&

Per ulteriori informazioni e per richiedere un preventivo:

tel. 06-5915028

tel. 06-54229287

tel. 06-54280974

fax. 06-5914834

e-mail:

privacy@angq.com

Privacy & DPS

Progettazione della sicurezza e Redazione del Documento Programmatico sulla Sicurezza

Con riferimento al D.lgs. 30 giugno 2003, n. 196 che ha introdotto il testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, comunemente noto come “Codice sulla Privacy”, GQ S.r.l. e Connect Informatica hanno redatto l'offerta per l’adempimento tra i più impegnativi previsti dal codice.

Il servizio consiste nella redazione del Documento Programmatico sulla Sicurezza e nella verifica delle misure minime ed individuazione delle misure idonee per la protezione dei dati personali.

Il servizio prevede anche una o due giornate di verifica della sicurezza presso la sede del cliente (il numero di giornate dipende dalle dimensioni e complessità dell'azienda).

Privacy DPS: vantaggi

Il “Codice sulla Privacy” prevede che il trattamento dei dati personali, effettuato con strumenti elettronici è consentito solo se sono adottate le cosiddette “misure minime di sicurezza” (art. 33 e succ.)

L'offerta contempla l'analisi dell'adeguatezza delle misure di sicurezza in essere presso l'azienda ed in particolare riguarda i seguenti punti: 

  • autenticazione informatica; 

  • adozione di procedure di gestione delle credenziali di autenticazione; 

  • utilizzazione di un sistema di autorizzazione; 

  • aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; 

  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; 

  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; 

  • tenuta di un aggiornato documento programmatico sulla sicurezza; 

  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari, l’iscrizione a sindacati, etc. 

L'offerta inoltre ha l'obiettivo di individuare le più ampie misure idonee (art. 31) previste dal “Codice sulla Privacy” e cioè quell’insieme di accorgimenti che il soggetto che tratta i dati deve adottare, in relazione alla sua specifica situazione, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

In considerazione del profilo sanzionatorio previsto dal decreto, avente carattere penale e civile a seconda del grado di inadempienza nell'attuazione delle misure di sicurezza, l'offerta ha lo scopo di produrre il DPS (l'adempimento tra i più impegnativi previsti nelle misure minime) e, nello stesso tempo, ha lo scopo di elencare tutti i punti, attinenti alle misure minime e idonee, per i quali è necessario un intervento di tipo tecnico o organizzativo.

Privacy DPS: campo di applicazione

Ai sensi dell'articolo 34 del D.lgs. 30 giugno 2003, n. 196, “il trattamento dei dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico, le seguenti misure minime: [omissis] g) tenuta di un aggiornato Documento Programmatico sulla Sicurezza.”

Nel disciplinare tecnico, contenuto nell'allegato B del codice, si può leggere che: 

  • “Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili e giudiziari redige, anche attraverso il responsabile, se designato, un Documento Programmatico sulla Sicurezza contenente idonee informazioni riguardo: [omissis]”.

Pertanto sono tenuti a redigere il documento programmatico sulla sicurezza tutti i titolari che trattano almeno dati personali con strumenti elettronici. Per capire a pieno il tenore della disposizione bisogna intendere come dati personali la generalità delle informazioni che riguardano un qualsivoglia soggetto tanto fisico quanto giuridico e come strumenti elettronici - molto semplicemente - i personal computer. La cornice così delineata racchiude sostanzialmente la quasi totalità delle piccole-medie imprese italiane.

Per chi tratta dati sensibili tali accorgimenti diventano più stringenti riguardando la forma ed il contenuto del Documento Programmatico sulla Sicurezza, sia per assicurare il corretto adempimento operativo delle misure di sicurezza sia per facilitare gli accertamenti degli organi preposti. In pratica se si trattano dati sensibili si debbono scrivere nel documento determinati contenuti ed applicarli nei processi operativi di tutti i giorni. Dunque i contenuti del DPS sono misura minima se tratto dati sensibili e misura idonea se tratto dati comuni.

Privacy DPS: attività previste

L'offerta è finalizzata all'individuazione delle misure idonee per il trattamento dei dati personali nonché a fornire indicazioni di carattere informatico e organizzativo per la realizzazione delle misure minime di sicurezza.

