|
E' necessario inviare
l'informativa per il consenso dei trattamenti ai nostri clienti o
fornitori,dato che stiamo ricevendone alcune dagli stessi? |
Non è necessario chiedere
il consenso con una informativa se i dati vengono trattati per finalità
connesse ad un obbligo di legge o per un regolamento comunitario. Quindi
i dati dei clienti e dei fornitori se vengono trattati per quello scopo
non necessitano di nessuna informativa. Serve l'informativa se voglio
utilizzare gli stessi dati per scopi diversi, ad esempio per inviare
materiale pubblicitario, depliant, ecc… |
|
Essendo certificati Iso
9001 dobbiamo inviare via fax o via e-mail un questionario sulla
soddisfazione del cliente nei confronti della nostra Azienda. Dobbiamo
seguire qualche regola particolare...? |
Se il questionario è
anonimo, non c'è bisogno di fare nulla. Se il questionario consente di
risalire a chi ha dato la risposta è necessario predisporre di una
informativa ai sensi dell'art. 13 del Dlg. 196/2003 in cui sia
specificata la finalità del trattamento, se i dati verranno comunicati e
a chi, ecc… |
|
I dati riguardanti i
dipendenti vengono inviati al nostro consulente del lavoro per
l'elaborazione delle retribuzioni mensili e questo viene indicato nella
lettera d'assunzione che firmano. Il titolare deve comunque darne
comunicazione scritta agli interessati? |
Si deve controllare che
nella lettera di assunzione ci siano ben specificati gli elementi
necessari perché l'informativa che viene data ai dipendenti sia valida
(art. 13 del del Dlg. 196/2003). Se per titolare si intende il "vostro"
titolare questi "ha già dato l'informativa" e non deve dare ai
dipendenti nessun'altra comunicazione scritta. |
|
Il consulente al quale
abbiamo affidato l'incarico di farci le paghe deve inviarci qualche
dichiarazione? |
Il consulente nel
contratto che regola il rapporto con la vostra azienda deve dichiarare:
1) di essere consapevole che i dati che tratterà nell’espletamento
dell’incarico ricevuto, sono dati personali e, come tali sono soggetti
all’applicazione del codice per la protezione dei dati personali; 2) di
ottemperare agli obblighi previsti dal Codice per la protezione dei dati
personali 3) di adottare le istruzioni specifiche eventualmente ricevute
per il trattamento dei dati personali o di integrarle nelle procedure
già in essere. 4) di impegnarsi a relazionare annualmente sulle misure
di sicurezza adottate e di allertare immediatamente il proprio
committente in caso di situazioni anomale o di emergenze 5) di
riconoscere il diritto del committente a verificare periodicamente
l’applicazione delle norme di sicurezza adottate. |
|
Abbiamo redatto il
Documento Programmatico sulla Sicurezza e un allegato con le regole
scritte da distribuire agli incaricati. Va bene? Oppure anche il
Documento Programmatico sulla Sicurezza deve essere dato in copia a
tutti? |
E' opportuno consegnare
una copia del Documento Programmatico sulla Sicurezza ad ogni incaricato |
|
Il mio Studio si occupa di
tenuta contabilità per terzi, dichiarazione dei redditi ed anche di
procedure concorsuali. Premesso che il segretario generale dell'ufficio
del Garante Dott. Buttarelli (quotidiano Italia Oggi del 13.05.04) ha
chiarito che l'opzione dell' 8 per mille esercitata dal contribuente
nella dichiarazione dei redditi UNICO è da considerarsi dato sensibile,
che le dichiarazioni vengono dallo Studio elaborate e conservate su PC e
trasmesse telematicamente alla Amministrazione Finanziaria ed inoltre
che tratto dati giudiziari relativi ai fallimenti sempre su PC, ritengo
di dovere redigere il Documento Programmatico sulla Sicurezza ma di non
dovere chiedere l'autorizzazione preventiva al trattamento dei dati
sensibili. E' corretto? |
Si è corretto |
|
Dai clienti a cui tengo la
contabilità ricevo tutta la documentazione per adempiere all'incarico
tra cui fatture acquisto/vendita, documentazione rapporti bancari, tutti
dati che ritengo personali. Tutta questa documentazione viene da me
conservata, per mia organizzazione interna, per almeno due anni (sia il
cartaceo che i dati su PC). Chiedo se devo considerare titolare del
trattamento il mio cliente mentre il mio studio dovrebbe essere l'unità
esterna che è incaricato del trattamento dei dati. Se affermativo chi
devo/posso considerare responsabile del trattamento dei dati? |
No. L'incaricato può
essere solamente persona fisica, e quindi non può essere lo "incaricato"
lo studio. In questo caso invece si tratta di affidamento di trattamento
in out-sourcing, e lo studio diviene "titolare di autonomo trattamento". |
|
Un albergo emette
documento fiscale (fattura/ricevuta) con indicato il nome del cliente.
