Clicca qui per una panoramica generale di domande e risposte sul DPS
Sanzioni per le inosservanze
1)documento programmatico sulla sicurezza (DPS), a cosa serve?
Il documento programmatico sulla sicurezza individua l'infrastruttura tecnologica aziendale adibita alla gestione di dati personali e sensibili per verificarne l'idoenità con ciò che viene stabilito dalle pi๠recenti normative (Dlgs. N.196 del 30 Giugno 2003). Inoltre, il documento programmatico sulla sicurezza stabilisce e illustra le misure necessarie per la "messa in sicurezza" del sistema informativo dell'azienda.
2) E' obbligatorio per tutte le organizzazioni avere un DPS ?
No, non è vero.! Chi tratta i dati solo manualmente su supporto cartaceo, non è tenuto ad avere il documento programmatico sulla sicurezza, ma deve comunque nominare tutti gli Incaricati e i Responsabili. Ildocumento programmatico sulla sicurezza è obbligatorio (Art. 34 del Testo Unico) solo per quelle organizzazioni che trattano dati personali (anche non sensibili) con l'impiego di elaboratori elettronici.
3) Il documento è solo un adempimento legale?
Il documento programmatico sulla sicurezza rappresenta non solo un adempimento legale ma un vero e proprio strumento di riferimento per l'azienda in materia di trattamento dei dati personali, e in generale di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare.
4) E' obbligatorio preparare un D.P.S. documento programmatico sulla sicurezza che contenga una analisi dei rischi?
Si, è esplicitamente richiesto dal comma 19.6 dell'Allegato B del D.Lgs. 196/03 per tutte le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori elettronici.
5) Possiamo scegliere di ignorare questo dispositivo di legge e correre il rischio?
No. La sensibilità dell'opinione pubblica sul tema della privacy è molto alta. Se le probabilità di ricevere un'ispezione da parte degli ispettori del Garante della Privacy sono basse, in caso di incidenti anche banali (p.e. il furto di un disco o di un computer contenente dati personali nella vostra azienda) potreste non essere in grado di dimostrare che trattavate i dati in conformità alla legge. In questo caso vi esponete al rischio di sanzioni anche penali (e la responsabilità penale è personale).
6) Entro quale data bisogna redigere il DPS?
Il documento programmatico sulla sicurezza deve essere redatto tassativamente entro il 31 marzo 2006.
7) Il DPS deve avere "data certa"?
La normativa non impone un data certa, ma essendo un documento legale che và redatto entro una scadenza prefissata sarebbe opportuno approrvi una data certa attraverso la sottoscrizione con Firma Digitale o la "bollatura" presso le Poste Italiane per evitare contestazioni.
8) Allora conviene attendere l'ultimo minuto per redigere il DPS?
No, perchè l'adeguamento privacy è un percorso. Il DPS (documento programmatico sulla sicurezza) è l'ultima fase di questo percorso poichè è un documento in cui vengono formalizzate le procedure e le misure minime di sicurezza (antivirus, backup, firewall, nomine degli incaricati) di cui l'azienda deve essere già dotata.
9) Chi controlla che le misure minime e gli altri adempimenti previsti dalla legge sono messi in pratica?
La Polizia Postale (con le sue 76 Sezioni sul territorio) e la Guardia di Finanza in forza di un protocollo di intesa con il Garante.
10) Non siamo collegati ad internet, non siamo già sicuri?
No. Il collegamento ad internet è solo una delle minacce e neanche la più importante. Secondo le statistiche di istituti di ricerca e polizie, circa tre quarti degli incidenti sono generati all'interno delle organizzazioni. Di questi, oltre la metà sono involontari.
11) La nostra rete è protetta dal "firewall", non siamo già sicuri?
No. Il firewall è un dispositivo utile, ma che, quando ben gestito, svolge solo una funzione ben precisa: proteggere la vostra rete informatica aziendale da specifici tipi di incidenti di origine esterna. Questo ha poco a che vedere con la Privacy ed il Dlgs.196/2003, che in particolare mira anche a proteggere i dati personali
12) Le misure minime di sicurezza richieste dal Dlgs.196/2003 non sono esagerate rispetto alle necessità ed alle possibilità di una piccola azienda?
No. Probabilmente molte delle misure richieste dalla legge sono già prassi comune nella vostra azienda. Ai fini della conformità al Codice della Privacy , si tratta per lo più di formalizzare quanto già fate grazie al Documento Programmatico sulla Sicurezza. Eventuali misure addizionali non sono di norma molto onerose ne da un punto di vista economico ne da un punto di vista organizzativo.
13) La societ&agrve; che elabora i nostri dati personali ne diventa il titolare?
No. Anche se delegate ad una società esterna il trattamento, per esempio di paghe e contributi o contabili, i titolari di quei dati siete voi e quindi voi ne risponderete in merito alla loro privacy e sicurezza.
14) Cosa sono le "Lettere di Incarico"?
Le Lettere di Incarico sono documenti formali ed obbligatori che fanno parte del documento programmatico sulla sicurezza. Sono imposti dalla normativa privacy per la nomina dei Responsabili e degli Incaricati interni (dipendenti) ed esterni al trattamento dei dati. (informatici e non) e la vostra azienda sia da incidenti interni che esterni, deliberati o accidentali. Per esempio, il firewall non vi serve a proteggere i dati in caso di perdita accidentale per guasto o furto del computer e tantomeno a proteggere i vostri archivi cartacei dalle conseguenze di un incendio.
15) Come faccio a gestire le "password temporizzate" previste dalla normativa sul mio computer?
Semplicemente intervenendo sulla configurazione dei sistemi operativi Windows 2000, XP, MacOS o Linux senza sostenere alcun costo aggiuntivo. Se invece utilizzi Windows 95/98/ME, devi cambiare sistema operativo o implementare un sistema di accesso (login) con smart card.
16) C'è "l'obbligo di formazione" del DPS attraverso corsi specialistici e certificati?
No. La legge non parla di "obbligo di formazione", ma di "obbligo di informazione". Pertanto, il Responsabile della Sicurezza sarà tenuto ad informare tutti gli incaricati delle procedure di protezione e gestione dei dati contenute nel DPS.
17) La documentazione cartecea deve essere protetta in "armadi ignifughi"?
No, non è necessario. Il materiale cartaceo può essere archiviato in normali armadi e/o cassetti il cui accesso è posto sotto la il controllo del Responsabile della Sicurezza mediante lucchetto o serratura.
18) Quali sono i risultati per il Cliente di un progetto DPS?
Il documento programmatico sulla sicurezza evidenzia i punti di forza e di debolezza dell'infrastruttura esistente, evidenziando anche i rischi normativi (legati ad eventuali inadempimenti richiesti dalla legge) e funzionali (legati al proprio modello di business derivanti da una gestione della sicurezza non ottimale). Formalizza inoltre le policy di lavoro, costituendo un valido riferimento per l'utilizzo dell'infrastruttura informativa, e formalizza le procedure di intervento in caso di problemi o guasti.