• S
    User Attivo

    Ciao criceto,
    ti ringrazio per aver aggiornato la situazione autocertificazione.

    Ti mando un MP o una email per illustrarti la mia situazione così saprai effettuarmi una valutazione.

    Ciao e grazie

    0
  • undefined

    Confermo quanto scritto da criceto, questa è anche l'indicazione che ho avuto da chi segue questioni sulla privacy all'interno della mia associazione di categoria (artigiano).
    L'autocertificazione è possibile (loro mi hanno consigliato di evitare il DPS se non necessario, quando non si trattano dati sensibili o giudiziari in via elettronica), però bisogna sempre ricordare che gli obblighi sulla sicurezza vanno comunque rispettati, inoltre è consigliabile realizzare un faldone dove si andranno a mettere tutti i dati relativi alle proprie postazioni PC (tipo di pc, software TUTTI utilizzati con relative licenze, fatture acquisto, descrizione periferiche etc...)

    0
  • S
    User Attivo

    Evitare di redarre il DPS mi sembra quasi impossibile, dato che la legge dice che tutte le aziende che trattano dati personali, anche se non sensibili, sono costrette a redarre il DPS.
    Ora che si tratti di Autocertificazione, DPS semplificato o qualsiasi altra tipologia di DPS questa è un altra questione.

    Nel mio caso vorrei capire se posso fare un DPS semplificato, un Autocertificazione oppure se mi devo rivolgere ad uno specialista per redarre un documento più articolato.

    In pratica io fornisco servizi di creazioni e posizionamento nei Mdr ai clienti. Inoltre sono proprietario di alcuni siti, unicamente da me gestiti, di diversa tipologia come ad esempio social network, directory, blog, comparatore di prezzi, sito di vendita online, ecc

    Per tutti le tipologie di siti vengono visualizzati, tramite software di statistiche, gli accessi ai diversi siti.
    Per alcuni servizi rivendo della pubblicità dove fornisco al cliente un' area riservata dove poter consultare i click ricevuti e qui vengono forniti indirizzi IP e conteggio dei click.

    Alcuni dei miei siti sono hostati su un server a noleggio da me gestito, mentre altri sono gestiti dai provider tipo Aruba.

    Ho alcune collaborazioni d'affiliazione con alcune aziende tipo Ebay e Zanox per la pubblicazione, diciamo, dei loro prodotti sui miei siti.

    Gestendo siti di qualche cliente vengo fornito dei dati FTP ed eventuali dati per l'accesso ai database.

    Tramite software gestisco le fatture emesse.

    Secondo voi basterebbe una sorta di autocertificazione non trattando dati sensibili ?
    Quali accorgimenti, richiesti dalla legge, dovrei prendere a livello di sicurezza ?
    Devo prendere dei provvedimenti per il salvataggio delle informazioni che passano sui server ?

    Grazie mille

    0
  • undefined

    L'autocertificazione NON E' il DPS. Il DPS è obbligatorio per chi tratta dati sensibili e giudiziari, dato che una nuova legge ha chiarito che nel caso in cui vengano gestiti esclusivamente dati personali, non sussiste più l'obbligo di redazione del DPS.
    Gli accorgimenti da adottare sono quelli indicati nell'allegato B come scritto nel testo dell'autocertificazione.
    Per quanto riguarda i dati sui server, secondo me dovresti inviare una lettera di incarico di responsabile del trattamento dei dati personali (dei tuoi clienti-utenti, sempre che tu gestisca effettivamente dati personali, non so se il semplice IP rientra in questo, anche perché allora lo dovrebbero fare tutti, anche il privato che gestisce un sitarello personale) al provider che ti gestisce lo spazio. E' una cosa che non fa praticamente nessuno, ma secondo me andrebbe fatto, poi che loro acconsentano a firmartelo è un altro discorso. Ovviamente loro non saranno responsabili di danni dovuti a "buchi" del tuo software, ma almeno risponderanno nel caso in cui, ad esempio, qualcuno entri in webfarm e rubi fisicamente la macchina, o cose di questo tipo.
    Poi io non sono un esperto, quindi verifica tutto ciò che ho scritto.

    0
  • S
    User Attivo

    Ora è tutto più chiaro, rimango comunque in attesa di criceto o altre persone che mi possano dare maggiori certezze.
    A questo punto compilo l'autocertificazione.
    L'autocertificazione deve riportare data certa ?

    Grazie per i chiarimenti

    0
  • S
    User Attivo

    Scusami dopo posso trovare tutta la documentazione dell'autocertificazione e relativi allegati ?