Può desumersi indicazione di origine etnica / razziale il nome indicato
nel documento fiscale posto che potrebbero essere nominativi di persone
estere (origine slava, russa, araba, ebrea, anglosassone) e quindi dato
sensibile? Se sì deve chiedere l'autorizzazione al trattamento al
garante oppure c'è una autorizzazione generalizzata? |
Non si deve richiedere
nessuna autorizzazione per questo tipo di trattamento. Ovviamente
l'albergo in quanto "titolare di trattamento" deve adeguarsi al Dlg. N.196/2003,
e applicare le "misure minime di sicurezza", e redigere il Documento
Programmatico sulla Sicurezza., in quanto tratta dati sensibili. |
|
Se si considera il caso
del personale dipendente occupato nell'azienda: i cedolini busta paga,
eventuale trattenute sindacali, certificati di malattia e/o infortuni
devono essere considerati dati sensibili ? Se sì, come presumo, danno
luogo all'obbligo di predisposizione del Documento Programmatico sulla
Sicurezza anche se conservati su cartaceo o solo se mediante l'utilizzo
di supporti informatici ? |
I dati dei dipendenti sono
"dati sensibili". Il Documento Programmatico sulla Sicurezza deve essere
redatto solo nel caso vengano trattati con strumenti elettronici. |
|
Medico che conserva le
varie diagnosi nella scheda paziente su supporto cartaceo deve redigere
Documento Programmatico sulla Sicurezza? Mi sembra inoltre che i medici
siano stati esonerati dalla richiesta di preventiva autorizzazione al
Garante al trattamento dei dati sensibili. Se venissero conservate su PC
cambierebbe qualcosa in ordine agli obblighi del medico? |
Ovviamente il medico
tratta dati sensibili e in quanto "titolare di trattamento" deve
adeguarsi al Dlg. N.196/2003, e applicare le "misure minime di
sicurezza", e se utilizza strumenti elettronici deve redigere il
Documento Programmatico sulla Sicurezza. |
|
Chi controlla che le
misure minime e gli altri adempimenti previsti dalla legge sono messi in
pratica? |
I controlli vengono
effettuati dalla Polizia Postale e dalla Guardia di Finanza sulla base
di un protocollo di intesa con il Garante. |
|
Per chi tratta i dati
sensibili è sufficiente redigere il Documento Programmatico sulla
Sicurezza? |
No. Non si deve confondere
il Documento Programmatico sulla Sicurezza con le Misure minime di
sicurezza specificate nell'Allegato B al Dlg. N.196/2003. |
|
Se esiste una
autorizzazione generale al trattamento dei dati, è possibile trattare i
dati senza il consenso dell'interessato? |
No, è solo possibile
omettere la notifica al Garante Ci sono molti casi in cui si può fare a
meno di richiedere il consenso all'interessato. In particolare se ci
sono disposizioni di legge o regolamenti comunitari, oppure se c'è un
contratto, ecc… |
|
I medici, che sono per
legge tenuti al segreto professionale, possono registrare i dati dei
loro assistiti senza chiedere il consenso? |
No, devono comunque
chiedere il consenso al paziente e fornirgli l'informativa sul
trattamento |
|
Quali sono le regole da
seguire per chi non tratta dati sensibili o giudiziari? |
E' difficile che una
organizzazione (azienda, ente, studio professionale) non abbia archivi
con dati sensibili: pensiamo per esempio ai certificati di malattia dei
dipendenti! |
|
E' vero che è obbligatorio
per tutte le organizzazioni avere un Documento Programmatico della
Sicurezza? |
In base a quanto stabilito
dall'art. 34 del Dlg. N.196/2003 Il Documento Programmatico sulla
Sicurezza è obbligatorio per tutti coloro che trattano che trattano dati
personali con l'impiego di elaboratori elettronici. |
|
E' obbligatorio
specificare nel Documento Programmatico sulla Sicurezza anche una
analisi dei rischi? |
Si, è esplicitamente
