TUTELA DELLA PRIVACY – D TUTELA DELLA PRIVACY – D.LGS. N. 196/2003 – ULTERIORI CHIARIMENTI

Il 31 dicembre 2005 entreranno in vigore le nuove misure minime di sicurezza in materia di privacy previste dal D.Lgs. 196/2003. Di seguito si pubblicano alcuni modelli che potranno essere utilizzati dalle imprese per i principali adempimenti previsti dal D.Lgs. 196/2003. Per gli aspetti generali si rinvia alla precedente nota in materia (cfr. Not. n. 11/2004) e all’allegato B al D.Lgs. 196/2003. I modelli pubblicati prima dell’utilizzo devono essere adattati alle singole realtà.

1) Lettera di designazione degli incaricati al trattamento dei dati.

Carta intesta dell’impresa

Oggetto: Nomina ed istruzioni per gli incaricati del trattamento ai sensi dell’art. 30 Decreto Legislativo 196/2003

Gent.mo/a Sig./Sig.ra
_________________

Il decreto legislativo 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali”, ha introdotto rilevanti obblighi a carico dell’impresa, obblighi la cui inosservanza è sanzionata sia penalmente sia in via amministrativa ed espone a responsabilità civili.
Il fine del decreto è quello di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione.
La legge prescrive (art. 30) che vengano impartite da parte del titolare specifiche istruzioni agli “incaricati del trattamento”, ossia coloro che, nell’ambito dell’impresa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei.
Pertanto, la scrivente impresa ____________________ corrente in ___________ via __________ in qualità di Titolare del trattamento dei dati dell’ incarica il Dr./sig./la sig.ra _______ nato/a a __________ il ___________ al trattamento dei dati personali nell’ambito della mansione di __________ (ad es. segretaria, amministrazione, magazzino, geometra di cantiere) che è chiamato/a a svolgere. Tale incarico comporta la possibilità di raccogliere, registrare e conservare ed in ogni caso eseguire qualsiasi altra operazione di trattamento nei limiti delle proprie mansioni e nel rispetto delle norme di legge nonchè delle istruzioni fornite dal titolare.
A tal fine vengono fornite informazioni ed istruzioni per l’assolvimento del compito assegnato atte a garantire un trattamento lecito, corretto e sicuro dei dati personali, anche sensibili.

Accesso a banche dati aziendali
Le banche dati cui è autorizzato ad accedere per effettuare i trattamenti (sia informatici che cartacei) sono le seguenti (indicare le banche dati di interesse):
– Banca dati clienti
– Banca dati lavoratori
– Banca dati fornitori
– _______________________
E’ autorizzato al trattamento anche dei dati sensibili e giudiziari di cui all’art. 4, comma 1, lett. d) ed e) del D.Lgs. 196/2003, nei soli casi e nei limiti strettamente necessari e sufficienti per l’esercizio della mansione espletata.

Creazione nuove banche dati. Gestione programmi
Senza preventiva autorizzazione del titolare non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste.

