Studio Legale Fiammella

 Home page

 Lo Studio

 Consulenza

 Convegni-Pubblicazioni
 Giurisprudenza
 Computer  forensics

 

 

Dove siamo

 

Lo studio riceve nei giorni di martedì e giovedì,

ore 15.00-18.00

o per appuntamento.

 

 

 

 

 

 

 

 

 

 

 

 

 

Avv. Bruno Fiammella

www.fiammella.it

 
 
Novità in tema di  ICT Law

 

Alcune brevi indicazioni sul Documento Programmatico sulla Sicurezza

 

La redazione e la stipula del documento programmatico sulla sicurezza richiede un attenta fase di conoscenza della realtà aziendale o del singolo studio professionale. Il documento infatti non può essere pre-costituito all'azienda, ma va invece costruito sull'azienda, quasi come un buon sarto predisponesse un vestito per il suo cliente. Deve tenere conto dell'organizzazione, della struttura gerarchica, della suddivisione delle responsabilità relativamente al trattamento dei dati personali nonché di tutta l'infrastruttura informatica e del flusso delle informazioni.

 

Come in molte cose nella vita, anche per  il DPS conta ciò che contiene. In relazione a quanto asserito dal nuovo testo unico sul trattamento dei dati personali (Codice Privacy) in vigore dal 1° gennaio 2004, è possibile indicare alcuni punti essenziali per una corretta redazione del DPS.

 

Quelle che seguono sono delle semplici avvertenze ed istruzioni di massima, considerato che, così come asserito in precedenza, il DPS scaturisce da una attenta fotografia della realtà aziendale o professionale, divenendo, se applicato, un efficace strumento di riduzione dei rischi, dei costi aziendali e consentendo l'adozione delle misure di sicurezza minime previste dalla legge.

 

Secondo l'allegato "B" del d.lgs. 196/2003:

 

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l’elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;

19.3. l’analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati
personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minimedi sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

 

Alcune indicazioni di massima per la stesura del D.P.S.

 

Intervista ed identificazione delle risorse da proteggere

Non è possibile stabilire una politica di sicurezza, indicare delle misure di protezione, senza avere individuato i “beni” che si vogliono proteggere.

Analisi del rischio

Individuati i beni da proteggere occorrerà valutare a quali minacce e vulnerabilità sono esposti. Si potranno eventualmente indicare già alcuni accorgimenti adottati per abbattere o controllare il rischio.

Definizione ed attuazione della Politica di Sicurezza Aziendale

Procedendo dall’analisi dei rischi occorrerà definire un piano di sicurezza aziendale. Questo presenterà l’insieme delle misure fisiche, logiche ed organizzative che si adottano per tutelare le strutture preposte al trattamento dei dati.

Piano di verifica delle misure adottate

La verifica dell’efficacia e della validità nel tempo delle misure di sicurezza adottate è punto fondamentale di tutto il processo per Ia sicurezza. Molto spesso la bontà di una soluzione adottata si può valutare solo “monitorando” nel tempo gli effetti di questa soluzione.

Piano di formazione degli incaricati

Mediante questo strumento si rendono edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire i danni.

                                                                     Avv. Bruno Fiammella