Documento programmatico sicurezza si o no?
ginopilotino
----------------------------------------------------------------------
Art. 34
(Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con strumenti elettronici
e' consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilita' dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da organismi sanitari.
----------------------------------------------------------------------
Quindi sembrerebbe che tra le misure minime da adottare nel trattamento
di dati personali debba essere incluso anche il DPS.
Ma all'allegato B punto 19 si legge:
----------------------------------------------------------------------
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di
dati sensibili o di dati giudiziari redige anche attraverso il
responsabile, se designato, un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo: ...
----------------------------------------------------------------------
Quindi il dps dovrebbe essere richiesto solo in caso di dati personali
sensibili o giudiziari. Non in tutti gli altri casi.
Il garante nel documento ""Obblighi di sicurezza e documento
programmatico: al 30 giugno la redazione del "dps"" dice che:
----------------------------------------------------------------------
2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora
adottata dal titolare di un trattamento di dati sensibili o giudiziari
effettuato con strumenti elettronici, attraverso l’organo, ufficio o
persona fisica a ciò legittimata in base all’ordinamento aziendale o
della pubblica amministrazione interessata (art. 34, comma 1, lett. g),
del Codice; regola 19 dell’Allegato B)).
Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi
erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili
o giudiziari, ma con elaboratori non accessibili mediante una rete di
telecomunicazioni disponibili al pubblico).
----------------------------------------------------------------------
A me sembra tutto abbastanza chiaro: il dps va obbligatoriamente redatto
solo in caso di trattamento di dati personali di tipo sensibile o
giudiziario. Non in tutti gli altri casi.
A quanto pare pero' alcuni ritengono che questo documento debba essere
redatto anche quando il titolare non tratta dati sensibili o giudiziari,
ma in tutti i casi di trattamento di dati personali.
Fino ad ora pero' non ho sentito argomentazioni convincenti in questo senso.
Ciao ... Dino
Candido
> A me sembra tutto abbastanza chiaro: il dps va obbligatoriamente redatto
> solo in caso di trattamento di dati personali di tipo sensibile o
> giudiziario. Non in tutti gli altri casi.
Esatto.
> A quanto pare pero' alcuni ritengono che questo documento debba essere
> redatto anche quando il titolare non tratta dati sensibili o giudiziari,
> ma in tutti i casi di trattamento di dati personali.
>
> Fino ad ora pero' non ho sentito argomentazioni convincenti in questo senso.
In genere lo consiglia chi si fa pagare per redarre tale documento,
spesso con motivazioni di "convenienza" (male non fa, meglio averlo che
non averlo, ecc.) ma senza IMVHO alcuna base giuridica.
--
Candido
ginopilotino
> ginopilotino <gi...@pilotino.invalid> wrote:
>
>> A me sembra tutto abbastanza chiaro: il dps va obbligatoriamente redatto
>> solo in caso di trattamento di dati personali di tipo sensibile o
>> giudiziario. Non in tutti gli altri casi.
>
> Esatto.
Ho trovato ulteriore conferma a questa tesi.
http://www.garanteprivacy.it/garante/doc.jsp?ID=1007280
E' un documento del garante rivolto a chi svolge attivita' forense.
Ad un certo punto si legge che:
"Alcune misure, c.d. "misure minime", sono obbligatorie anche sul piano
penale, e sono diverse a seconda che il trattamento sia effettuato con
l'ausilio di strumenti elettronici o solo manualmente (artt. 33-36,
nonché Allegato B) del Codice; v. anche i chiarimenti forniti dal
Garante con nota n. 6588/31884 del 22 marzo 2004).
In particolare, se sono trattati con strumenti elettronici dati
sensibili o dati giudiziari, occorre redigere un documento programmatico
sulla sicurezza (DPS) entro il 31 marzo di ogni anno (nel 2004, entro il
prossimo 30 giugno come per le altre nuove misure minime; artt. 34,
comma 1, lett. g) e 180 del Codice; regola 19 dell'Allegato B)."
Quindi e' inutile raccontar balle, il dps va fatto obbligatoriamente
solo se si trattano dati sensibili o giudiziari.
Ciao ... Dino
ginopilotino
Per chi ancora ha qualche dubbio:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1007240
"I dati dei clienti, inoltre, devono essere protetti da misure di
sicurezza idonee e preventive per ridurre al minimo i rischi di
distruzione, perdita, accesso non autorizzato ecc. Alcune cautele, le
cosiddette "misure minime" di sicurezza, sono obbligatorie e hanno
risvolti anche sul piano penale. In particolare, l’avvocato che tratta
dati sensibili o giudiziari con mezzi informatici è tenuto a predisporre
un documento programmatico sulla sicurezza (Dps) entro il 31 marzo di
ogni anno (per il 2004 entro il prossimo 30 giugno)."
Ciao ... Dino
ginopilotino
> Per chi ancora ha qualche dubbio:
>
> http://www.garanteprivacy.it/garante/doc.jsp?ID=1007240
>
> "I dati dei clienti, inoltre, devono essere protetti da misure di
> sicurezza idonee e preventive per ridurre al minimo i rischi di
> distruzione, perdita, accesso non autorizzato ecc. Alcune cautele, le
> cosiddette "misure minime" di sicurezza, sono obbligatorie e hanno
> risvolti anche sul piano penale. In particolare, l’avvocato che tratta
> dati sensibili o giudiziari con mezzi informatici è tenuto a predisporre
> un documento programmatico sulla sicurezza (Dps) entro il 31 marzo di
> ogni anno (per il 2004 entro il prossimo 30 giugno)."
E ancora:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1051395
"Con la recente comunicazione, l'Autorità ha ricordato che tra le
"misure minime" di sicurezza rientra anche la redazione del documento
programmatico sulla sicurezza (Dps) da parte dei soggetti che effettuano
un trattamento di dati sensibili o giudiziari con l'ausilio di strumenti
elettronici."
Ciao ... Dino
Conte Oliver
scrisse:
>In genere lo consiglia chi si fa pagare per redarre tale documento,
>spesso con motivazioni di "convenienza" (male non fa, meglio averlo che
>non averlo, ecc.) ma senza IMVHO alcuna base giuridica.
E che dire di tutti quelli che ti fan fare le file alla posta per
dargli anche la "data certa" (che NESSUNA norma richiede)???
--
Ciao
Conte Oliver (che NON risponde in privato)
-Togli le scarpe per scrivermi una e-mail-
Candido
> E che dire di tutti quelli che ti fan fare le file alla posta per
> dargli anche la "data certa" (che NESSUNA norma richiede)???
Eh, appunto... :-)
--
Candido