Chiedo scusa per l'argomento fuori tema, ma un mio cliente di cui seguo la sicurezza sul lavoro, deve adempiere entro il 30 aprile alla normativa in materia di dati personali D.Lgs.30/06/2003 e presentare una serie di documenti (procedure, etc.).
Qualcuno ha per caso idea di cosa si tratti e se esistono linee guida od altro . Grazie e saluti.
Secondo mè l'argomento non è off topic poichè sempre di sicurezza si tratta ed ho avuto modo di affrontarlo in questi giorni proprio per gli adempimenti previsti dal nuovo codice sulla privacy.
Puoi trovare parecchio materiale sul sito del garante che è www.garanteprivacy.it
Tra l'altro, è notizia di oggi che il documento programmatico sulla sicurezza (DPSS), da mettere a punto entro il 31/3/04, è slittato al 30/6/04.
Anche sul sito istituzionale della Fondazione Luca Pacioli (Ragionieri commercialisti) trovi alcuni interessanti documenti.
Se vuoi altre notizie puoi scrivere direttamente alla mia mail.
Cordiali saluti.
Paolo
Proprio perchè anch'io penso che l'argomento non sia off-topic e considerato che ne so meno di nulla, ti spiacerebbe spiegare in poche parole di che adempimento si tratta visto che te ne sei occupato? Effettivamente, anche a me qualcuno comincia a chiedere qualche cosa, ma sinora ho procrastinato... Ma la scadenza non era il 30/4 prima della proroga? Grazie.
Stilo
Mi scuso per il ritardo ma ero fuori ufficio.
A grandi linee, oltre quanto ho risposto ad Alan, il codice della privacy ha cambiato profondamente il quadro delle misure di sicurezza che devono essere adottate nel trattamento dei dati personali.
Tra gli adempimenti più importanti vi è quello della redazione del DPSS che era stato scadenziato per il 31/3/04 e prorogato in questi giorni al 30/6/04.
La scadenza del 30/4 che cita Stilo è quella per le notificazioni al Garante che devono essere fatte solo nelle ipotesi previste dall'art.37 del TU privacy, per le aziende che erano attive prima del 31/12/03 (per le aziende di nuova attività la notifica va fatta prima che inizi il trattamento medesimo); tale notifica va fatta in via telematica (il documento da compilare è di circa 80 pagine!!!) con un costo di diritti di segreteria, e qui sta il bello, di ben € 150,00 (ulteriore mazzata alle nostre povere aziende obbligate!!!).
Il DPSS che ora è scadenziato al 30/6/04 è una vera e propria valutazione dei rischi e comprende:
- l'elenco dei trattamenti dei dati personali (tipologia, caratteristica delle aree, dei locali e strumenti con cui si effettuano i trattamenti)
- un mansionario sulla privacy ed interventi formativi degli incaricati;
- l'analisi dei rischi che incombono sui dati;
- le misure atte a garantire l'integrità e la disponibilità dei dati (protezione di aree e locali, custodia ed archiviazione di atti, documenti e supporti, le misure logiche di sicurezza;
- Criteri e modalità di ripristino dei dati;
- l'eventuale affidamento di dati personali all'esterno;
- un controllo generale sullo stato della sicurezza;
- le dichiarazioni di impegno e firma e nomina degli addetti al trattamento dei dati;
Questo elenco, non esaustivo, dovrà essere adattato alla tipologia dell'azienda con eventuali approfondimenti ma può essere considerato una valida traccia.
Tenete presente che tutte le aziende ed i professionisti sono tenuti alla redazione di tali documenti, poichè vengono trattati dati anche sensibili (tipo l'appartenenza ad un sindacato di un dipendente che fa versare le quote d'iscrizione tramite busta paga) e, ovviamente ogni azienda dovrà consegnare l'informativa e ricevere il consenso (dei dipendenti) per il trattamento dei dati.
Il documento DPSS dovrà poi essere aggiornato entro il 31/3 di ogni anno e dovrà essere nominato nella relazione degli amministratori al bilancio, in caso di società di capitali.
"Dulcis in fundo" le sanzioni sono molto salate, comprendendo anche sanzioni di tipo penale e possono arrivare a € 60.000!
Come ho già riferito ad Alan, il sito del garante è un buon inizio per saperne di più; se comunque volete fare una ricerca su internet penso potrete trovare moltissime cose a riguardo.
Spero di essere stato chiaro, scusandomi per eventuali refusi.
Cordiali saluti e buon lavoro a tutti....
Paolo
Passo alla considerazione domandando se veramente tutte le aziende sono tenute alla redazione del DPSS o DPS come volete...
Secondo Paolo siamo in presenza di dati sensibili (appartenenza a un sindacato, tramite quote di iscrizione busta paga) e quindi tutti devono anche mandare la comunicazione al garante entro aprile 2004??
Dalla circolare "Codice della Privacy " sembra che l'obbligo di redazione del DPS coinvolge solo i soggetti che trattano dati sensibili o giudiziari con l'ausilio di strumenti elettronici.
I dati sensibili sopra menzionati bastano ad obbligare la maggior parte delle aziende a redigere il DPSS.
Ringraziando per l'attenzione vi porgo cordiali saluti
Mi scuso nuovamente per il ritardo con cui rispondo a Caronte1 ma non avevo visto il suo post.
Dobbiamo innanzitutto distinguere tra i due adempimenti: DPSS e Notifica al Garante.
Il DPSS è un documento che deve essere redatto da enti che trattano dati personali sensibili e giudiziari con l'ausilio di strumenti elettronici. Di questa famiglia di dati fa parte ad esempio l'iscrizione di un dipendente ad un sindacato. Questo documento è obbligatorio nel caso di trattamenti di tali dati ma è vivamente consigliato anche in caso di trattamento di dati personali non sensibili.
La costruzione del documento seguirà poi una falsariga più abbreviata in caso di dati non sensibili oppure più approfondita in caso di dati sensibili.
La notifica al Garante invece deve essere effettuata solo nei casi previsti dall'art.37 del D.Lgs. 196/03.
I casi previsti sono comunque molto ampi per cui il Garante, dietro richieste di approfondimenti fatte dalle varie associazioni, ha dovuto emettere dei chiarimenti che limitano i casi in cui i trattamenti devono essere notificati (vedi provvedimento 1/04 del 31/3/04 e parere del 23/4/04): qui sono stati chiariti molti dubbi ed in particolare è stato chiarito che non devono essere notificati (punto 3 del provvedimento 1/04) i trattamenti di dati idonei a rilevare la sfera psichica di lavoratori in materia di rapporto di lavoro e di previdenza (tipo l'appartenenza a sindacati). Ciò si riferisce anche ai casi in cui si deve adempiere a specifici obblighi stabiliti in sede di contrattazione collettiva e giuridicamente rilevanti in base alla normativa in materia.
Spero di essere stato esauriente ma attendo Vostri commenti.
Cordiali saluti a tutti i partecipanti al Forum.
Paolo
Paolo perdonami, potresti dirmi se anche un libero professionista senza dipendenti (mi occupo solo di consulenza 626) è tenuto a predisporre la documentazione di cui parli e, se si, se le scadenze sono sempre per il 30 giugno o ci sono scadenze precedenti?
grazie mille
Nel tuo caso mi pare di poter dire, senza paura di essere smentito, che non devi fare nessuna notifica nè redigere il DPSS.
