D.Lgs. 196/03 - News

Il Decreto Legge Semplificazione n. 5 del 9.2.2012, all’art. 45, ha soppresso il comma 1 lett. g) ed il comma 1-bis dell’art. 34 D.Lgs. 196/2003, che prevedevano rispettivamente l’obbligo della tenuta di un aggiornato documento programmatico sulla sicurezza (DPS) e l’obbligo di autocertificazione,  in sostituzione del DPS.
Soppressi altresì il paragrafo 19 del Disciplinare tecnico allegato B) al D.Lgs. 196/2003 che prevedeva i contenuti del DPS e l’obbligo del suo aggiornamento entro il 31 marzo di ciascun anno, nonchè il paragrafo 26 del Disciplinare stesso che imponeva di indicare nella relazione al bilancio l’avvenuta redazione e aggiornamento del Documento.
Il Decreto Legge nulla dice in relazione agli altri obblighi imposti dal D.Lgs. 196/2003 e provvedimenti integrativi per la Tutela della Privacy che dobbiamo ritenere allo stato restino in vigore, così pure le sanzioni per la loro inottemperanza.
Sulla base di tutte le altre norme non toccate dal Decreto, il Titolare dei trattamenti deve comunque dotare la propria struttura di un’organizzazione di soggetti e strumenti per la tutela dei dati personali, adottando tutte le misure di sicurezza idonee allo scopo.
Il Titolare potrà nominare il Responsabile del Trattamento e dovrà comunque, a titolo d’esempio:
1) nominare gli incaricati al trattamento per iscritto, individuando l’ambito del trattamento a ciascuno consentito ed impartendo le istruzioni necessarie;
2) adottare un sistema  di autenticazione informatica degli accessi a sistemi informatici, con profili di autorizzazione per livelli;
2) adottare le altre misure minime previste dall’art. 34 D.Lgs. 196/2003, dal Disciplinare tecnico all. B) e dai provvedimenti integrativi dell’Autorità Garante, con previsione anche di specifiche procedure da attuare;
3) nominare eventuali Amministratori di sistema.
Il DPS, la cui tenuta ed aggiornamento non sono più obbligatori, appare pertanto ancora uno strumento sicuramente utile al Titolare per documentare formalmente nell’ambito della propria organizzazione una ripartizione di compiti, obblighi e responsabilità, prevedere procedure chiare e definite, prevedere sistemi di controllo e soprattuto al fine di precostituire una prova di aver ottemperato agli obblighi normativi in caso di eventuali contestazioni aministrative o penali.
Si dovranno ora attendere le eventuali modifiche che il Decreto Legge potrà subire in sede di conversione.

Il Decreto Legge 201 del 6 dicembre 2011, convertito dalla Legge 214/2011, introduce un’importante novità nel quadro della disciplina a Tutela della Privacy ex D.Lgs. 196/2003:
– “Dato personale” è ora unicamente l’informazione riguardante persone fisiche e non più quella riferita a persone giuridiche, enti ed associazioni;
– “Interessato” al trattamento dei dati personali è ora soltanto la persona fisica.
La norma si prefigge lo scopo di determinare una “riduzione degli oneri in materia di privacy” .
Sicuramente un diverso risultato è stato raggiunto: quello di privare le persone giuridiche, enti ed associazioni della tutela prima alle stesse concessa dal D.Lgs. 196/2003.

Informazione Privacy
Riteniamo di fare cosa gradita richiamando la Vostra attenzione sugli adempimenti in materia di tutela dei dati personali, a seguito del Provvedimento 25/06/2009 del Garante.
Ricordiamo che gli adempimenti previsti, dovranno essere ottemperati entro il 15 dicembre 2009.
Per i Titolari dei trattamenti, sono previste nuove cautele da introdurre nella scelta e nomina degli Amministratori di sistema di un’Azienda.
Il Garante precisa, che gli Amministratori di sistema, devono essere sempre persone fisiche e che queste devono essere individuate all’interno del DPS, i loro nomi devono essere comunicati o comunque resi conoscibili a tutti i soggetti interessati.
Quest’obbligo riguarda il Titolare e/o il Responsabile ove nominato.
Ogni Titolare dovrà provvedere affinché tali nominativi vengano inseriti nel prossimo aggiornamento annuale del DPS (marzo 2010).
Nel caso di affidamento del servizio di Amministrazione di sistema in outsourcing, il Titolare ha l’obbligo di acquisire e conservare gli estremi identificativi delle persone fisiche preposte quali Amministratori di sistema.
Il Garante Privacy introduce un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici.
Il provvedimento (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”), ha introdotto l’obbligo per gli Amministratori di sistema, interno od esterno (compresi coloro che svolgono la mansione di Amministratore di rete, di data base o i manutentori), di conservare gli “access log” per almeno sei mesi in archivi immodificabili e inalterabili.
L’Amministratore di sistema deve, adottare sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici. Gli “access log” devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità. Le registrazioni devono, pertanto, contenere riferimenti temporali certi e la descrizione dell’evento, devono essere conservate per un periodo non inferiore a sei mesi.
Il Titolare del trattamento ha, l’obbligo di verifica annuale sull’operato degli Amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.
Alleghiamo alla presente il Provvedimento.
Siamo a Vostra disposizione per qualsiasi richiesta esplicativa.
Documento:  Provvedimento Amministratore di sistema

SOCIAL

0FansLike