Q Privacy

SICUREZZA  INFORMATICA  E TUTELA DELLA  PRIVACY

Il Decreto Legislativo 30 giugno 2003, n.196 (Codice in materia di protezione dei dati personali) impone (ad aziende, enti, studi professionali. etc.) di trattare i dati personali, contenuti sia in archivi informatici che cartacei, secondo specifiche modalità, ponendo obblighi in materia di sicurezza, tra cui l'adozione di specifiche misure minime di sicurezza individuate dal legislatore.

E' assolutamente obbligatorio essere in regola.

Coloro che non si adegueranno nei termini stabiliti dalla norma rischiano sanzioni molto dure: multe e reclusione, risarcimento del danno patrimoniale e morale ex art.2050.

In caso di violazione accertata, sono previste sanzioni di tipo amministrativo (fino a 124mila euro) e la reclusione (fino a 3 anni), esclusione dalle gare di appalto, risarcimento danni.

L'Autorità Garante effettuerà ispezioni insieme alla Guardia di Finanza e sanzionerà gli inadempienti.

Da qui la necessità di sottoporre a revisione, da parte di terze parti indipendenti e qualificate, le regole di gestione della sicurezza per fornire anche le necessarie garanzie a tutte le realtà coinvolte nel processo aziendale: azionisti, clienti, fornitori e personale.

Ambito applicativo

Devono adeguarsi tutti i soggetti che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati e quanto altro).

Per "trattamento" deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Per "dato personale" si deve intendere qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

Le nuove disposizioni si applicano a tutto il territorio dello stato, anche da parte di soggetti extra-europei, salvo non si tratti di mero transito sul territorio dello stato.

I nuovi obblighi per le aziende e le sanzioni previste dalla legge nel campo della sicurezza

Entrato in vigore il testo unico sulla privacy con pesanti sanzioni penali e amministrative per le aziende inadempienti.

Dai Business Specialist di CERTQUALITY una risposta completa agli obblighi di legge.

Il T.U. sulla Privacy (D.Lgs. 196/2003) impone alle aziende precisi adempimenti per limitare il rischio di accessi non autorizzati ai loro sistemi informativi. La legge intende così evitare fenomeni dannosi come il moltiplicarsi incontrollato di Virus informatici; per esempio, se una mail infetta un PC non protetto, oltre a “rubarne” i dati, può autoreplicarsi inviando altre mail infette a tutti i nomi presenti nella rubrica di quel PC, con ovvi pericoli per i destinatari. La legge mira anche a costruire barriere (firewall) contro coloro che si introducono direttamente nei PC altrui (p.es. per rubarne i codici di carte di credito, e/o appropriarsi di password dispositive per effettuare transazioni bancarie). Per le aziende, questo si traduce nell’obbligo di adottare misure minime di sicurezza dei dati. L’omessa adozione di tali misure è punita dalla legge con l’arresto sino a due anni e una sanzione da 10.000 a 50.000 euro,  oltre al pagamento degli eventuali danni a terzi. Chiunque ha una mail sa quanto sia probabile essere infettati e rilanciare involontariamente virus a propria volta. I Business Specialist, la cui competenza e preparazione sono curate e certificate, possono fornire soluzioni complete rispondenti alle misure previste dalla legge.

Chi si preoccupa della sicurezza dei dati della tua azienda?

La sicurezza dei dati aziendali è una cosa seria, che non puoi più prendere alla leggera. La legge stessa ti impone obblighi precisi e pesanti sanzioni per chi non adempie. Non correre rischi e affidati a veri specialisti come i Business Specialist di CERTQUALITY! Troverai consigli, servizi e soluzioni professionali, su misura per te.

L'offerta di CERTQUALITY si basa su un insieme di servizi al fine di soddisfare quanto richiesto

L’insieme delle misure di sicurezza viene concettualmente suddiviso in tre sottoinsiemi, distinguendo le misure in:

organizzative, che consistono nella definizione di una serie di norme e procedure, miranti a regolamentare l’aspetto organizzativo del processo di sicurezza:

• analisi dei rischi

• prescrizione di linee – guida di sicurezza e altre istruzioni interne

• assegnazione di incarichi e redazione di appositi mansionari

• classificazione dei dati

• registrazione delle consultazioni

• documentazione dei controlli periodici

• verifiche periodiche su dati o trattamenti non consentiti o non corretti

• distruzione controllata dei supporti

• piano di ripristino dati (disaster recover)

• formazione del personale

fisiche, il cui scopo è di proteggere le aree, le apparecchiature, i dati e le persone da eventi di natura accidentale (es. incendi) e da intrusioni, di personale non autorizzato o di terzi:

• vigilanza della sede

• ingresso controllato nei locali ove ha luogo il trattamento

• sistemi di allarme e/o di sorveglianza antintrusione

•  registrazione degli accessi

• autenticazione degli accessi

• custodia in classificatori o armadi non accessibili

• custodia in armadi blindati e/o ignifughi o deposito in cassaforte

• custodia dei supporti in contenitori sigillati

• dispositivi antincendio

• continuità dell’alimentazione elettrica

• controllo sull’operato degli addetti alla manutenzione

• verifica della leggibilità dei supporti

logiche, il cui campo di applicazione riguarda la protezione delle informazioni, con particolare riferimento a quelle gestite con i sistemi informativi (dati, applicazioni, sistemi e reti), sia in relazione al loro corretto utilizzo, che in relazione alla loro gestione e manutenzione nel tempo:

• identificazione ed autenticazione dell’incaricato e/o dell’utente

• controllo degli accessi a dati e programmi

• registrazione degli accessi

• controlli aggiornati antivirus

• sottoscrizione elettronica

• cifratura dei dati memorizzati e/o di quelli trasmessi

• annotazione della fonte dei dati

• monitoraggio continuo delle sessioni di lavoro

• sospensione automatica delle sessioni di lavoro

• verifiche periodiche su dati o trattamenti non consentiti o non corretti

• verifiche automatizzate dei requisiti dei dati

• controllo sull’operato degli addetti alla manutenzione

• controllo dei supporti consegnati in manutenzione.

Dopo la stesura del DPSS provvederemo a rilasciare un Certificato di Conformità, su quanto previsto dalla Legge. come da punto 25 del disciplinare tecnico.

Soluzioni per la sicurezza dei tuoi sistemi come operano i Business Specialist

Per ulteriori informazioni non esitate a contattarci, tramite E-mail