Testo Legge
Sanzioni
Domande
Informativa

FAQ sulla nuova legge per la Tutela della Privacy e per il Documento Programmatico Sulla Sicurezza.

le risposte alle domande più frequenti


Davvero questo Dlgs. 196/2003 o Codice della Privacy ci riguarda?

Sì. L’obbligo è esteso a tutte le Aziende che trattano dati personali. Come minimo la vostra azienda tratta i dati (in elettronico o su carta) dei clienti e dei fornitori. Probabilmente avete anche un database dei dipendenti che oltre ai dati personali dei vostri dipendenti contiene, direttamente o indirettamente, anche i loro dati “sensibili” (p.e. le assenze per malattia). Questi database vanno necessariamente messi in sicurezza come richiesto dalla legge ai fini di proteggere il diritto alla Privacy degli interessati a cui i dati personali si riferiscono.

In cosa consiste il “Documento Programmatico Sulla Sicurezza” richiesto dal Dlgs.196/2003 o Codice della Privacy?

E' un documento da produrre entro il 31/03/2004 (solo per quest’anno entro il 30/06/2004) e da rivedersi almeno su base annuale che consiste principalmente in una “Analisi dei Rischi” a cui i dati personali gestiti dalla vostra Azienda ed in una enunciazione delle misure di sicurezza che verranno adottate dall'Azienda per proteggere tali dati. Inoltre, si identificano le funzioni aziendali che hanno la responsabilità per la protezione e il trattamento dei dati personali.

Per gestire la nostra rete abbiamo già i nostri esperti e/o i nostri fornitori di informatica. Non si possono occupare loro della emissione del Documento Programmatico sulla Sicurezza a norma di legge?

Non è solo un problema tecnico. La privacy e quindi la sicurezza delle informazioni è un fatto organizzativo e legale. A norma del Dlgs.196/2003 riguarda sia i dati trattati elettronicamente che quelli su carta. Fissare i vostri obbiettivi di conformità al Codice della Privacy è un fatto organizzativo, certamente i vostri esperti informatici dovranno dare il loro contributo per implementare tecnicamente quanto deciso a livello organizzativo.

Le misure minime di sicurezza richieste dal Dlgs.196/2003 sembrano esagerate, assolutamente sovradimensionate rispetto alle necessità ed alle possibilità di una piccola azienda. E' vero ?

No. Probabilmente molte delle misure richieste dalla legge sono già prassi comune nella Vostra Azienda. Ai fini della conformità al Codice della Privacy, è molto probabile che dobbiate solo formalizzare quanto già state facendo mediante il Documento Programmatico Sulla Sicurezza.

Possiamo scegliere di ignorare questo dispositivo di legge ? Quali sono i rischi connessi ?

I RISCHI SONO CIVILI E PENALI. La sensibilità dell'opinione pubblica sul tema della privacy è molto alta. In caso di incidenti anche banali (p.e. il furto di un disco o di un computer contenente dati personali nella vostra azienda) potreste non essere in grado di dimostrare che i dati erano trattati in modo conforme alla legge. In questo caso vi esponete al rischio di sanzioni penali (ricordate che la responsabilità penale è personale). Su eventi meno gravi le sanzioni amministrative sono altrettanto pesanti e vanno da un minimo di 3000 Euro fino a oltre 60000 Euro più eventuali risarcimenti dei danni. Fate un attenta valutazione del costo/rischio fra il conformarsi ed il non conformarsi al Codice della Privacy è decisamente a favore della prima ipotesi.

La nostra rete è protetta dal “firewall”, non siamo già sicuri?

No. Il firewall è un dispositivo utile, ma che, quando ben configurato, svolge solo una funzione ben precisa: proteggere la vostra rete informatica aziendale da specifici tipi di incidenti di origine esterna. Questo non è il solo requisito per garantire la tutela della Privacy indicata nell Dlgs.196/2003, che in particolare mira anche a proteggere i dati personali (informatici e non) e la vostra azienda sia da incidenti interni che esterni, deliberati o accidentali. Per esempio, il firewall non vi serve a proteggere i dati in caso di perdita accidentale per guasto o furto del computer e tantomeno a proteggere i vostri archivi cartacei dalle conseguenze di un incendio.


L'adeguamento al Dlgs.196/2003 o Codice della Privacy ci porterà altri vantaggi oltre al semplice adeguamento ai requisiti di legge?

Si. Documentare e formalizzare i propri processi organizzativi porta benefici in generale all’Azienda. Adeguarvi al Codice della Privacy vi consentirà di comprendere meglio la Vs situazione organizzativa, di censire i Vs software con le relative licenze, i ruoli del Vostro personale nel contesto del sistema informativo e perciò oltre a garantire il corretto trattamento e protezione dei dati altrui siete più consapevoli di ciò che viene gestito in ambito informativo nella Vs azienda. Infine, abbassando i livelli di rischio, potreste essere nella posizione di rinegoziare al ribasso eventuali polizze assicurative in essere o ottenere migliori condizioni per quelle future.