Il 1 gennaio 2004 è entrato in vigore il nuovo codice in materia di protezione dei dati personali che unifica tutte le precedenti disposizioni in materia (recependo anche la direttiva europea 2002/58 sulle telecomunicazioni).
IL TESTO UNICO SULLA PRIVACY
Il testo introduce novità importanti sulla notificazione al Garante, sulle misure di sicurezza minime da garantire ed allega codici di deontologia ed un disciplinare tecnico per l’adeguamento.
Con il D. Lgs 266 del 9 novembre 2004 sono state apportate le seguenti modifiche all’art. 180 del D.Lgs 196/03 relativamente alle disposizioni transitorie che le aziende devono rispettare per uniformarsi:
- entro il 31 dicembre 2005 termine per la presentazione del Documento Programmatico per la Sicurezza (DPS)
- entro il 31 marzo 2006 è necessario adeguare i sistemi informatici obsoleti per chi ha “obiettive ragioni tecniche” che impediscono l’immediata applicazione delle norme
IL RUOLO DI M&IT
-
CENSIMENTO E DISCRIMINAZIONE DEI DATI
Prevede la mappatura dei dati presenti (e quindi trattati) in azienda, classificandoli in comuni, comuni soggetti a forte rischio e sensibili. Per ogni famiglia di dati censita si provvederà alla registrazione degli strumenti utilizzati per il trattamento. In questo ambito sarà anche verificata la presenza di eventuali dati obsoleti ed inutilizzati, dati che non possono essere detenuti dall’azienda oltre un certo arco temporale.
-
EVENTUALE NOTIFICA AL GARANTE
Qualora si rientri all’interno delle categorie per le quali è prevista la notifica all’AUTORITA’ GARANTE e non si possa ricorrere all’esonero in accordo con la Delibera dell’Autorità Garante emessa in data 7 Aprile 2004, si provvederà all’ottenimento della firma elettronica ed allo svolgimento della procedura di notifica elettronica.
-
ANALISI STRUTTURA DEI RISCHI
Prevede l’individuazione del personale interno (ed eventualmente degli incaricati esterni) che provvede al trattamento dei dati valutando i possibili danni (ed il livello di probabilità degli eventi dannosi), analizzando le misure di sicurezza già attivate ed individuando quelle da attivare. Nel caso in cui le misure minime previste dal Codice non siano ancora adottate si procederà alla stesura di un documento (avente data certa) per la gestione del transitorio e la motivazione del ritardo nell’adeguamento.
-
REDAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
La situazione aziendale e le procedure organizzative a garanzia della sicurezza nei trattamenti saranno riassunte in un “documento programmatico sulla sicurezza dei dati”.
-
DEFINIZIONE ORGANIGRAMMA E REDAZIONE DELLE NOMINE
Stesura della struttura organizzativa funzionale al trattamento dei dati ed individuazione delle singole responsabilità. Sarà, inoltre, predisposta la seguente documentazione: consenso informato per il trattamento, lettera di nomina dei responsabili, lettera di incarico.
-
REDAZIONE DELLE PROCEDURE GESTIONALI
Le buone prassi e le regole da seguire per mantenere conforme l’organizzazione alla normativa sulla privacy saranno riassunte in procedure gestionali che, allo stesso tempo, daranno risposta alla necessità di fornire informazioni scritte e dettagliate agli incaricati del trattamento dei dati personali. Sarà inoltre preparato un REGOLAMENTO AZIENDALE PER L’UTILIZZO DEL SISTEMA INFORMATICO, rivolto a tutto il personale aziendale.
-
INFORMAZIONE AL PERSONALE INCARICATO
Tutto il personale individuato come incaricato al trattamento di dati personali sarà coinvolto in un momento di informazione allo scopo di creare i presupposti per una corretta gestione dei dati di competenza. Tale momento, a seconda della numerosità delle persone, potrà svolgersi in forma di riunione (in tal caso si prevede la costituzione di gruppi omogenei e lo svolgimento di un incontro di 1 ora circa).
-
FORMAZIONE DEL RESPONSABILE PRIVACY
Il responsabile delle Privacy riceverà, nel corso di tutto il progetto, una formazione on the job attraverso il coinvolgimento diretto in tutte le attività di valutazione e di stesura della documentazione.