DPS, guida gratuita online

Novità

Roma - Da qualche giorno è online un portale pensato per dare una mano ad imprese e professionisti nella realizzazione del DPS, il Documento programmatico sulla Sicurezza previsto dal Codice in materia di protezione dei dati personali, un documento che va completato e trasmesso entro la fine dell'anno.

La procedura guidata, completamente gratuita, è accessibile dietro registrazione al servizio. "L'utente - scrivono a PI i promotori del sito - verrà seguito passo passo nella produzione di tutta la documentazione imposta dalla legge".

Il Portale in questione è PrivacyItalia.it ed è raggiungibile qui
TAG: privacy
26 Commenti alla Notizia DPS, guida gratuita online
Ordina
  • Il requisito minimo di sicurezza identificato come DPS (art. 34 punto g. dlg 196/2003) è previsto solo in presenza di trattamenti con strumenti elettronici. Inoltre l'Allegato B) Disciplinare Tecnico identifica questa misura (19) solo in caso di trattamento di dati sensibili e giudiziari).
    A conferma di ciò, i requisiti minimi per i trattamenti senza l'ausilio di strumenti elettronici (art. 35 dlg 196/2003) non prevedeno tale misura; il "non obbligo" è confermato ancora nell'Allegato B) in quanto non presente nelle misure previste per i "Trattaenti senza l'ausilio di strumenti elettronici" (misure 27,28,29).
    Concludendo visto il proliferare di consulenti, aziende informatiche, servizi di supporto, software, servizi on-line ed ecc.. invito i titolari di trattamento a valutare attentamente tale obbligo che ha ripercussioni anche nella redazione della nota integrativa del bilancio se dovuta.
    non+autenticato

  • - Scritto da: Anonimo
    > Il requisito minimo di sicurezza
    > identificato come DPS (art. 34 punto g. dlg
    > 196/2003) è previsto solo in presenza
    > di trattamenti con strumenti elettronici.
    > Inoltre l'Allegato B) Disciplinare Tecnico
    > identifica questa misura (19) solo in caso
    > di trattamento di dati sensibili e
    > giudiziari).
    >
    Interpretazione "minimalista", ma lecita. Tuttavia tre considerazioni:

    1) Difficile oggi trovare qualche azienda che non abbia strumenti elettronici (leggi PC e dintorni).

    2) Se ci sono dipendenti ci sono anche dati sensibili (cartelle mediche, cedolini contenenti permessi o ritenute sindacali, iscrizione a "liste speciali" quali detenuti, ex-detenuti o categorie protette, etc.)

    3) Anche in assenza di dati sensibili, occorre verificare il combinato fra l'art.13 del d.lgs.196/2003 e l'art. 2050 del Codice Civile - in caso di "incidenti" l'onere della prova che erano state prese tutte le precauzioni per evitarlo è a carico dell'azienda (e cosa provi senza un DPS?).

    Forse leggendo con approccio minimalista il d.lgs.196/2003 non tutte le aziende hanno l'obbligo del DPS, ma questo decreto non è l'unica legge della Repubblica Italiana e forse anche se per alcune aziende il DPS non è doveroso, magari è opportuno...

    Il vero problema è che per essere conformi non basta solo il DPS, occorre anche implementare le misure enunciate nel DPS (o se non si è obbligati alla redazione del DPS, bisogna comunque attenersi alle "misure minime" di cui all'allegato B)...

    non+autenticato
  • L'intervento non esprimeva un grado di giudizio sulla validità dello strumento del DPS. Le misure minime di sicurezza (artt. 34 e 35 dlg 196/03) per essere applicate necessitano di processi e strumenti d'analisi che sono poi, come contenuti, elementi presenti nel DPS stesso. E' comunque un attegiamento "terroristico" e non "costruttivo" far passare il DPS come intero processoo di "adeguamento alla normativa", quando è solamente una misura in essa contenuta.
    non+autenticato

  • > E' comunque un attegiamento "terroristico" e
    > non "costruttivo" far passare il DPS come
    > intero processoo di "adeguamento alla
    > normativa", quando è solamente una
    > misura in essa contenuta.