richiesto al punto 19.6 dell'Allegato B del D.Lgs. 196/03 per tutte le
organizzazioni che trattano dati sensibili con l'ausilio di elaboratori
elettronici. |
|
Una struttura alberghiera,
che raccoglie i dati anche per un preciso obbligo di legge, dovendo
fornire l'elenco degli ospiti alle Forze dell'Ordine, è esentata dal
raccogliere il consenso al trattamento? |
No, il consenso va
comunque raccolto secondo le modalità previste dalla legge, anche perchè
il trattamento dei dati in una struttura alberghiera non si limita alla
registrazione dei nominativi negli elenchi degli ospiti per le Forze di
Polizia, ma ci sono sicuramente trattamenti ulteriori per la
contabilità, la gestione dei clienti, etc. etc |
|
Abbiamo un sito Web dove
registriamo i nominativi dei nostri potenziali clienti. Come ci dobbiamo
comportare? |
In questo caso dovete
considerare questo tipo di trattamento in "out-sourcing" e prevedere che
nel contratto che regola il rapporto con la vostra azienda il Provider
dichiari: 1) di essere consapevole che i dati che tratterà
nell’espletamento dell’incarico ricevuto, sono dati personali e, come
tali sono soggetti all’applicazione del codice per la protezione dei
dati personali; 2) di ottemperare agli obblighi previsti dal Codice per
la protezione dei dati personali 3) di adottare le istruzioni specifiche
eventualmente ricevute per il trattamento dei dati personali o di
integrarle nelle procedure già in essere. 4) di impegnarsi a relazionare
annualmente sulle misure di sicurezza adottate e di allertare
immediatamente il proprio committente in caso di situazioni anomale o di
emergenze 5) di riconoscere il diritto del committente a verificare
periodicamente l’applicazione delle norme di sicurezza adottate. |
|
Il Documento programmatico
sulla sicurezza va compilato solo se i dati trattati sono sensibili e
giudiziari usando i computer, oppure ogni volta si usa un computer anche
se ci sono solo indirizzi o dati che si potrebbero benissimo trovare su
un elenco telefonico? |
Il segretario generale
dell’Autorità garante dott. Giovanni Buttarelli ha sottolineato (in un
incontro tenutosi a Roma il giorno 8 giugno 2004) come quello della
redazione del documento programmatico della sicurezza sia un obbligo
generalizzato, riguardante ogni soggetto che svolga un trattamento di
dati personali. Infatti, al di fuori delle ipotesi nelle quali
l’inadempimento è sanzionato penalmente (dati sensibili e giudiziari),
la mancata predisposizione del dps espone i soggetti obbligati a tutte
le conseguenze di natura civile e disciplinare previste dalla legge (ma
si pensi anche alle conseguenze di ordine amministrativo e contabile per
le persone giuridiche pubbliche) |
|
Il Documento programmatico
sulla sicurezza deve essere firmato e riportare data certa? |
Non esiste nessuna norma
nel codice che dice che il Documento programmatico sulla sicurezza (DPS)
debba essere firmato. Il segretario generale dell’Autorità garante dott.
Giovanni Buttarelli, in un recente convegno ha risposto che per
"analogia con analoghi documenti civilistici" è doveroso che abbia data
certa o che comunque si possa dimostrare con una prova documentale e non
testimoniale che sia stato redatto nei termini e nei modi previsti, e
che quindi deve avere data certa. Lo stesso discorso vale per la firma. |
|
Sono configurabili come
banca dati, anche i progetti che possono risiedere nel pc contenenti
riferimenti o dati di clienti (ad esempio progetti, disegni, siti web,
manutenzioni). |
Si, in quanto all'articolo
4 del Dlgs. 196/2003 si definisce come "dato personale", qualunque
informazione relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale. |
