Presentazione

Oltre 900 Aziende Private e Amministrazioni pubbliche hanno scelto il nostro servizio di consulenza in materia di Trattamento dei Dati Personali. Il segreto del nostro successo è stato nell’aver creduto, sin dall’inizio, di poter vincere una scommessa anche di carattere culturale infondendo il concetto di riservatezza, innato nei paesi di matrice anglosassone, nella forma mentis di noi popoli latini.

Il nostro Servizio Consulenziale non si basa sulla produzione di semplice modulistica standardizzata o sulla fornitura di un software “fai da te”, bensì il nostro personale affianca il cliente passo passo, in un percorso duraturo, mirato a risolvere realmente le problematiche che di volta in volta si presentano, non applicando procedure di routine e soluzioni preconfezionate, ma suggerendo e realizzando gli accorgimenti utili allo scopo.

Rispetto alla concorrenza, ci riteniamo “Fuori dal Coro”, che nel nostro lavoro significa offrire, sempre, ai nostri clienti un intervento personalizzato per ogni tipologia di attività, grazie al nostro bagaglio di esperienza, creatività e disponibilità.

I clienti che hanno sposato le nostre convinzioni, hanno raggiunto obiettivi concreti, sotto l’aspetto legale, organizzativo, informatico e gestionale.

In conclusione, possiamo affermare, di aver avuto la capacità strategica di anticipare i tempi e di essere riusciti, grazie al modo scrupoloso e innovativo di intendere il servizio di consulenza offerto, ad aggiudicarci una fetta di mercato sempre più rilevante.

Stati Uniti d'America - 15 Dicembre 1890

I Precursori del diritto alla privacy

Leggi il testo nella versione integrale

Adeguiamo il Vostro Ente

 

In linea con le disposizioni e gli adempimenti introdotti dal D.Lgs. 196/03, SIAPA ha elaborato il Progetto SIAPA196 in materia di Privacy, che ha l’obiettivo di rilevare e risolvere le eventuali incongruenze tra l’attuale gestione dei dati da parte dell’Ente Pubblico e quanto previsto dalla normativa che regolamenta la materia.

Il percorso seguito da SIAPA per la realizzazione di tale progetto si articola nelle seguenti fasi, ciascuna delle quali inscindibilmente connessa alle altre:

Identificazione dell’ambito di applicazione.

In questa fase, per identificare l’area di intervento, si effettua una catalogazione di tutte le componenti del sistema da analizzare, raccogliendo informazioni su: sedi, edifici, aree e uffici; archivi cartacei depositari delle informazioni; sicurezza fisica; sistema di cablaggio; networking; connettività; ambiente server e client; sala CED; impianti tecnologici (elettrico, condizionamento, telefonico….); struttura organizzativa (organigramma/funzionigramma).

Censimento e classificazione delle informazioni.

Al fine di identificare i tipi di dati trattati, si procede all’inventario delle banche dati dell’Ente tramite: censimento dei procedimenti amministrativi; censimento dei trattamenti; censimento delle banche dati esistenti (su supporto cartaceo, magnetico e/o ottico); associazione delle banche dati con responsabile e/o incaricato del trattamento.

Analisi dei rischi.

Fase centrale del progetto, nella quale si considerano i seguenti fattori:

    • catalogazione delle minacce al sistema informativo; valutazione delle vulnerabilità a queste minacce mediante controlli sul sistema (rischio potenziale); impatto che il verificarsi di una minaccia provoca sul sistema.

Le aree sulle quali si effettuano i controlli, anche con l’ausilio di appositi strumenti software e hardware, sono:

    • perimetro fisico e logico; rete geografica; rete locale; sistema di cablaggio; continuità elettrica;
    • archivi cartacei e sale macchine; archivi elettronici; contratti di outsourcing; procedure e policy.

Gestione del rischio.