Trattamento dei dati personali
La raccolta ed il trattamento dei dati personali, nell’ambito delle banche dati sopra indicate, deve essere effettuato esclusivamente in conformità alle finalità previste dal D.Lgs. n. 196/2003 ed in particolare dell’art. 11 del D.Lgs. n. 196/2003, che prevede che i dati personali oggetto di trattamento devono essere:
– trattati in modo lecito e secondo correttezza;
– raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
– esatti e se necessario aggiornati;
– pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati;
– conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
L’incaricato dovrà, preliminarmente, classificare ogni dato personale trattato, al fine di distinguere quelli sensibili e giudiziari, osservando maggiori cautele per il trattamento di quest’ultimo tipo di dati.
Eventuali colloqui con terzi presso la postazione di lavoro potranno essere svolti solo dopo che tutti i documenti contenenti dati non attinenti al colloquio siano stati collocati in modo da non poter essere, neppure accidentalmente, visti da terzi.
a) Trattamento dei dati con strumenti elettronici
Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione. A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (username) ed una parola chiave riservata (password). Tale password dovrà essere da Lei modificata al primo utilizzo e tale parola chiave non va comunicata ad altri se non al custode delle chiavi designato nella persona del sig. ___________. Tale comunicazione dovrà avvenire consegnando una busta chiusa contenente la nuova password prescelta. Inoltre dovrà provvedere a variare con periodicità trimestrale tale parola chiave e dovrà comunicare la nuova parola chiave, sempre in modo riservato, al custode delle credenziali. (inserire l’eventuale previsione di un sistema di autorizzazione).
Si ricorda che l’impresa, titolare del trattamento, nei casi in cui è indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso sia per le esigenze dell’ impresa sia per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento del custode delle credenziali nominato dall’azienda stessa.
La postazione informatica non va lasciata incustodita durante una sessione di lavoro lasciando accessibili i dati. A tal fine deve essere abilitato un salva schermo che intervenga dopo dieci minuti di inattività e possa essere rimosso solo tramite specifica password che verrà comunicata dall’incaricato con le stesse modalità sopra indicate.
Tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili.
E’ vietato copiare s supporti informatici rimovibili dati personali salvo il caso in cui tale operazione sia necessaria per usi interni dell’impresa.
L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dall’impresa né privi di licenza che legittimino l’uso.
Ogni elaboratore è dotato di un sistema antivirus, il cui aggiornamento dovrà essere controllato dall’incaricato. E’ fatto divieto di alterare tale impostazione.
Il salvataggio dei dati deve essere effettuato ogni giorno.
b) Trattamenti dei dati senza l’ausilio di strumenti elettronici (trattamenti cartacei)
In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrà accedere agli archivi relativi alle banche dati di tipo cartaceo.
L’incaricato nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli fino alla restituzione in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali.
I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal titolare.

Comunicazione e diffusione dei dati
In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai seguenti soggetti esterni indicati dall’azienda:
– INPS, INAIL, Sistema Cassa Edili, Direzione Provinciale del Lavoro, Uffici Fiscali, Agenzia delle Entrate, ogni altra Pubblica Amministrazione competente che in base a provvedimento idoneo li richieda;
– Consulente del Lavoro ____________;
– Commercialista _________________;
– Studio Legale __________________;
– _____________________;
La comunicazione a soggetti diversi dovrà essere preventivamente autorizzata dal titolare.

Misure di sicurezza
Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dall’impresa, nonché quelle che in futuro verranno comunicate.
Per ogni altra misura ed istruzione qui non prevista ci si richiama al D.P.S., che viene allegato alla presente.

Data _____________

_________________
Timbro e firma dell’impresa

Per conoscenza e accettazione da parte dell’incaricato
_________________
Firma dell’incaricato

2) Lettera per la nomina del custode delle credenziali

Carta intesta dell’impresa

Oggetto: Nomina ed istruzioni del custode delle credenziali ai sensi del Decreto Legislativo 196/2003 per il trattamento dei dati con sistemi informatici
Data _________

Egr. Signor
_____________

Le norme che regolamentano l’attuazione delle misure minime obbligatorie per la sicurezza nel trattamento dei dati personali (attualmente il disciplinare tecnico allegato al Codice sulla privacy emanato con decreto legislativo n. 196/2003), impongono che nel caso di trattamento dei dati utilizzando sistemi elettronici ogni incaricato del trattamento dei dati sia munito di credenziali per l’autenticazione costituito da un codice per l’identificazione (nome utente) associato ad una parola chiave riservata (password) per l’accesso ai dati personali presenti nei singoli elaboratori e/o nei sistemi informatici in rete.
L’assegnazione, la gestione e la variazione della parola chiave deve essere caratterizzata dalla riservatezza: a tal fine lo stesso disciplinare tecnico (punto 10) impone la individuazione e la nomina di un “soggetto incaricato della loro custodia”. In considerazione delle mansioni da Lei svolte in azienda e della sua qualificazione professionale, viene, pertanto incaricato “custode delle credenziali di autenticazione” attribuite ai singoli incaricati al trattamento in azienda.
Pertanto lei dovrà consegnare a ciascun incaricato l’elenco delle password a lui assegnate, avvertendolo che tali password devono essere immediatamente modificate dall’incaricato stesso.
Nell’espletamento delle sue funzioni dovrà applicare le misure di sicurezza disposte dall’impresa e, specificatamente, nelle gestione delle parole chiave dovrà:
– ricevere dai singoli incaricati del trattamento comunicazione riservata in busta chiusa della sostituzione di password effettuata;
– custodire le stesse parole chiave con modalità atte a garantire la segretezza delle stesse parole chiave e la loro integrità come indicato nelle procedure indicate nel “Codice di comportamento per gli incaricati al trattamento”;
– intervenire sul profilo autorizzativo del singolo incaricato per permettere alla stessa azienda, titolare del trattamento, di accedere ai dati trattati da ogni incaricato con le modalità fissate dalla stessa azienda, al solo fine di garantire l’operatività, la sicurezza del sistema ed il normale svolgimento dell’attività aziendale in caso di prolungata assenza od impedimento dell’incaricato che renda indispensabile ed indifferibile l’intervento;
– informare tempestivamente l’incaricato dell’intervento di accesso realizzato;
– con cadenza almeno semestrale dovrà distruggere le buste ricevute dagli incaricati che abbiano interrotto il loro rapporto con l’impresa ovvero a cui sia stato revocata la funzione di incaricato al trattamento.
___________________________
Timbro e firma dell’impresa