    Grazie

    0
  • undefined

    La novità è quella introdotta dalla legge n.133/2008 art.29 che va ad aggiungere all'art.34 il comma 1 bis (del D.Lgs 196/2003) che esonera dalla redazione del DPS e introduce l'obbligo dell'autocertificazione, il che non significa che non si debbano adempiere agli obblighi previsti dell'allegato B.

    Ma come hai giustamente scritto tu, attendiamo una conferma da chi è più esperto di noi.

    La normativa la trovi sul sito del Garante Privacy
    http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa/Italiana/Il+Codice+in+materia+di+protezione+dei+dati+personali

    0
  • ?

    a)L'autocertificazione non esime dall'incaricare i propri addetti o le entità esterne alla gestione dei dati.
    E' ovvio che costoro debbano sapere che cosa possono/devono fare o non fare.

    b)Secondo me la data certa non occorre ma cosa ti costa spedirtela per raccomandata?

    0
  • ?

    Ecco una bozza di nomina di entità esterna:

    Mod. C060
    RESPONSABILE ESTERNO:

    Denominazione **
    CodiceFiscale
    [CENTER][CENTER]     **[/CENTER][/CENTER]
    Egregio Signore, Gentile Signora, Spettabile Ditta, Studio, ecc…

    il sottoscritto …………………… in qualità di titolare del trattamento dei dati, Le affida/affida a codesta Spettabile ditta l’incarico di **Responsabile del Trattamento dei dati in esterno. **
    Accettando questo incarico Lei/la Ditta si impegna ad eseguire il trattamento dei dati conformemente al dettato legislativo, nel pieno rispetto del Documento Programmatico Sulla Sicurezza dei dati del quale riceve copia e nella piena consapevolezza degli obblighi assunti e delle responsabilità che ne derivano.
    L’incarico assegnatole riguarda il trattamento dei dati e relative autorizzazioni come da allegato.

    Le persone che Lei/la Ditta nominerà per l’espletamento di specifiche mansioni saranno scelte fra soggetti con comprovate qualità morali e professionali che garantiscano idonea garanzia del rispetto delle norme vigenti in materia di trattamento dei dati. Sull’operato dei soggetti incaricati Lei vigilerà costantemente al fine di evitare che vengano disattese le norme relative all’utilizzo delle banche dati, con particolare riguardo al profilo della sicurezza.

    Oltre a quanto sopra riportato, Le sono assegnate le seguenti mansioni:

    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Incaricati al trattamento
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Amministratori di sistema
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, un custode delle Password
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più incaricati alla manutenzione degli strumenti utilizzati per il trattamento e la custodia dei dati
    · Autorizzare gli incaricati all’utilizzo degli strumenti per l’accesso alle banche dati e, con l’eventuale cooperazione dell’Amministratore del sistema, assegnare loro le credenziali di autenticazione per il superamento delle procedure di autenticazione
    · Consegnare al Titolare elenco dei luoghi dove vengono trattati e custoditi i dati
    · Verificare lo stato di efficienza di tutti gli strumenti informatici utilizzati per la sicurezza dei dati, pianificando con l’eventuale Amministratore di sistema la periodicità degli aggiornamenti da eseguire per quanto riguarda i programmi Antivirus o qualsiasi altra soluzione informatica ritenuta idonea a diminuire i rischi di infezioni del sistema o accessi non autorizzati
    · Garantire agli interessati il pieno esercizio dei diritti previsti dall’artt. 7, 8, 9 e 10 del D. Lgs 196/2003
    · Attuare gli obblighi relativi all’informativa sulla privacy in fase di acquisizione del consenso
    · Collaborare con il Garante per l’espletamento delle sue funzioni di accertamento, ispezione e controllo
    · Informare tempestivamente il Titolare del trattamento di qualunque circostanza rilevante in merito ai rischi sulla sicurezza dei dati, ad eventuali danni subiti dalle banche dati o dagli strumenti utilizzati per la loro gestione o custodia, alle revoche degli incarichi assegnati e a qualsiasi modifica che si renda necessaria nelle procedure elencate nel Documento Programmatico Sulla Sicurezza.
    La qualifica assegnatale è da intendersi tacitamente rinnovata ogni anno sino a revoca dell’incarico comunicata dal Titolare per iscritto o con idonei mezzi informatici, o rassegnando le proprie dimissioni da comunicare nelle stesse modalità con un preavviso di almeno 30 giorni.

    Addi,

    Il Titolare del trattamento ______________________________

    Il Responsabile esterno per accettazione ­_________________________

    0
  • ?

