LA COMUNITA' OPEN DEGLI PSICOLOGI ON LINE
Home | Contatti | Lo Staff | Donazioni | Disclaimer
1) La novità sostanziale nel DPS 2009 consiste nel dover nominare un Amministratore di sistema che sia una persona competente di informatica, computer e sicurezza dati. Secondo questa nuova normativa: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) al punto 1: Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Come fare per adeguarsi alla nuova normativa?
2) Al punto 2f la normativa recita: f. Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Cosa fare per registrare gli accessi?
3) Per chi non usa mezzi informatici, basta compilare solo l'allegato uno e tralasciare gli altri allegati? La compilazione del dps riguarda per la maggior parte l'utilizzo della rete. chi non usa la rete deve compilare tutto ugualmente?
4) Il fatto che stampando il documento rimangono le indicazioni di compilazione e pertanto compilandolo bisogna sovrascrivere, costituisce un problema?
5) Sono una psicologa che però per il momento non ha a che fare con dati sensibili (non lavoro con pazienti, per ora). Vorrei sapere come comportarmi con la normativa DPS, nel caso in cui prossimamente (oltre il 31 marzo, quindi) dovessi avere a che fare con quel tipo di dati.
6) Sono una psicologa, attualmente impiegata a progetto (e quindi libera professionista?) presso un'azienda per la quale, fra le altre mansioni, faccio anche le selezioni del personale utilizzando dei test psicometrici.
La mia azienda stà preparando il DPS dove sarà inserita anche la mia figura come unica professionista che custodisce e ha accesso ai suddetti dati sensibili.
Il quesito che vorrei porLe è il seguente: basta il DPS redatto dall'azienda o anche io devo redigerne uno?
7) Sono libera professionista e lavoro per diverse società e enti come formatrice, consulente di bilancio attitudinale e di valutazione del potenziale. devo così redigere profili dove sono indicati dati personali. per adeguarmi alle normativa, è sufficiente che predisponga il dps e metta una password di accesso al computer (che uso solo io), o devo mettere una password anche alle cartelle dove tengo i dati sensibili? e per il tempo in cui conservo il cartaceo per la stesura dei profili (dotati di foglio autorizzazione privacy redatto dalla società per cui opero) cosa devo fare e dove dovrei tenerli? è sufficiente una libreria?
8) Sono una psicologa impiegata come libero professionista presso una clinica privata, ho una partita iva, quindi, in base a quanto letto sul vostro sito, devo redigere il DPS; ho un archivio cartaceo quindi, se ho capito bene, devo compilare il primo allegato soltanto dei 6 proposti, ma a chi devo spedirlo, oltre che in raccomandata a me stessa?
9) Vorrei sapere se va redatto in carta semplice oppure se occorre un modulo prestampato. Inoltre, ho letto sul sito che va spedito tramite raccomandata a sè stessi, è vero?
1) La novità sostanziale nel DPS 2009 consiste nel dover nominare un Amministratore di sistema che sia una persona competente di informatica, computer e sicurezza dati. Secondo questa nuova normativa: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) al punto 1: Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Come fare per adeguarsi alla nuova normativa?
"Penso che nel caso della maggior parte dei colleghi ogni titolare di studio possa ricoprire la funzione di Amministratore di sistema avendo acquisite le conoscenze di base sull’uso del computer e sulla sicurezza informatica necessaria a proteggere i dati. In questo senso ho inserito nel DPS una precisazione in merito. Naturalmente coloro che hanno realtà professionali più complesse provvederanno di conseguenza, ad esempio nominando un Amministratore di sistema utilizzando la lettera di incarico presente nel pacchetto DPS."
2) Al punto 2f la normativa recita: f. Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Cosa fare per registrare gli accessi?
"Esistono vari software che possono garantire le registrazioni degli access log ma mi sembrano soluzioni complesse. Secondo quanto ho letto si può optare per la registrazione automatica dell’accesso da parte dello stesso sistema del computer. Per questo motivo nell’Allegato 3 del DPS ho aggiunto quanto segue: “Adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. L’autenticazione informatica dell’accesso coincide con il “log in” del sistema operativo protetto da password personale”."
3) Per chi non usa mezzi informatici, basta compilare solo l'allegato uno e tralasciare gli altri allegati? La compilazione del dps riguarda per la maggior parte l'utilizzo della rete. chi non usa la rete deve compilare tutto ugualmente?
"Si, basta compilare l'allegato 1. Tuttavia se nel corso del 2007 prevedi l'utilizzo di strumenti informatici ai fini della raccolta dei dati, con il computer collegato in rete o a internet, conviene compilare anche gli altri moduli ponendo la dizione "misura prevista entro il..."."
4) Il fatto che stampando il documento rimangono le indicazioni di compilazione e pertanto compilandolo bisogna sovrascrivere, costituisce un problema?
"Non costituisce un problema se stampi il documento con le indicazioni di compilazione."
5) Sono una psicologa che però per il momento non ha a che fare con dati sensibili (non lavoro con pazienti, per ora). Vorrei sapere come comportarmi con la normativa DPS, nel caso in cui prossimamente (oltre il 31 marzo, quindi) dovessi avere a che fare con quel tipo di dati.
"Se non eserciti la professione non sei tenuta a redigere il DPS. Diversamente se hai la partita iva, o se eserciti la professione anche solo con dati personali di tipo comune sei comunque tenuta a rispettare la normativa sulle misure minime incluso il DPS."
6) Sono una psicologa, attualmente impiegata a progetto (e quindi libera professionista?) presso un'azienda per la quale, fra le altre mansioni, faccio anche le selezioni del personale utilizzando dei test psicometrici.
La mia azienda stà preparando il DPS dove sarà inserita anche la mia figura come unica professionista che custodisce e ha accesso ai suddetti dati sensibili.
Il quesito che vorrei porLe è il seguente: basta il DPS redatto dall'azienda o anche io devo redigerne uno?
"se hai la partita iva ti consiglierei in ogni caso di redigere il DPS in quanto fra i tuoi clienti devi annotare l'azienda presso cui lavori.
Diversamente se sei impiegata a progetto senza partita Iva, quindi in sostanza come dipendente a tempo determinato, allora, penso, che devi redigere il DPS solo se entri in possesso di dati che poi custodisci presso il tuo studio o altro luogo tuo personale.
Per quanto riguarda la tua azienda è opportuno poi che i titolari valutino se non sia necessario, oltre al DPS, effettuare anche la comunicazione al Garante del possesso di una banca dati."
7) Sono libera professionista e lavoro per diverse società e enti come formatrice, consulente di bilancio attitudinale e di valutazione del potenziale. devo così redigere profili dove sono indicati dati personali. per adeguarmi alle normativa, è sufficiente che predisponga il dps e metta una password di accesso al computer (che uso solo io), o devo mettere una password anche alle cartelle dove tengo i dati sensibili? e per il tempo in cui conservo il cartaceo per la stesura dei profili (dotati di foglio autorizzazione privacy redatto dalla società per cui opero) cosa devo fare e dove dovrei tenerli? è sufficiente una libreria?
"Confermo le misure che hai detto di voler adottare ivi compresa l’opportunità di inserire la password alle cartelle con dati sensibili le quali dovrebbero poi essere anche crittogafate.
Windows xp consente questa funzionalità facendo come segue:
1. cliccare con il tasto destro del mouse sulla cartella e scegliere Proprietà;
2. alla voce Generale cliccare su Avanzate e selezionare "Crittografa contenuto per la protezione dei dati";
3. Poi cliccare sulla voce Condivisione e selezionare "Rendi la cartella privata".
In questo modo una cartella, oltre ad essere già stata protetta da password, lo è anche in caso di accesso non autorizzato in quanto non è più leggibile da altri (almeno si spera).
Infine per il materiale cartaceo il D.Lgs. 196/2003 prescrive un contenitore ignifugo chiuso a chiave, ad esempio un archivio o una cassettiera in metallo chiudibile."
8) Sono una psicologa impiegata come libero professionista presso una clinica privata, ho una partita iva, quindi, in base a quanto letto sul vostro sito, devo redigere il DPS; ho un archivio cartaceo quindi, se ho capito bene, devo compilare il primo allegato soltanto dei 6 proposti, ma a chi devo spedirlo, oltre che in raccomandata a me stessa?
"Gentile collega, valuta l’opportunità di compilare, oltre al documento principale, anche i quattro primi allegati soprattutto se utilizzi il computer per scrivere relazioni o tenere i dati delle tue ricevute fiscali. Infatti i primi quattro allegati vanno compilati anche in questi casi e non solo se nel computer sono memorizzati i dati clinici dei pazienti.
Inoltre il DPS vale un anno fino al prossimo 31 marzo ed in questo periodo potrebbe verificarsi la necessità di utilizzare qualche supporto informatico a fini professionali.
Il DPS va inviato solo a se stessi perché la raccomandata serve a stabilire la data certa della sua redazione."
9) Vorrei sapere se va redatto in carta semplice oppure se occorre un modulo prestampato. Inoltre, ho letto sul sito che va spedito tramite raccomandata a se stessi, è vero?
"Il pacchetto del DPS, che include il documento principale con i primi quattro allegati ed i moduli del consenso informato, va stampato su carta semplice e poi inviato a se stessi tramite raccomandata entro il 31 marzo di ogni anno."