sono alle prese con la stesura del DPS e mi trovo di fornte a questo problema: in studio siamo in 2 e siamo entrambi responsabili del trattamento dati. Io so che bisogna nominare una persona per la custodia della password e che in realtà potrebbe essere anche più di una persona. Allora mi chiedo possiamo essere ognuno custode della propria ppassword, senza metterci a fare la lettera di incarico a qualcuno che lo faccia?
Aiutatemi, viprego: non ci capisco più niente!
gli studi professionali non devono redigere il DPS, perchè non trattano dati sensibili: se non mi credete, confrontate l'articolo 34:
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
con l'allegato B:
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
Siccome gli studi professionali NON trattano dati sensibili o giudiziari, ma solo dati personali, essi NON devono redigere il dps.
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
con l'allegato B:
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
Siccome gli studi professionali NON trattano dati sensibili o giudiziari, ma solo dati personali, essi NON devono redigere il dps.
ho seri dubbi anche sulla necessità dell'informativa, infatti articolo 24:
Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
...
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
Non sono sicuro al 100%, ma a me sembra che nome, indirizzo, n° di telefono ed eventuale PIva rientrino tutti nella definizione...
Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
...
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
Non sono sicuro al 100%, ma a me sembra che nome, indirizzo, n° di telefono ed eventuale PIva rientrino tutti nella definizione...
Nota postuma: ho avuto gli stessi dubbi di Ronin, ma poi mi sono chiesto se potrebbe comunque capitarci di dover utilizzare dati sensibili anche se ordinariamente questo non aviene. Se per esempio si deve fare un lavoro in una sede di un'associazione politica, religiosa, e il presidente dell'associazione è il nostro committente, o chissà per quali motivi i dati che andiamo a trattare rilevano in qualche modo l'origine "razziale" o etnica... insomma credo che in generale Ronin abbia ragione, ed io mi sono posto gli stessi dubbi, ma non sono arrivato ad una conclusione.
Seconda nota postuma: l'informativa non costa niente farla e già il fatto che il nostro cliente ha chiesto di non comparire sull'elenco telefonico potrebbe essere un motivo buono per essere autorizzati prima di indicare il numero su qualche modulo da consegnare.
Seconda nota postuma: l'informativa non costa niente farla e già il fatto che il nostro cliente ha chiesto di non comparire sull'elenco telefonico potrebbe essere un motivo buono per essere autorizzati prima di indicare il numero su qualche modulo da consegnare.
ma la questione principale è un'altra: le centinaia di nominativi raccolti PRIMA che arrivasse il codice dei dati personali, devono essere informati, o posso informarli la prossima volta che utilizzerò i loro dati?
Ecco una domanda alla quale non so dare una risposta definitiva.
Ecco una domanda alla quale non so dare una risposta definitiva.
bella domanda Ronin!!!
in realtà la legge non dovrebbe essere retroattiva...quindi dovresti informare solo i tuoi clienti presenti e futuri...
ma per coerenza...forse bisognerebbe farlo con tutti...cosa forse assurda...
forse si può considerare come per la certificazione ISO9001....il materiale antecedente al processo di certificazione (quello obsoleti però!!!!)...non sono soggetti alla ISO....ma chiaramente vanno tenuti ordinati ed in un posto ben definito...
mah!
in realtà la legge non dovrebbe essere retroattiva...quindi dovresti informare solo i tuoi clienti presenti e futuri...
ma per coerenza...forse bisognerebbe farlo con tutti...cosa forse assurda...
forse si può considerare come per la certificazione ISO9001....il materiale antecedente al processo di certificazione (quello obsoleti però!!!!)...non sono soggetti alla ISO....ma chiaramente vanno tenuti ordinati ed in un posto ben definito...
mah!
(sempre dall'articolo 13):
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.
il che sembrerebbe intendere che, se i dati ce li ho già (e quindi non li raccolgo presso l'interessato, e li ho già registrati) posso evitare di inviare l'informativa fino a che non li riutilizzo. Ci vorrebbe un (bravo) avvocato, però...
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.
il che sembrerebbe intendere che, se i dati ce li ho già (e quindi non li raccolgo presso l'interessato, e li ho già registrati) posso evitare di inviare l'informativa fino a che non li riutilizzo. Ci vorrebbe un (bravo) avvocato, però...
Prova a rileggere un tuo post del 30/03/2006 [post n° 79365]:
che cosa ha stravolto le tue certezze?
che cosa ha stravolto le tue certezze?
Quello che è vero è la definizione che la stessa legge fa dei dati sensibili:
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
Da ciò ne deduco che il numero di telefono, l'indirizzo o dati simili non sono dati sensibili.
Certo il decreto è ancora troppo nuovo per sapere come ci si comporterà in caso di controllo, ma applicando la legge mi sembra che se non facciamo il DPS non dovremmo commettere nulla di grave
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
Da ciò ne deduco che il numero di telefono, l'indirizzo o dati simili non sono dati sensibili.
Certo il decreto è ancora troppo nuovo per sapere come ci si comporterà in caso di controllo, ma applicando la legge mi sembra che se non facciamo il DPS non dovremmo commettere nulla di grave
Ciò che colpisce è il fatto che ci ritroviamo a discutere di questo argomento a quasi due mesi di distanza dalla scadenza di fine marzo, quando cioè i giochi dovrebbero essere fatti e il DPS, se necessario, dovrebbe già essere stato predisposto.
Come al solito, ad una fase iniziale di terrorismo psicologico (ricordo un incontro in proposito, organizzato dall'ordine, dal quale siamo usciti tutti stralunati), segue un'interpretazione progressivamente più "morbida" e probabilmente, alla fine, tutto si risolverà nella solita bolla di sapone.
