RES s.r.l.

Come ormai saprete, il mantenimento del “sistema di gestione della privacy” dal punto di vista documentale si sostanzia in due attività:

• un'ATTIVITA’ DI MANTENIMENTO DINAMICA da svolgersi in in corso d’anno continuativamente, al manifestarsi di determinati cambiamenti
• un'ATTIVITA’ DI MANTENIMENTO STATICA da effettuarsi entro il 31 marzo di ogni anno

La prima attività di tipo dinamico comprende, per esempio, l’emissione di lettere di nomina agli incaricati interni o ai responsabili esterni ed altro ancora. L’attività invece di tipo statico comprende la revisione e remissione del Documento Programmatico per la Sicurezza dei dati (DPS) in tutte le sue parti. 

Effettuare l’aggiornamento dinamico in corso d’anno puntualmente ad ogni cambiamento organizzativo, agevola notevolmente l’attività corposa di revisione completa del DPS. Per tale motivo, di seguito si suggeriscono le modalità più efficaci per gestire i cambiamenti in corso d’anno e quindi far pervenire alla nostra società RES srl le informazioni necessaria per aggiornare la documentazione privacy in tempo reale.

Le situazioni prese in considerazione sono 7. Per ciascuna di queste indicate sotto in elenco, si indicano le informazioni specifiche che occorre comunicare tempestivamente.

1. A.    assunzioni
2. B.    dimissioni
3. C.    cambi di mansione
4. D.    introduzione nuove unità organizzative
5. E.    nuovi responsabili esterni del trattamento dei dati
6. F.    modifiche alle finalità dei trattamenti per cui sono raccolti i dati
7. G.    modifiche riguardanti gli aspetti ambientali
8. H.    installazione di un sistema di videosorveglianza

1. A.    COMUNICAZIONE ASSUNZIONI

In questo caso è necessario comunicare i seguenti dati:

1. nome e cognome della nuova risorsa inserita
2. data di assunzione
3. unità organizzativa in cui la risorsa viene inserita: indicare esattamente una delle unità organizzative già inserite nel DPS parte allegati - sezione composizione unità organizzative di cui si riporta uno stralcio.

(stralcio tratto dalla parte tabellare degli allegati al DPS)

1. trattamenti affidati alla risorsa inserita: in caso essa svolga gli stessi trattamenti di un’altra persona già presente nell’unità organizzativa di interesse, basta indicare il nominativo di quest’ultima specificando che le due risorse svolgono gli stessi trattamenti; in caso invece la nuova risorsa inserita svolga solo alcuni dei trattamenti assegnati all’unità organizzativa di appartenenza o trattamenti non ancora indicati, occorre specificare bene quali essi siano. I trattamenti delle unità organizzative da prendere come riferimento sono quelli elencati nel DPS parte allegati - sezione trattamenti per incaricati di cui si riporta di seguito uno stralcio.

(stralcio tratto dalla parte tabellare degli allegati al DPS)

1. B.    COMUNICAZIONE DIMISSIONI

In questo caso è necessario comunicare i seguenti dati:

1. nome e cognome della persona dimessa
2. data di dimissioni
3. unità organizzativa in cui la risorsa era inserita: indicare esattamente una delle unità organizzative già inserite nel DPS parte allegati - sezione composizione unità organizzative

1. C.    CAMBIO DI MANSIONI E TRASFERIMENTO DA UNA UNITA’ ORGANIZZATIVA ALL’ALTRA

In questo caso è necessario comunicare i seguenti dati:

1. nome e cognome dell’incaricato
2. data dalla quale decorre il cambio di mansione o unità organizzativa
3. unità organizzativa a cui apparteneva la risorsa
4. unità organizzativa nuova in cui la risorsa viene inserita: indicare esattamente una delle unità organizzative già inserite nel DPS parte allegati - sezione composizione unità organizzative
5. trattamenti affidati alla risorsa inserita: in caso essa svolga gli stessi trattamenti di un’altra persona già presente nell’unità organizzativa di interesse, basta indicare il nominativo di quest’ultima specificando che le due risorse svolgono gli stessi trattamenti; in caso invece la nuova risorsa inserita svolga solo alcuni dei trattamenti assegnati all’unità organizzativa di appartenenza, occorre specificare bene quali essi siano. I trattamenti delle unità organizzative da prendere come riferimento sono quelli elencati nel DPS parte allegati - sezione trattamenti per incaricati di cui si riporta di seguito uno stralcio.

NOTA: Se la risorsa continua ad appartenere anche alla vecchia unità organizzativa, occorre specificarlo.

