Sistemazione Computer Aziende per il DPS

[blackdream]

CIao a tutti,
volevo informazioni su tutto cio che bisogna fare per sistemarte il proprio hardware o software aziendale , per la legge sulla privacy o meglio sul Documento Programmatico sulla Sicurezza
Grazie a tutti

[naso]

come già detto, ti conviene andare dal tuo commercialista o alla camera di commercio o alla confartigianato o quello che sia x te... fattelo fare da loro... così ti levi ogni possibile problema di interpretazione della legge.... (facendotelo fare, le responsabilità sono loro... sono loro che devono dirti cosa devi e come lo devi fare... )

[eraclitus]

Quoto Naso... rivolgiti al commercialista, soprattutto prima di aderire a proposte di sedicenti consulenti informatici che hanno deciso tutto d'un tratto di fare i giuristi! In questi giorni sembra che (almeno dalle mieparti) ci sia una invasione di proposte di consulenti che vorrebbero far fare il DPS pure alle vecchiette.

[Blackage]

Quote:

Originariamente inviato da naso

come già detto, ti conviene andare dal tuo commercialista o alla camera di commercio o alla confartigianato o quello che sia x te... fattelo fare da loro... così ti levi ogni possibile problema di interpretazione della legge.... (facendotelo fare, le responsabilità sono loro... sono loro che devono dirti cosa devi e come lo devi fare... )

Io mi sono informato... Alla fine non è per niente complicato!
Certo, chi deve vendere fa sembrare tutto difficile, ma alla fine occorre solo formalizzare il trattamento dei dati e rispettare le prescrizioni contenute nell'allegato B (password a scadenza fissa:3 mesi dati sensibili o giudiziari,6 dati personali), antivirus, backup a scadenza massima settimanale, ecc.
Certo se l'azienda è grande è meglio chiedere aiuto a qualcuno, altrimenti se uno vuole sbattersi non è difficile redigere il DPS.
L'unica cosa che non è vera è che se lo fai fare a qualcuno le responsabilità sono sue!
Il Decreto prevede una serie di penali a carico del Titolare del Trattamento, del responsabile del trattamento e degli incaricati, ma io non ho letto responsabilità a carico di chi redige il DPS...
E poi la legge non ammette "ignoranza" (nel senso di mancanza di conoscenza )

Quindi caluta un attimo cosa fare...
CIAO!

[Kewell]

Da un punto di vista dei soli adempimenti lato PC devi:
1) Usare un antivirus aggiornato almeno semestralmente ( ) e persino su PC senza collegamento ad internet o addirittura sul quale non vengono usati cd, penne USB ecc...
2) Password ed user id per ogni incaricato che acceda al PC (devi prevedere una pass diversa persino se gli incaricati operano sui medesimi archivi dati e senza obligo di tracciatura ). La pass deve essere di almeno 8 caratteri non riconducibili agevolmente all'incaricato. La pass va cambiata ogni 6 mesi ovvero ogni tre se vengono trattati dati sensibili;
3) Backup almeno settimanale.
4) Il sistema operativo deve essere aggiornato almeno annualmente (quindi niente win98 per il quale non esiste più supporto da parte di Microsoft o cesserà a breve e ha una sistema di autenticazione da ridere)
Tra la misure idonee (le precedenti sono minime, cioè assolutamente obbligatorie) dovresti mettere gruppo di continuità e firewall.

Al contrario di quanto detto dai mie predecessori ti dico che la normativa non è assolutamente facile (e soprattutto è in molti punti confusionaria e scritta con i piedi) e che, in realtà, non è ben chiaro chi debba essere il consulente privacy. Imho la scelta deve ricadere su gente con conoscenze giuridiche (avvocati e commercialisti), ma questi possono trovarsi in difficoltà sui termini tecnici.

Ti segnalo:
http://www.comuni.it/servizi/forumbb/viewforum.php?f=3

P.S: lo sai che sei obbligato a fare il DPS solo se la società tratta dati sensibili su pc, vero?
Le misure suddette, comunque, a prescindere dal DPS, sono obbligatorie.