Per conoscenza e accettazione da parte del custode

__________________
Firma del custode

Modello di comunicazione delle password

Incaricato ________
User-id __________
Password ________
Eventuali altre password _____

3) Lettera per l’informativa ed il consenso al trattamento di dati personali relativamente ai dipendenti dell’impresa

Carta intesta dell’impresa

Oggetto: Informativa ai sensi dell’art. 13 del decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali”.
Acquisizione del consenso dell’interessato al trattamento dei dati comuni e sensibili ai sensi dell’art. 23 del decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali”.

Egregio Signor / Gentile Signora
_________________________

Come previsto dall’art. 13 del D.Lgs. 196/2003 di seguito si fornisce la necessaria informativa in merito ai dati personali che dovranno essere forniti all’atto dell’assunzione nonché nel corso dello svolgimento del rapporto di lavoro:

a) Natura, finalità e modalità di trattamento dei dati
Saranno acquisiti i “dati identificativi” ossia i dati che permettono l’identificazione diretta dell’interessato nonché il codice fiscale, i dati necessari per l’accreditamento delle retribuzioni. Saranno acquisiti analoghi dati relativi ai componenti il nucleo famigliare.
Inoltre, nello svolgimento del rapporto potrà essere necessario acquisire e trattare dati “sensibili” (così elencati dall’articolo 4 del “Codice in materia di protezione dei dati personali”: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute”) e dati che presentano rischi specifici, come indicati dall’art. 17 del D.Lgs. 196/2003.
L’interessato potrà fornire ogni altro dato relativo a cespiti reddittuali propri o di altri componenti il nucleo famigliare.
Il trattamento dei dati personali comuni e sensibili, richiesti o acquisiti sia preventivamente all’instaurazione del rapporto di lavoro che nel corso o dopo la cessazione dello stesso, ha la finalità di permettere gli adempimenti retributivi, contributivi, di assicurazione e fiscali, connessi alla corresponsione delle retribuzioni ed ai relativi adempimenti di legge, nonché ogni altro adempimento previsto dalla legge e/o dal contratto collettivo in materia di lavoro subordinato.
Il trattamento, come definito dall’art. 4, comma 1, lett. a) del D.Lgs. 196/2003, sarà effettuato sia avvalendosi di strumenti elettronici sia senza l’utilizzo di tali strumenti. In ogni caso i dati personali saranno trattati con le modalità indicate nell’art. 11, del citato decreto legislativo.

b) Natura obbligatoria o facoltativa dei conferimento
Il conferimento dei dati ed il relativo trattamento ha natura obbligatoria in forza della vigente legislazione in materia di lavoro, e del vigente c.c.n.l..

c) Conseguenze di un eventuale rifiuto al consenso del trattamento da parte dell’interessato
L’eventuale, parziale o totale, rifiuto di conferire i dati comporta l’impossibilità di perseguire le finalità sopra indicate.

