Non riusciremo a trattare tutti gli aspetti della privacy ma cercheremo in questo articolo di descrivere alcuni principi fondamentali senza i quali è inutile addentrarsi in questo studio.
L’abrogazione del Documento programmatico sulla sicurezza elimina un adempimento puramente formale che non incide sugli obblighi e sulla quantità degli adempimenti.
Senza ripercorrere la strada compiuta dal famigerato DPS dalla sua nascità ad oggi ci preme rivedere e sottolineare i principali obblighi in vigore, che possiamo riassumere in:
- L’articolo 31 prevede l’obbligo di studiare e redigere un’analisi dei rischi ed istruire gli incaricati su di essi
- Identificare e nominare obbligatoriamente gli incaricati per le procedure di autenticazione informatica e per la conseguente gestione delle politiche riguardanti le credenziali di autenticazione
- L’obbligo di istituire e nominare gli incaricati sul sistema di autorizzazione
Per quanto attiene alle figure coinvolte e che devono obbligatoriamente essere coinvolte e nominate nel trattamento continuiamo a parlare di:
- incaricati, responsabili, amministratori di sistema …..
Per quanto attiene alle attività di protezione dei sistemi interni possiamo a parlare di:
- L’obbligo di protezione degli strumenti elettronici e de i dati rispetto a trattamenti illeciti siano essi derivanti da azioni malevoli o meno, accessi non consentiti, programmi maligni
- Vi è l’obbligo di costruire procedure di ripristino di dati personali in tempi brevi ed in tal senso per le PA ha valore specifico in nuovo codice dell’amministrazione digitale
- Occorre determinare le misure minime di sicurezza in caso di trattamento di dati sensibili su supporti rimovibili
- Gli incaricati devono ricevere obbligatoriamente le istruzioni per i trattamenti su supporto cartaceo
- Diventa fondamentale determinare le procedure di custodia durante il
- Determinare obbligatoriamente le procedure per l’accesso identificato e restrittivo agli atti
Si tenga poi presente che per i Commercialisti l’Agenzia delle Entrate ha emanato una circolare in data 3 agosto 2011 che impone la determinazione di altre misure minime di sicurezza per gli intermediari Entratel in assenza di ciò si incorre nella revoca dell’autorizzazione.
- Conservazione separata delle dichiarazioni fiscali
- Conservazione separata di documenti sensibili
- Conservazione idonea della documentazione relativa all’attività di trasmissione e dei supporti del backup
- La predisposizione di apposite procedure per l’accesso e la gestione degli archivi Entratel
- Determinazione del limite temporale della documentazione fiscale.
L’adeguamento alle misure minime di sicurezza in tema di trattamenti di dati personali è caratterizzata, da due grandi novità:
Possiamo quindi affermare che le maggiori novità in tema di trattamento dei dati sono riconducibili a:
L’individuazione e l’analisi dei rischi
La determinazione delle MMS (Misure Minime di Sicurezza)
Per quanto attiene alle MMS queste impattano soprattutto sui commercialisti qualora utilizzino il canale Entratel.
Sempre per loro i controlli constateranno soprattutto in termini di verifica della archiviazione separata delle dichiarazioni fiscali e della documentazione a corredo rispetto agli altri documenti, e della conservazione limitata nel tempo della documentazione fiscale.
Al fine di essere quanto più esplicativi e possibile si riporta un elenco delle sanzioni in cui si potrebbe incappare a vario titolo nei casi in cui non si rispettino i dettami del codice.
- Art. 161: Omessa o inidonea informativa all’interessato – Da 6.000 a 36.000 euro
- Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento – Da 10.000 a 60.000 euro
- Art. 162 c.2-ter: Inosservanza delle prescrizioni del Garante – Da 30.000 a 180.000 euro
- Art. 163: Omessa o incompleta notificazione – Da 20.000 a 120.000 euro
- Art. 164: Omessa informazione o esibizione al Garante – Da 10.000 a 60.000 euro
- Art. 167 c.1: Reclusione da 6 a 18 mesi per Trattamento di dati personali in assenza consenso
- Art. 167 c.1: OBBLIGO DI PREDISPOSIZIONE DI ISTRUZIONI AGLI INCARICATO -Reclusione da 6 a 24 mesi
- Art. 167 c.2: Obbligo di separazione dei dati sensibili – Reclusione da 24 a 36 mesi
- Art. 169: Omissione delle Misure Minime di sicurezza – Arresto fino a due anni
Nessun commento:
Posta un commento