[Blackage]

Quote:

Originariamente inviato da Kewell

Al contrario di quanto detto dai mie predecessori ti dico che la normativa non è assolutamente facile (e soprattutto è in molti punti confusionaria e scritta con i piedi) e che, in realtà, non è ben chiaro chi debba essere il consulente privacy. Imho la scelta deve ricadere su gente con conoscenze giuridiche (avvocati e commercialisti), ma questi possono trovarsi in difficoltà sui termini tecnici.

P.S: lo sai che sei obbligato a fare il DPS solo se la società tratta dati sensibili su pc, vero?
Le misure suddette, comunque, a prescindere dal DPS, sono obbligatorie.

Sul resto sono d'accordo con te, ma su qs due punti mica tanto:
il consulente non è detto nemmeno ci debba essere e comunque se da un lato sarebbe opportuno avesse conoscenze giuridiche, dall'altro se non ha conoscenze informatiche non è molto utile...
Io suggerirei di leggersi bene il D.Lgs. e adeguqare i pc (se uno legge qs forum direi che è in grado di farlo... ) e poi se proprio ha dei dubbi richiede una consulenza per la parte "legale".

Invece non ho proprio capito perchè affermi che se uno non tratta dati sensibili e/o giudiziari non debba redarre il DPS?

Cmq il garante ha pubblicato anche delle schede "tipo" per l'analisi dei rischi che incombono sui dati e che possono essere utili per la stesura del DPS...

Alla fine ci sono degli adempimenti dal punto di vista informatico, delle "formalizzazioni" (mettere a conoscenza il cliente del "flusso" dei dati: i li raccolgo---> li invio al consulente busta paga, all'INPS, all'agenzia delle entrate, ecc. per fare l'esempio di un commercialista), la necessità di esplicitare i dati raccolti e le finalità, nominare per iscritto gli incaricati del trattamento e poche altre cose.

Certo, non sto dicendo che in 10 minuti uno ha sistemato tutto, ma non credo nemmeno sia una normativa complicatissima.

L'unico lato positivo è che con questo decreto hanno creato un po' di lavoro (anche se non credo fosse quello che servisse... )

[Kewell]

Quote:

Originariamente inviato da Blackage

Sul resto sono d'accordo con te, ma su qs due punti mica tanto:
il consulente non è detto nemmeno ci debba essere e comunque se da un lato sarebbe opportuno avesse conoscenze giuridiche, dall'altro se non ha conoscenze informatiche non è molto utile...
Io suggerirei di leggersi bene il D.Lgs. e adeguqare i pc (se uno legge qs forum direi che è in grado di farlo... ) e poi se proprio ha dei dubbi richiede una consulenza per la parte "legale".

La difficoltà maggiore, credimi, è sul lato giuridico e non tecnico. Il giurista fornisce l'interpretazione della legge (anche se l'ultima parola spetta alla giurisprudenza, ed al momento, che io sappia, non esiste) e poi il tecnico la applica. Ti assicuro che un tecnico informatico che non ha un minimo di conoscenza giuridiche è in grande difficoltà. In ogni caso anche io ho detto che non si è capito bene chi deve "studiare" la normativa .
Se leggi il forum linkato ti accorgerai che i problemi interpretativi non sono pochi e se in astratto sembra una cosa alla portata di tutte quando ti metti ad applicare la normativa, la realtà è ben diversa.

Quote:

Invece non ho proprio capito perchè affermi che se uno non tratta dati sensibili e/o giudiziari non debba redarre il DPS?

Lo dice chiaramente l'allegato b) alla legge.

