• S
    User Attivo

    ops

    0
  • undefined

    Dato che compilo abitualmente tali documenti ti offro la mia opinione.

    Premesso che i regolamenti non prevedono la conservaqzione delle versioni storiche, non ha nessuna importanza il non aver fatto nulla in passato, basta avere le scartoffie agiornate (e rispettare quanto in esse descritto) nel momento del controllo.

    A prescindere dal regolamento un pochetto di carta che descrive il sistema è comunque utilissima in ogni realtà che dispone di un sistema informatico.

    Per la cronaca la tariffa che pratico io è intorno ai cento euro per la prima stesura e venticinque per l'aggiornamento annuale.

    Faccio compilare un questionario e in una oretta di lavoro con apposito software il documento è pronto, dopo di che un'altra oretta per l'indottrinamento del responsabile ed è fatta.

    0
  • undefined

    La situazione è leggermente cambiata ed ora coloro che trattano soltanto tipologie di dati di ordinaria amministrazione se la possono cavare con la seguente autocertificazione:

    [CENTER]Autocertificazione sostitutiva DPS

    Obbligo di cui alla lettera g) del comma 1 e al punto 19 dell'Allegato B

    Ai sensi degli articoli 34 comma 1-bis DLgs 196/2003 e 47 DPR 445/2000[/CENTER]

    La sottoscritta ………………. con sede in …………………………………….., P. iva …………………………, nella persona del Legale rappresentante ……………………………., consapevole che il rilascio di false dichiarazioni ad un pubblico ufficiale o la presentazione di false documentazioni sono punibili a termine degli artt. 495 e 496 del Codice penale,

    [CENTER]D I C H I A R A

    Ai sensi dell’art. 34, comma 1-bis del D.Lgs. 196/2003[/CENTER]

    ü di effettuare il trattamento di dati personali non sensibili;
    ü che i dati di cui sopra sono trattati in osservanza delle misure di sicurezza prescritte dal D.Lgs. 196/2003 e dall’All. B) allo stesso.

    ………………………., lì……………

    [RIGHT].[/RIGHT]

    [RIGHT]……………………………..[/RIGHT]

    0
  • S
    User Attivo

    Ciao criceto,
    ti ringrazio per aver aggiornato la situazione autocertificazione.

    Ti mando un MP o una email per illustrarti la mia situazione così saprai effettuarmi una valutazione.

    Ciao e grazie

    0
  • ?

    Confermo quanto scritto da criceto, questa è anche l'indicazione che ho avuto da chi segue questioni sulla privacy all'interno della mia associazione di categoria (artigiano).
    L'autocertificazione è possibile (loro mi hanno consigliato di evitare il DPS se non necessario, quando non si trattano dati sensibili o giudiziari in via elettronica), però bisogna sempre ricordare che gli obblighi sulla sicurezza vanno comunque rispettati, inoltre è consigliabile realizzare un faldone dove si andranno a mettere tutti i dati relativi alle proprie postazioni PC (tipo di pc, software TUTTI utilizzati con relative licenze, fatture acquisto, descrizione periferiche etc...)

    0
  • S
    User Attivo

    Evitare di redarre il DPS mi sembra quasi impossibile, dato che la legge dice che tutte le aziende che trattano dati personali, anche se non sensibili, sono costrette a redarre il DPS.
    Ora che si tratti di Autocertificazione, DPS semplificato o qualsiasi altra tipologia di DPS questa è un altra questione.

    Nel mio caso vorrei capire se posso fare un DPS semplificato, un Autocertificazione oppure se mi devo rivolgere ad uno specialista per redarre un documento più articolato.

    In pratica io fornisco servizi di creazioni e posizionamento nei Mdr ai clienti. Inoltre sono proprietario di alcuni siti, unicamente da me gestiti, di diversa tipologia come ad esempio social network, directory, blog, comparatore di prezzi, sito di vendita online, ecc

    Per tutti le tipologie di siti vengono visualizzati, tramite software di statistiche, gli accessi ai diversi siti.
    Per alcuni servizi rivendo della pubblicità dove fornisco al cliente un' area riservata dove poter consultare i click ricevuti e qui vengono forniti indirizzi IP e conteggio dei click.

    Alcuni dei miei siti sono hostati su un server a noleggio da me gestito, mentre altri sono gestiti dai provider tipo Aruba.

    Ho alcune collaborazioni d'affiliazione con alcune aziende tipo Ebay e Zanox per la pubblicazione, diciamo, dei loro prodotti sui miei siti.

    Gestendo siti di qualche cliente vengo fornito dei dati FTP ed eventuali dati per l'accesso ai database.

    Tramite software gestisco le fatture emesse.

