Congiuntura Veneto - quarto trimestre 2009

Andamento e previsione dell'economia regionale - fonte REGIONE VENETO

Creato il 15 Aprile 2010.

Congiuntura Veneto - Secondo trimestre 2009

Dati congiunturali Regione Veneto (fonte Uniocamere Veneto)

Creato il 26 Ottobre 2009.

Consiglio direttivo Mandamento di Valdagno

Consiglio Direttivo Mandamento di Valdagno

Main Menu

Continua a leggere

Creato il 10 Marzo 2004.

Contatto

APINDUSTRIA CONFIMI VICENZA Associazione delle Piccole e Medie Imprese della Provincia di Vicenza
Galleria Crispi, 45 - 36100 Vicenza

Posta elettronica PEC - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Segreteria Generale - tel. 0444.232210 - - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Area Comunicazione/Stampa - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Area Direzione/Presidente - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Area Sviluppo Associativo - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Area Fiscale - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Area Estero - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Area Lavoro - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Area Formazione Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Area Ambiente e Sicurezza - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

www.apindustria.vi.it

Creato il 25 Gennaio 2008.

Cosa cambia nella privacy

ADEMPIMENTI 2009:
la nomina degli amministratori di sistema e la tenuta dei file di log
Salvo proroghe dell’ultimo minuto, scadranno il 30 giugno prossimo i termini per gli adempimenti privacy introdotti dal Garante della protezione dei dati personali con il Provvedimento “Amministratori di Sistema (ADS) ” del 27 novembre 2008, pubblicato nella G.U. n. 300 del 24 dicembre 2008. Il provvedimento introduce nuove misure di sicurezza a carico di tutti coloro che trattano dati altrui (ovvero, ad es. i dati di clienti, dipendenti e fornitori) per mezzo di strumenti elettronici: tali misure vanno ad aggiungersi a quelle già annoverate nell’Allegato B del Codice per la protezione dei dati personali (D. Lgs. 196/2003). La ratio è da rinvenirsi nella ritenuta opportunità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali.

Gli amministratori di sistema
Tutti i trattamenti elettronici di dati, diversi da quelli svolti per meri fini amministrativi-contabili, obbligano il Titolare del trattamento a designare, per iscritto, la figura dell’amministratore di sistema (ADS) addetto alla gestione ed alla manutenzione degli impianti di elaborazione con cui vengono effettuati i trattamenti di dati personali, valutando le caratteristiche di esperienza, capacità e affidabilità del soggetto che si intende designare, il quale deve fornire idonea garanzia del rispetto e quindi della conoscenza delle disposizioni in materia.
La designazione dell'amministratore di sistema deve avvenire individualmente, elencando analiticamente gli ambiti di operatività consentiti in base al profilo assegnato. L'amministratore di sistema è una figura professionale finalizzata alla gestione e manutenzione di un impianto di elaborazione o di sue componenti, oltre ad altre figure che svolgono funzioni analoghe od equiparabili dal punti di vista dei rischi relativi alla protezione dei dati (amministratori di base di dati, amministratori di reti e di apparati di sicurezza ecc). L’attività dell’ADS comporta l’accesso, anche fortuito, a informazioni che rappresentano a tutti gli effetti un trattamento di dati personali.
Anche nel caso di un solo PC in azienda e un solo ADS, egli potrebbe effettuare trattamenti che ricadono nelle garanzie del provvedimento, anche se la fattispecie è, ovviamente, da valutare caso per caso.
Il Titolare del trattamento dei dati può nominare più amministratori di sistema, purché le loro mansioni siano precisamente e singolarmente individuate in ciascun atto di nomina.
Oltre a ciò, il Titolare del trattamento dovrà indicare gli estremi identificativi (nome, cognome, funzione o area organizzativa di appartenenza) dell'amministratore di sistema nel DPS. Se l’attività dell’ADS dovesse comportare, anche solo indirettamente, il trattamento di informazioni di carattere personale dei lavoratori, essi devono essere informati su tale circostanza e sull’identità dell'amministratore di sistema tramite l’informativa ex art. 13, o mediante il regolamento per l’utilizzo dei sistemi informativi.
Accanto all'obbligo di nomina dell'amministratore di sistema il provvedimento del 27 novembre 2008 introduce l’obbligo per il titolare di verificare, con cadenza almeno annuale, l’operato dell’amministratore di sistema,in modo da controllare la rispondenza alle istruzioni impartite per settori o per aree applicative, nell’esercizio delle sue funzioni sotto il profilo della conformità alle mansioni attribuite, compreso il profilo della sicurezza. In questo senso l’analisi dei file di log deve ritenersi un indice attendibile dei criteri di valutazione dell’operato degli ADS.