    E non era questa forse la tesi espressa nella mia risposta?

    non+autenticato
  • La presenza di dati sensibili nei rapporti di lavoro è prevista dal Garante della Privacy, tanto che esiste un autorizzazione generale (1/2004). Mi sembra comunque che si faccia confusione tra trattamenti manuali e trattamenti elettronici, trattamenti di dati sensibili e giudiziari (questi ultimi sicuramente caratteristici di particolari attività). La relazione tra l'informativa art. 13 e l'art. 2050 del Codice Civile (per i non addetti ai lavori: Art. 2050 Responsabilità per l'esercizio di attività pericolose: "Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, e tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.") mi sembra errata in quanto legata ad altri riferimenti del testo unico.
    non+autenticato

  • > La relazione tra
    > l'informativa art. 13 e l'art. 2050 del
    > Codice Civile mi sembra errata in quanto legata ad altri
    > riferimenti del testo unico.

    Infatti è l'art.15 ...
    non+autenticato
  • Non credo si tratti di approccio minimalista!
    Lo stesso garante è chiaro nel porre l'obbligo del DPS solo a coloro che trattano dati sensibili e/o giudiziario (nei quali non rientrano i dati dei dipendenti): ne ho una e-mail di risposta.
    Ciò che le maggioranza delle aziende deve fare è certo assolvere alle misure minimi di sicurezza quindi accrediatamenti, password, aggiornamento dei software di sistema, installazione di programmi di sicurezza (antivirus, antispam, ...) e via dicendo... ma non ha l'obbligo della redazione del DPS.
    Che poi la redazione dello stesso semplifichi all'utente la verifica dell'adeguamento, il costante aggiornamento delle misure messe in atto e possa poi fungere da prova è trotto un altro paio di maniche...un po? all'italiana
    non+autenticato
  • Ma se è gratuito, perchè vogliono tutte quelle informazioni?
    non+autenticato

  • - Scritto da: Anonimo
    > Ma se è gratuito, perchè
    > vogliono tutte quelle informazioni?
    >
    Parli di quelle in fase di registrazione?

    Quelle servono per farsi una mailing list ed è assolutamente lecito (a parte forse la partita iva...). Infatti devo dire che nella richiesta di consenso sono molto trasparenti e tu puoi decidere se possono o meno usarle per altri scopi che non siano quelli di fornirti il servizio.

    Parli di quelle che devi dare nella guida?

    Beh, quelle servono per costruire il DPS, o presunto tale.
    non+autenticato
  • ottimo per chi si fa pagare 500 euro per questa consulenza
    non+autenticato

  • - Scritto da: Anonimo
    > ottimo per chi si fa pagare 500 euro per
    > questa consulenza

    Se la consulenza è solo la compilazione di una modulistica, sono daccordo......

    Ma per rispondere alle norme vigenti come la mettiamo con la valutazione dei rischi, e con la formazione del personale?

    Chi se la sente di valutare autonomamente i rischi della propria struttura, in ambito cartaceo, logistico ed informatico, e di "spiegarli" ai propri dipendenti, senza il contributo di un professionista idoneo.... paragonabile ad un esperto della 626 o della qualità/ISO .... ???

    ...Tanto chi rischia il penale, anche solo per la mancata adozione delle misure minime (che comprende valutazione dei rischi e formazione).... è il titolare dell'azienda / ente ...!!??

    E' solo un modo di "abboccare" un problema contingente di molti "gratuitamente" per far scoprire che in forndo è meglio una consulenza di uno specialista.... ;;)
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > ottimo per chi si fa pagare 500 euro per
    > > questa consulenza
    >
    > Se la consulenza è solo la
    > compilazione di una modulistica, sono
    > daccordo......

    siamo d'accordo allora.
    e per questo si pagano 500 euro.
    non voglio immaginare cosa chiedono - per fare la stessa cosa - alle aziende grosse.

    > Ma per rispondere alle norme vigenti come la
    > mettiamo con la valutazione dei rischi, e
    > con la formazione del personale?

    che la fanno fare a te: ti dicono "dovrete poi formare il personale"
    forse se gli dici "lo fate voi?" lo fanno ... e quindi OLTRE i 500 euro ci sono quei costi ... per fare che? per dare dei moduli con scritto quel che devono fare e per chiedere se hanno capito.
    il resto lo fa il responsabile IT che deve avere predisposto le strutture ... quindi ...

    > Chi se la sente di valutare autonomamente i
    > rischi della propria struttura,

    tanto lo chiedono a te.
    al massimo della responsabilità aumentano l'intensità dello sguardo quando ti chiedono "davvero davvero non avete dati sensibili o giudiziari?"
    eccezionale.

    >in ambito
    > cartaceo, logistico ed informatico, e di
    > "spiegarli" ai propri dipendenti, senza il
    > contributo di un professionista idoneo....
    > paragonabile ad un esperto della 626 o della
    > qualità/ISO .... ???

    mi pare evidente che sei un consulente, ora.