Non penso che tu tratti dati sensibili e/o giudiziari (tipo quelli riferiti ai dipendenti dei tuoi clienti).
Eventualmente, se proprio vuoi essere diligente al massimo potresti redigere un DPSS limitato secondo le tue esigenze.
A tale proposito ti consiglio di leggere l'articolo apparso su Italia Oggi del 8/3/04 a pagina 5 e seguenti (spero non sia considerata pubblicità dal Moderatore del Forum in quanto è uno dei quotidiani finanziari più letti), che ti propone uno schema di DPSS molto semplice, che tu potresti modificare a tuo piacimento.
A disposizione per qualsiasi altro chiarimento.
Cordiali saluti,
Paolo
trovato prima in rete
penso possa essere utile a tutti
sandro
Con il provvedimento 1/2004 il Garante della privacy ha escluso la notificazione per alcuni trattamenti di dati personali. Sul tema l’Ufficio del Garante ha diffuso un nuovo Parere (del 23 aprile 2004), fornendo alcuni chiarimenti per il settore privato (imprese, banche, assicurazioni, professionisti, enti no-profit) su altri trattamenti che non devono essere notificati in base ad una corretta interpretazione delle disposizioni del Codice sulla privacy.
Tra i trattamenti che non devono essere notificati vi sono anche quelli relativi ai dati sanitari trattati dai medici del lavoro; il Parere infatti precisa: “Il provvedimento n. 1/2004 ha individuato i presupposti in base ai quali non devono essere notificati i trattamenti di tali dati effettuati da esercenti le professioni sanitarie e da avvocati.Tale esonero, alle condizioni indicate, opera anche nel caso in cui l’attività sia prestata in forma associata. L’esonero opera inoltre per l’attività svolta da medici titolari di un trattamento in materia di igiene e sicurezza del lavoro e della popolazione.”
In ambito aziendale niente notificazione neppure per i dati rilevati nel caso di ingresso/uscita dai luoghi di lavoro, sempre che non si tratti di dati biometrici, in tal caso in fatti la notificazione è necessaria. Il parere infatti precisa: “Non devono essere […] notificati al Garante i trattamenti di dati personali che consentano solo una rilevazione non continuativa del passaggio o della presenza di persone o oggetti, effettuata, ad esempio, all’atto della:
registrazione di ingressi o uscite presso luoghi di lavoro, tramite tessere elettromagnetiche, codici di accesso o altri dispositivi, a meno che, mediante la rete di comunicazione elettronica, sia possibile tracciare gli spostamenti di interessati in determinati luoghi o aree sul territorio. Non devono essere inoltre trattati dati biometrici, perché in tal caso la notificazione è necessaria. […]”
Di seguito riportiamo il Parere del Garante.
Chiarimenti sui trattamenti da notificare al Garante - 23 aprile 2004
La notificazione al Garante deve essere come noto effettuata solo se il trattamento dei dati personali è indicato specificamente nel Codice entrato in vigore lo scorso 1° gennaio (art. 37 d.lg. n. 196/2003).
La notificazione può essere poi esclusa per effetto di un provvedimento di questa Autorità che è stato già adottato lo scorso 31 marzo [...].
Si ritiene ora opportuno evidenziare altri trattamenti che non devono essere notificati in base ad una corretta interpretazione delle disposizioni vigenti.
1. Dati genetici e biometrici (art. 37, comma 1, lett. a)).
Il provvedimento n. 1/2004 ha individuato i presupposti in base ai quali non devono essere notificati i trattamenti di tali dati effettuati da esercenti le professioni sanitarie e da avvocati.
Tale esonero, alle condizioni indicate, opera anche nel caso in cui l’attività sia prestata in forma associata. L’esonero opera inoltre per l’attività svolta da medici titolari di un trattamento in materia di igiene e sicurezza del lavoro e della popolazione.
2. Posizione geografica di persone od oggetti (art. 37, comma 1, lett. a)).
La norma si riferisce alla localizzazione di persone o oggetti, ed è quindi riferita alla rilevazione della loro presenza in determinati luoghi, mediante reti di comunicazione elettronica gestite o accessibili dal titolare del trattamento.
La localizzazione va notificata quando permette di individuare in maniera continuativa -anche con eventuali intervalli- l’ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti.
La localizzazione deve comunque permettere di risalire all’identità degli interessati, anche indirettamente attraverso appositi codici.
Non devono essere quindi notificati al Garante i trattamenti di dati personali che consentano solo una rilevazione non continuativa del passaggio o della presenza di persone o oggetti, effettuata, ad esempio, all’atto della:
a) registrazione di ingressi o uscite presso luoghi di lavoro, tramite tessere elettromagnetiche, codici di accesso o altri dispositivi, a meno che, mediante la rete di comunicazione elettronica, sia possibile tracciare gli spostamenti di interessati in determinati luoghi o aree sul territorio. Non devono essere inoltre trattati dati biometrici, perché in tal caso la notificazione è necessaria;
b) rilevazione di immagini o suoni, anche con impianti a circuito chiuso, presso immobili o edifici ove si svolgono attività del titolare del trattamento (locali commerciali, professionali o aziendali, nonché le relative aree perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), a meno che, anche mediante interazione con altri sistemi, il titolare possa rilevare le diverse ubicazioni o spostamenti di una persona o di un oggetto in determinati luoghi o aree sul territorio;
c) lettura di carte elettroniche per fornire beni, prestazioni o servizi quali, ad esempio, carte di pagamento, carte di credito o di fidelizzazione. I dati non devono essere peraltro rilevati con strumenti elettronici volti ad analizzare abitudini o scelte di consumo, poiché in tal caso la notificazione è necessaria (art. 37, comma 1, lett. d)).
3. Dati sulla salute o sulla vita sessuale utilizzati per prestare servizi sanitari per via telematica (art. 37, comma 1, lett. b)).
É tenuto alla notificazione chi eroga servizi sanitari per via telematica relativi ad una banca di dati o alla fornitura di beni.
Non devono essere quindi notificati i trattamenti di dati sanitari -e/o sulla vita sessuale- effettuati nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, come i servizi telefonici gestiti in ambito assicurativo e che consentono il consulto di esercenti professioni sanitarie.
4. Dati sulla vita sessuale o sulla sfera psichica trattati da organismi no-profit (art. 37, comma 1, lett. c)).
Non vanno notificati al Garante i trattamenti effettuati da associazioni, enti od organismi che non hanno carattere politico, sindacale, religioso o filosofico, come ad esempio cooperative che svolgono attività di ricovero e assistenza a malati psichici.
Il provvedimento n. 1 del Garante, laddove esclude (punto 3) la notificazione per i trattamenti di dati idonei a rivelare la sfera psichica di lavoratori in materia di rapporto di lavoro e di previdenza, si riferisce anche ai casi in cui si deve adempiere a specifici obblighi stabiliti in sede di contrattazione collettiva e giuridicamente rilevanti in base alla normativa in materia.
5. Strumenti elettronici per profilare interessati o utenti di servizi di comunicazione elettronica (art. 37, comma 1, lett. d)).
Ai fini dell’obbligo di notificazione, gli strumenti elettronici utilizzati devono essere configurati e impiegati per definire o valutare il profilo o la personalità dell’interessato, oppure per analizzare le sue abitudini o scelte di consumo. I sistemi o programmi informatici devono essere finalizzati a registrare, elaborare o raffrontare specifiche annotazioni per studiare il comportamento o le preferenze di singoli interessati od utenti individuati nominativamente o identificabili anche indirettamente attraverso appositi codici.