    Secondo voi basterebbe una sorta di autocertificazione non trattando dati sensibili ?
    Quali accorgimenti, richiesti dalla legge, dovrei prendere a livello di sicurezza ?
    Devo prendere dei provvedimenti per il salvataggio delle informazioni che passano sui server ?

    Grazie mille

    0
  • ?

    L'autocertificazione NON E' il DPS. Il DPS è obbligatorio per chi tratta dati sensibili e giudiziari, dato che una nuova legge ha chiarito che nel caso in cui vengano gestiti esclusivamente dati personali, non sussiste più l'obbligo di redazione del DPS.
    Gli accorgimenti da adottare sono quelli indicati nell'allegato B come scritto nel testo dell'autocertificazione.
    Per quanto riguarda i dati sui server, secondo me dovresti inviare una lettera di incarico di responsabile del trattamento dei dati personali (dei tuoi clienti-utenti, sempre che tu gestisca effettivamente dati personali, non so se il semplice IP rientra in questo, anche perché allora lo dovrebbero fare tutti, anche il privato che gestisce un sitarello personale) al provider che ti gestisce lo spazio. E' una cosa che non fa praticamente nessuno, ma secondo me andrebbe fatto, poi che loro acconsentano a firmartelo è un altro discorso. Ovviamente loro non saranno responsabili di danni dovuti a "buchi" del tuo software, ma almeno risponderanno nel caso in cui, ad esempio, qualcuno entri in webfarm e rubi fisicamente la macchina, o cose di questo tipo.
    Poi io non sono un esperto, quindi verifica tutto ciò che ho scritto.

    0
  • S
    User Attivo

    Ora è tutto più chiaro, rimango comunque in attesa di criceto o altre persone che mi possano dare maggiori certezze.
    A questo punto compilo l'autocertificazione.
    L'autocertificazione deve riportare data certa ?

    Grazie per i chiarimenti

    0
  • S
    User Attivo

    Scusami dopo posso trovare tutta la documentazione dell'autocertificazione e relativi allegati ?

    Grazie

    0
  • ?

    La novità è quella introdotta dalla legge n.133/2008 art.29 che va ad aggiungere all'art.34 il comma 1 bis (del D.Lgs 196/2003) che esonera dalla redazione del DPS e introduce l'obbligo dell'autocertificazione, il che non significa che non si debbano adempiere agli obblighi previsti dell'allegato B.

    Ma come hai giustamente scritto tu, attendiamo una conferma da chi è più esperto di noi.

    La normativa la trovi sul sito del Garante Privacy
    http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa/Italiana/Il+Codice+in+materia+di+protezione+dei+dati+personali

    0
  • undefined

    a)L'autocertificazione non esime dall'incaricare i propri addetti o le entità esterne alla gestione dei dati.
    E' ovvio che costoro debbano sapere che cosa possono/devono fare o non fare.

    b)Secondo me la data certa non occorre ma cosa ti costa spedirtela per raccomandata?

    0
  • undefined

    Ecco una bozza di nomina di entità esterna:

    Mod. C060
    RESPONSABILE ESTERNO:

    Denominazione **
    CodiceFiscale
    [CENTER][CENTER]     **[/CENTER][/CENTER]
    Egregio Signore, Gentile Signora, Spettabile Ditta, Studio, ecc…

    il sottoscritto …………………… in qualità di titolare del trattamento dei dati, Le affida/affida a codesta Spettabile ditta l’incarico di **Responsabile del Trattamento dei dati in esterno. **
    Accettando questo incarico Lei/la Ditta si impegna ad eseguire il trattamento dei dati conformemente al dettato legislativo, nel pieno rispetto del Documento Programmatico Sulla Sicurezza dei dati del quale riceve copia e nella piena consapevolezza degli obblighi assunti e delle responsabilità che ne derivano.
    L’incarico assegnatole riguarda il trattamento dei dati e relative autorizzazioni come da allegato.

    Le persone che Lei/la Ditta nominerà per l’espletamento di specifiche mansioni saranno scelte fra soggetti con comprovate qualità morali e professionali che garantiscano idonea garanzia del rispetto delle norme vigenti in materia di trattamento dei dati. Sull’operato dei soggetti incaricati Lei vigilerà costantemente al fine di evitare che vengano disattese le norme relative all’utilizzo delle banche dati, con particolare riguardo al profilo della sicurezza.