d) Soggetti ai quali possono essere comunicati i dati
Il trattamento dei dati personali comporta che gli stessi saranno eventualmente comunicati a:
– alle Pubbliche Amministrazioni, per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti;
– alle organizzazioni appartenenti al sistema A.N.C.E. – Confindustria allo scopo di aderire alle normative contrattuali, nonchè alle organizzazioni sindacali per un riscontro contabile dei contributi sindacali versati;
– alle casse di previdenza ed assistenza (CAPE) al fine di adempiere alle normative contributive e previdenziali;
– alla società assicuratrice ai fini della riscossione del premio relativo alle polizze che questa impresa ha in essere;
– ai consulenti esterni di cui si avvale questa impresa, specialmente per la gestione del servizio paghe e contributi;
– a studi legali, per l’assistenza legale in controversie di cui sia parte l’impresa;
– ai committenti, in adempimento delle vigenti disposizioni di legge e di contratto, al fine di garantire la sicurezza nei cantieri edili presso i quali opererà l’interessato.
In ogni caso i dati comunicati saranno solo quelli strettamente necessari per il perseguimento delle finalità sopra indicate.
Verranno a conoscenza dei sui dati anche gli incaricati al trattamento addetti all’ufficio amministrativo, tecnico ___________ dell’impresa nei limiti strettamente necessari per l’espletamento dei compiti assegnati a ciascun ufficio.

e) Diritti dell’interessato
Di seguito si riporta il testo dell’art. 7 del Codice, che indica i diritti dell’interessato:
Art. 7 – Diritto di accesso ai dati personali ed altri diritti
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
f) Titolare del trattamento dei dati
Il titolare del trattamento dei dati è _____ (indicare la denominazione dell’impresa), con sede in _____________, via _____________, n. ___.
Potranno venire a conoscenza dei sui dati anche gli incaricati al trattamento addetti all’ufficio amministrativo dell’impresa.
g) Consenso
Il consenso, ove necessario, può essere prestato in tutto o in parte.

_________ (data)

_____________
timbro e firma dell’impresa

CONSENSO AL TRATTAMENTO DEI DATI PERSONALI DEL DIPENDENTE

In relazione alla richiesta formulatami e preso atto dell’informativa di cui sopra – in particolare dei diritti a me riconosciuti dall’art. 7, del decreto legislativo 30 giugno 2003, n. 196 – presto il mio consenso per il trattamento di tutti i dati, comuni, sensibili e con rischi specifici, di cui alla presente informativa, ivi compresa la comunicazione, per le finalità e nei limiti indicati dalla presente informativa.

________________ (Data)

________________
(firma leggibile del lavoratore)

________________ (Data)

________________
(Nome e Cognome) (firma leggibile dei familiari) – per i minorenni la firma deve essere del genitore
4) Lettera per l’informativa ed il consenso al trattamento di dati personali relativamente a clienti e fornitori

Carta intesta dell’impresa

Spett.le ____________,

La scrivente informa che per l’instaurazione e l’esecuzione dei rapporti contrattuali con Voi in corso è in possesso di dati anagrafici e fiscali acquisiti anche verbalmente direttamente o tramite terzi, a voi relativi, dati qualificati come personali dalla legge.
Con riferimento a tali dati vi informiamo che:
– i dati vengono trattati in relazione alle esigenze contrattuali ed ai conseguenti adempimenti degli obblighi legali e contrattuali dalle stesse derivanti nonché per conseguire una efficace gestione dei rapporti commerciali;
– i dati verranno trattati in forma scritta e/o su supporto magnetico, elettronico e telematico;
– il conferimento dei dati stessi è obbligatorio per tutto quanto è richiesto dagli obblighi legali e contrattuali e pertanto l’eventuale rifiuto a fornirli o al successivo trattamento potrà determinare l’impossibilità della scrivente a dar corso ai rapporti contrattuali medesimi;
– il mancato conferimento, invece, di tutti i dati che non siano riconducibili ad obblighi legali o contrattuali verrà valutato di volta in volta dalla scrivente e determinerà le conseguenti decisioni rapportate all’importanza dei dati richiesti rispetto alla gestione del rapporto commerciale;
– ferme restando le comunicazioni e diffusioni effettuate in esecuzione di obblighi di legge, i dati potranno essere comunicati in Italia a:
– istituti di credito
– società di informazioni commerciali
– professionisti e consulenti
– _________________
– ai fini della gestione dei nostri diritti relativi al singolo rapporto commerciale, per le medesime finalità, i dati potranno venire a conoscenza delle seguenti categorie di incaricati
___________
___________