Non devono essere quindi notificati i trattamenti di dati effettuati al solo fine di:
a) fornire all’interessato beni, prestazioni o servizi, con l’ausilio di strumenti elettronici finalizzati alla gestione del relativo rapporto e dei connessi adempimenti contabili o fiscali, all’invio di eventuali comunicazioni informative commerciali e al controllo della qualità di servizi offerti senza procedere ad alcuna profilazione degli interessati;
b) verificare l’identità o il profilo di autorizzazione di utenti o incaricati, nell’ambito di sistemi di autenticazione informatica o di autorizzazione per l’accesso a dati o sistemi (ad esempio, per accedere ad una banca di dati personali o a determinati contenuti di un sito web). Anche in questo caso, se sono trattati dati biometrici la notificazione è necessaria (art. 37, comma 1, lett. a));
c) registrare gli accessi ad un sito web, se i dati sono memorizzati esclusivamente per il tempo tecnicamente indispensabile ai fini di sicurezza del sistema o di elaborazione statistica in forma anonima.
6. Rilevazione del rischio sulla solvibilità economica o di comportamenti illeciti o fraudolenti (art. 37, comma 1, lett. f)).
Non devono essere notificati i trattamenti effettuati da soggetti che utilizzano banche di dati centralizzate o sistemi informativi gestiti autonomamente da altri soggetti -titolari del relativo trattamento- e che, pur comunicando a questi ultimi alcuni dati personali, non hanno alcun potere decisionale in ordine alle finalità e alle modalità del trattamento e agli strumenti utilizzati in tali ambiti. Ciò anche quando, per mere ragioni tecniche, una copia della banca di dati gestita dal terzo autonomo titolare del trattamento, risieda presso il soggetto abilitato unicamente a consultarla in tale forma.
Ad esempio, banche, uffici postali e società emittenti carte di pagamento non devono notificare i trattamenti di dati effettuati nell’ambito dell’archivio informatizzato degli assegni bancari e postali e delle carte di pagamento istituito ai sensi del d.lg. n. 507/1999 (c.d. Centrale di allarme interbancaria–CAI) e gestito dalla Banca di Italia in qualità di titolare del trattamento (art. 10-bis, comma 2, l. n. 386/1990; art. 1, comma 4, d. m. n. 458/2001).
In riferimento ai casi indicati nel provvedimento n. 1/2004 del Garante, si ritiene utile infine precisare che:
a) non devono essere notificati (punto 6, lett. b)) i trattamenti relativi a clienti o fornitori effettuati da liberi professionisti od organismi (es.: CAAF) per adempimenti fiscali (ad es., in qualità di intermediari necessari per presentare le dichiarazione dei redditi) o contabili (es.: redazione di bilanci), oppure per svolgere investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli assistiti;
b) i trattamenti relativi alla fornitura di beni, prestazioni o servizi (ad esempio, concernenti clienti, fornitori o dipendenti) o ad adempimenti contabili o fiscali, e che non devono essere notificati in base al provvedimento n. 1/2004 (punto 6, lett. b)), riguardano anche dati di cui sia necessario il trattamento in sede pre-contrattuale;
c) i trattamenti relativi ad obbligazioni, comportamenti illeciti o fraudolenti che non devono essere notificati in quanto trattati solo per adempiere ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza (punto 6, lett. c)), comprendono quelli concernenti eventuali obblighi derivanti dalla contrattazione collettiva, giuridicamente rilevanti in base alla normativa in materia;
d) sono sottratti all’obbligo di notificazione i soggetti pubblici che utilizzano la banca di dati elettronica per riscuotere tributi, applicare sanzioni amministrative o rilasciare licenze, concessioni o autorizzazioni (punto 6, lett. d) del provv. n. 1/2004). Devono invece notificare i soggetti privati concessionari di servizi di riscossione di tributi che esercitano le medesime attività, a meno che essi svolgano formalmente ed effettivamente le funzioni di “responsabile del trattamento” per conto del soggetto pubblico conformemente alle disposizioni vigenti su tale designazione (art. 29 del Codice);
e) non sono sottratti all’obbligo di notificazione i trattamenti di immagini o suoni che, benché registrati temporaneamente, siano inseriti in apposite banche di dati elettroniche relative a comportamenti illeciti o fraudolenti (punto 6, lett. e) del provv. n. 1/2004).
L’Autorità resta a disposizione per ogni ulteriore chiarimento.
Roma, 23 aprile 2004
Ho letto le risposte che avete fornito ad alan e consultato la legge che regola la privacy. Non sarò esperto in ambito legislativo, ma mi sembra un gran casino (come al solito). A questo punto vorrei porvi una domanda; io possiedo una società informatica. Sono soggetto alla legge 196/2003 coi relativi obblighi derivanti?
Buon giorno a tutti!
Per rispondere ad Antonio:
Molte organizzazioni offrono una traccia del DPSS (a pagamento). Io ne ho scelto una che mi sembra valida e seguo questa per redigere tutti i DPSS, naturalmente adattandoli secondo le esigenze del Cliente. Se vuoi scrivere alla mia e-mail privatamente posso darti l'indicazione.
Per rispondere alla domanda di Francesco, preciso che precedentemente il DPSS doveva essere redatto solo dalle aziende che, in presenza di dati sensibili e giudiziari, trattava gli stessi con strumenti elettronici collegati in rete. Ora il 196/03 prevede che TUTTI coloro che trattano i dati con strumenti elettronici, siano essi collegati o no in rete, devono redigere il DPSS.
A disposizione per qualsiasi chiarimento.
Cordiali saluti a tutti.
Paolo
Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza
Si avvicina la scadenza del 30 giugno, prevista dal Codice in materia di protezione dei dati personali, quale termine ultimo per adottare le nuove "misure minime" di sicurezza.
Tra queste misure rientra anche l’obbligo di redigere o aggiornare il documento programmatico sulla sicurezza (Dps).
Al fine di fornire un contributo utile alla redazione del Dps, il Garante ha chiesto ad alcuni esperti in tema di sicurezza informatica di valutare, in autonomia e in un gruppo di lavoro, talune modalità operative per agevolare i soggetti tenuti a tale adempimento, specie quelli che non dispongono di competenze specifiche.
Il gruppo ha terminato la prima fase dei lavori.
L’Autorità ritiene opportuno pubblicare il contributo http://www.garanteprivacy.it/garante/document?ID=1002486&DOWNLOAD=true che ne è scaturito, per stimolare osservazioni, richieste di chiarimento e proposte che esaminerà al fine di pubblicare su questo sito, entro il 1° giugno prossimo, un documento rivisto che potrà essere liberamente utilizzato come guida operativa per redigere il Dps.
Sia questo contributo, sia la guida operativa non si propongono come riferimento obbligato per gli operatori.
Considerata l’estrema varietà delle realtà interessate, l’analisi dei rischi richiede una valutazione di carattere tecnico che può variare sensibilmente a seconda del contesto pubblico o privato in cui opera il titolare del trattamento.
L’elencazione degli eventi prevedibili inserita nella tabella all’interno del documento non deve essere quindi considerata né obbligatoria, né esaustiva, e va considerata come promemoria da cui ciascuno può trarre richiami utili.