Ottenuta una valutazione dei rischi per le varie minacce presenti, occorre individuare il livello di accettabilità del rischio per l’organizzazione. Qualora si dovesse riscontrare un livello di rischio residuo, si renderà opportuno definire un’azione correttiva volta a portare tale valore al di sotto del livello di rischio accettabile. La riduzione del rischio residuo, indispensabile per ottenere un effettivo miglioramento del sistema di gestione della sicurezza, si realizza mettendo in campo una delle seguenti strategie/soluzioni: fisica; logica; tecnologia; organizzativa.

A completamento di questa fase, il progetto prevede la trasmissione di una nota, denominata “Relazione Tecnica sullo stato dell’arte”, che, in virtù di quanto rilevato nelle precedenti fasi ed in conformità alle prescrizioni legislative, individua gli accorgimenti che dovranno essere adottati dall’Ente, affinché questi rispetti le misure minime e/o idonee di sicurezza.

Definizione della politica di sicurezza.

Il risultato di quest’ultima è il piano dettagliato dell’intervento da effettuare, comprensivo dell’identificazione degli strumenti da utilizzare ed eventualmente da sviluppare.

Attività di implementazione della politica di sicurezza.

Quanto stabilito e progettato nella fase precedente si traduce in atti concreti, attraverso l’elaborazione dei documenti che descrivono la Policy aziendale in materia, primo tra tutti il MAP© (Modello Attuativo Privacy) ed i Protocolli/Procedure Operative che dovranno regolamentare l’azione dell’Ente. In attuazione di quanto prescritto dal D.Lgs. 30 giugno 2003 n.196 e dal “Disciplinare Tecnico in materia di Misure Minime di Sicurezza” di cui all’Allegato B del citato Decreto, come modificati ed integrati dall’art. 45 del D.L. 9 febbraio 2012 n.5, infatti, l’adozione delle misure minime per la protezione dei dati è un obbligo da cui l’Ente non può esimersi. Il MAP© ed i Protocolli/Procedure Operative rappresentano, pertanto, la formalizzazione dinamica delle misure di protezione dei dati che il Titolare del Trattamento è tenuto, comunque, a porre in essere, al fine di minimizzare i rischi riscontrati nelle precedenti fasi.

Modello Attuativo Privacy e documentazione correlata.

Sicurezza vuol dire regole, vincoli, controlli, liste di accesso, permessi ecc.; ciò comporta una certa dose di inevitabile lavoro amministrativo. Sul MAP© viene riportato come avviene il trattamento e come vengono messi in sicurezza le informazioni da parte dell’Ente. In particolare, in esso si rinviene:

    • analisi qualitativa del patrimonio informativo dell’Ente;
    • individuazione dei ruoli e delle responsabilità;
    • identificazione e classificazione delle informazioni e dei dati personali trattati dall’Ente;
    • descrizione degli strumenti utilizzati;
    • analisi dei rischi;
    • verifica puntuale del rispetto dei requisiti previsti dal D.Lgs. 30 giugno 2003, n. 196, con riferimento al trattamento di dati personali;
    • individuazione dei criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza;
    • individuazione delle procedure per il controllo dell’accesso delle persone autorizzate ai locali interessati dalle misure di sicurezza;
    • individuazione dei criteri e delle procedure per assicurare l’integrità dei dati, per la sicurezza delle trasmissioni e per la restrizione dell’accesso per via telematica;
    • individuazione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
    • individuazione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, dal Titolare, all’esterno della struttura;
    • elaborazione di un piano di verifica delle misure di sicurezza;
    • elaborazione di un piano di formazione.

Il MAP©, rappresenta, pertanto, il documento portante del sistema informativo nel suo complesso. Aggiornare tale documento è utile anche per evitare che dopo qualche tempo, il sistema di sicurezza si degradi e fallisca i suoi obiettivi.

Formazione.