    Oltre a quanto sopra riportato, Le sono assegnate le seguenti mansioni:

    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Incaricati al trattamento
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Amministratori di sistema
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, un custode delle Password
    · Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più incaricati alla manutenzione degli strumenti utilizzati per il trattamento e la custodia dei dati
    · Autorizzare gli incaricati all’utilizzo degli strumenti per l’accesso alle banche dati e, con l’eventuale cooperazione dell’Amministratore del sistema, assegnare loro le credenziali di autenticazione per il superamento delle procedure di autenticazione
    · Consegnare al Titolare elenco dei luoghi dove vengono trattati e custoditi i dati
    · Verificare lo stato di efficienza di tutti gli strumenti informatici utilizzati per la sicurezza dei dati, pianificando con l’eventuale Amministratore di sistema la periodicità degli aggiornamenti da eseguire per quanto riguarda i programmi Antivirus o qualsiasi altra soluzione informatica ritenuta idonea a diminuire i rischi di infezioni del sistema o accessi non autorizzati
    · Garantire agli interessati il pieno esercizio dei diritti previsti dall’artt. 7, 8, 9 e 10 del D. Lgs 196/2003
    · Attuare gli obblighi relativi all’informativa sulla privacy in fase di acquisizione del consenso
    · Collaborare con il Garante per l’espletamento delle sue funzioni di accertamento, ispezione e controllo
    · Informare tempestivamente il Titolare del trattamento di qualunque circostanza rilevante in merito ai rischi sulla sicurezza dei dati, ad eventuali danni subiti dalle banche dati o dagli strumenti utilizzati per la loro gestione o custodia, alle revoche degli incarichi assegnati e a qualsiasi modifica che si renda necessaria nelle procedure elencate nel Documento Programmatico Sulla Sicurezza.
    La qualifica assegnatale è da intendersi tacitamente rinnovata ogni anno sino a revoca dell’incarico comunicata dal Titolare per iscritto o con idonei mezzi informatici, o rassegnando le proprie dimissioni da comunicare nelle stesse modalità con un preavviso di almeno 30 giorni.

    Addi,

    Il Titolare del trattamento ______________________________

    Il Responsabile esterno per accettazione ­_________________________

    0
  • undefined

    Inoltre è opportuno predisporre documentazione della prorpia infrastruttura informatica.
    Trattare tale cosa sul forum però è piuttosto difficile e dispersivo.
    Se la cosa viene reputata di interesse generale potrei pubblicare a sezioni la documentazione che reputo utile e che predispongo per la clientela.
    (Notare bene che la nostra è una azienda informatica e non uno studio legale per cui non garantisco che quello che facciamo sia corretto ed inattaccabile)

    Se interessati fatemi sapere e, a partire dalla autocertificazione illustro le altre scartoffie che reputo utili o indispensabili.

    0
  • S
    User Attivo

    Ciao criceto
    io sono interessato, più che altro sono anche ben disposto ad affidarmi a te o alla tua azienda, l'importante che la consulenza offerta mi dia certezza di aver redatto i documenti corretti e secondo i termini di legge.

    Anche perchè come dici tu, sul forum è un pò difficile essere molto chiari.

    0
  • undefined

    "l'importante che la consulenza offerta mi dia certezza di aver redatto i documenti corretti e secondo i termini di legge."

    E' questo il punto, tale certezza non l'avrai mai nel nostro paese e su tale argomento.

    Io sono contrario al fatto di "fare" certe pratiche per il cliente, dato che si tratta di cosa in continua modifica ed evoluzione cerco di portre il cliente a farsi il tutto da solo (devo ammettere che i clienti su questo argomento ci sentono poco).

    Forniscimi una mail via MP e ti spedisco (a rate e gratis) scartoffie ed istruzioni varie.

    0
  • S
    User Attivo

    Sono contento che finalmente qualcuno dice le cose come stanno realmente.
    Fai bene a non prenderti alcuna responsabilità su leggi così troppo vaghe e in continuo mutamento.

    Diversamente da te vi sono alcune professionisti che non si prendono le loro responsabilità in caso di consulenza errata.
    Tipico esempio è il commercialista ... che se sbaglia, a farti dei conti o non ti invia le tasse da pagare, chi paga sei sempre tu.

    ti mando il MP

    Grazie

    0
  • ?

    Sì criceto, è quello che è stato detto anche a me.
    Ho una domanda. Per quanto riguarda l'infrastruttura informatica, è sufficiente indicare i dati dell'hardware utilizzato, indicare sistemi di sicurezza adottati (firewall hardware software, antivirus, backup) e software installati nel sistema?
    Tu alleghi anche tutte le fattura per ogni licenza software?

    0
  • undefined

    No non allego nulla, mi limito ad annotare il software utilizzato, la licenza in regola o meno non riguarda la sfera privacy ma è puramente burocratica/fiscale.

    Va bene ragazzi, ho capito che la cosa interessa, ora non ho tempo ma questa sera apro un Post intitolato DPS & C. e inserisco un poco di commenti e proposte di scartafacci.

    0
  • S
    User Attivo

    Bene allora non ti invio nessun messaggio privato
    Molto gentile Criceto.

    0
  • ?

    Gentilissimo criceto, sicuramente interesserà molti.

    0
Effettua l'accesso per rispondere