Le e-mail di commento potranno essere inviate entro il 23 maggio prossimo, alla casella: [email protected]
Ciao a tutti,
Ho passato gli ultimi giorni a cercare di capire qualcosa su questo sistema introdotto che induce tutti a fare dei documenti... non riesco a tirare le fila!!!!
Spero che qualcuno possa darmi delle delucidazioni:
Nella mia attività tratto i dati relativi ai miei clienti (ragione sociale, indirizzo, partita iva, ... fatture), inoltre per alcuni preparo le relazioni dei rilievi fonometrici con indicati quindi i valori riferiti alle persone. Sono dati sensibili???????
Buon giorno a tutti.
Secondo il mio parere tu non dovresti fare neanche il DPSS, anche se, come ho già ribadito, in presenza di dati trattati con l'ausilio di computer, collegati o meno in rete, sarebbe vivamente consigliato redigerlo.
Si potrà utilizzare questa benedetta traccia che il garante doveva mettere a disposizione entro il 3 di giugno ma, ad oggi, non risulta sia ancora disponibile.
Per quanto riguarda la notifica, escludo che tu debba farla, essendo il rilievo fonometrico non un dato sensibile tra quelli elencati nell'art. 37 del d.lgs. 196
Cordiali saluti,
Paolo
Buon giorno a tutti.
In riferimento al mio precedente post, vorrei avvisare tutti i pregiatissimi utenti del Forum che ho detto una inesattezza riguardo alla traccia del DPSS che il garante della privacy doveva mettere a disposizione entro i primi giorni di giugno ma non se ne aveva ancora traccia.
In effetti invece, sul sito del garante è già a disposizione un opuscolo dal titolo "Prime riflessioni sui criteri di redazione del DPSS".
Collegandoci al sito www.garanteprivacy.it ed accedendo alla sezione "fac-simile e adempimenti" si può trovare la bozza del documento, emessa il 13/5/04, che costituisce già una buona traccia da seguire per la redazione del documento.
Mi scuso per il refuso e buon lavoro a tutti.
Paolo
Buon giorno a tutti.
A chi ne fosse interessato, è di questa mattina la notizia del 24 Ore, che sconfessa totalmente quella di ieri su Italia Oggi, di una proroga degli adempimenti che scadevano al 30/6/04 (come la redazione del DPSS).
In una Italia che cammina sulle proroghe ci mancava effettivamente anche questa.
Buon lavoro.
Paolo
Scusate l'intrusione, ma necessiterei di un chiarimento, mi pare d'aver capito dal d.lgs. 196/2003 che chiunque tratti dati sensibili tramite l'ausilio di un mezzo informatico sia tenuto alla stesura del dpss. Da quanto Paolo scrive mi sembra che lui abbia invece inteso il contrario. Ho capito male?
Messaggio per Digger.
Scusami, ma dove hai visto che intendo il contrario?
Ho rivisto i miei post, forse mi sono spiegato male.
Il D.Lgs. 196/2003 obbliga chiunque tratti dati sensibili o giudiziari tramite l'ausilio di strumenti informatici a redigere il DPSS.
L'obbligo non è una novità, poichè già il 675 prevedeva l'obbligo di tale documento.
La differenza sta nel fatto che prima erano obbligati solo coloro che avevano gli elaboratori collegati in rete (intranet o Internet o altro) oggi il documento è obbligatorio anche per i PC non collegati in rete.
I miei post precedenti sottolineavano comunque che il DPSS è vivamente consigliato per tutti coloro che trattino dati, anche non sensibili, viste le sanzioni......; magari redigere un documento più limitato ma è consigliabile scrivere qualcosa.
Cordiali saluti a tutti.
Paolo
Notifico ad 'archisole' che il suo messaggio e' stato tagliato in quanto conteneva un riferimento pubblicitario e quindi era contrario alla 8a regola aurea:
...ringraziandolo comunque per le tantissime spiegazioni.
Non mi torna una questione:
Io ho letto la legge, senza soffermarmi su ogni singola virgola, ma con attenzione. Da alcuni passaggi intuisco che e' necessario estendere un DPS anche solo per i dati personali, da altri passaggi invece capisco che e' necessario solo per i dati sensibili o giudiziari. Poi leggo il tuo ultimo post: "I miei post precedenti sottolineavano comunque che il DPSS è vivamente consigliato per tutti coloro che trattino dati, anche non sensibili, viste le sanzioni......; magari redigere un documento più limitato ma è consigliabile scrivere qualcosa". Che fare per i soli dati personali? Possibile che sia cosi' tanto "interpretabile" questa legge?
Da ultimo, vorrei un parere, se possibile: i giudizi di idoneita' alla mansione, senza ovviamente alcun riferimento ai risultati dei singoli esami e delle singole visite (in definitiva...la sola dizione IDONEO, NON IDONEO, IDONEO CON LIMITAZIONI), e' un dato sensibile, secondo voi?
Scusate se divago un po' ma sempre di privacy parlero'.
Appena adesso mi e' arrivato un SMS sul cell. da parte della Presidenza del Consiglio dei Ministri per ricordarmi che devo andare a votare!!! (sanno che hanno a che fare con 38.000.000 di semianalfabeti per cui sono molto premurosi)
Ma come si permettono?
Ma come e' possibile che TIM, Vodafone, Wind diano il mio n. di cellulare alla Presidenza del Consiglio?
Ma dove siamo arrivati?
Questa e' veramente la goccia che ha fatto traboccare il vaso.
Stiamo qui a discutere della privacy, di come presentare il DPS e tante altre belle amenita' (che non dovrebbero essere tali per chi ha a cuore ancora un po' il diritto, il controllo e il rispetto delle regole) e questi ci violentano in questo modo!!
Per me questa e' una violazione tale che giustificherebbe un mega ricorso collettivo alla Corte di Giustizia Europea!
Sono in accordo con Onesto nel caso in cui, come per altro suppongo, non sia data possibilità al ricevente di poter rispondere (numero oscurato).
Stilo
Ancora peggio, ma sono solo leggende metropolitane precoci
June 11 2004, 12:39 PM
...dicevo...se fosse vero, e sicuramente non lo e' (ma e' carina come battuta), si dice in giro che questo sms sia stato inviato a 4 milioni di persone.
Che siano le piu' reticenti a votare per l'attuale maggioranza? Dopotutto, forse, il voto e' meno segreto del numero di cellullare. Comunque, sempre per gioco, propongo un sondaggio:
Per non invadere la privacy di ciascuno di noi, proporrei che si rispondesse con un SI se e' vera una delle seguenti due affermazioni:
- ho votato il centrodestra e non ho ricevuto il sms
- ho votato il centrosinistra e ho ricevuto il sms
mentre si potrebbe rispondere con un NO nei due casi contrari, in maniera da preservare il segreto di voto (a meno che qualcuno di noi non abbia accesso ai tabulati degli invii di questi sms, ovviamente )
Anche io ho ricevuto sms. Notate che l'hanno ricevuto una marea di minorenni che si presenteranno quindi al voto!!
Domanda: sui cartellini di riconoscimento appuntati al petto di molti addetti (ristoranti, benzinai, ecc.) è possibile mettere nome E cognome o si deve mettere nome e cognome puntato? Me lo chiede un amico che ha avuto tale ordine (nome e cognome esteso) dall'alto.
ROMA - Un decreto del ministro dell'Interno che è all'origine degli sms sulle Europee che stanno inondando i telefonini degli italiani.
