Federcasa servizi srl

Roma, 14 settembre 2005 - Prot. 244/19/C

OGGETTO
PRIVACY - Decreto Legislativo 196/2003
Documento Programmatico sulla Sicurezza e Formazione.

Il Decreto Legislativo 196/2003 (anche noto come Codice sulla Privacy), in vigore dal 1° gennaio 2004 richiede alle aziende una serie di attività in materia di tutela dei dati personali da espletare entro il prossimo 31 dicembre 2005. 

Per rispondere alle esigenze delle aziende associate e fornire una risposta certa ai dubbi riguardanti la materia è stata formulata, a partire dallo scorso anno, un’offerta finalizzata allo studio delle problematiche aziendali ed alla conseguente stesura del Documento Programmatico sulla Sicurezza. 

Questa iniziativa ha avuto un notevole riscontro e ha significato per diverse aziende la soluzione al problema PRIVACY. Ora, con l’avvicinarsi della scadenza di legge fissata per il 31 dicembre 2005, si vuole presentare nuovamente l’offerta, estendendola nei contenuti, al fine di permettere a tutti gli associati di poter disporre di un servizio altamente qualificato e professionale. 

Si informa che per rispondere alle richieste degli associati sono attivi il numero verde 800.122933 e l’e-mail: privacy@federcasaservizi.it. 

Si allegano alla presente, oltre alle informazioni sui servizi offerti, la specifica delle tariffe ed il modulo di ordine che si invita a compilare e restituire, a mezzo fax - 06.47865.444, nel più breve tempo possibile. 

Restiamo a disposizione e cogliamo l’occasione per inviare i migliori saluti.

Distinti saluti

Il Presidente
Geom. Gianmauro Flego

Allegati: n. 3
 

Allegato 1

Con riferimento al D.lgs 30 giugno 2003, n. 196, pubblicato in Gazzetta Ufficiale il 29 luglio 2003, n. 174, S.O., che ha introdotto il testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, Federcasa Servizi ha redatto un’offerta specifica per gli enti associati.

L’offerta consiste in : 

Servizio volto all’analisi della sicurezza del sistema informativo rispetto a quanto previsto dalla normativa. Individuazione delle vulnerabilità del sistema informativo (server, client e linee di comunicazione) e degli interventi da attuare in area organizzativa e informatica.

Redazione del Documento Programmatico sulla Sicurezza con l’individuazione dei trattamenti, l’analisi del rischio, i mansionari, gli strumenti, gli interventi formativi, i formulari per le lettere di incarico, etc (per l’elenco dettagliato vedi Allegato B Dlgs 196/2003). 

Il servizio sarà svolto con i seguenti passi:

1.    Invio all’azienda di un questionario, specifico per ogni settore, finalizzato alla raccolta delle informazioni da inserire nel DPS dell’azienda ai fini della tutela della privacy;

2.    Analisi (telefonica o in sede) delle risposte al questionario e precisazione di eventuali punti aperti. Indicazioni ed assistenza per l’implementazione delle misure minime di sicurezza. Sarà contattato il referente per il sistema informativo aziendale;

3.    Stesura della prima versione del DPS;

4.    Esame (audit) presso la sede dell’azienda degli elementi individuati nei passi precedenti al fine di individuare le più ampie misure idonee di sicurezza del sistema informativo (si veda quanto previsto all’art.34 Dlgs 196/2003);

5.    Aggiornamento del DPS alla luce delle ulteriori informazioni individuate dall’analisi del passo precedente. 

In particolare l’esame presso la sede del cliente previsto al passo 4 riguarderà i seguenti aspetti:

• Verifica della corretta implementazione dei punti previsti dal DPS;

• Elencazione degli eventuali punti ancora da migliorare;

• Analisi del sistema informativo con particolare attenzione a:

  • Sistema di autenticazione informatica;

  • Sistema di autorizzazione;

  • Analisi del rischio;

  • Analisi della vulnerabilità dei sistemi rispetto ai difetti di realizzazione;

  • Analisi dei backup dei dati;

  • Verifica dell’adeguatezza del DPS ed integrazione;

  • Esame dei trattamenti dei dati senza l’ausilio di strumenti elettronici;

  • Politiche di disaster recovery.

L’offerta è finalizzata all’individuazione delle “misure idonee” per il trattamento dei dati personali ed a fornire indicazioni utili alla realizzazione delle attività informatiche ed organizzative per il pieno rispetto di quanto previsto dalla normativa. 

I nostri operatori non eseguiranno modifiche operative al sistema informativo. Il fine dell’attività è di elencare tutte le misure di natura organizzativa e tecnica aventi l’obiettivo di rispettare quanto previsto dalla normativa. 

Per la realizzazione delle misure minime, così come per quelle idonee, i nostri tecnici assisteranno i tecnici dell’azienda nella individuazione dei passi da compiere e nell’implementazione delle stesse.  

In caso di richiesta di attività operative sul sistema informativo dell’azienda (on-line/on-site sulla base della complessità della rete) si potrà procedere alla predisposizione di un’offerta specifica e personalizzata. 

L’offerta è valida per una persona giuridica. 

