E' vero che con il D.L. 9 febbraio 2012 n. 5. non è più obbligatorio avere un Documento Programmatico sulla Sicurezza (DPS)?
L’obbligo di redazione del DPS è stato abolito con tale decreto. Un documento analogo o disciplinare interno è caldamente consigliabile solo per quelle organizzazioni che trattano dati personali (anche non sensibili) con l’impiego di elaboratori elettronici per avere sotto.
A cosa serve avere un Disciplinare Interno Privacy (DIP)?
Il Disciplinare Interno Privacy identifica gli aspetti dell’infrastruttura tecnologica aziendale coinvolti nella gestione di dati personali e sensibili, verificandone l’aderenza a quanto disposto dalle normative (Dlgs. N.196 del 30 Giugno 2003) che restano comunque in vigore anche con l’adozione del D.Lgs. 5/2012. Inoltre definisce e descrive le misure necessarie per una vera “messa in sicurezza” del sistema informativo aziendale.
Il Disciplinare Interno Privacy è solo un adempimento legale?
Il documento rappresenta non solo un adempimento legale ma un vero e proprio strumento di riferimento per l’azienda in materia di trattamento dei dati personali, e in generale di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare.
La nomina del responsabile è obbligatoria?
No, la nomina del responsabile è facoltativa, ma l’opportunità di nominare uno o più responsabili del trattamento cresce in funzione della propria struttura organizzativa.
Il responsabile del trattamento deve essere solo una persona fisica?
No, il responsabile del trattamento può essere un soggetto giuridico.
Gli incaricati vanno nominati?
Si, la designazione può essere effettuata individuando puntualmente l’ambito del trattamento consentito. Si considera, però valida la designazione di incaricato mediante la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
Chi è l'interessato?
È “interessato”, la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali; il soggetto interessato gode dei diritti previsti dall’articolo 7 del codice civile della privacy.
L’informativa all’interessato deve essere resa per scritto?
Le informazioni all’interessato presso quale sono raccolti i dati possono essere date per scritto od oralmente, la forma scritta è richiesta se il trattamento riguarda i dati sensibili, nel qual caso deve anche essere citata la disposizione che ne impone il trattamento.
Quali sono i diritti degli interessati?
Gli interessati hanno il diritto di ricevere l’informativa, di prestare il consenso preventivo informativo, se non ricorre una causa di esonero. Gli interessati, inoltre, hanno i diritti di cui all’articolo 7 del codice della privacy: accesso ai dati personali, rettificazione dati inesatti, aggiornamento dati vecchi, integrazione dati incompleti, opposizione al trattamento, blocco e cancellazione dei dati trattati in maniera illegittima. Per esercitare i propri diritti l’interessato può ricorrere al Garante o al giudice ordinario.
Come può un dipendente esercitare il diritto di accesso di cui all’art. 7 del Codice nei confronti del proprio datore di lavoro?
Il dipendente deve inoltrare una richiesta di accesso ai sensi dell’art. 7; in questo cosa il datore di lavoro è tenuto a fornire tutte le informazioni comuni e sensibili in suo possesso relative al dipendente.
Che cosa si intende per misure di sicurezza?
Sono misure di sicurezza tutte le prescrizioni idonee a evitare il danno di eccessivi abusi o di perdite accidentali dei dati personali. Si distinguono le misure minime di sicurezza e le misure ulteriori di sicurezza: l’osservanza delle prime esclude responsabilità penali; l’osservanza delle seconde elimina responsabilità per risarcimento del danno.
Cosa deve intendersi per amministratore di sistema?
L’amministratore di sistema è una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati. i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati i personali.
La consegna della busta paga deve avvenire nel rispetto della normativa della privacy?
Certamente. La busta paga è in documento riservato, che riporta dati personali, retributivi ed elementi sensibili, quali assegni di mantenimento per il coniuge separato, pignoramenti in atto ecc. Il dipendente ha il diritto quindi di ricevere la propria busta paga nel pieno rispetto delle norme sulla privacy.
Si possono riprendere con telecamere a circuito chiuso le lavorazioni all’interno di un luogo di lavoro?
Ai sensi dell’art. 4 dello Statuto dei lavoratori, che il Codice della privacy ha lasciato integralmente in vigore, la ripresa delle lavorazioni non è consentita. L’art. 4 di tale testo stabilisce il generale divieto dell’ “uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”, a prescindere dunque dal consenso dei lavoratori.

Cosa significano i concetti privacy by design e privacy by default?
 La “Privacy by design” è un nuovo approccio concettuale al tema della protezione dei dati personali che si snoda in tre azioni principali basate su sette principi. Le azioni consistono in:

  1. Tecnologia dell’informazione
  2. Pratiche commerciali corrette
  3. Progettazione delle infrastrutture di rete

I principi sono invece i seguenti:

  1. atteggiamento proattivo e non reattivo: approccio preventivo ai problemi sulla tutela della privacy;
  2. privacy by default: principio secondo il quale le impostazioni predefinite devono garantire il massimo livello di privacy;
  3. privacy incorporata nella progettazione: la privacy deve essere integrata nel sistema, come componente essenziale e funzionale.
  4. completa funzionalità (positive sum, not zero sum): fare in modo che la privacy sia vantaggiosa per tutte le parti
  5. protezione per l’intero ciclo vitale delle informazioni: completa gestione delle informazioni
  6. visibilità e trasparenza: informare debitamente gli utenti.
  7. rispetto della riservatezza dell’utente: l’utente viene messo al centro del processo, oltre alle opzioni di default devono esserne aggiunte altre di facile gestione e utilizzo. 
Cosa significa Privacy Impact Assessment?
 Il privacy impact assessment(PIA) è una procedura volta a valutare l’incidenza sulla privacy e sulla tutela dei dati trattati di un determinato  prodotto, processo o servizio. Tramite questa valutazione è possibile predisporre adeguate misure preventive al fine di ridurre o mitigare i possibili impatti negativi.