Nel testo del decreto, datato 9 giugno, si sottolinea che "per la prima volta le operazioni di voto si svolgeranno nelle giornate di sabato e domenica e non, come nelle precedenti consultazioni, nelle giornate di domenica e lunedì" e che "operazioni di rilevazione segnalano che, nonostante le misure di comunicazione adottate, parte consistente dell'elettorato non è ancora a conoscenza delle novità introdotte".
Inoltre, si evidenzia che "la non sufficiente conoscenza da parte degli elettori delle novità introdotte sulle giornate e gli orari di voto per le prossime elezioni europee ed amministrative, potrebbe realisticamente comportare nella serate di domenica, il verificarsi di affollamenti ai seggi con conseguenti ritardi nella chiusura delle operazioni di voto".
"Considerato", prosegue il testo del decreto, "che tali affollamenti potrebbero provocare, come già accaduto in analoghe circostanze, disagi e turbamenti sotto il profilo dell'ordine pubblico; considerato che, in presenza dei richiamati disagi e ritardi, potrebbero pervenire i primi risultati di scrutinio dagli altri Paesi dell'Unione Europea mentre in Italia sono ancora in corso le operazioni di voto; considerata altresì, la necessità di evitare che elettori si possano recare ai seggi nella giornata di lunedì, non riuscendo così ad esercitare il loro diritto di voto; ritenuta pertanto le necessità di adottare ogni utile ed idonea misura atta ad evitare il verificarsi di possibili situazioni di turbativa per la tutela dell'ordine pubblico; ritenuto che trale misure indispensabili per una compiuta informazione del corpo elettorale, al fine di evitare le situazioni rilevanti per la tutela dell'rdine pubblico, vada prescelta quella dell'invio a tutti gli abbonati e titolari di carte ricaricabili, di un messaggio sms da parte dei fornitori dei servizi di telefonia mobile, al solo fine di confermare le giornate e gli orari nei quali è consentito votare; ritenuto di provvedere in tal senso conformemente al provvedimento del Garante per la protezione dei dati personali del 12 marzo 2003, in tema di invio di messaggi sms per conto o da parte di soggetti puublici per fini di pubblica utilità; valutata la necessita di provvedere con urgenza dal momento che non è differibile l'adozione di misure al riguardo", il documento decreta:
"I fornitori di servizi di telefonia mobile sono tenuti ad inviare, anche in deroga alle norme vigenti, a tutti gli abbonati e e titolari di carte ricaricabili un messaggio SMS relativo alle gironate e agli orari di svolgimento delle operazioni di voto per le elezioni del 12 e 13 giugno secondo il fac-simile allegato. Il messaggio", conclude il testo del decreto, "dovrà essere inviato una sola volta entro e non oltre le ore 24 di venerdì 11 giugno".
Qualche articolo a riguardo
Repubblica
Il centrodestra giustifica l'iniziativa di inviare messaggini
Consumatori passano a vie legali. Garante si riserva valutazione
Il governo spiega gli sms
"Per tutelare l'ordine pubblico"
"Rispondono alla necessità di informare i cittadini che si vota
da sabato pomeriggio". L'Ulivo: "Spesi più di 5 milioni di euro"
ROMA - Gli sms sono stati inviati agli elettori per evitare problemi di ordine pubblico. Dopo le spiegazioni del premier e degli alleati, arriva in serata la motivazione della presidenza del Consiglio. "La comunicazione istituzionale del governo attraverso un messaggio sms" si legge nella nota di Palazzo Chigi "è stata motivata dalla necessità di informare gli elettori che per la prima volta in assoluto è possibile votare anche nel pomeriggio di sabato".
"La tempestiva informazione eviterà che si possano verificare problemi di ordine pubblico in caso di concentrazione di troppi elettori nei seggi elettorali nella giornata di domenica. Si ricorda - conclude il comunicato - che nelle consultazioni elettorali politiche del 2001, in cui si votò solo nella giornata di domenica, si verificò anche per questa ragione una situazione di grave disordine a seguito della quale le operazioni di voto si completarono in alcune sezioni solo alle cinque della mattina del lunedì".
E dopo le prime polemiche, le denunce. Ieri è stato lo stesso premier a difendere la scelta della presidenza del Consiglio di inviare sms agli elettori. Oggi è sceso in campo anche il vicepremier Gianfranco Fini per sostenere "non si deve fare polemiche" perché il messaggino inviato a circa 57 milioni di utenti è "il classico messaggio neutro, istituzionale, equilibrato" simile a quello "delle inserzioni sui giornali o degli spot televisivi". Insomma, per Fini "sarebbe stato gravissimo se ci fosse stato nel messaggio un invito a votare per questo o per quell'altro; ma l'invito è stato neutro ed è servito solo a favorire la partecipazione, che in democrazia è un fatto fondamentale". Il vicepremier chiarisce che "la legge consente" ciò che la presidenza del Consiglio ha deciso di fare.
Per Elio Vito, presidente dei deputati di Forza Italia, si tratta di una "polemica del centrosinistra assurda, pretestuosa e anacronistica e dimostra tutta la difficoltà che sta vivendo l'opposizione". Il governo non ha fatto altro che utilizzare "il canale di comunicazione che gli italiani ormai comunemente usano dimostrando una capacità, sconosciuta alla sinistra, di saper capire i mutamenti del costume e della società e saper adeguare il dialogo tra le istituzioni ed i cittadini".
E così il ministro del Welfare Roberto Maroni che si dice "allibito" per una polemica che indica che "evidentemente la sinistra è così povera di argomenti da appigliarsi a qualsiasi cosa pur di dare addosso al governo, un atteggiamento masochista che farà perdere voti alla sinistra".
Spiegazioni che non soddisfano e non placano il centrosinistra: i Ds rispondono direttamente a Fini facendogli notare "che il giornale scegliamo di comprarlo o di non comprarlo, un canale televisivo scegliamo se guardarlo oppure no. Invece il messaggio sui telefonini è giunto a tutti, senza previo consenso, passivamente. E il fatto che il governo abbia approntato in fretta e furia un decreto legge ad hoc per aggirare la normativa del garante sulla privacy, rende tutta l'operazione ancora più discutibile".
Luciano Violante esprime le sue riserve sull'iniziativa e si chiede: "Chi ha dato a palazzo Chigi i numeri di cellulare, che come è noto sono riservati?". Secondo Violante è questo il segno che "il centrodestra teme di perdere le elezioni".
Non solo violazione della privacy, ma "uno scandalo da 10 miliardi di vecchie lire che vanno a pesare sui contribuenti". E' la denuncia di Fabrizio Morri direttore della campagna elettorale della Lista Uniti nell'Ulivo che spiega: "Apprendiamo che i centralini della Tim sono intasati da telefonate di protesta di cittadini: siamo di fronte ad una violazione della privacy dei cittadini, e nessuna motivazione addotta fin qui dal governo, appare convincente. E siamo di fronte ad un abuso a quanto si dice, sarebbe costato tra i 7 e i 10 miliardi di vecchie lire ai contribuenti italiani. E' uno scandalo". Controffensiva ironica della lista unitaria, che ha inviato a aprenti e amici un sms che suona: "Elezioni 2004. Si vota Uniti nell'Ulivo sabato 12 e domenica 13. Necessari documento e tessera elettorale. Presidenza Cons. Min".
