Adempimenti connessi con l’attuazione del D.Lgs. n° 196/2003 relativo alla privacy ed alla salvaguardia dei dati
 

Come certamente a Vostra conoscenza il prossimo 1° gennaio 2006(proroghe attuali) dovranno essere rese operative, in ciascun Ente locale, le misure minime di sicurezza di cui agli articoli da 33 a 35 ed all’allegato B del citato decreto Lgs. 196/2003.
Andranno cioè poste in essere tutte le misure minime previste dal decreto ed in particolare andrà verificato che:
 

a) Ogni posto di lavoro sia conforme alla normativa sulle password e quindi sia prevista la autenticazione informatica per gli accessi ai sistemi con scadenza a 6 mesi;
 

b) Siano gestite le procedure per la gestione delle credenziali di autenticazione;
 

c) Vengano utilizzati idonei sistemi di autenticazione;
 

d) Vi sia un aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
 

e) Sia adottata la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) Siano adottate idonee procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
 

g) Sia posta in essere la tenuta di un aggiornato documento programmatico sulla sicurezza;
 

h) Se necessario vengano adottate tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rilevare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Riteniamo ancora portare alla Vostra attenzione che l’art. 169 prevede che:
1) chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’art. 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro.
2) All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato, l’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli art. 21, 22, 23 e 24 del decreto legislativo 19 novembre 1994, n. 758, e successive modificazioni, in quanto applicabili.
 

La proposta che la nostra società, esperta nel campo dei sistemi informatici e Vostra fornitrice nei settore presenze e personale, intende effettuare si sviluppa in quattro fasi tali da garantire una precisa attenzione e sviluppo del progetto adeguato alle necessità del Vostro Comune.
Esse sono le seguenti:

• Una prima fase di raccolta di informazioni sulle procedure in uso per il trattamento dei dati finalizzata all’individuazione di eventuali discrepanze con quanto disposto nel Disciplinare Tecnico (allegato B del D.Lgs. 196/03);
   

• Una fase di progetto e sviluppo di un piano da sottoporre all’Ente per l’adeguamento delle strutture e delle procedure a quanto previsto dal Disciplinare Tecnico;
   

• Una fase di attuazione del piano di adeguamento sviluppato;
   

• Una fase di aggiornamento che si estende per la durata dell’eventuale contratto di consulenza.
   

In dettaglio tali fasi si articolano in:

Fase 1: Raccolta di informazioni

• Rilevamento in loco dei protocolli in uso per la gestione dei dati personali (modalità, finalità, incaricati di gestione e tipologia dei dati elaborati), il tutto in base ad informazioni fornite sia dal Vostro Ente che da noi raccolte;
   

• Dei sistemi operativi e dei software utilizzati;
   

• Dell’hardware utilizzato;
   

• Della struttura e delle politiche implementate in reti locali di computer, nonché della connessione a reti esterne;
   

• Dei rischi collegati all’elaborazione dei dati;
   

• Dei sistemi di protezione, archiviazione e ripristino sia dei dati che dei sistemi informatici;
   

Fase 2: Progetto & Sviluppo

• Stesura di un piano di aggiornamento e/o adeguamento dell’hardware utilizzato
   

• Stesura di un piano di aggiornamento e/o adeguamento dei sistemi operativi e del software utilizzato
   

• Stesura di un piano di direttive operative per quanto riguarda l’utilizzo delle risorse del cliente
   

• Progetto delle politiche da implementare all’interno di reti locali al fine di garantire un adeguato livello di sicurezza
   

• Valutazione dell’impatto dei rischi e delle procedure necessarie al loro contenimento
   

• Identificazione e qualificazione, in unione ed accordo con l’Ente, degli incaricati preposti al trattamento dei dati e delle rispettive procedure operative.
  
   

Fase 3: Attuazione

• Messa in atto degli aggiornamenti e/o adeguamenti software;
   

• Messa in atto degli aggiornamenti e/o adeguamenti hardware
   

• Creazione immagini per il ripristino completo dei singoli computer
   

• Pianificazione e gestione copie di sicurezza dei dati
   

• Stesura formale delle lettere di incarico per gli addetti al trattamento dei dati e delle direttive inerenti l’esercizio delle loro funzioni
   

• Stesura di un regolamento generale per l’uso delle risorse informatiche
   

• Stesura di un piano per la gestione profili degli incaricati del trattamento
   

• Formazione del personale con corsi inerenti la conoscenza delle procedure previste dal D.Lgs. 196/03
   

• Assistenza nella stesura del Documento Programmatico di Sicurezza
  
   

Fase 4: Aggiornamento
 

• Invio periodico tramite posta elettronica di un bollettino sulla sicurezza con cadenza quindicinale ed eventuali invii straordinari in caso di eventi degni di particolare nota.

• Gestione dei profili degli utenti con bollettini personalizzati inerenti le scadenze riguardo sia la durata delle password di accesso che l’estinzione di account non più in uso
   

• Aggiornamento periodico dei sistemi operativi e dei software utilizzati
   

• Formazione del personale in seguito a nuovo incarico o cambio di mansioni
  
   

Quanto sopra esposto prevede quindi:

• Uno o più interventi per la realizzazione della fase di raccolta di informazioni
   

• La stesura di una relazione in merito alle misure da adottare per rendere conformi le modalità in uso di trattamento dei dati a quanto previsto dal D.Lgs. 196/03
   

• Un numero di interventi da definire in base a quanto specificato nella suddetta relazione per l’attuazione pratica di dette misure
   

• Due interventi annuali per qualsiasi necessità del cliente
   

• Consulenza telefonica o tramite e-mail
   

• L’eventuale invio semestrale degli aggiornamenti riguardanti i sistemi operativi ed i programmi della Microsoft Corp. in uso presso il Vostro Ente.
  
  COSTI
   

Per l’attuazione della prima fase, nella quale si determinerà in maniera abbastanza analitica il costo dell’intervento nella sua globalità, sono previsti i seguenti costi di massima:

 

         Prezzi iva esclusa

Per l’attuazione delle fasi n. 2 e di parte della fase n. 3 i costi ipotizzabili sono i seguenti:
 

                                     Prezzi iva esclusa

A tutti i costi sopraindicati andrà aggiunta l’IVA nella misura di legge.

Dalla presente offerta sono esclusi sia i costi di fornitura dei sistemi operativi che i servizi di installazione che saranno valutati ed inseriti nel costo complessivo dell’intervento.
Nel restare a Vostra disposizione per ogni eventuale chiarimento sulla presente offerta cogliamo l’occasione per porgere i più

Distinti saluti