Quote:

L'unico lato positivo è che con questo decreto hanno creato un po' di lavoro (anche se non credo fosse quello che servisse... )

In effetti ci lavoro anche io

[eraclitus]

La legge in sè non è neanche scirtta male (ne esistono di peggio, credetemi!): il problema è più che altro nel regolamento tecnico attuativo, fatto probabilmente da persone che sanno a malapena accendere il pc.
Lo spirito della legge è più che mai condivisible: evitare che i miei dati finiscano in mano a chicchessia per semplici sbadataggini o mancanzza di misure di protezione da parte di chi tratta i miei dati.
Tuttavia, nel nostro amato bananificio chiamato Italia, si è creato un testo legale che più che garantire il cittadino, complica e non poco le cose alle aziende; da un lato tecnici informatici "disonesti" che cercano di appioppare a tutto spiano sedicenti DPS "necessarissimi sennò vai in galera" (n.b. non si va in galera x mancanza di dps; se il dps è incompleto non ci dovrebbero nemmeno essere sanzioni amministrative!); dall'altro le aziende che soprattutto in ambito PMI non sanno che pesci pigliare e chi ascoltare.
L'unica soluzione è aspettare un po' di giurisprudenza, che arriverà tipo almeno tra un 6-8 mesi; per adesso, tanto vale farsi un DPS di massima, senza esagerare con le paranoie (pwd, antivirus, cassetti chiusi a chiave e un flpyy o cd x i backup) e aspettare.

[Kewell]

Che dovrei leggere?

[Kewell]

Quote:

Originariamente inviato da Kewell

Che dovrei leggere?

Vedo che hai editato

[Kewell]

Quote:

Originariamente inviato da eraclitus

La legge in sè non è neanche scirtta male (ne esistono di peggio, credetemi!): il problema è più che altro nel regolamento tecnico attuativo, fatto probabilmente da persone che sanno a malapena accendere il pc.

Ma neanche tanto. Basti pensare all'inversione dell'onere della prova (art. 15), oppure all'art 163: notifica al garante che non fa distinzione tra omesso e tardiva notifica (multe sino a 60.000 euro...). Condivido pienamente lo spirito di fondo. Meno i mezzi per attuarlo

Quote:

L'unica soluzione è aspettare un po' di giurisprudenza, che arriverà tipo almeno tra un 6-8 mesi; per adesso, tanto vale farsi un DPS di massima, senza esagerare con le paranoie (pwd, antivirus, cassetti chiusi a chiave e un flpyy o cd x i backup) e aspettare.

Guarda che queste sono misure minime obbligatorie! E' il DPS che in certe circostanze non lo è
I cassetti chiusi non sono necessari. E' sufficiente che i locali siano controllati.
Per quanto riguarda un DPS "parziale" leggi l'art. 169

[IlCarletto]

apparentemente la stesura non è difficile. però dovessero mai presentarsi dei casini .... come responsabilità si arriva al penale, quindi errori (stesura, organizzazione, dimenticanze etc etc etc..) non devono essere fatti. meglio rivolgersi al commercialista coma abbiamo fatto noi per avere un dps dettagliato e fatto su misura sull'azienda.

qui i Fai Da te è meglio lasciarlo perdere

[Blackage]

Quote:

Originariamente inviato da Kewell

Lo dice chiaramente l'allegato b) alla legge.

Ops, hai ragione...

Comunque io ritengo che si stia ingigantendo il problema...
Penso che una volta applicate le misure minime e, nel caso ,redatto il DPS si possa stare abbastanza tranquilli

Poi se uno vuole complicarsi la vita libero di farlo (vedi il forum che ha linkato Kewell, ho letto che alcuni hanno apposto francobolli di posta prioritaria su ogni pagina del DPS per farselo timbrare e avere quindi data certa )

[Kewell]

Quote:

Originariamente inviato da Blackage

Comunque io ritengo che si stia ingigantendo il problema...
Penso che una volta applicate le misure minime e, nel caso ,redatto il DPS si possa stare abbastanza tranquilli

Concordo assolutamente. La legge e l'allegato b) sono scritti talmente male che essere in regola è impossibile. Io cerco sempre di applicare il buon senso, sperando che chi fa i controlli faccia altrettanto... certo è che si trovi davanti qualcuno intransigente è bene cercare di far vedere che si è fatto
il possibile per essere in regola.