L'offerta è suddivisa in due fasi di lavoro distinte.

La fase 1 è pensata per le aziende con budget limitato e prevede l’insieme minimo di attività per realizzare quanto previsto nell’allegato B del D.lgs. 196/2003. La fase 1 richiede la capacità tecnica da parte dell’azienda per la realizzazione in autonomia dei requisiti di legge. 

La fase 2, opzionale e successiva alla fase 1, prevede invece un esame più accurato presso la sede del cliente ed indicazioni tecniche dettagliate per impostare un corretto sistema di sicurezza rispondente a quanto previsto dal Codice. Il numero di giornate di verifica (audit) dipende dalla dimensione dell’azienda.

 
Fase 1  

  • stesura di un questionario specifico, finalizzato all'individuazione degli elementi caratteristici dell'ente/azienda ai fini della privacy; 

  • compilazione del questionario da parte del responsabile in azienda; 

  • analisi telefonica delle risposte al questionario e precisazione di eventuali punti aperti; 

  • stesura della prima versione del DPS sulla base degli elementi individuati.

Fase 2  

  • esame presso la sede (audit) degli elementi individuati nel questionario della fase 1; 

  • verifica del livello di adeguatezza delle misure minime e delle più ampie misure idonee di sicurezza previste dal Garante;

  • analisi della gestione cartacea delle informazioni; 

  • analisi del sistema informativo ed in particolare: 

    • sistema di autenticazione informatica; 

    • sistema di autorizzazione; 

    • analisi del rischio di intrusione nel sistema informativo; 

    • analisi della vulnerabilità dei sistemi rispetto ai difetti di realizzazione; 

    • analisi dei backup dei dati; 

    • verifica dell'adeguatezza del DPS ed integrazione; 

    • esame dei trattamenti dei dati senza l'ausilio di strumenti elettronici; 

  • aggiornamento della prima versione del DPS alla luce delle ulteriori informazioni individuate dall'analisi presso la sede del cliente.

Gli operatori della GQ S.r.l. e della Connect Informatica non eseguiranno modifiche dirette al sistema informativo dell'azienda. Il fine dell'attività è quello di elencare una serie di misure di natura organizzativa e informatica aventi l'obiettivo di portare a conoscenza e pianificare le azioni da intraprendere per innalzare il livello di sicurezza del sistema informativo rispetto a quanto previsto dal codice sulla privacy.

Per la realizzazione delle misure minime i nostri esperti assisteranno i tecnici dell'azienda nella individuazione dei passi da compiere e nella realizzazione degli stessi. Il Documento Programmatico sulla Sicurezza sarà redatto da GQ S.r.l. e Connect Informatica S.r.l..

In caso di richiesta di attività operativa sul sistema informativo del cliente (on-line/on-site sulla base della complessità della rete) GQ S.r.l. e Connect Informatica procederanno alla predisposizione di un'offerta personalizzata.

Privacy DPS: come acquistare

Per una descrizione del contenuto delle fasi di lavoro fare riferimento alla sezione “attività previste”.

Nel caso di aziende che intendano avvalersi della presente offerta in contemporanea con altre persone giuridiche (soci, partner, ecc.), è applicato uno sconto del 10% valido per tutte le persone giuridiche che aderiscono all'offerta.

Lo sconto è applicabile solo se:

  • nell'ordine iniziale è indicato l'elenco delle altre persone giuridiche interessate ai servizi 

  • l'ordine da parte delle altre aziende perviene alla GQ S.r.l. nell'arco di cinque giorni lavorativi rispetto all'ordine iniziale.

I tempi per l'erogazione dei servizi saranno concordati al momento dell'ordine sulla base delle esigenze del cliente. In linea generale il tempo richiesto per l'esecuzione delle fasi è:

  • fase 1: circa sette giorni lavorativi dalla data di ricezione del questionario

  • fase 2: circa quindici giorni lavorativi dalla data di verifica (audit) presso il cliente

 

Per ulteriori informazioni e per richiedere un preventivo:

tel. 06-5915028

tel. 06-54229287

tel. 06-54280974

fax. 06-5914834 

e-mail:

privacy@angq.com