Nel conteggio dei dipendenti/consulenti vanno considerate le seguenti categorie:

• Dipendenti con contratto a tempo determinato e indeterminato;

• Lavoratori con contratto interinale;

• Consulenti a qualunque titolo (ad esempio commercialista, avvocato, consulente informatico, etc);

• Collaboratori part-time a qualunque titolo;

• Persone fisiche che non hanno un rapporto di lavoro dipendente con l»azienda e che sono incaricate al trattamento dei dati, a qualunque titolo.

Le eventuali spese di viaggio e pernottamento non sono incluse nell’offerta e saranno fatturate a parte, a presentazione di specifica documentazione.

Allegato 2

I corsi proposti sono progettati e sviluppati con la finalità di offrire un prodotto di formazione continua così come previsto dal "Codice Privacy", il servizio, volto a fornire le nozioni di base sul Dlgs 196/2003, è rivolto ai titolari, responsabili ed agli incaricati al trattamento ed è finalizzato alla sensibilizzazione del personale ai temi sulla tutela dei dati personali in ottemperanza a quanto previsto dalla normativa nazionale. 

E’ possibile scegliere tra due soluzioni: 

- la prima prevede una formazione di tipo tradizionale, svolta in aula presso la sede dell’Azienda da docenti di provata capacità ed esperienza professionale; 

-  la seconda soluzione si avvale di un sistema per la formazione a distanza altamente innovativo che consente l’adempimento dell'obbligo di formazione senza vincoli di tempo, indipendentemente dal numero di partecipanti, semplicemente accedendo, tramite Internet, al sito web CodicePrivacy.info con un’estrema semplificazione delle attività di predisposizione e organizzazione dei corsi e un minimo impatto economico 

Formazione in aula

Attività formativa tradizionale, svolta in aula, presso la sede dell’azienda da docenti di provata capacità ed esperienza professionale, con corsi progettati in funzione delle specifiche conoscenze della realtà aziendale che permettono di ottenere una formazione personalizzata, basata sulle specifiche esigenze aziendali ed applicata alle procedure quotidiane.

A supporto delle attività formative viene utilizzato materiale didattico multimediale  (sviluppato e prodotto da Connect Informatica srl) che verrà fornito a ciascun discente su Cd-rom. 

Al termine dei corsi di formazione saranno rilasciati i moduli per gli attestati di frequenza da allegare al piano di formazione continua prevista dal Garante per la Privacy (Documento Programmatico sulla Sicurezza).

Ulteriormente, per ogni partecipante ai corsi in aula, è inclusa l’iscrizione per 12 mesi al sito www.codiceprivacy.info che offre una serie di servizi a valore aggiunto quali la possibilità di porre quesiti agli esperti su aspetti legali, organizzativi ed informatici.

Formazione a distanza – www.codiceprivacy.info

I corsi di formazione sono stati realizzati con animazioni ed illustrazioni che approfondiscono i temi previsti dal Dlgs 196/2003. Al fine di garantire l’aggiornamento continuo i corsi sono costantemente aggiornati per tenere conto dell'evoluzione tecnologica in materia di sicurezza aziendale. Inoltre, abbinato al prodotto di formazione, è possibile acquistare un servizio a valore aggiunto che permette di usufruire di consulenza a distanza in materia legale, organizzativa e informatica e l’accesso al database (KB) di tutta la documentazione riguardante casi pratici. 

I corsi sono stati sviluppati su due percorsi formativi simili: il percorso per i Responsabili e quello per gli Incaricati. Il percorso formativo dei Responsabili è più approfondito e include quello dedicato agli Incaricati. Tutti i corsi si suddividono in una o più lezioni e prevedono corsi fortemente orientati alla pratica (per esempio "Come si cambia la password?", etc). 

La piattaforma di erogazione dei corsi (e-learning) è economicamente vantaggiosa in quanto ogni operatore è totalmente autonomo dagli altri ed l’impatto organizzativo per la fruizione dei corsi è ridotto al minimo. Inoltre il costo di formazione per l’azienda risulta inferiore rispetto a soluzioni tradizionali in virtù dell’economia di scala offerta dalla piattaforma di e-learning. 

La figura del Titolare potrà visualizzare, attraverso il pannello di controllo, l'andamento generale di tutti i pacchetti acquistati. 

La piattaforma prevede due tipi di verifiche. La prima verifica è presente al termine di ogni lezione nella forma di semplici quiz facoltativi, per verificare immediatamente la comprensione dei contenuti. Inoltre ogni corso prevede un test finale che permette di verificare la preparazione dell’utente.

Una volta superati i test finali, sarà possibile produrre direttamente, l'attestato di partecipazione. L'attestato deve intendersi inserito nel più ampio contesto della formazione "programmata" all'interno del DPS. La validità dell’attestato è pari ad un anno. L’azienda può garantire l’aggiornamento continuo dei propri dipendenti, così come previsto dal Dlgs 196/2003, in quanto, alla scadenza dell’attestato, l’utente potrà ottenere l’estensione per l’anno successivo semplicemente frequentando i corsi introdotti nel frattempo e superando i relativi test finali.

L’attestato così prodotto può essere allegato al DPS come documentazione che dimostra l’avvenuto adempimento previsto dalla normativa (Dlgs 196/2003 art .34). 

Tabella di raffronto delle caratteristiche salienti dell’offerta formativa proposta:

Allegato 3