La tenuta dei file di Log
Il Titolare deve inoltre provvedere ad adottare idonei sistemi di registrazione degli accessi logici da parte dell’ADS. Le registrazioni devono essere conservate per almeno 6 mesi e devono avere le caratteristiche di completezza, inalterabilità, possibilità di verifica della loro integrità, adeguatezza allo scopo di verifica per cui sono richieste. Vanno quindi registrati gli accessi, ma anche i tentativi di accesso e le disconnessioni ai sistemi di elaborazione (non solo al server ma anche ai client) a software e data base. Una raccolta di informazioni più ampia non è richiesta ai fini del provvedimento ma certamente non è in contrasto con esso. Le registrazioni devo comprendere tutti gli eventi di accesso, tentativi di accesso e di sconnessioni, e non devono essere modificabili; così, ad esempio, devono ritenersi insufficienti i file di log in txt, propri dei sistemi windows, poiché non dotati del carattere dell’inalterabilità né dell’integrità. Rientra nella valutazione discrezionale del Titolare l’opportunità dell’utilizzo di strumenti aggiuntivi. Questi strumenti servono per determinare ed evidenziare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi oggetto dell’accesso).

Elenco degli adempimenti attuali:
Le recenti novità in materia impongono, quindi, a tutti i Titolari di trattamenti di dati elettronici di adottare i seguenti adempimenti: - informativa clienti, fornitori e dipendenti; - acquisizione del consenso preventivo e specifico dell’interessato in caso di trattamento di dati personali sensibili, salvi i casi di esenzione di cui all’art. 24 del Codice; - nomina degli incaricati al trattamento dei dati; - nomina custode delle password; - adozione di tutte le misure minime di sicurezza indicate dettagliatamente nell’Allegato B al Codice (cui si rimanda per un’elencazione esaustiva: l’Allegato è disponibile nel nostro sito www.apindustria.vi.it o nel sito istituzionale www.garanteprivacy.it ) e redazione del Documento Programmatico sulla Sicurezza dei dati in caso di trattamento elettronico di dati sensibili e giudiziari con relativo obbligo di aggiornamento annuale entro il 31 marzo di ogni anno. In ordine alle misure minime di sicurezza, occorre soffermarsi sul fatto che la nuova disciplina in materia di privacy prevede la possibilità di sostituire il DPS con una dichiarazione sostitutiva.
E’ bene infatti precisare che per poter sostituire DPS tale dichiarazione sostitutiva (autocertificazione), occorre trattare come UNICI dati sensibili quelli costituiti dallo stato di salute o malattia dei propri collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale.
La precisazione appare ancora più necessaria se si pensa che l’assenza di DPS da parte del Titolare del trattamento tenuto a farlo, espone lo stesso Titolare a gravi responsabilità, anche di tipo penale (art. 169 Codice Privacy). - adozione di un regolamento recante un disciplinare interno sull’uso di internet e della posta elettronica aziendale da parte dei dipendenti e programmazione della relativa attività di verifica; - designazione dell’Amministratore di Sistema, istruzioni operative e programmazione della relativa attività di verifica.

Le modifiche all’impianto sanzionatorio
Il 27 febbraio 2009 è stato convertito in Legge (Legge n.14/2009) il decreto cd. "Milleproroghe" (n. 207 del 30 dicembre 2008), recante “Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti”, contenente alcune importanti modifiche al decreto legislativo n.196 del 30 giugno 2003 riguardanti le "Disposizioni in materia di tutela della riservatezza" (Art. 44). La nuova Legge ha introdotto importanti novità, di seguito riassunte:
1. Inasprimento delle sanzioni pecuniarie relative agli illeciti amministrativi, ad esempio per "omessa o inidonea informativa" e per "omessa collaborazione con il Garante". Le pene vengono per la quasi totalità raddoppiate rispetto al D. Lgs.196/2003, tanto che, ad esempio, per "omessa o inidonea informativa" (Art. 13) è ora prevista una sanzione tra i 6.000 e i 36.000 euro, mentre per chi cede dati in violazione di Legge (Art.16) la sanzione è ora tra i 10.000 euro e i 60.000 euro. 2. Introduzione di nuove fattispecie di illeciti amministrativi: "violazione delle misure minime di sicurezza e trattamento illecito dei dati" ed "inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto".
Inoltre, ciò che maggiormente rileva ai fini degli obblighi di nomina degli amministratori di sistema e tenuta dei file di log sono i due commi introdotti all’interno dell’art. 162 del D.Lgs. 196/2003, vale a dire:
Art. 162 comma 2-bis:
In caso di trattamento di dati personali effettuato in violazione delle misure minime di sicurezza (e la nomina degli amministratori di sistema e la tenuta dei file di log sono misure minime di sicurezza) o di violazione della normativa in tema di corretto trattamento dei dati viene applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 20.000 euro a 120.000 euro.