    Inoltre è opportuno predisporre documentazione della prorpia infrastruttura informatica.
    Trattare tale cosa sul forum però è piuttosto difficile e dispersivo.
    Se la cosa viene reputata di interesse generale potrei pubblicare a sezioni la documentazione che reputo utile e che predispongo per la clientela.
    (Notare bene che la nostra è una azienda informatica e non uno studio legale per cui non garantisco che quello che facciamo sia corretto ed inattaccabile)

    Se interessati fatemi sapere e, a partire dalla autocertificazione illustro le altre scartoffie che reputo utili o indispensabili.

    0
  • S
    User Attivo

    Ciao criceto
    io sono interessato, più che altro sono anche ben disposto ad affidarmi a te o alla tua azienda, l'importante che la consulenza offerta mi dia certezza di aver redatto i documenti corretti e secondo i termini di legge.

    Anche perchè come dici tu, sul forum è un pò difficile essere molto chiari.

    0
  • ?

    "l'importante che la consulenza offerta mi dia certezza di aver redatto i documenti corretti e secondo i termini di legge."

    E' questo il punto, tale certezza non l'avrai mai nel nostro paese e su tale argomento.

    Io sono contrario al fatto di "fare" certe pratiche per il cliente, dato che si tratta di cosa in continua modifica ed evoluzione cerco di portre il cliente a farsi il tutto da solo (devo ammettere che i clienti su questo argomento ci sentono poco).

    Forniscimi una mail via MP e ti spedisco (a rate e gratis) scartoffie ed istruzioni varie.

    0
  • S
    User Attivo

    Sono contento che finalmente qualcuno dice le cose come stanno realmente.
    Fai bene a non prenderti alcuna responsabilità su leggi così troppo vaghe e in continuo mutamento.

    Diversamente da te vi sono alcune professionisti che non si prendono le loro responsabilità in caso di consulenza errata.
    Tipico esempio è il commercialista ... che se sbaglia, a farti dei conti o non ti invia le tasse da pagare, chi paga sei sempre tu.

    ti mando il MP

    Grazie

    0
  • undefined

    Sì criceto, è quello che è stato detto anche a me.
    Ho una domanda. Per quanto riguarda l'infrastruttura informatica, è sufficiente indicare i dati dell'hardware utilizzato, indicare sistemi di sicurezza adottati (firewall hardware software, antivirus, backup) e software installati nel sistema?
    Tu alleghi anche tutte le fattura per ogni licenza software?

    0
  • ?

    No non allego nulla, mi limito ad annotare il software utilizzato, la licenza in regola o meno non riguarda la sfera privacy ma è puramente burocratica/fiscale.

    Va bene ragazzi, ho capito che la cosa interessa, ora non ho tempo ma questa sera apro un Post intitolato DPS & C. e inserisco un poco di commenti e proposte di scartafacci.

    0
  • S
    User Attivo

    Bene allora non ti invio nessun messaggio privato
    Molto gentile Criceto.

    0
  • undefined

    Gentilissimo criceto, sicuramente interesserà molti.

    0
  • ?