Alle parole critiche e alle telefonate di protesta ai centralini, oltre che della presidenza del Consiglio, a quelli dei vari gestori di telefonia mobile, seguono le azioni concrete: piovono denunce da parte delle associazioni dei consumatori, ma anche di singoli cittadini mentre molte altre persone, anziché passare all'azione legale, stanno tempestando i centralini della presidenza del Consiglio dei ministri per protestare. Elio Lannutti, presidente dell'Adusbef, si chiede "chi paga i costi degli sms (5,7 milioni di euro)? E, se il Garante ha autorizzato Berlusconi, non può vietare ad altri candidati di utilizzare lo stesso strumento per farsi propaganda elettorale". Mentre le domande rimangono in sospeso, l'associazione, che ha ricevuto decine e decine di telefonate di protesta, "ha inviato una denuncia al Garante della Privacy, Stefano Rodotà, affinché chiarisca immediatamente la vicenda".
Denuncia contro la Tim da parte della Federconsumatori di Bologna con l'accusa di aver violato il diritto alla privacy. Nella denuncia si sostiene anche che il messaggio, "sottoscritto da soggetto rappresentante una parte politica con l'invito esplicito al voto", è di natura elettorale e configura "una ulteriore violazione delle libertà personale di ogni cittadino.
E anche il partito separatista altoatesino Union fuer Suedtirol che ha annunciato una denuncia per la violazione della legge sulla riservatezza a carico dello stesso presidente del Consiglio.
Il Garante, riservandosi la valutazione, ricorda intanto le condizioni di invio di sms senza consenso degli utenti: un provvedimento del 12 marzo 2003 stabilisce che gli operatori di telefonia mobile possono inviare, in deroga al principio del necessario consenso degli interessati, messaggi sms "in casi di disastri e calamità naturali" e "per ragioni di ordine pubblico, igiene e sanità pubblica". "La deroga - si legge in una nota - è ammessa sulla base di un provvedimento d'urgenza dell'autorità pubblica competente". Per il governo l'"urgenza" è proprio legata all'ordine pubblico: il decreto del Viminale cita il fatto che si vota sabato e domenica, invece di domenica e lunedì come avveniva di solito, e con orari diversi, con la conseguente necessità di informare in maniera efficace gli elettori per evitare malintesi o ritardi nelle operazioni di voto
Dal sito forza - italia (per par condicio)
Il provvedimento del Garante della privacy del 12 marzo 2003 prevede l'invio di messaggi Sms da parte dei gestori per ragioni di ordine pubblico, anche in assenza di consenso.
Questa è la causa del messaggio sms inviato a cura del ministero dell'Interno: siccome si vota per la prima volta di sabato e domenica (invece di domenica e lunedì come avveniva di solito) e con orari diversi, era necessario comunicarlo in maniera efficace agli elettori, per evitare malintesi, file o ritardi nelle operazioni di voto.
Tante polemiche per nulla, dunque. L’unica vera "vittima" degli sms del governo è stata la conclusione della campagna on line di Forza Italia: dopo la "Caccia alle bufale on line", il nuovo sito www.votaberlusconi.it e la poderosa campagna banner, avevamo lanciato l’operazione SMS "Sostieni Molto Silvio". L’abbiamo sospesa, perché nessuno potesse specularci sopra: un’iniziativa istituzionale non può che prevalere su un’azione di partito come la nostra. Ubi maior, minor cessat…
Federconsumatori
COMUNICATO STAMPA
11 giugno 2004
SMS ELETTORALI INVIATI DALLA PRESIDENZA DEL CONSIGLIO: VIOLAZIONE DELLA PRIVACY E SPRECO DI DENARO PUBBLICO
GLI SMS ELETTORALI DISTURBANO ANCHE IL SONNO DI MILIONI DI ITALIANI!
Federconsumatori, Adoc e Adusbef hanno denunciato, alla procura della Repubblica di Bologna, l’invio di 7.000.000 sms durante la giornata di ieri e di 19.000.000 previsti per oggi, da parte della Presidenza del Consiglio in merito alle date e ai documenti necessari per il voto per le prossime elezioni del 12 e 13 giugno 2004.
La motivazione di tale denuncia rientra nel reato di violazione della privacy, in quanto molti cittadini non hanno dato la propria autorizzazione alle diverse società telefoniche per la ricezione di messaggi di questa tipologia. Pertanto, l’invio di tali sms rappresenta una palese violazione del diritto alla privacy.
Riteniamo anche che 26.000.000 sms avranno, di certo, un bel costo che rappresenta nient’altro che un uso improprio nell’utilizzo di denaro pubblico.
Infine, molti cittadini hanno lamentato di essere stati importunati durante le ore notturne. Anche di questo, si dovrà rispondere nelle opportune sedi legali.
Mi unisco anch'io alle denunce gia' fatte.
Mio dio come siamo caduti in basso ... speriamo di avere la forza di rialzarci.
Ecco, io ieri avevo dimenticato il cell a casa (non ci convivo tanto bene, con quel coso), sono stata occupatissima tutto il giorno, e una volta ricasata sono andata a vedere i messaggi, anche perchè c'era la Noferpargola maggiore in viaggio.... E mi son trovata il messaggino del/la Pr.Cons.Min.
Che, ve lo devo dire che mi son messa da bravina a rispondere?
Che, ve lo devo confermare anche io che il n° di invio era oscurato?
Che, ve lo devo chiedere a voi CHI accidenti paga 'sta bolletta?
Ma come, c'è mezza italia, me compresa, che si sta industriando a mettere le password più astruse persino ai PC di ufficio non in rete (così, se l'impiegata è assente non si lavora più, magari), e qualcuno fornisce tutti gli elenchi dei numeri di telefono cellulare???
Ma stiamo scherzando?
Perchè, se stiamo facendo sul serio, il sig. Mio-server-telefonico mi deve proprio spiegare quando gliene avrei dato il permesso.
Soprattutto, il/la Pr.Cons.Min. mi deve spiegare in base a quale norma è di pubblica utilità mandare un sms per ricordarmi ciò con cui mi stanno già martellando tutti i canali televisivi. Evidentemente, il/la Pr.Cons.Min. ignora che persino molti undicenni posseggono cellulare personale, e non votano al pari dei diciassettenni. Praticamente tutti gli immigrati, comunitari o meno, posseggono cellulari, e non votano. Da qui discende che le ipotesi son due: 1) sono stati mandati messaggi a tutti i cellulari indistintamente, e quindi la spesa è inutilmente gravata, fose solo dai titolari di più contratti/schede; oppure,2) son stati mandati solo a chi può effettivamente avere il diritto al voto, senza doppioni, e in questo caso qualcuno non si è fatto gli affari suoi: da qui non si esce.
In particolare, io vorrei sapere a spese di chi il sig. Silvio Berlusconi mi ha inviato giorni fa, a mezzo poste italiane, un libercolo,recante all'affrancatura la seguente dicitura: "Tariffa pagata P.D.I.-DCB centrale/ PDI/184/2004- Valida dal 06.04.04-Tar. Rid. L.515/93".
Desidero spiegazione, come gli ho risposto, anche perchè " Il pubblico ufficiale o l'incaricato di un pubblico servizio, che, avendo per ragione del suo ufficio o servizio il possesso o comunque la disponibilità di denaro o di altra cosa mobile altrui, se ne appropria, è punito con la reclusione da tre a dieci anni.Si applica la pena della reclusione da sei mesi a tre anni quando il colpevole ha agito al solo scopo di fare uso momentaneo della cosa, e questa, dopo l'uso momentaneo, è stata immediatamente restituita». Che non è una mia invenzione, è l'art. 314 del Codice Penale vigente, dal titolo "peculato". Se la tariffa prepagata di cui sopra è prepagata a carico del/la Pr.Cons.Min., o di una qualunque altro ufficio statale, direi che la fattispecie calza a pennello.
