Come abbiamo già detto il D.Lgs. 196/03 ha abrogato:
- la legge 675/96 in materia di riservatezza dei dati personali
- il DPR 318 sulle misure minime di sicurezza
Ha quindi unificato in un unico disposto normativo le due materie
VEDIAMO IN SINTESI COSA RICHIEDE IL D.LGS 196/03
- una precisa documentazione redatta e aggiornata nel tempo.
- Prevede verifiche ispettive periodiche e conseguente
redazione di appositi verbali.
- Disciplina le caratteristiche degli archivi fisici e dei
Sistemi Informativi, e prevede specifiche contromisure fisiche e tecnologiche per
garantire la Sicurezza di dati e informazioni.
- Impone l'obbligo di formare il personale.
Chi deve adeguarsi?
- le aziende, indipendentemente dalla loro dimensione
- i liberi professionisti
- le pubbliche amministrazioni
- le associazioni
in buona sostanza chiunque tratti dati personali di clienti, cittadini, dipendenti,
fornitori, utenti, pazienti, colleghi, soci, ecc.
Principali adempimenti:
Informativa: obbligo per il titolare del trattamento di dare anticipatamente
l'informativa all'interessato fornendo informazioni sul trattamento dei dati
Consenso: Il consenso dell'interessato al trattamento dei propri dati personali
costituisce il presupposto per la legittima utilizzazione dei dati da parte di terzi
soggetti. La validità del consenso viene disciplinata differentemente a seconda della
tipologia del dato trattato dall'azienda.
Trattamento: Obblighi dell'azienda per il trattamento dei dati personali o
sensibili
Notifica al Garante: Notificazione all'Autorita' Garante del trattamento di alcuni dati
secondo determinate modalita'
Sicurezza: i dati devono essere trattati secondo definite misure di sicurezza
tecniche ed organizzative
DPS - Documento Programmatico sulla Sicurezza
Il Nuovo disposto obbliga a redigere il Documento Programmatico sulla Sicurezza.
Sostanzialmente il Legislatore affida al DPS il ruolo di dichiarazione di adeguamento
dell'Azienda.
Tale documento deve essere redatto e aggiornato dal Titolare dei dati (o da un
responsabile designato) il 31 Marzo di ogni anno e deve essere menzionato nella relazione
accompagnatoria del bilancio d'esercizio (Punto 26 Disciplinare Tecnico in materia di
Misure Minime di Sicurezza).
Tale documento contiene informazioni riguardo a:
L'elenco dei trattamenti di dati personali
La distribuzione dei compiti e responsabilità nell'ambito delle figure preposte al
trattamento dei dati in azienda
L'analisi dei rischi che incombono sui dati
Le misure di sicurezza logica, fisica e organizzativa per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini
della loro custodia e accessibilità
La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei
dati in seguito a distribuzione o danneggiamento
La previsione di interventi formativi degli incaricati del trattamento in materia di
sicurezza e protezione dei dati personali
La descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità a codice,
all'esterno della struttura del titolare
Per i dati personali idonei a rilevare lo stesso stato di salute e la vita sessuale,
l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali
dati dagli altri dati personali dell'interessato
|