    > ...Tanto chi rischia il penale, anche solo
    > per la mancata adozione delle misure minime
    > (che comprende valutazione dei rischi e
    > formazione).... è il titolare
    > dell'azienda / ente ...!!??

    col cavolo.
    allora non sei neanche un consulente, oppure non sai il tuo mestiere.
    ho approfondito a sufficienza ... in tribunale molte persone scoprirebbero di avere ricoperto delle cariche a loro totale insaputa ... Sorride

    > E' solo un modo di "abboccare" un problema
    > contingente di molti "gratuitamente" per far
    > scoprire che in forndo è meglio una
    > consulenza di uno specialista.... ;;)

    purtroppo non sono d'accordo
    non+autenticato

  • > siamo d'accordo allora.
    > e per questo si pagano 500 euro.
    > non voglio immaginare cosa chiedono - per
    > fare la stessa cosa - alle aziende grosse.
    >
    Per una grossa agenzia governativa, una compagnia aerea, una banca sono operazioni da 15/20.000 Euro "per cominciare a giocare", ma va anche capito che per molte di queste organizzazioni la conformità al codice sulla privacy non è fine a se stessa, ma inserita in un "gioco" più ampio di ottimizzazione dei processi aziendali, di risk management e di sicurezza (che nell'insieme hanno budget intorno alle sei/sette cifre).

    L'ironia è che sarebbero proprio le aziende più piccole che avrebbero bisogno di ottimizzare i processi ed abbassare i rischi, ma non potendosi permettere consulenti blasonati (che sotto i 3/4000 Euro non vanno per quanto l'azienda possa essere piccola) finiscono per o non fare nulla o per ripiegare sui consulenti da 500 Euro o sulle offerte gratis tipo questa (e data l'inutilità dell'oggetto, queste aziende farebbero meno danni a non fare nulla....).Triste

    non+autenticato
  • 500? Io me li faccio pagare fra i 5.000 ed i 15.000 e ti assicuro che operazioni come queste non mi smuovono di un millimetro. Se una cosa te la regalano non ha valore!

    A parte l'interfaccia grafica spartana, la guida online contiene interpretazioni tecnico-legali semplicemente sbagliate come il fatto che secondo loro DEVE essere presente almeno un responsabile del trattamento (ma per favore, che si rileggano il d.lgs196/2003!) oppure che DEVE essere presente un amministratore di sistema o il custode delle password (ma si sono letti il vecchio DPR318/99 o il d.lgs.196/2003?)

    L'Analisi di rischio è poi uno spasso dove è chiaro che si fa confusione fra minacce e rischi (che scusate, ma sono proprio metodologicamente due cose diverse), consiglio agli autori di studiarsi qualche metodologia di Analisi di Rischio.

    Quello che mi preoccupa è che certe sottogliezze potrebbero non essere affatto chiare a utenti finali che attirati dal "gratis" potrebbero ritrovarsi con quello che loro credono un DPS e che invece non lo è.

    non+autenticato

  • - Scritto da: Anonimo
    > 500? Io me li faccio pagare fra i 5.000 ed i
    > 15.000 e ti assicuro che operazioni come
    > queste non mi smuovono di un millimetro. Se
    > una cosa te la regalano non ha valore!

    separiamo le due cose.
    il tuo costo esoso, ovviamente lo hai deciso tu: se trovi quelli che ci stanno, buon per te, e complimenti per la faccia tosta!Sorride

    per la seconda affermazione, la trovo falsa al massimo della falsità.
    Se una cosa te la regalano, è gratis.

    Se ti regalano linux, non è senza valore.

    Se fai sesso con la tua ragazza è gratis, e per me ha meno valore se lo fai a pagamento, MOLTO MENO valore.

    L'arte è gratis, il commercio invece non è gratis.

    eccetera.

    > A parte l'interfaccia grafica spartana

    la cosa migliore.

    >, la
    > guida online contiene interpretazioni
    > tecnico-legali semplicemente sbagliate come
    > il fatto che secondo loro DEVE essere
    > presente almeno un responsabile del
    > trattamento (ma per favore, che si rileggano
    > il d.lgs196/2003!)

    non deve?

    >oppure che DEVE essere
    > presente un amministratore di sistema o il
    > custode delle password (ma si sono letti il
    > vecchio DPR318/99 o il d.lgs.196/2003?)

    quindi ognuno può tenersi la propria e il padrone della ditta può non avere accesso a questo elenco.
    mi pare sensato.