E anche perchè "Il pubblico ufficiale o l'incaricato di un pubblico servizio, che, abusando della sua qualità o dei suoi poteri, costringe o induce taluno a dare o a promettere indebitamente, a lui o ad un terzo, denaro od altra utilità, è punito con la reclusione da quattro a dodici anni».E questo è l'art. 317, dal titolo "concussione". E chiunque paghi per inviare un sms di sollecito al voto a un minorenne o a un cittadino straniero ha in ogni caso procurato indebita utilità al gestore telefonico, quale che sia.
Non mi sta bene, che negli ambulatori pubblici ci siano liste di attesa per indagini come la TAC o le mammografie lunghe mesi, perchè non ci son soldi per pagare il personale (anche se si pagano ampiamente i convenzionamenti esterni), e poi si buttano milioni di euro per giocare a mandarsi i messaggini come i quattordicenni!
Mi piacerebbe che nelle scuole, sin dalle elementari, si incominciasse a parlare di diritto. Che si spiegasse cos'è un reato e cosa una contravvenzione, che si chiarisse il concetto di illecito. Mi piacerebbe che nelle università, indipendentemente dal corso di laurea, si studiassero i fondamentali di diritto civile e di diritto penale, con cenni anche sul diritto societario. Come fanno nel resto d'Europa, e persino nei paesi ex sovietici.
Forza, onesto: te l'ho detto che non può piovere per sempre!
Infervoratissimi auguri di buon voto, ma soprattutto buona domenica e splendido lunedì, a tutti.
Nofer
Finalmente l'ho trovato!
Questo e' il decreto sugli SMS della ex PRESIDENZA DEL CONSIGLIO DEI MINISTRI nella sua interezza.
A leggere i vari Visto, Considerato, Ritenuto e Valutata non so se ridere o piangere.
Ciao a tutti
Onesto
Elezioni europee ed amministrative, 12-13 giugno 2004
Il Ministro dell’Interno
VISTO l'articolo 1, comma 2, della legge 1 aprile 1981, n.121;
VISTO il Decreto del Presidente della Repubblica di indizione dei comizi elettorali per l'elezione dei membri del Parlamento Europeo spettanti all'Italia, per i giorni di sabato 12 giugno e domenica 13 giugno 2004;
VISTO il proprio decreto di fissazione del turno annuale delle
consultazioni amministrative previste per le stesse giornate dei 12 e 13 giugno 2004;
CONSIDERATO che per la prima volta le operazioni di voto si svolgeranno nelle giornate di sabato e domenica e non, come nelle precedenti consultazioni, nelle giornate di domenica e lunedì;
CONSIDERATO che sono state adottate una campagna ordinaria ed una campagna straordinaria di comunicazione istituzionale volte ad informare gli elettori che le operazioni di voto si svolgeranno dalle ore 15.00 alle ore 22.00 di sabato 12 giugno 2004 e dalle ore 7.00 alle ore 22.00 di domenica 13 giugno 2004, e che non si potrà votare il successivo lunedì 14 giugno;
CONSIDERATO che operazioni di rilevazione segnalano che, nonostante le misure di comunicazione adottate, parte consistente dell'elettorato non é ancora a conoscenza delle novità introdotte;
CONSIDERATO che la non sufficiente conoscenza da parte degli
elettori delle novità introdotte sulle giornate e gli orari di voto per le prossime elezioni europee ed amministrative, potrebbe realisticamente comportare nella serata di domenica, il verificarsi di affollamenti ai seggi con conseguenti ritardi nella chiusura delle operazioni di voto;
CONSIDERATO che tali affollamenti potrebbero provocare, come già
accaduto in analoghe circostanze, disagi e turbamenti sotto il profilo
dell'ordine pubblico;
CONSIDERATO che, in presenza dei richiamati disagi e ritardi,
potrebbero pervenire i primi risultati dello scrutinio dagli altri Paesi
dell'Unione Europea, mentre in Italia sono ancora in corso le operazioni di voto;
CONSIDERATO altresì, la necessità di evitare che elettori si possano recare ai seggi nella giornata di lunedì, non riuscendo così ad esercitare il loro diritto di voto;
RITENUTA pertanto la necessità di adottare ogni utile ed idonea misura atta ad evitare il verificarsi di possibili situazioni di turbativa per la tutela dell'ordine pubblico;
RITENUTO che, tra le misure indispensabili per una compiuta
informazione del corpo elettorale, al fine di evitare le situazioni rilevanti per la tutela dell'ordine pubblico, vada prescelta quella dell'invio a tutti gli abbonati e titolari di carte ricaricabili, di un messaggio SMS da parte dei fornitori dei servizi di telefonia mobile, al solo fine di confermare le giornate e gli orari nei quali è consentito votare;
RITENUTO di provvedere in tal senso conformemente al provvedimento del Garante per la protezione dei dati personali del 12 marzo 2003, in tema di invio di messaggi SMS per conto o da parte di soggetti pubblici per fini di pubblica utilità;
VALUTATA la necessità di provvedere con urgenza dal momento che non è differibile l'adozione di misure a riguardo:
DECRETA:
in attuazione del presente decreto i fornitori di servizi di telefonia mobile sono tenuti ad inviare, anche in deroga alle norme vigenti, a tutti gli abbonati e titolari di carte ricaricabili un messaggio SMS relativo alle giornate e agli orari di svolgimento delle operazioni di voto per le elezioni del 12 e 13 giugno secondo il fac-simile allegato.
Il messaggio dovrà essere inviato una sola volta entro e non oltre le ore 24,00 di venerdì 11 giugno p.v..
IL MINISTRO
Roma, 9 giugno 2004
Fac-simile
allegato al decreto del Ministro dell'Interno in data 9 giugno 2004
ELEZIONI 2004
Si vota sabato 12 dalle 15 alle 22 e domenica 13 dalle 7 alle 22.
E' necessario documento e tessera elettorale.
Presidenza del Consiglio dei Ministri
PS: x Nofer
Forse non siamo ancora completamente mitridatizzati!
Un salutone di speranza
non per andare fuori tema , ma ho un problema interpretativo.
una ditta piccolissima che ha un solo cliente e un commercialista è tenuta a fare qualcosa relativamente alla privacy? i suoi dati sono tutti in mano al commercialista (con dati intendo solo dati personali) ed il commercialista ha mandato una lettera nella quale informa che sono tenuti alla notifica al garante e alla redazione del PDS.
io avrei detto che non devono fare nulla...ma sentito un amico questi mi ha detto che devono nominare il commercialista loro responsabile della privacy...
io comincio a non capirci più nulla....
al di là del prezzo esorbitante chesto dal commercialista, secondo me è il commercialista stesso in quanto ditta a dover adeguarsi...
voi cosa ne pensate?
un aiuto sarebbe davvero una manna...
grazie
E' molto difficile interpretare la norma relativa alla privacy. Secondo me, se l'azienda ha delegato il commercialista a trattare i dati contabili, rimane il fatto che il responsabile del trattamento e' il titolare, che incarica un terzo del trattamento vero e proprio. Pero' ritengo difficile che non esistano altri dati oltre a quelli contabili. Un nome, un elenco di dipendenti del committente, un paio di numeri di telefono.