1. D.    INTRODUZIONE NUOVE UNITA’ OIRGANIZZATIVE

In questo caso è necessario comunicare i seguenti dati:

1. denominazione nuova unità organizzativa
2. nome e cognome delle risorse inserite nell’unità
3. elenco dei trattamenti di pertinenza dell’unità con indicazione di quali incaricati li svolgono

E. NUOVI RESPONSABILI ESTERNI

Il responsabile esterno è la persona giuridica a cui l’organizzazione affida alcuni dei dati di cui essa stessa è titolare, al fine di effettuare alcuni trattamenti. Classico esempio è il commercialista, l’avvocato, la società che fa manutenzione software e quindi puo’ visionare i dati inseriti nei pc, il consulente del lavoro che elabora i cedolini paga, etc.

In questo caso è necessario comunicare i seguenti dati:

1. Ragione sociale e indirizzo completo del nuovo responsabile esterno
2. trattamenti affidati al responsabile esterno

In caso invece i responsabili esterni siano da eliminare, basta indicare la ragione sociale.

F. NUOVE FINALITA’ DI TRATTAMENTO DA INSERIRE NELLE INFORMATIVE

Le informative elaborate per clienti, fornitori, dipendenti, collaboratori, candidati, stagisti, etc. riportano a pagina 1 una sezione intitolata “Finalità del trattamento cui sono destinati i dati”. Tale sezione riporta le principali finalità per cui l’organizzazione raccoglie e tratta i dati. In caso occorra aggiungere una nuova finalità non ancora ricompresa tra quelle elencate, occorre darne tempestiva comunicazione in quanto l’informativa è un documento che deve sempre essere aggiornato.

G. MODIFICHE RELATIVA ALL’UBICAZIONE DELLA STRUTTURA E DEGLI UFFICI NONCHE’ DEGLI ACCESSI

Nel DPS parte base introduttiva, al paragrafo 5.1 intitolato “Misure relative ai rischi ambientali e generali”, viene descritta la collocazione geografica dell’organizzazione ed il controllo dell’accesso ai locali con relative autorizzazioni. Ogni cambiamento significativo (spostamento sede operativa ed uffici ove sono conservati i dati, introduzione di nuovi accessi, etc), va comunicato in corso d’anno in modo da poter aggiornare il DPS.

H. INSTALLAZIONE DI UN SISTEMA DI VIDEOSORVEGLIANZA

In questo caso occorre segnalare quanto segue:

1. data a partire dalla quale il sistema entra in funzione
2. presenza di registrazione di immagini o semplice rilevazione su monitor senza registrazione
3. durata della conservazione delle immagini (24 ore, 48, etc) se registrate
4. Società che ha installato il sistema e ne effettuerà la manutenzione (ragione sociale completa ed indirizzo)
5. n. telecamere collocate esternamente, ubicazione ed area visualizzata (accessi, area cortile, etc.)
6. n. telecamere colocate itnernamente, ubicazione ed area visualizzata (accessi porte, finestre, etc.)
7. persone incaricate di visionare le immagini rilevate sui monitor o registrate su supporto (nome e cognome)

NOVITA’: L’AMMINISTRATORE DI SISTEMA

Dall’anno scorso, come comunicato mediante circolari, poi è stata introdotta la novità dell’amministratore di sistemaovvero la figura che deve in sostanza curare:

-         la gestione e la manutenzione di un impianto di elaborazione o di sue componenti;

-         i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

Gli amministratori di sistema, quindi, pur non svolgendo  ordinariamente attività che implicano una specifica operatività sui dati (significato e rappresentazione dei dati, trattamenti definiti e dettagliati), sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.

Il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti una concreta capacità di azione sui dati che costituisce a tutti gli effetti trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime.

Il Codice della privacy non ha incluso questa figura tra le proprie definizioni normative.

Le funzioni tipiche dell'amministratore di sistema, peraltro, sono evidenti nell’Allegato B al codice, dove si prevede per i titolari l'obbligo di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nell’Allegato B sono tipici dell'amministratore di sistema: dalle operazioni di backup e recovery dei dati alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.

Vista la particolare criticità della figura di amministratore di sistema, il Garante ha previsto speciali misure di sicurezza da adottare in caso esso venga nominato internamente all’azienda.

Nel caso invece in cui tale servizio sia affidato in outsourcing, il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Abbiamo ritenuto utile fornirvi nuovamente le suddette informazioni in modo da consentirvi di verificare, anche a seguito di eventuali mutamenti organizzativi intervenuti, l’esistenza nella Vostra realtà di una figura che svolga in concreto le funzioni tipiche dell’amministratore di sistema.

In ogni caso vi ricontatteremo al piu’ presto tramite mail inviandovi una bozza di DPS 2010 aggiornata con le ultime modifiche da voi richieste, in modo che possiate procedere alla revisione del documento in maniera rapida ed agevole.