    > L'Analisi di rischio è poi uno spasso
    > dove è chiaro che si fa confusione
    > fra minacce e rischi (che scusate, ma sono
    > proprio metodologicamente due cose diverse),
    > consiglio agli autori di studiarsi qualche
    > metodologia di Analisi di Rischio.

    e sai cosa farebbero? la studierebbero, integrerebbero, e lascerebbero il tutto gratis.
    ovvero senza valore.
    una cosa che tu hai detto e che fai nel tuo lavoro.
    senza valore.

    logico no?

    > Quello che mi preoccupa è che certe
    > sottogliezze potrebbero non essere affatto
    > chiare a utenti finali che attirati dal
    > "gratis" potrebbero ritrovarsi con quello
    > che loro credono un DPS e che invece non lo
    > è.

    la maggior parte degli utenti se ne frega, ma quel che conta è che i responsabili aziendali vogliono semplicemente avere "UN" Dps.

    e se poi inizi ad applicare ti mandano a cacare sui rovi
    non+autenticato

  • - Scritto da: Anonimo

    > il tuo costo esoso, ovviamente lo hai deciso
    > tu: se trovi quelli che ci stanno, buon per
    > te, e complimenti per la faccia tosta!Sorride
    >
    Lo dici tu che è esoso... ma va bene lo stesso.

    > per la seconda affermazione, la trovo falsa
    > al massimo della falsità.
    >
    Ni. L'ho piegata male, ma non per questo è falsa. Intendevo nell'ambito delle organizzazioni commerciali, "mea culpa" di non averlo precisato.

    > Se una cosa te la regalano, è gratis.
    >
    > Se ti regalano linux, non è senza
    > valore.
    >
    Linux è nato come un progetto sociale, non commerciale.

    > Se fai sesso con la tua ragazza è
    > gratis, e per me ha meno valore se lo fai a
    > pagamento, MOLTO MENO valore.
    >
    Ancora un ambito non commerciale ed in ambito "commerciale" se qualcuno paga per fare del sesso, per lui ha un valore (poi possiamo discutere se siamo d'accordo o meno).


    > >, la
    > > guida online contiene interpretazioni
    > > tecnico-legali semplicemente sbagliate
    > come
    > > il fatto che secondo loro DEVE essere
    > > presente almeno un responsabile del
    > > trattamento (ma per favore, che si
    > rileggano
    > > il d.lgs196/2003!)
    >
    > non deve?
    >
    No. Il titolare *può* (non deve) nominare un responsabile (rif. art. 29 comma 1 "il responsabile è designato dal titolare facoltativamente"). Sai cosa vuol dire "facoltativamente"?

    > >oppure che DEVE essere
    > > presente un amministratore di sistema o
    > il
    > > custode delle password (ma si sono
    > letti il
    > > vecchio DPR318/99 o il d.lgs.196/2003?)
    >
    > quindi ognuno può tenersi la propria
    > e il padrone della ditta può non
    > avere accesso a questo elenco.
    > mi pare sensato.
    >
    Ognuno DEVE tenersi la propria password per se (rif. punto 2 dell'allegato B "Le credenziali di autenticazione consistono in un codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo ...") Notare il "conosciuta solamente dal medesimo".

    Solo se esistono password particolari (che sono le uniche che consentono l'accesso ai dati), allora è prevista la custodia della password (ma non il "custode delle password" che era una definizione contenuta nel precedente dpr318/99). Rif. punto 10 dell'allegato B.


    > > L'Analisi di rischio è poi uno
    > spasso
    > > dove è chiaro che si fa
    > confusione
    > > fra minacce e rischi (che scusate, ma
    > sono
    > > proprio metodologicamente due cose
    > diverse),
    > > consiglio agli autori di studiarsi
    > qualche
    > > metodologia di Analisi di Rischio.
    >
    > e sai cosa farebbero? la studierebbero,
    > integrerebbero, e lascerebbero il tutto
    > gratis. ovvero senza valore.
    >
    Bene, almeno regalerebbero qualcosa di più utile di quello che regalano adesso.

    > una cosa che tu hai detto e che fai nel tuo
    > lavoro. senza valore. logico no?
    >
    No, il passaggio logico mi è sfuggito, scusa...

    > potrebbero ritrovarsi con
    > quello
    > > che loro credono un DPS e che invece
    > non lo
    > > è.
    >
    > la maggior parte degli utenti se ne frega,
    > ma quel che conta è che i
    > responsabili aziendali vogliono
    > semplicemente avere "UN" Dps.
    >
    interessante affermazione, li hai contati per dire "la maggior parte"? Non mi pare una posizione facilmente difendibile... ma indipendentemente da quanti siano, pochi, alcuni o molti , non si ritroveranno con "UN" Dps alla fine di questo esercizio.

