PRIVACY PER LE IMPRESE, IL VADEMECUM DEL GARANTE 2013

PRIVACY PER LE IMPRESE, IL VADEMECUM DEL GARANTE 2013

Nel rammentare l’importanza della corretta raccolta, tenuta e trasmissione dei dati personali, della eliminazione dell’obbligo di redazione del DPS entro il 30 marzo di ogni anno, pubblichiamo il VADEMECUM curato dal Garante Privacy dal titolo: “La Privacy da parte dell’impresa”.

Scarica il VADEMECUM PER LE IMPRESE curato dal Garante Privacy (agg.to maggio 2013) “La Privacy dalla parte dell’impresa”:

pdfVademecum-privacy-e-imprese_2013.pdf

 

Di seguito, altre indicazioni utili con dei modelli preimpostati che possono essere utilizzati dalle imprese per la propria personalizzazione.

Indicazioni per le imprese al fine di rispettare le norme stabilite nel codice Privacy (D.LGS. 196/2003) così come modificato dal D.L. febbraio 2012, n. 5 che ha abolito l’obbligo di redazione del Documento Programmatico sulla Sicurezza.

INFORMATIVA – Deve essere fornita al cliente, informandolo circa l’utilizzo effettivo che verrà fatto dei suoi dati. Può essere comunicata verbalmente o per iscritto.

CONSENSO AL TRATTAMENTO DEI DATI PERSONALI FORNITI – E’ la firma del cliente con la quale egli acconsente al trattamento dei propri dati personali. Nel caso di utilizzi diversificati andrà proposta al cliente l’adesione differenziando ciascuna finalità (Acconsente al trattamento per l’invio di comunicazioni commerciali? Acconsente al trattamento da parte di soggetti terzi? ecc…).Per i dipendenti, in genere il consenso viene fatto firmare all’atto della stipula del contratto di lavoro; nel caso di presenza di un impianto di videosorveglianza, il modulo da firmare riporterà anche tale informativa.

NOMINE – Vanno individuati i soggetti coinvolti nel trattamento (incaricati, responsabili, amministratori di sistema etc.  artt. 29 e 30 del codice):

  • IL TITOLARE DEL TRATTAMENTO DATI – (di solito coincide con il titolare dell’impresa): Al Titolare del trattamento spetta l’onere di individuare e incaricare uno o più Responsabili del Trattamento, qualora lo ritenesse opportuno. La nomina deve avvenire per iscritto e sempre per iscritto il Titolare elencherà in dettaglio le mansioni assegnate… (vedi VADEMECUM allegato)
  • IL RESPONSABILE DEL TRATTAMENTO DATI – (titolare o altri soci o un dipendente): In ottemperanza all’articolo 29 del D. lgs 196/2003, il Titolare del Trattamento può nominare uno o più Responsabili del trattamento con apposita lettera di incarico. La nomina avviene per iscritto… (vedi VADEMECUM allegato)
  • LETTERA D’INCARICO PER UNO O PIU’ INCARICATI AL TRATTAMENTO DATI – (soci, uno o più dipendenti, per es. amministrativi ecc…): Qualora la gestione delle banche dati richieda l’intervento operativo di altri soggetti, il Titolare o il Responsabile possono nominare uno o più Incaricati del trattamento con apposita comunicazione scritta. Sempre per iscritto devono essere specificati i compiti loro assegnati… (vedi VADEMECUM allegato)

LETTERA D’INCARICO DEGLI AMMINISTRATORI DI SISTEMA – Il Responsabile del trattamento o il Titolare, valutata l’esperienza la capacità e l’affidabilità conferiscono a uno o più incaricati le mansioni di amministratore di sistema come meglio specificato nella relativa lettera di nomina… (vedi VADEMECUM allegato)

LETTERA del custode delle credenziali di autenticazione – Il Responsabile, di concerto con il Titolare, può nominare uno o più custodi delle credenziali di autenticazione per l’accesso ai sistemi di elaborazione dati. L’incarico viene assegnato per iscritto e la lettera deve essere conservata in un luogo sicuro da parte del soggetto che conferisce l’incarico…  (vedi VADEMECUM allegato)

L’IMPRESA DEVE:

  • redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli incaricati su di essi
  • istruire gli incaricati sulle procedure di autenticazione informatica e di gestione delle credenziali di autenticazione (allegato B dal punto 1 al punto 11)
  • istruire gli incaricati sul sistema di autorizzazione (allegato B dal punto 12 al punto 14)
  • proteggere gli strumenti elettronici ed i dati rispetto a trattamenti illeciti, accessi non consentiti, programmi maligni e conseguente istruzione del personale. (allegato B punti 16 e 17)
  • stabilire procedure di ripristino di dati personali in tempi brevi (allegato B punto 18)
  • stabilire delle misure minime di sicurezza in caso di trattamento di dati sensibili su supporti rimovibili (allegato B dal punto 21 al 23)
  • impartire istruzioni agli incaricati anche per i trattamenti su supporto cartaceo (allegato B punto 27)
  • stabilire delle procedure di custodia durante il trattamento (allegato B punto 28)
  • stabilire delle procedure per l’accesso identificato e restrittivo agli atti (allegato B punto 29)
  • redigere l’apposita documentazione se in presenza di Videosorveglianza.
IL COMMERCIALISTA HA L’OBBLIGO di adeguarsi con ulteriori misure minime di sicurezza (per gli intermediari Entratel), pena  revoca dell’autorizzazione:
  • conservazione separata delle dichiarazioni fiscali;
  • conservazione separata di documenti sensibili;
  • conservazione idonea della documentazione relativa all’attività di trasmissione e dei supporti del backup;
  • la predisposizione di apposite procedure per l’accesso e la gestione degli archivi Entratel;
  • determinazione del limite temporale della documentazione fiscale.

VIDEO SORVEGLIANZA

Prima dell’installazione dell’impianto va inoltrata opportuna istanza all’Ispettorato del Lavoro apponendo marca da bollo da 14,62 €. e allegando, oltre ad una nuova marca da bollo da14,62 €. anche  la planimetria con la dislocazione delle telecamere che si intendono installare. Una volta prodotta l’istanza e ottenuto il sopralluogo con parere favorevole, è possibile installare l’impianto. I moduli relativi al consenso informato, firmati dai dipendenti, debbono contemplare la presenza dell’impianto di videosorveglianza.Le caratteristiche dell’impianto con tutte le informazioni debbono essere riportate nella documentazione Privacy obbligatoria: le informazioni richieste da riportare nel documento sono disponibili nel modulo qui allegato:

SANZIONI PER L’ANNO 2012

Art. 161: Omessa o inidonea informativa all’interessato – Da 6.000 a 36.000 euro

Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento – Da 10.000 a 60.000 euro

Art. 162 c.2-ter: Inosservanza delle prescrizioni del Garante – Da 30.000 a 180.000 euro

Art. 163: Omessa o incompleta notificazione – Da 20.000 a 120.000 euro

Art. 164: Omessa informazione o esibizione al Garante – Da 10.000 a 60.000 euro

Art. 167 c.1: Trattamento di dati personali senza consenso – Reclusione da 6 a 18 mesi

Art. 167 c.1: Obbligo di predisposizione di istruzioni agli incaricati – Reclusione da 6 a 24 mesi

Art. 167 c.2: Obbligo di separazione dei dati sensibili – Reclusione da 24 a 36 mesi

Art. 169: Omissione delle Misure Minime di sicurezza – Arresto fino a due anni.

 

pdfVademecum-privacy-e-imprese_2013.pdf

 

 

 

pdfVADEMECUM PRIVACY 2012, Circolare completa.pdf

DOCUMENTI PERSONALIZZABILI:

docNomina_Incaricato.doc

docNomina_Amministratore.doc

docNomina_Responsabile_Accesso_Locali.doc

docNomina_Custode_Credenziali.doc

docNomina_Responsabile_Esterno.doc

INFORMATIVE:

docInformativa_Clienti.doc

docInformativa_Dipendenti.doc

docInformativa_Fornitori.doc

VIDEO SORVEGLIANZA:

pdfIstanza all’ispettorato del lavoro per_installazione Videosorveglianza.pdf

docInformativa_Dipendenti_con Videosorveglianza.doc

docDati da riportare nella documentazione (con videosorveglianza).doc

Articoli correlati

Condividi questa notizia: