| Domande
: |
Risposte
: |
|
E' necessario inviare l'informativa per il consenso
dei trattamenti ai nostri clienti o fornitori,dato
che stiamo ricevendone alcune dagli stessi? |
Non è necessario chiedere il consenso con
una informativa se i dati vengono trattati per
finalità connesse ad un obbligo di legge
o per un regolamento comunitario. Quindi i dati
dei clienti e dei fornitori se vengono trattati
per quello scopo non necessitano di nessuna
informativa. Serve l'informativa se voglio utilizzare
gli stessi dati per scopi diversi, ad esempio
per inviare materiale pubblicitario, depliant,
ecc… |
|
Essendo certificati Iso 9001 dobbiamo inviare
via fax o via e-mail un questionario sulla soddisfazione
del cliente nei confronti della nostra Azienda.
Dobbiamo seguire qualche regola particolare...? |
Se il questionario è anonimo, non c'è
bisogno di fare nulla. Se il questionario consente
di risalire a chi ha dato la risposta è
necessario predisporre di una informativa ai
sensi dell'art. 13 del Dlg. 196/2003 in cui
sia specificata la finalità del trattamento,
se i dati verranno comunicati e a chi, ecc… |
|
I dati riguardanti i dipendenti vengono inviati
al nostro consulente del lavoro per l'elaborazione
delle retribuzioni mensili e questo viene indicato
nella lettera d'assunzione che firmano. Il titolare
deve comunque darne comunicazione scritta agli
interessati? |
Si deve controllare che nella lettera di assunzione
ci siano ben specificati gli elementi necessari
perché l'informativa che viene data ai
dipendenti sia valida (art. 13 del del Dlg.
196/2003). Se per titolare si intende il "vostro"
titolare questi "ha già dato l'informativa"
e non deve dare ai dipendenti nessun'altra comunicazione
scritta. |
|
Il consulente al quale abbiamo affidato l'incarico
di farci le paghe deve inviarci qualche dichiarazione? |
Il consulente nel contratto che regola il rapporto
con la vostra azienda deve dichiarare: 1) di
essere consapevole che i dati che tratterà
nell’espletamento dell’incarico
ricevuto, sono dati personali e, come tali sono
soggetti all’applicazione del codice per
la protezione dei dati personali; 2) di ottemperare
agli obblighi previsti dal Codice per la protezione
dei dati personali 3) di adottare le istruzioni
specifiche eventualmente ricevute per il trattamento
dei dati personali o di integrarle nelle procedure
già in essere. 4) di impegnarsi a relazionare
annualmente sulle misure di sicurezza adottate
e di allertare immediatamente il proprio committente
in caso di situazioni anomale o di emergenze
5) di riconoscere il diritto del committente
a verificare periodicamente l’applicazione
delle norme di sicurezza adottate. |
|
Abbiamo redatto il Documento Programmatico sulla
Sicurezza e un allegato con le regole scritte
da distribuire agli incaricati. Va bene? Oppure
anche il Documento Programmatico sulla Sicurezza
deve essere dato in copia a tutti? |
E' opportuno consegnare una copia del Documento
Programmatico sulla Sicurezza ad ogni incaricato |
|
Il mio Studio si occupa di tenuta contabilità
per terzi, dichiarazione dei redditi ed anche
di procedure concorsuali. Premesso che il segretario
generale dell'ufficio del Garante Dott. Buttarelli
(quotidiano Italia Oggi del 13.05.04) ha chiarito
che l'opzione dell' 8 per mille esercitata dal
contribuente nella dichiarazione dei redditi
UNICO è da considerarsi dato sensibile,
che le dichiarazioni vengono dallo Studio elaborate
e conservate su PC e trasmesse telematicamente
alla Amministrazione Finanziaria ed inoltre
che tratto dati giudiziari relativi ai fallimenti
sempre su PC, ritengo di dovere redigere il
Documento Programmatico sulla Sicurezza ma di
non dovere chiedere l'autorizzazione preventiva
al trattamento dei dati sensibili. E' corretto? |
Si è corretto |
|
Dai clienti a cui tengo la contabilità
ricevo tutta la documentazione per adempiere
all'incarico tra cui fatture acquisto/vendita,
documentazione rapporti bancari, tutti dati
che ritengo personali. Tutta questa documentazione
viene da me conservata, per mia organizzazione
interna, per almeno due anni (sia il cartaceo
che i dati su PC). Chiedo se devo considerare
titolare del trattamento il mio cliente mentre
il mio studio dovrebbe essere l'unità esterna
che è incaricato del trattamento dei dati.
Se affermativo chi devo/posso considerare responsabile
del trattamento dei dati? |
No. L'incaricato può essere solamente persona
fisica, e quindi non può essere lo "incaricato"
lo studio. In questo caso invece si tratta di
affidamento di trattamento in out-sourcing,
e lo studio diviene "titolare di autonomo
trattamento". |
|
Un albergo emette documento fiscale (fattura/ricevuta)
con indicato il nome del cliente. Può desumersi
indicazione di origine etnica / razziale il
nome indicato nel documento fiscale posto che
potrebbero essere nominativi di persone estere
(origine slava, russa, araba, ebrea, anglosassone)
e quindi dato sensibile? Se sì deve chiedere
l'autorizzazione al trattamento al garante oppure
c'è una autorizzazione generalizzata? |
Non si deve richiedere nessuna autorizzazione
per questo tipo di trattamento. Ovviamente l'albergo
in quanto "titolare di trattamento"
deve adeguarsi al Dlg. N.196/2003, e applicare
le "misure minime di sicurezza", e
redigere il Documento Programmatico sulla Sicurezza.,
in quanto tratta dati sensibili. |
|
Se si considera il caso del personale dipendente
occupato nell'azienda: i cedolini busta paga,
eventuale trattenute sindacali, certificati
di malattia e/o infortuni devono essere considerati
dati sensibili ? Se sì, come presumo, danno
luogo all'obbligo di predisposizione del Documento
Programmatico sulla Sicurezza anche se conservati
su cartaceo o solo se mediante l'utilizzo di
supporti informatici ? |
I dati dei dipendenti sono "dati sensibili".