– i dati verranno trattati per tutta la durata dei rapporti contrattuali instaurati e anche successivamente per l’espletamento di tutti gli adempimenti di legge nonché per future finalità commerciali;
– relativamente ai dati medesimi la vostra Società può esercitare i diritti previsti dall’art. 7 del D. Lgs.vo 196/2003 nei limiti e alle condizioni previste dagli articoli 8, 9 e 10 del citato decreto legislativo.
Di seguito si riporta il testo dell’art. 7 del Codice, che indica i diritti dell’interessato:
Art. 7 – Diritto di accesso ai dati personali ed altri diritti
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
– titolare del trattamento dei dati è _____ (indicare nominativo e sede dell’impresa)

Data __________________
Timbro e Firma dell’impresa
______________________

CONSENSO AL TRATTAMENTO DEI DATI PERSONALI DEL CLIENTE – FORNITORE

La scrivente Società dichiara di aver ricevuto completa informativa ai sensi dell’art. 13 del D. Lgs.vo 196/2003, unitamente a copia dell’art. 7 del decreto medesimo, ed esprime il consenso al trattamento ed alla comunicazione dei propri dati qualificati come personali dal citato decreto nei limiti, per le finalità e per la durata precisati nell’informativa.

Data ____________

________________
Timbro e firma del fornitore cliente
(legale rappresentante)

5) Lettera  di nomina del responsabile esterno del trattamento dei dati
(Questo modello può essere utilizzato per il consulente del lavoro, il commercialista ecc.)

Carta intestata dell’impresa

Data _____________________________

Spett. Ditta/Studio/Professionista
_______________________
Ai sensi dell’art. 29 del decreto legislativo 196/2003 e delle intese intercorse, e nell’ambito dell’incarico professionale assegnato consistente ____________________ (ad esempio: elaborazione paghe, predisposizione documentazione fiscale…), vi comunichiamo la nomina a responsabile del trattamento delle banche dati di seguito individuate e di quelle che in futuro Vi verranno affidate nell’ambito dello stesso incarico professionale:
– _______________________
– _______________________
– _______________________
– _______________________

Nel vostro incarico dovrete attenervi alle istruzioni impartite per rispettare tutti gli obblighi della legge compreso il profilo della sicurezza:
– individuare gli incaricati del trattamento e successivamente diramare le istruzioni scritte necessarie per un corretto, lecito, sicuro trattamento; le istruzioni dovranno essere integrate con le adeguate prescrizioni sulle misure di sicurezza da applicare definite in base al sistema di sicurezza richiamato più avanti;
– attuare gli obblighi di informazione e acquisizione del consenso, quando richiesto, nei confronti degli interessati;
– predisporre l’eventuale notificazione iniziale e le eventuali successive variazioni verificando l’esattezza e la completezza dei dati;
– garantire all’interessato l’effettivo esercizio dei diritti previsti dall’art. 7 del decreto legislativo n.196/2003, in ordine all’accesso ai dato e a tutti i diritti di aggiornamento,rettificazione,cancellazione e di opposizione;
– collaborare per l’attuazione delle prescrizioni del Garante;
– predisporre ed aggiornare un sistema di sicurezza idoneo a rispettare le prescrizioni dell’art. 31 del decreto legislativo n.196/2003, nonché adeguare il sistema alle norme regolamentari in materia di sicurezza, curandone l’applicazione da parte degli incaricati.

_______________
Timbro e firma dell’impresa
Il/La sottoscritto/a _________________________________ dichiara di accettare l’incarico sopra conferito e si impegna a procedere al trattamento dei dati personali attendendosi alle istruzioni impartite nel rispetto di quanto richiesto dalla legge

Data ___________

_______________
Timbro e firma

6) Documento programmatico sulla sicurezza (DPS)

Di seguito si pubblica la guida per redigere il DPS predisposta dall’Autorità Garante per la Privacy. Il documento redatto dal Garante è strutturato in due parti: nella prima sono riportate le istruzioni per sviluppare il DPS nella parte descrittiva oppure nella compilazione di alcune tabelle riportate nella seconda parte.

