Immagine: Less is more

Privacy e sicurezza dei dati

 

Il problema

Il D.L.vo 196/2003 "Codice in materia di protezione dei dati personali" detto anche "Testo unco sulla Privacy" è la normativa entrata in vigore dal 1° gennaio 2004 che amplia il percorso legislativo compiuto dall'Italia in materia di dati personali a partire dalla legge 675/96.
Esso prevede che ciascun soggetto (professionista, azienda, ente, associazione, ecc.) che tratti i dati personali di terzi (dipendenti, clienti, fornitori, ...) deve adottate misure tecniche e obblighi (misure minime) a garanzia di standard di sicurezza minimi.
Prevede, inoltre, la redazione del Documento programmatico sulla Sicurezza (DPsS) entro il 31 marzo di ogni anno per coloro che trattano dati sensibili (es. buste paga dipendenti), specificando che chi omette di adottare le misure minime di sicurezza è punibile con l'arresto fino a 2 anni o con l'ammenda da 10 mila a 50 mila euro. Gli accertamenti vengono effettuati dalla Guardia di Finanza.
 

La soluzione 

Adempiere a tutti gli obblighi di legge implementando le misure minime e le misure idonee previste dalla lgge con l'aiuto dello staff consulenziale di G.L. Consulting che si occupa di privacy e sicurezza informatica dal 1996 (legge 675/96)
 

I vantaggi della soluzione G.L. Consulting:

  • Elevata copetenza tecnica in ambito di sicurezza informatica
  • Socio Clusit (www.clusit.it) Associazione Italiana per la Sicurezza Informatica
  • Elevata competenza legale con staff dedicato (dottori ed avvocati) specilizzati nelle tematiche della privacy
  • CTU del tribunale di Como per i reati di informatica
  • Varietà di casi riscontrati con più di 200 clienti seguiti direttamente
  • Ampia casistica di approfondimento fornita attraverso il portale internet
  • Newsletter mensile di approfondimento
  • Più di 50 corsi di formazione per il personale, anche in ambiente sanitario, per le imprese
  • Più di 20 conferenze sul tema in Camera di Commerco, Pubbliche Amministrazioni, Associazioni di Categoria, Club

Metodologia utilizzata:

  1. Rilevazione dello scenario di riferimento
    Per adempiere alle disposizioni di legge è necessario effettuare una preventiva ricognizione di carattere organizzativo, finalizzata alla raccolta degli elementi necessari per la verifica di quanto fatto dall'azienda in materia di sicurezza dei dati e del gap che bisogna colmare per rispondere al nuovo dettato normativo. Tale fase è suddivisa nelle seguenti sottofasi :
    1.1  ANALISI CONOSCITIVA DELLA SOCIETA'
    Si procede ad una conoscenza di dettaglio dell'azienda, definendo l'attività svolta, il settore di appartenenza, l'organigramma aziendale e l'area geografica in cui opera.
    1.2  IDENTIFICAZIONE BANCHE DATI E TRATTAMENTI
    Censimento delle banche dati presenti in azienda su supporti informatici e cartacei, con classificazione dei dati (personali, ordinari, sensibili o giudiziari) ed elenco dei trattamenti effettuati su di essi.
    1.3  STRUTTURA ORGANIZZATIVA
    Messa in evidenza dei ruoli e delle responsabilità, con particolare riferimento alle figure organizzative previste dal Testo Unico, allo scopo di aggiornare la “catena delle responsabilità”. Verifica tra i “Ruoli di legge” istituiti e quelli da istituire per creare una struttura organizzativa che consente di ottemperare a quanto previsto dal Legislatore. Individuazione di società terze che, per lo svolgimento della propria attività (es. gestione paghe), ricoprono i “Ruoli di Legge” (CoTitolare, Responsabile)
    1.4  ADEMPIMENTI LEGALI E BUROCRATICI
    Verifica della formalizzazione delle nomine/autorizzazioni previste dalla 196/2003 e verifica degli adempimenti burocratici (informativa, richiesta consenso, notificazioni al Garante, documento con data certa, procedure, …)
  2. Valutazione dei rischi.
    Valutazione del rischio cui il sistema informativo della società è potenzialmente soggetto, al fine di delineare le contromisure da implementare per garantire un livello di sicurezza adeguato.
    La valutazione dei rischi è un audit condotto in stretta collaborazione con il management e i responsabili IT per identificare quali sono le risorse da proteggere, valutarne le caratteristiche tecnico-fisiche, stimare le probabilità di un evento volto a minacciarne l'integrità e misurare i danni potenziali.
    Lo scopo di questa fase è individuare le misure di sicurezza necessarie per la salvaguardia dei beni aziendali, dei dati (in termini di distruzione o perdita, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta) e dei servizi erogati, sia per la valutazione dell'efficacia che dell'efficienza delle misure di sicurezza esistenti.
  3. Controllo della corretta implementazione delle "misure minime"
    Dopo aver identificato i rischi si procede alla fase di aggiornamento, ove necessario, delle misure di sicurezza (minime ed idonee) adottate dall'organizzazione, delineando le contromisure fisiche, logiche ed organizzative più appropriate da implementare per proteggere i dati.
  4. Definizione delle procedure
    Formalizzazione delle procedure di sicurezza e loro diffusione in circolari a tutti i dipendenti interessati.
  5. Redazione del Documento Programmatico sulla Sicurezza
    Previsto dalla 196/2003 per chi tratta i dati sensibili, deve essere redatto entro il 31 marzo di ogni anno e annualmente aggiornato. Il Documento Programmatico sulla Sicurezza (DPsS) riassume i punti strategici da prendere come riferimento nella fase progettuale e realizzativa del progetto ed è costituito da un mix equilibrato di interventi su processi ed organizzazione, istruzione del personale e contromisure tecnologiche di protezione volte a mitigare le vulnerabilità individuate durante l'analisi.
  6. Redazione delle lettere di incarico
    Vengono predisposte le lettere di incarico per il responsabile della privacy, gli incaricati ed i responsabili esterni (persone fisiche opersone giuridiche esterne all'azienda ma che trattano dati per contop dell'azienda stessa)
  7. Redazione delle informative/modulo di consenso
    Vengono predisposte le lettere di informativa peri vari soggetti che hanno a che fare con l'azienda(fornitori, clienti, dipendenti, altri soggetti) e, dove necessario, del relativo modulo di consenso
  8. Definizione di un piano di formazione e sensibilizzazione
    Il firewall più efficace è il firewall umano. Uno dei principali strumenti di sicurezza è la formazione delle persone addette al trattamento dei dati.  Questo è un aspetto essenziale del programma di sicurezza, per diffondere in azienda la consapevolezza dei rischi.
  9. Programma di revisione ed aggiornamento periodico
    Definizione di un piano di Audit per il controllo delle misure di sicurezza adottate, la verifica della loro efficacia (anche in conseguenza agli sviluppi tecnologici) e la coerenza con le Politiche di Sicurezza definite dal vertice dell'Azienda.
    Aggiornamento sugli sviluppi normativi inerenti la materia.
     


 

Inserire la frase o il termine da cercare

Membro dell’associazione italiana per la sicurezza informatica
Iscritto ordine ingegneri di Como
Consulente tecnico d’ufficio per il Tribunale di Como – reati di informatica
 


G.L. Consulting - Ing. Gianluca Lombardi - Consulenza ed organizzazione aziendale in ambito IT
Via Brambilla n. 18 - 22100 Como - Tel. 348-2345012 - info@glconsulting.com - P.I. 02579650132