L'aggiornamento del DPS si rende necessario per adeguarlo al Provvedimento del Garante del 25 giugno 2009, in cui è stato parzialmente modificato ed integrato il Provvedimento del Garante Privacy del 27 novembre 2008 in materia di Amministratori di Sistema. Tra le novità di sicuro rilievo, evidenziamo la proroga del termine per l'adozione delle misure di cui al precedente provvedimento al 15 dicembre 2009 e l'abolizione dell'obbligo di inserire i nominativi degli Amministratori di Sistema direttamente nel DPS
MODIFICHE NORMATIVE (Amministratore di sistema)
In relazione al Provvedimento del Garante Privacy per la protezione dei dati personali del 27 novembre 2008 dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” e relativamente alle modifiche normative introdotte dal Provvedimento del Garante Privacy del 25 Giugno 2009 dal titolo ”Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento” le società devono provvedere:
a nominare gli “amministratori di sistema” per i trattamenti iniziati dopo il 25 gennaio 2009, predisponendo le lettere di incarico e un elenco degli stessi da allegare al DPS con le seguenti caratteristiche:
· attestazione che l’incaricato ha le caratteristiche richieste dalla legge;
· elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato;
· indicazione delle "verifiche" almeno annuali che il titolare svolgerà sulle attività svolte dall’amministratore di sistema;
· indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge.
Questa attività dovrà essere completata nei termini di legge previsti, entro il 15 Dicembre 2009.
- a richiedere alle società terze a cui sono affidati in outsourcing i trattamenti di dati personali la lista degli “amministratori di sistema” che gestiscono tali trattamenti e l’attestazione (per iscritto) che tali “amministratori” hanno le caratteristiche richieste dalla legge
- a comunicare a tutto il personale (previa comunicazione via email e intranet):
- i contenuti del Provvedimento del Garante
- l’elenco degli amministratori di sistema (di cui al punto 1 e 2)
- a predisporre un “piano formativo” ad hoc per gli “amministratori di sistema”
- a predisporre , come previsto dalla normativa, un sistema di monitoraggio dei log dei sistemi e la registrazione degli eventi svolti dagli “amministratori di sistema” (conviene dotarsi e di un adeguato pacchetto software: es. GFI Events Manager)
MODIFICHE NORMATIVE (Semplificazione delle misure di sicurezza)
Si tratta del Provvedimento del Garante per la protezione dei dati personali dal titolo “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali Garante per la protezione dei dati personali “ del 27 novembre 2008, in G.U. n. 287 del 9 dicembre 2008 che riguarda:
1. amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali:
2. piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.
MODIFICHE NORMATIVE (Semplificazione Notificazione)
Si tratta del Provvedimento del Garante per la protezione dei dati personali dal titolo “Semplificazione al modello per la notificazione al Garante” del 22 ottobre 2008 , in G.U. n. 287 del 9 dicembre 2008.
MODIFICHE NORMATIVE (Rottamazione PC ed affini)
Si tratta del Provvedimento del Garante per la protezione dei dati personali dal titolo “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali” del 13 ottobre 2008, in G.U. n. 287 del 9 dicembre 2008.
Il Garante richiede che siano adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione di apparati elettrici ed elettronici (artt. 31 ss. del Codice).
In relazione a tale provvedimento la società deve provvedere ad impartire istruzioni:
- sul “Reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche” che tengono conto di quanto indicato nell’allegato A al provvedimento su citato;
- sullo “Smaltimento di rifiuti elettrici ed elettronici” che tengono conto di quanto indicato nell’allegato B al provvedimento su citato.
MODIFICHE NORMATIVE (Legge 18 marzo 2008 sui crimini informatici)
Si tratta della “Legge 18 marzo 2008, n. 48 - Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno” che ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. 10) sia il “Codice in materia di protezione dei dati personali” sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231 (la cosiddetta “Responsabilità amministrativa delle imprese”).
In relazione a tale nuova normativa la società deve:
sensibilizzare, per iscritto (email, mediante la intranet, altro...) sia tutto il personale sia gli addetti all’IT (ed in particolare gli “amministratori di sistema”) sui nuovi requisiti di legge e sui comportamenti richiesti;
valutare l’opportunità di predisporre un nuovo sistema di controllo interno coerente con i requisiti del decreto legislativo 8 giugno 2001, n. 231.
|