Parte I – Istruzioni
Per ciascuna regola dell’Allegato B al D.Lgs. 196/2003 sono riportati i contenuti, le informazioni essenziali e gli ulteriori elementi da inserire nel DPS.

Elenco dei trattamenti di dati personali (regola 19.1)

Contenuti
In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati.
Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato.
Informazioni essenziali
Per ciascun trattamento vanno indicate le seguenti informazioni secondo il livello di sintesi determinato dal titolare:
Descrizione sintetica: menzionare il trattamento dei dati personali attraverso l’indicazione della finalità perseguita o dell’attività svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.).
Natura dei dati trattati: indicare se, tra i dati personali, sono presenti dati sensibili o giudiziari.
Struttura di riferimento: indicare la struttura (ufficio, funzione, ecc.) all’interno della quale viene effettuato il trattamento. In caso di strutture complesse, è possibile indicare la macro-struttura (direzione, dipartimento o servizio del personale), oppure gli uffici specifici all’interno della stessa (ufficio contratti, sviluppo risorse, controversie sindacali, amministrazione-contabilità.)
Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere completato, comporta l’attività di diverse strutture è opportuno indicare, oltre quella che cura primariamente l’attività, le altre principali strutture che concorrono al trattamento anche dall’esterno.
Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale, geografica o Internet; sistemi informativi più complessi).
Ulteriori elementi per descrivere gli strumenti (Da indicare facoltativamente)
Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere associato un codice, facoltativo, per favorire un’identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle.
Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate.
Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di aggiornamenti.
Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino, ecc.
Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi d’accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc.
Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di architettura del sistema informativo o da altri documenti aziendali già compilati e idonei a fornire in altro modo le informazioni medesime.

Distribuzione dei compiti e delle responsabilità (regola 19.2)

Contenuti
In questa sezione occorre descrivere sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), indicando le precise modalità per reperirli.
Informazioni essenziali (v. anche tab. 2)
Struttura: riportare le indicazioni delle strutture già menzionate nella precedente sezione.
Trattamenti effettuati dalla struttura: indicare i trattamenti di competenza di ciascuna struttura.
Compiti e responsabilità della struttura: descrivere sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Anche in questo caso è possibile utilizzare, nei termini predetti, altri documenti già predisposti.

Analisi dei rischi che incombono sui dati (regola 19.3)

Contenuti
Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico–ambientale di riferimento e agli strumenti elettronici utilizzati.
Informazioni essenziali (v. anche tab. 3)
Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi:
1) comportamenti degli operatori:
– sottrazione di credenziali di autenticazione
– carenza di consapevolezza, disattenzione o incuria
– comportamenti sleali o fraudolenti
– errore materiale
2) eventi relativi agli strumenti:
– azione di virus informatici o di programmi suscettibili di recare danno
– spamming o tecniche di sabotaggio
– malfunzionamento, indisponibilità o degrado degli strumenti
– accessi esterni non autorizzati
– intercettazione di informazioni in rete
3) eventi relativi al contesto fisico-ambientale:
– ingressi non autorizzati a locali/aree ad accesso ristretto
– sottrazione di strumenti contenenti dati
– eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, …), nonché dolosi, accidentali o dovuti ad incuria
– guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
– errori umani nella gestione della sicurezza fisica
E’ possibile, per ulteriori dettagli, rinviare a documenti analoghi già redatti in tema di piani di sicurezza e gestione del rischio, come ad es.: Business Continuity Plan, Disaster Recovery Plan, ecc. (si tenga però presente che le analisi alla base di questi altri documenti possono avere una natura ben diversa).
Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell’evento (anche in termini sintetici: es., alta/media/bassa). In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare.
L’analisi dei rischi può essere condotta utilizzando metodi di complessità diversa: l’approccio qui descritto è volto solo a consentire una prima riflessione in contesti che per dimensioni ridotte o per altre analoghe ragioni, non ritengano di dover procedere ad una analisi più strutturata.