    Ho cominciato la pubblicazione, speriamo non mi caccino per intasamento di forum

    0
  • A
    User

    Buonasera a tutti.
    Mi sono iscritto perchè ho letto questo thread e ho notato un pò di confusione.
    Permettetemi di fare chiarezza.
    Il DPS è il Documento programmatico sulla Sicurezza. In pratica è una fotografia dell'azienda nell'utilizzo dei dati conferiti. Non ha requisiti formali, il che significa che può essere redatto in qualsivoglia forma e su qualsivoglia supporto. Però per agevolarne la stesura il Garante della Privacy mette a disposizione delle linee guida.
    Tutti coloro che trattano in qualche modo dati sensibili devono redarlo. E intendo TUTTI. Dire che che chi tratta solo dati personali (sensibili per definizione) non lo deve fare è assolutamente sbagliato, così come sostituire il DPS con l'autocertificazione (che di fatto è inutile).
    Gli unici che possono esimersi dal compilarlo sono coloro che utilizzano per la loro attività dei semplici dati fiscali di fatturazione. Questo in seguito ad un chiarimento di qualche anno fa del Garante della Privacy che si era giustamente reso conto che piccole realtà, come per esempio l'idraulico, non trattavano di fatto alcun dato. Ma rimane una eccezione.
    Inoltre il DPS è solo una parte degli obblighi previsti dal D.Lgs. 196/03. Restano a carico di TUTTI senza alcuna esclusione gli obblighi di informare clienti e/o soggetti terzi(tramite apposite informative) e nominare (ove necessario in base alla struttura aziendale) Responsabili, Incaricati e Amministratore di Sistema.
    Fin qui ho parlato degli aspetti legislativi della normativa della Privacy ed ora passo a quelli pratici.
    Non basta che il DPS sia presente in azienda, ma deve essere anche chiaro e leggibile. Nella forma che si preferisce ma CHIARO. Non serve a niente il mero elenco dei pc e degli archivi se non fotografa i trattamenti effettuati, tant'è vero che nelle linee guida ufficiali tra le varie tabelle non è neanche menzionato. Non è raro che un DPS confuso sia sanzionato seppur presente.
    Il documento è annuale e va redatto entro il 31 Marzo dell'anno in corso. La validità è fino al 31 Dicembre ma nella pratica, visto i tre mesi per redarre il nuovo, l'anno si conta dal 31 Marzo al 31 Marzo successivo. Il nuovo sostituisce il vecchio ma non è certo sbagliato conservare uno storico.
    Va apposta data certa e qui si aprono altri dibattiti: gli unici modi legali per apporla sono il timbro postale su ogni pagina, il timbro postale su una pagina qualsiasi di un documento NON disassemblabile, la PEC.
    La raccomandata è un modo per fare presto ma l'ispettore attento noterà che il timbro è sulla busta e nessuno gli può assicurare che non si sia spedita una busta vuota.
    Dulcis in Fundo. Sono un consulente e mi è capitato che ad alcuni clienti sia stata contestata la mancanza del DPS anche se si parlava di soli dati di fatturazione come ho spiegato prima. In questi casi l'ispettore è un essere umano come noi, soggetto ad errori ma anche dotato di cervello. E' stato sufficiente una breve spiegazione dell'imprenditore precedentemente istruito per chiarire il tutto. Resta però il fatto che è stato chiesto e si è comunque sfiorato il verbale. Contestabile quanto vi pare ma pur sempre una rogna. Ragion per cui adesso consiglio sempre di avere il DPS anche se inutile.

    Spero di essere stato chiaro e rimango a disposizione per chiarimenti. Non voglio sfruttare il forum per farmi pubblicità per cui vi dico solo che quello che ho scritto lo faccio per lavoro. E' per questo che conosco, credo bene, la materia. Per la stessa ragione però non metterò a disposizione moduli o quant'altro. Sono certo che capirete.

    edit: chiarisco sull'autocertificazione. E' ammessa formalmente ma di fatto non semplifica niente. Devi redigere un atto dichiarando che tratti solo ed esclusivamente dati del dipendente relativi ai giorni di malattia (i "giorni" richiesti dal certificato medico) senza indicazioni sulla diagnosi. Altri dati che consentono l'autocertificazione sono quelli relativi ai permessi e alla delega per la riscossione dei contributi ex L.300/70. E te ne assumi tra l'altro anche la responsabilità penale nel caso dichiarassi il falso.
    Qualunque altro dato trattato in qualunque altro modo ti obbliga al DPS. Facciamo degli esempi terra-terra: maternità, congedo parentale, crediti alimentari coatti sulla busta paga, permesso ex legge 104, tutti i trattamenti relativi all'ambito di attività...
    In pratica ti assumi il diritto di fare un documento ufficiale in luogo di un altro documento ufficiale con in più l'obbligo di dimostrare che dici il vero all'ipotetico ispettore che non si aspetta di trovarlo.
    A mio avviso semplicemente ridicolo e potenzialmente dannoso. Molto più semplice e sicuro fare il DPS. Poi come qualcuno ha detto precedentemente la sicurezza totale non esiste ma almeno in questo modo si riducono drasticamente le probabilità.

    edit n°2: Non è vero che i dati devono essere trattati solo con l'ausilio di strumenti elettronici per essere oggetto del D.Lgs. 196/03. Sarebbe il colmo che si potesse fare ciò che si vuole con i dati trascritti su carta ma non con quelli archiviati su supporto informatico.

    Scusate se sono stato prolisso ma la materia è complessa e c'è tanta confusione/disinformazione al riguardo.

    0
  • S
    User Attivo

    Ciao
    certo che di confusione ce ne parecchia e non poca.
    Quindi da quanto scrivi chi riceve contatti email o chi nei propri siti web utilizza form di contatto o ha installato software per il tracciamento dei dati, denominati software di statistiche d'accesso, dovrebbe redirigere il DPS ?

    Domanda. Chi non ha redatto il DPS entro il 31 marzo e volesse farlo ora cosa deve fare ?
    Redirigerlo e sperare che nessun controlli ?
    In caso dovesse essere controllato dovrebbe pagare una sanzione ?

    Certo che non c'è da stare tranquilli.. 😞

    Grazie per il tuo intervento

    0
Effettua l'accesso per rispondere