Colgo l'occasione per riproporre il mio post scritto proprio prima che iniziasse la bagarre preelettorale, sperando che qualcuno abbia anche per me una risposta o una parola di conforto... )
Il post aveva titolo: Dubbio su cio' che scrive Paolo
"...ringraziandolo comunque per le tantissime spiegazioni.
Non mi torna una questione:
Io ho letto la legge, senza soffermarmi su ogni singola virgola, ma con attenzione. Da alcuni passaggi intuisco che e' necessario estendere un DPS anche solo per i dati personali, da altri passaggi invece capisco che e' necessario solo per i dati sensibili o giudiziari. Poi leggo il tuo ultimo post: "I miei post precedenti sottolineavano comunque che il DPSS è vivamente consigliato per tutti coloro che trattino dati, anche non sensibili, viste le sanzioni......; magari redigere un documento più limitato ma è consigliabile scrivere qualcosa". Che fare per i soli dati personali? Possibile che sia cosi' tanto "interpretabile" questa legge?
Da ultimo, vorrei un parere, se possibile: i giudizi di idoneita' alla mansione, senza ovviamente alcun riferimento ai risultati dei singoli esami e delle singole visite (in definitiva...la sola dizione IDONEO, NON IDONEO, IDONEO CON LIMITAZIONI), e' un dato sensibile, secondo voi?
Guida operativa per redigere il Documento programmatico sulla sicurezza (Dps)
L'Ufficio del Garante pone a disposizione degli operatori una guida per redigere e aggiornare il documento programmatico sulla sicurezza, soprattutto nelle realtà piccole e medie dimensioni.
La guida è stata semplificata sulla base dei commenti pervenuti all'esito della consultazione pubblica ed è utilizzabile facoltativamente.
Buon giorno a tutti.
Date che siamo tornati al tema iniziale spero di riuscire a rispondere ai quesiti posti.
Per Saile:
secondo il mio punto di vista, se la ditta piccolissima non tratta direttamente i dati su computers non dovrebbe fare il DPSS.
I dati di cui comunque è in possesso potranno essere dati comuni relativi al cliente e forse a fornitori ed a altri soggetti: per questi deve dare comunque l'informativa ai soggetti medesimi, senza richiedere il consenso al trattamento poichè, appunto, sono dati comuni.
Se non ha dipendenti, probabilmente non ha dati sensibili; se ne ha, dovrà dare l'informativa ai dipendenti e richiederne il consenso, poichè di questi ultimi acquisirà senz'altro dati sensibili.
Per quanto riguarda poi il commercialista, questo dovrà fare una lettera al cliente nella quale conferma che si è messo lui stesso a posto con la privacy, redigendo il DPSS e assumendo per iscritto l'impegno al rispetto delle disposizioni in materia di privacy.
Il cliente poi, se ha dipendenti, dovrà fare una lettera al commercialista, nella quale conferma di:
- aver inviato l'informativa
- aver ricevuto il consenso al trattamento
- custodire la documentazione presso di sè
Escludo che la ditta debba fare la notifica al Garante, a meno che non tratti dati di cui all'art. 37 (la qual cosa doveva comunque essere fatta entro il 30/4/04, oppure, in caso di ditta nuova, prima del trattamento dei dati).
Non c'è dubbio poi che il titolare del trattamento rimane la ditta stessa.
Mauro ha poi ragione: è molto difficile interpretare la norma relativa alla privacy.
E proprio per questa ragione, io propendo per consigliare tutti a redigere il DPSS.
Non è un grande impegno, il garante ha poi, come dice Sandro, messo a disposizione in data 11/6/04 ulteriori note per la redazione del DPSS che possono essere prelevate dal sito.
Viste le sanzioni molto elevate, secondo me è l'unico modo per essere veramente al sicuro: sarà forse un ragionamento troppo restrittivo, ma preferisco stare "dalla parte della ragione".
In ultimo, sempre per Mauro, secondo me i giudizi di idoneità ad una mansione non sono dati sensibili, poichè il Medico Competente che dà il giudizio, nel caso di non idoneità o idoneità parziale non comunica al Ddl una diagnosi ma fa solo delle prescrizioni (la diagnosi viene riportata nella cartella clinica del paziente che rimane sigillata).
Naturalmente questi sono solo miei pareri: passo la palla ai Forumiani per una eventuale discussione.
Cordiali saluti a tutti.
Paolo
Oggetto: prima applicazione del Codice in materia di protezione dei dati personali in materia di "misure minime" di sicurezza (artt. 31-36 e Allegato B) al d.lg. n. 196/2003).
2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B)).
Quindi i soli dati dei clienti (es. anagrafiche) non sono sensibili, niente DPS. Attendo lumi da un collega che sta seguendo un corso sulla privacy (?)
ho trovato un documento (.doc) molto esaustivo su questo argomento, comprensivo di una serie di comunicazioni e domande per tutti i tipi di dati..insomma è molto completo e fornisce anche un'ottima linea guida...ho sentito prezzi spaventosi per questo servizio:O!! Il problema è che è composto da molte pagine e non mi sembra il caso di pubblicarlo qui..in ogni caso attendo notizie dal moderatore del forum che saluto cordialmente
Porto a conoscenza di chi fosse interessato che in un quotidiano economico di oggi, 23.06.2004, e' stata data notizia della proroga per la redazione del DPSS dal 30/6/04 al 31/12/04, con anche possibile ulteriore rinvio al 31/3/05.
A giorni dovrà essere pubblicato sulla G.U.
Viene quindi confermata la notizia della concessione di una proroga che già circolava da alcuni giorni.
Speriamo solo che le aziende, come sempre succede in questi casi, non abbandonino l'argomento e aspettino all'ultimo minuto per mettersi in regola.
Cordiali saluti a tutti.
Paolo.
Se Salvatore vuole mandarmi il doc. valutero' se il suo peso in kB e' tale da permetterne la 'messa on line'.
Anche se alla luce della proroga citata da Paolo aspetterei piu' avanti a pubblicare approfondimenti ulteriori e magari piu' completi (che verranno sicuramente fuori) per evitare di trovarci all'ultimo minuto potrebbe gia' essere interessante riportare quanto trovato da Salvatore.
Se lo stesso Salvatore potesse darci il link al documento reperito (ammesso che sia un link istituzionale) per noi sarebbe molto meglio facendoci risparmiare spazio prezioso (e costoso) nel server.
Cordiali saluti e grazie a tutti per la collaborazione.
LA PRIVACY DA' TEMPO FINO A FINE 2004.
"Varato dal Consiglio dei Ministri un DL. che proroga gli obblighi in materia di privacy. Il termine per la redazione del DPS slitta a fine 2004. "
Se il Moderatore è d'accordo, e mi vuole mandare una mail di conferma, posso fornire un modello di informativa e di raccolta consenso specifico, da far firmare da parte del Ddl ai dipendenti della propria ditta.
Questo è il caso classico in cui occorre il consenso scritto del dipendente, trattandosi di trattamento di dati anche sensibili.
Saluti,
Paolo
intervengo in questo thread in quanto ha raggiunto il ragguardevole traguardo dei 50 posts ed interrompo le Vostre interessantissime discussioni per rimandarVi ad un altro thread denominato 'Privacy (parte II)' che ne e' il naturale proseguimento ed il cui link trovate piu' sotto
Io so cosa scegliere
[/img]