Nei casi di cui all'articolo 33 (vale a dire misure minime di sicurezza) è escluso il pagamento in misura ridotta.
Art. 162 comma 2-ter: In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto viene introdotta una sanzione amministrativa tra 30.000 e 180.000 euro.

ATTENZIONE
Da una semplice lettura delle novità introdotte in materia di privacy e misure minime di sicurezza, risulta piuttosto evidente che sono ben pochi i casi che possono rientrare nell’ipotesi semplificata di esonero dall’adozione delle misure, tra cui la redazione del Documento Programmatico. Infatti, se il Titolare del trattamento è un datore di lavoro, ed i trattamenti interessati sono unicamente quelli della gestione del rapporto di lavoro, allora il DPS può essere sostituito dalla dichiarazione, altrimenti no. A ben vedere, però, non è per nulla agevole identificare a priori delle tipologie standard di soggetti realmente esonerati, a causa della varietà di dati che ogni giorno l’impresa è tenuta a trattare. Unicamente a titolo indicativo, l’obbligo del DPS sussiste: - se si trattano dati sensibili (ad esempio sanitari o sindacali) diversi da quelli necessari per la gestione del rapporto di lavoro, anche solo a mezzo carta: infatti, l’articolo 29 del Codice Privacy non fa distinzione se i dati vengono trattati con strumenti elettronici o cartacei; - se si trattano i dati sulla malattia con indicazione di una patologia; - se si trattano dati sullo stato di salute non del dipendente/ collaboratore ma di un suo familiare (si pensi anche solo agli assegni familiari per i figli disabili); - se si trattano dati giudiziali del dipendente o del collaboratore (procedimenti disciplinari, verifiche sui requisiti di onorabilità) poiché la norma parla unicamente di dati sensibili, ma i dati giudiziali sono trattati nel Codice Privacy alla stregua dei dati sensibili. Comunque, se il Titolare del trattamento dei dati accerta che i soli trattamenti sensibili da lui realizzabili sono quelli della gestione del rapporto di lavoro, potrà evitare il DPS, ma in alternativa avrà l'obbligo di predisporre un’autocertificazione “resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte”. In sostanza il datore di lavoro/ Titolare del trattamento deve assumersi la responsabilità di dichiarare, in un atto ufficiale (dichiarazione sostitutiva di atto di notorietà) di trattare dati personali e, come dati sensibili, unicamente quelli relativi alla gestione del personale, senza indicazione della diagnosi e di trattarli in osservanza delle misure di sicurezza prescritte. Nell’autocertificazione il Titolare è inoltre tenuto a dichiarare: 1. di non trattare dati sensibili e giudiziari al di là di quelli per la gestione dei rapporti di lavoro; 2. di osservare le misure di sicurezza previste (ad eccezione, ovviamente, del DPS) , e quindi le credenziali di autenticazioni, profili di autorizzazione, procedure di back up e ripristino, idonee procedure di cambio password, etc… Ne discende che soltanto la completa consapevolezza che tutto è a posto consentirà al Titolare di sottoscrivere il documento senza il rischio di incorrere in sanzioni penali per dichiarazioni false. Pertanto, pare opportuno consigliare estrema cautela nella scelta dell’autocertificazione, ricorrendo se necessario ad un consulente esperto per valutare l’effettiva a possibilità di evitare il DPS. In ogni caso, ad oggi sono poche le realtà che non si sono ancora adeguate anche al “temutissimo” DPS: tutti gli altri devono solo preoccuparsi di aggiornarlo entro il 31 marzo di ciascun anno, attività spesso facilmente realizzabile in autonomia dalle aziende. Comunque, laddove non si sia assolutamente certi della titolarità all’esonero, conviene redigere il DPS utilizzando i criteri di semplificazione cd. per “macro aree” emanati dal Garante e previsti dallo stesso articolo 29, che si rivelano certamente meno rischiosi.