Il sistema informativo che si predispone, garantisce la sua efficacia solo in presenza di una concreta applicazione dello stesso da parte di tutti i soggetti dell’Ente, responsabili, dipendenti ed utenti in generale.

Pertanto, è necessario formare e informare il personale sulle normative in materia di trattamento dei dati, al fine di fornire ai medesimi la necessaria consapevolezza sulle procedure applicate dall’Ente in materia di sicurezza delle informazioni e prevenire i reati informatici che potrebbero essere commessi ed i trattamenti illeciti di dati personali.

Al fine di realizzare gli obiettivi di cui sopra, la formazione erogata deve essere chiara, efficace, sufficientemente dettagliata e calibrata in funzione della qualifica dei destinatari e del livello di rischio dell’area in cui i medesimi operano, oltre che sistematica, per una maggiore e duratura applicazione del sistema di sicurezza predisposto.

Una formazione erogata con le modalità sopra descritte porterà fin da subito considerevoli vantaggi in termini di sicurezza e affidabilità dei sistemi informativi e di prevenzione.

Audit di corretta applicazione.

A seguito di un periodo, della congrua durata di sei mesi, di attuazione del sistema di sicurezza, si procede ad un’attività di audit per verificare il grado di applicazione e di efficacia delle attività/processi predisposti per l’Ente, al fine di stabilire se i requisiti di sicurezza previsti siano stati effettivamente raggiunti.

Piano di mantenimento.

SIAPA, per questa fase, propone la stipula di un contratto annuo di assistenza consistente in un monitoraggio presso le sedi dell’Ente, al fine di verificare che il sistema di gestione della sicurezza mantenga la sua efficacia e adeguatezza rispetto agli standard adottati e al livello di sicurezza desiderato e la relativa revisione/aggiornamento ed eventuale integrazione della documentazione (MAP©, Protocolli, Regolamenti, informative, lettere di nomina, ecc.).

In virtù della complessità e del dinamismo che caratterizza il sistema di gestione del trattamento dei dati, si rivela indispensabile un monitoraggio costante delle misure adottate, anche in ragione dell’entrata in vigore di nuovi precetti normativi ovvero di modifiche afferenti la struttura organizzativa, logica ed informatica dell’Ente stesso.

Al fine di garantire un supporto effettivo e dinamico all’Ente, soprattutto in relazione alle evoluzioni legislative e giurisprudenziali in materia di trattamento dei dati, SIAPA offre un ulteriore servizio informativo, erogato tramite newsletter specifiche, che verranno inviate all’Ente con periodicità mensile.

 

“The Right To Privacy” è il saggio scritto nel 1890 ad opera di due giovani avvocati Samuel Warrene Louis Brandeis (che in seguito diventò giudice, il grado più alto del sistema giuridico americano) di Boston (USA), da cui è nato il più antico concetto giuridico del diritto alla Privacy. In questo periodo, in questa parte degli USA, si diffuse il concetto di Privacy, in quanto spesso nelle feste private venivano diffuse delle foto sulla stampa di gossip locale, e per tutelare ciò, i due bostoniani scrissero il famoso saggio sulle pagine della Harvard Law Review, come il “diritto di essere lasciati da soli”. Il diritto alla Privacy ha acquistato, però, nel corso degli anni significati differenti dovuti al mutare delle situazioni socio-economiche e soprattutto all’avvento del progresso tecnologico. La nascita dell’informatica, la diffusione di internet ad ogni livello sociale e culturale ha fatto crescere la possibilità di reperire, accumulare e trattare senza limitazioni di tempo e di spazio un gran numero di informazioni. Tali informazioni possono essere organizzate e combinate in modo da ricostruire le preferenze, le abitudini e i comportamenti degli individui diventando così merce preziosa. Le leggi moderne in materia di Privacy tendono, quindi, a proteggere l’individuo non solo dalle invasioni della sua sfera privata, ma anche e soprattutto dall’uso illegale o indiscriminato dei dati che lo riguardano.