Misure in essere e da adottare (regola 19.4)

Contenuti
In questa sezione vanno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia.
Le misure da adottare possono essere inserite in una sezione dedicata ai programmi per migliorare la sicurezza.
Informazioni essenziali
Misure: descrivere sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole dell’Allegato B del Codice).
Descrizione dei rischi: per ciascuna misura indicare sinteticamente i rischi che si intende contrastare (anche qui, si possono utilizzare le indicazioni fornite dall’Allegato B).
Trattamenti interessati: indicare i trattamenti interessati per ciascuna delle misure adottate.
Determinate misure possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio, con riferimento alle misure per la protezione delle aree e dei locali).
Occorre specificare se la misura è già in essere o da adottare, con eventuale indicazione, in tale ultimo caso, dei tempi previsti per la sua messa in opera.
Struttura o persone addette all’adozione: indicare la struttura o la persona responsabili o preposte all’adozione delle misure indicate.
Ulteriori elementi per la descrizione analitica delle misure di sicurezza (v. anche tab. 4.2) (Da indicare facoltativamente).
Oltre alle informazioni sopra riportate può essere opportuno compilare, per ciascuna misura, una scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza e, in particolare, nelle attività di verifica e controllo.
Queste schede sono a formato libero e le informazioni utili devono essere individuate in funzione della specifica misura. A puro titolo di esempio, possono essere inserite informazioni relative a:
– la minaccia che si intende contrastare;
– la tipologia della misura (preventiva, di contrasto, di contenimento degli effetti ecc.);
– le informazioni relative alla responsabilità dell’attuazione e della gestione della misura;
– i tempi di validità delle scelte (contratti esterni, aggiornamento di prodotti, ecc.);
– gli ambiti cui si applica (ambiti fisici – un reparto, un edificio, ecc. – o logici – una procedura, un’applicazione, ecc.).
Può essere opportuno indicare chi ha compilato la scheda e la data in cui la compilazione è terminata.

Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)

Contenuti
In questa sezione sono descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. L’importanza di queste attività deriva dall’eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
Informazioni essenziali (v. anche tab. 5.1)
Per quanto riguarda il ripristino, le informazioni essenziali sono:
Banca dati/Data base/Archivio: indicare la banca dati, il data base o l’archivio interessati.
Criteri e procedure per il salvataggio e il ripristino dei dati: descrivere sinteticamente le procedure e i criteri individuati per il salvataggio e il ripristino dei dati, con eventuale rinvio ad un’ulteriore scheda operativa o a documentazioni analoghe.
Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia delle procedure di salvataggio/ripristino dei dati adottate.
Ulteriori elementi per specificare i criteri e le procedure per il salvataggio e il ripristino dei dati (v. anche tab. 5.2) (Da indicare facoltativamente)
Data base: identificare la banca, la base o l’archivio elettronico di dati interessati.
Criteri e procedure per il salvataggio dei dati: descrivere sinteticamente la tipologia di salvataggio e la frequenza con cui viene effettuato.
Modalità di custodia delle copie: indicare il luogo fisico in cui sono custodite le copie dei dati salvate.
Struttura o persona incaricata del salvataggio: indicare la struttura o le persone incaricate di effettuare il salvataggio e/o di controllarne l’esito.

Pianificazione degli interventi formativi previsti (regola 19.6)

Contenuti
In questa sezione sono riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere.
Informazioni essenziali
Descrizione sintetica degli interventi formativi: descrivere sinteticamente gli obiettivi e le modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc) .
Classi di incarico o tipologie di incaricati interessati: individuare le classi omogenee di incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza.
Tempi previsti: indicare i tempi previsti per lo svolgimento degli interventi formativi.

Trattamenti affidati all’esterno (regola 19.7)
Contenuti
Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi.
Informazioni essenziali
Descrizione dell’attività “esternalizzata”: indicare sinteticamente l’attività affidata all’esterno.
Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell’ambito della predetta attività.
Soggetto esterno: indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento).
Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a:
1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;
2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;
3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere;
4. impegno a relazionare periodicamente sulle misure di sicurezza adottate – anche mediante eventuali questionari e liste di controllo – e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze.

Parte II – Tabelle

Per ciascuna regola sono riportate, di seguito, una o più tabelle.
Le istruzioni per la compilazione dei campi che le compongono è contenuta nella Parte I.
Per ciascuna tabella può essere indicata facoltativamente anche la data di compilazione, che può rivelarsi utile qualora la tabella sia compilata in data significativamente diversa (antecedente) rispetto alla redazione finale del DPS.

Tabelle