettuati, tant'è vero che nelle linee guida ufficiali tra le varie tabelle non è neanche menzionato. Non è raro che un DPS confuso sia sanzionato seppur presente.
Il documento è annuale e va redatto entro il 31 Marzo dell'anno in corso. La validità è fino al 31 Dicembre ma nella pratica, visto i tre mesi per redarre il nuovo, l'anno si conta dal 31 Marzo al 31 Marzo successivo. Il nuovo sostituisce il vecchio ma non è certo sbagliato conservare uno storico.
Va apposta data certa e qui si aprono altri dibattiti: gli unici modi legali per apporla sono il timbro postale su ogni pagina, il timbro postale su una pagina qualsiasi di un documento NON disassemblabile, la PEC.
La raccomandata è un modo per fare presto ma l'ispettore attento noterà che il timbro è sulla busta e nessuno gli può assicurare che non si sia spedita una busta vuota.
Dulcis in Fundo. Sono un consulente e mi è capitato che ad alcuni clienti sia stata contestata la mancanza del DPS anche se si parlava di soli dati di fatturazione come ho spiegato prima. In questi casi l'ispettore è un essere umano come noi, soggetto ad errori ma anche dotato di cervello. E' stato sufficiente una breve spiegazione dell'imprenditore precedentemente istruito per chiarire il tutto. Resta però il fatto che è stato chiesto e si è comunque sfiorato il verbale. Contestabile quanto vi pare ma pur sempre una rogna. Ragion per cui adesso consiglio sempre di avere il DPS anche se inutile.

Spero di essere stato chiaro e rimango a disposizione per chiarimenti. Non voglio sfruttare il forum per farmi pubblicità per cui vi dico solo che quello che ho scritto lo faccio per lavoro. E' per questo che conosco, credo bene, la materia. Per la stessa ragione però non metterò a disposizione moduli o quant'altro. Sono certo che capirete.

edit: chiarisco sull'autocertificazione. E' ammessa formalmente ma di fatto non semplifica niente. Devi redigere un atto dichiarando che tratti solo ed esclusivamente dati del dipendente relativi ai giorni di malattia (i "giorni" richiesti dal certificato medico) senza indicazioni sulla diagnosi. Altri dati che consentono l'autocertificazione sono quelli relativi ai permessi e alla delega per la riscossione dei contributi ex L.300/70. E te ne assumi tra l'altro anche la responsabilità penale nel caso dichiarassi il falso.
Qualunque altro dato trattato in qualunque altro modo ti obbliga al DPS. Facciamo degli esempi terra-terra: maternità, congedo parentale, crediti alimentari coatti sulla busta paga, permesso ex legge 104, tutti i trattamenti relativi all'ambito di attività...
In pratica ti assumi il diritto di fare un documento ufficiale in luogo di un altro documento ufficiale con in più l'obbligo di dimostrare che dici il vero all'ipotetico ispettore che non si aspetta di trovarlo.
A mio avviso semplicemente ridicolo e potenzialmente dannoso. Molto più semplice e sicuro fare il DPS. Poi come qualcuno ha detto precedentemente la sicurezza totale non esiste ma almeno in questo modo si riducono drasticamente le probabilità.

edit n°2: Non è vero che i dati devono essere trattati solo con l'ausilio di strumenti elettronici per essere oggetto del D.Lgs. 196/03. Sarebbe il colmo che si potesse fare ciò che si vuole con i dati trascritti su carta ma non con quelli archiviati su supporto informatico.

Scusate se sono stato prolisso ma la materia è complessa e c'è tanta confusione/disinformazione al riguardo.

seven

Ciao
certo che di confusione ce ne parecchia e non poca.
Quindi da quanto scrivi chi riceve contatti email o chi nei propri siti web utilizza form di contatto o ha installato software per il tracciamento dei dati, denominati software di statistiche d'accesso, dovrebbe redirigere il DPS ?

Domanda. Chi non ha redatto il DPS entro il 31 marzo e volesse farlo ora cosa deve fare ?
Redirigerlo e sperare che nessun controlli ?
In caso dovesse essere controllato dovrebbe pagare una sanzione ?

Certo che non c'è da stare tranquilli..

Grazie per il tuo intervento

seven

@AleB said:

Tutti coloro che trattano in qualche modo dati sensibili devono redarlo. E intendo TUTTI. Dire che che chi tratta solo dati personali (sensibili per definizione) non lo deve fare è assolutamente sbagliato, così come sostituire il DPS con l'autocertificazione (che di fatto è inutile).
Gli unici che possono esimersi dal compilarlo sono coloro che utilizzano per la loro attività dei semplici dati fiscali di fatturazione.

Scusa però qui stiamo ancora fermi su un concetto, almeno lo sono io, quello dei dati sensibili.

Preso direttamente dal sito del garante.

"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Indirizzo email e indirizzo IP, ottenuto dalle statistiche del sito, non mi sembrano dati PERSONALI SENSIBILI o per lo meno io non li vedo rientrare in una delle voci riportate sul sito web del garante.

Quindi non trattando questi dati non si è costretti a redirigere il DPS. Giusto ?

Grazie