    > e se poi inizi ad applicare ti mandano a
    > cacare sui rovi
    >
    L'azienda è loro ed è nel loro diritto prendere le decisioni strategiche che più gli aggradano.



    non+autenticato
  • > No. Il titolare *può* (non deve)
    > nominare un responsabile (rif. art. 29 comma
    > 1 "il responsabile è designato dal
    > titolare facoltativamente"). Sai cosa vuol
    > dire "facoltativamente"?
    >
    > > >oppure che DEVE essere
    > > > presente un amministratore di
    > sistema o
    > > il
    > > > custode delle password (ma si sono
    > > letti il
    > > > vecchio DPR318/99 o il
    > d.lgs.196/2003?)

    quindi vuoi dire che redigere il DPS (gratis, quindi come dici tu senza valore) adottando come semplicissima e banale "convenzione" (o come interpretazione di legge) il fatto che debba esserci per forza un responsabile del trattamento implica che il DPS non è a norma? Ti invito a dimostrarmi che se eleggo Mario Rossi titolare, responsabile, incaricato, custode password (come viene chiamato su privacyitalia) vado CONTRO LA LEGGE (che è poi la cosa più importante).
    Comprendo che questo tipo di iniziative possano dare fastidio ad una fascia di persone che si fanno pagare oro per riempire delle tabelle prestampate, ma evitiamo di fare affermazioni false.
    Per quanto mi riguarda ho compilato il DPS sul sito in questione, non ho pagato un euro, mi sono letto la legge e ritengo che il documento prodotto sia regolare. Pensa che non pagherò neanche l'aggiornamento (stando a quanto si intuisce dal sito).

    > Ognuno DEVE tenersi la propria password per
    > se (rif. punto 2 dell'allegato B "Le
    > credenziali di autenticazione consistono in
    > un codice per l identificazione dell
    > incaricato associato a una parola chiave
    > riservata conosciuta solamente dal medesimo
    > ...") Notare il "conosciuta solamente dal
    > medesimo".
    >
    > Solo se esistono password particolari (che
    > sono le uniche che consentono l'accesso ai
    > dati), allora è prevista la custodia
    > della password (ma non il "custode delle
    > password" che era una definizione contenuta
    > nel precedente dpr318/99). Rif. punto 10
    > dell'allegato B.

    E dove c'è scritto che il custode delle password debba conoscere le password degli incaricati? Si chiama custode, mica "spifferone" delle passwordSorride
    Pensa se il custode delle password fosse un' UNICA persona che possiede la chiave di una cassetta di sicurezza contenente le password in buste sigillate e riposte nella cassetta direttamente dal proprietario della password. E' contro la legge? Non è una misura in più per la tutela della segretezza delle parole chiave avere una carica dedicata ?Occhiolino

    > L'azienda è loro ed è nel loro
    > diritto prendere le decisioni strategiche
    > che più gli aggradano.

    Appunto. Pensa chi ha pochi PC (magari uno) in ufficio e si ritrova a spendere dai 500 in su solo per redigere il DPS. Credo che non dovresti sentirti minacciato da privacyitalia se tratti adeguamenti da 15000/20000 euro.

    Ho finito la mia riflessione.
    SalutiSorride
    non+autenticato

  • - Scritto da: Anonimo
    > ottimo per chi si fa pagare 500 euro per
    > questa consulenza

    Il problema è che molti "consulenti" sono consulenti di tutt'altra materia (Qualità, sicurezza 626, ambientale etc).
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > ottimo per chi si fa pagare 500 euro per
    > > questa consulenza
    >
    > Il problema è che molti "consulenti"
    > sono consulenti di tutt'altra materia
    > (Qualità, sicurezza 626, ambientale
    > etc).

    Ah questo spiega i 500 Euro, ma dopo che hanno redatto il DPS come aiutano l'azienda ad attuarlo?

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > > ottimo per chi si fa pagare 500
    > euro per
    > > > questa consulenza
    > >
    > > Il problema è che molti
    > "consulenti"
    > > sono consulenti di tutt'altra materia
    > > (Qualità, sicurezza 626,
    > ambientale
    > > etc).
    >
    > Ah questo spiega i 500 Euro, ma dopo che
    > hanno redatto il DPS come aiutano l'azienda
    > ad attuarlo?

    gli danno un bel foglietto che era quello che hanno usato per fargli le domandine.


    non+autenticato