Come al solito, ad una fase iniziale di terrorismo psicologico (ricordo un incontro in proposito, organizzato dall'ordine, dal quale siamo usciti tutti stralunati), segue un'interpretazione progressivamente più "morbida" e probabilmente, alla fine, tutto si risolverà nella solita bolla di sapone.
dice il poeta; il mio cambiamento di direzione deriva dallo scambio di opinioni con due avvocati molto preparati (uno dei quali svolge il compito di legale di riferimento della federazione medici veterinari, e dunque è specialista nel campo degli adempimenti dei liberi professionisti), che mi hanno spiegato le cose con chiarezza.
Peccato che non abbia avuto la presenza di spirito per porre il quesito sull'informativa.
PS: per vanna, io penso che il terrorismo che è stato fatto sul DPS abbia ragioni molto chiare, ancorchè inconfessabili: c'è stata un sacco di gente (commercialisti, consulenti, software house) che ha fatto una barca di soldi vendendo pacchi di fotocopie inutili (un po' come quando è nata la iso9000, o i piani di sicurezza), sfruttando la difficoltà di interpretazione della legge.
Per il resto, io per quest'anno ormai l'ho fatto e me lo tengo; l'anno prossimo, non perdo tempo ulteriore ad aggiornarlo...
Peccato che non abbia avuto la presenza di spirito per porre il quesito sull'informativa.
PS: per vanna, io penso che il terrorismo che è stato fatto sul DPS abbia ragioni molto chiare, ancorchè inconfessabili: c'è stata un sacco di gente (commercialisti, consulenti, software house) che ha fatto una barca di soldi vendendo pacchi di fotocopie inutili (un po' come quando è nata la iso9000, o i piani di sicurezza), sfruttando la difficoltà di interpretazione della legge.
Per il resto, io per quest'anno ormai l'ho fatto e me lo tengo; l'anno prossimo, non perdo tempo ulteriore ad aggiornarlo...
ti prego...non confondere il DPS con la ISO9001....perchè sono due cose completamente diverse....
per quanto riguarda la necessità di redigere il DPS....recentemente mi hanno confermato l'obbligatorietà per chi è libero professionista come me...
che dire? mille versioni...mille pareri...io sinceramente non so a chi credere...ma redigere il dps tutto sommato non è nemmeno stata una grande fatica....
per quanto riguarda la necessità di redigere il DPS....recentemente mi hanno confermato l'obbligatorietà per chi è libero professionista come me...
che dire? mille versioni...mille pareri...io sinceramente non so a chi credere...ma redigere il dps tutto sommato non è nemmeno stata una grande fatica....
ma perchè dovrei confondere le due cose?
Io che sono vecchio, ricordo bene quando la prima versione della iso 9001 (del 1994) nacque, e non si capiva con esattezza cosa fosse, e certi "consulenti" (che dopo qualche anno sono spariti) facevano affari d'oro vendendo pacchi di fotocopie sempre uguali che chiamavano manuale della qualità.
Con il DPS è lo stesso (mutatis mutandis): prima o poi si farà chiarezza, e i consulenti mediocri o mendaci si dedicheranno a qualcos'altro (ti hanno confermato chi? il commercialista suppongo...).
Io che sono vecchio, ricordo bene quando la prima versione della iso 9001 (del 1994) nacque, e non si capiva con esattezza cosa fosse, e certi "consulenti" (che dopo qualche anno sono spariti) facevano affari d'oro vendendo pacchi di fotocopie sempre uguali che chiamavano manuale della qualità.
Con il DPS è lo stesso (mutatis mutandis): prima o poi si farà chiarezza, e i consulenti mediocri o mendaci si dedicheranno a qualcos'altro (ti hanno confermato chi? il commercialista suppongo...).
caro Ronin...io ho fatto l'RGQ in una società....insieme ad un consulente ho creato un sistema...e ti assicuro che non si trattava di fotocopiare manuali....ma di creare qualcosa dal nulla...anno? 2000/2001.....
poi, che in giro ci fosse tanta gente che millantava e tanta gente che pagava per certificarsi senza far nulla....che ci possiamo fare?
c'è in giro anche tanta gente che si è laureata facendo poco o nulla...tanta gente che si fa passare per architetto e che non lo è...ecc...ecc....
io la ISO...l'ho conosciuta in un modo serio e per me estremamente istruttivo....e si tratta di una forma mentale....
il DPS è altra cosa...
...mi spiace constatare che ogni volta che ti contraddico (io ma anche gli altri)...sei sempre pronto a sentenziare....e mi spiace veramente perchè sei una delle persone che stimo di più qui dentro...
...comunque no...non era un commercialista (categoria con cui sembri avere problemi)...era "un avvocato molto preparato"...
poi, che in giro ci fosse tanta gente che millantava e tanta gente che pagava per certificarsi senza far nulla....che ci possiamo fare?
c'è in giro anche tanta gente che si è laureata facendo poco o nulla...tanta gente che si fa passare per architetto e che non lo è...ecc...ecc....
io la ISO...l'ho conosciuta in un modo serio e per me estremamente istruttivo....e si tratta di una forma mentale....
il DPS è altra cosa...
...mi spiace constatare che ogni volta che ti contraddico (io ma anche gli altri)...sei sempre pronto a sentenziare....e mi spiace veramente perchè sei una delle persone che stimo di più qui dentro...
...comunque no...non era un commercialista (categoria con cui sembri avere problemi)...era "un avvocato molto preparato"...