Il Documento Programmatico sulla Sicurezza deve
essere redatto solo nel caso vengano trattati
con strumenti elettronici. |
|
Medico che conserva le varie diagnosi nella
scheda paziente su supporto cartaceo deve redigere
Documento Programmatico sulla Sicurezza? Mi
sembra inoltre che i medici siano stati esonerati
dalla richiesta di preventiva autorizzazione
al Garante al trattamento dei dati sensibili.
Se venissero conservate su PC cambierebbe qualcosa
in ordine agli obblighi del medico? |
Ovviamente il medico tratta dati sensibili e
in quanto "titolare di trattamento"
deve adeguarsi al Dlg. N.196/2003, e applicare
le "misure minime di sicurezza", e
se utilizza strumenti elettronici deve redigere
il Documento Programmatico sulla Sicurezza. |
|
Chi controlla che le misure minime e gli altri
adempimenti previsti dalla legge sono messi
in pratica? |
I controlli vengono effettuati dalla Polizia
Postale e dalla Guardia di Finanza sulla base
di un protocollo di intesa con il Garante. |
|
Per chi tratta i dati sensibili è sufficiente
redigere il Documento Programmatico sulla Sicurezza? |
No. Non si deve confondere il Documento Programmatico
sulla Sicurezza con le Misure minime di sicurezza
specificate nell'Allegato B al Dlg. N.196/2003. |
|
Se esiste una autorizzazione generale al trattamento
dei dati, è possibile trattare i dati senza
il consenso dell'interessato? |
No, è solo possibile omettere la notifica
al Garante Ci sono molti casi in cui si può
fare a meno di richiedere il consenso all'interessato.
In particolare se ci sono disposizioni di legge
o regolamenti comunitari, oppure se c'è
un contratto, ecc… |
|
I medici, che sono per legge tenuti al segreto
professionale, possono registrare i dati dei
loro assistiti senza chiedere il consenso? |
No, devono comunque chiedere il consenso al
paziente e fornirgli l'informativa sul trattamento |
|
Quali sono le regole da seguire per chi non
tratta dati sensibili o giudiziari? |
E' difficile che una organizzazione (azienda,
ente, studio professionale) non abbia archivi
con dati sensibili: pensiamo per esempio ai
certificati di malattia dei dipendenti! |
|
E' vero che è obbligatorio per tutte le
organizzazioni avere un Documento Programmatico
della Sicurezza? |
In base a quanto stabilito dall'art. 34 del
Dlg. N.196/2003 Il Documento Programmatico sulla
Sicurezza è obbligatorio per tutti coloro
che trattano che trattano dati personali con
l'impiego di elaboratori elettronici. |
|
E' obbligatorio specificare nel Documento Programmatico
sulla Sicurezza anche una analisi dei rischi? |
Si, è esplicitamente richiesto al punto
19.6 dell'Allegato B del D.Lgs. 196/03 per tutte
le organizzazioni che trattano dati sensibili
con l'ausilio di elaboratori elettronici. |
|
Una struttura alberghiera, che raccoglie i dati
anche per un preciso obbligo di legge, dovendo
fornire l'elenco degli ospiti alle Forze dell'Ordine,
è esentata dal raccogliere il consenso
al trattamento? |
No, il consenso va comunque raccolto secondo
le modalità previste dalla legge, anche
perchè il trattamento dei dati in una struttura
alberghiera non si limita alla registrazione
dei nominativi negli elenchi degli ospiti per
le Forze di Polizia, ma ci sono sicuramente
trattamenti ulteriori per la contabilità,
la gestione dei clienti, etc. etc |
|
Abbiamo un sito Web dove registriamo i nominativi
dei nostri potenziali clienti. Come ci dobbiamo
comportare? |
In questo caso dovete considerare questo tipo
di trattamento in "out-sourcing" e
prevedere che nel contratto che regola il rapporto
con la vostra azienda il Provider dichiari:
1) di essere consapevole che i dati che tratterà
nell’espletamento dell’incarico
ricevuto, sono dati personali e, come tali sono
soggetti all’applicazione del codice per
la protezione dei dati personali; 2) di ottemperare
agli obblighi previsti dal Codice per la protezione
dei dati personali 3) di adottare le istruzioni
specifiche eventualmente ricevute per il trattamento
dei dati personali o di integrarle nelle procedure
già in essere. 4) di impegnarsi a relazionare
annualmente sulle misure di sicurezza adottate
e di allertare immediatamente il proprio committente
in caso di situazioni anomale o di emergenze
5) di riconoscere il diritto del committente
a verificare periodicamente l’applicazione
delle norme di sicurezza adottate. |
