Slide background

Privacy & Standard 27001

//Privacy & Standard 27001
Privacy & Standard 27001 2017-02-15T15:52:17+00:00

privacy

 

 

 

Entrato in vigore il 1° gennaio 2004, il nuovo Testo Unico sulla Privacy presenta differenze migliorative rispetto alla precedente Legge 675/96. Di particolare interesse, nel nuovo Codice, è infine il richiamo ai codici di deontologia e di buona condotta a cui viene attribuito un certo peso in capo alle Associazioni di categoria e con riferimento a determinate attività. La presente normativa disciplina modalità e tecniche di trattamento dei dati personali riconoscendo la nuova connotazione di  bene patrimoniale  che il legislatore ha loro (dati personali) attribuito a recepimento di una Direttiva Europea.

Alla luce e nella consapevolezza di un obbligato monitoraggio continuo circa la gestione dei dati personali, le organizzazioni sono chiamate ad adempiere agli obblighi ivi prescritti, pena l’incorrere in sanzioni amministrative e penali nonché l’incombenza dell’onere della prova in capo al Titolare del trattamento dei dati personali. Il trattamento dei dati personali, infatti, è assimilato ad una  attività pericolosa per la cui gestione il codice civile viene perentoriamente chiamato in causa stabilendo che: <<Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa (leggi: Trattamento dei dati personali), per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento,  se non prova  di aver adottato tutte le misure idonee ad evitare il danno>>. Da qui, la necessità inderogabile di procedere all’attuazione di idonee azioni dalle caratteristiche organizzative, procedurali ed informative volte a dimostrare la buona fede, di ciascuna organizzazione, in presenza di contraddittorio e/o contenzioso, sia in sede giudiziaria che stragiudiziale.

 

Contributo di Colaianni Consulting

Mirato all’identificazione dello stato dell’arte con riferimento alle modalità e criteri di applicazione della legge in discorso;
  • Individuazione delle figure previste dal D. Lgs. 196/03 e smi sulla base dell’Organigramma aziendale,
  • Nomina del Responsabile aziendale del Trattamento dei Dati personali,
  • Nomina degli incaricati interni al trattamento dei Dati personali,
  • Individuazione delle Organizzazioni che, sulla base dei rapporti con l’Organizzazione, gestiscono i dati personali di Organizzazione e/o di terzi soggetti riconducibili all’Organizzazione medesima,
  • Nomina dei Responsabili esterni del Trattamento dei Dati Personali,
  • Nomina degli incaricati esterni al trattamento dei dati personali,
  • Definizione dell’Organigramma della funzione Privacy
Dati comuni, sensibili e giudiziari oggetto di trattamento, modalità di trattamento,  loro gestione per classi:
  • Organizzative,
  • Fisiche,
  • Logiche
  • Trattamento di dati svolti con l’ausilio di mezzi elettronici,
  • Trattamento di dati svolti senza l’ausilio di mezzi elettronici,
  • Identificazione degli archivi, banche dati, supporti informatici, apparecchiature informatiche ed elettroniche, unità periferiche, ecc
  • Notificazione,
  • Informativa: ai dipendenti e soggetti assimilabili, fornitori e clienti,
  • Richiesta di consenso
  • Si tratta della predisposizione della documentazione diversa da quella di cui alla precedente lettera e)  nonché a modulistica strettamente connessa a specifiche esigenze Aziendali, a Comunicazioni / Quesiti al Garante, ecc.
    Assume grande rilevanza e significatività per l’adeguamento di UTENTE alle disposizioni di Legge. Tali  procedure possono elencarsi in: formazione del personale ed addestramento dei responsabili e degli incaricati, rilevamento delle banche dati esistenti in azienda, individuazione di dati personali, predisposizione ed invio di informativa e/o richiesta di consenso, adozione di misure di sicurezza in seguito alla valutazione dei rischi, gestione e controllo dei documenti di informativa e consenso trasmessi ed ottenuti, piani di verifiche e piani di miglioramento, verifica della documentazione e della modulistica aziendale, notificazione al Garante, gestione delle richieste del Garante o dell’interessato, le procedure interne per la gestione delle contestazioni
    Consiste in un’organizzazione ordinata e sistemica della documentazione prodotta in applicazione della legislazione vigente in materia di Privacy
    Si tratta di un documento di estrema importanza la cui predisposizione è obbligatoria in caso di trattamento di dati sensibili e giudiziari.
    Consiste in uno o più incontri formativi, della durata definita e concordata con l’azienda UTENTE, effettuati con il personale dipendente interessato agli adempimenti relativi alla regolare applicazione della legislazione de-quo. Questi incontri hanno lo scopo di sensibilizzare i soggetti coinvolti a vario titolo nel trattamento dei dati personali in virtù delle proprie mansioni
    Consiste nell’assistenza professionale volta a tenere sottocontrollo l’applicazione della legislazione vigente attraverso un monitoraggio effettuato annualmente su tutti gli aspetti precedentemente considerati nonché con riferimento all’interfaccia informatica rappresentata, eventualmente, da un consulente esterno
    L’osservanza degli adempimenti in materia di Privacy, può inoltre essere integrata dall’istituzione di:un Sistema di Gestione della Sicurezza delle Informazioni. Lo Standard UNI CEI ISO/IEC 27001:2006 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI/SGI o ISMS dall’inglese Information Security Management System).

    La Norma è stata predisposta a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione.Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi, ecc..

    socio ordinario