struqture srl

Vuoi essere sempre aggiornato?
Struqture srl offre un servizio di newsletter.
Iscriviti alla mailing list, invia una e mail, anche senza messaggio, con oggetto "subscrive" a redazione@struqture.it.

MODELLO 231 - NON PORTA A NULLA UN APPROCCIO SUPERFICIALE

Numerose sono ancora oggi, ad ormai più di dieci anni dall'entrata in vigore del D. Lgs. 231/2001, le problematiche sulla responsabilità amministrativa da reato degli enti, sulle quali incide certamente anche una mancata o inadeguata informazione.

Problematiche che riguardano, soprattutto, il lato pratico dell'adozione ed efficace attuazione di un modello di organizzazione, gestione e controllo che rispetti le prescrizioni del Decreto. Tanto che iniziano ad essere numerosi i codici di comportamento e le linee guida, elaborati da gruppi di lavoro di associazioni rappresentative degli enti, che hanno ricevuto l'approvazione del Ministero della Giustizia (art. 6, comma 3, del D. Lgs. 231/2001) circa l'idoneità dei modelli così redatti a prevenire i reati presupposto.

L'esperienza ci insegna che talvolta il cliente pensa che per avere l'esimente dalla responsabilità amministrativa da reato sia sufficiente essere in regola con quanto disposto dal D. Lgs. 81/2008, ovvero avere la certificazione del sistema di gestione della sicurezza (SGSL - OHSAS 18001).
Urge allora qualche precisazione in più, poiché la differenza tra il sistema di cui al D. Lgs. 231/2001 ed il sistema di cui al D. Lgs. 81/2008 non è da poco:

continua a leggere

PRIVACY: autocertificazione in luogo del Documento Programmatico di Sicurezza; chiarimenti.

Il D.L. n. 70/2011 (c.d. Decreto Sviluppo), convertito nella Legge 12 luglio 2011, n. 106, ha introdotto importanti modifiche alle disposizioni del Codice in materia di protezione dei dati personali.
L'obiettivo è quello di allineare il Codice della Privacy alla Direttiva comunitaria (Direttiva 95/46/CE "relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati") con l'intento di semplificare gli adempimenti soprattutto alle piccole e medie imprese.


continua a leggere

PRIVACY: INDICAZIONI DEL GARANTE SUL "CLOUD COMPUTING" !

Il Garante ha recentemente elaborato un documento contenente una serie di riflessioni e di indicazioni per il corretto e consapevole trattamento dei dati personali con riferimento all'erogazione di servizi informatici che comportano l'esternalizzazione di dati, documenti e procedure (cloud computing): l'evoluzione della tecnologia deve necessariamente garantire un'adeguata tutela della privacy degli utenti.
Il cloud computing è, ormai, da molto tempo sotto l'attenzione dell'Authority non solo perché consente di usufruire di servizi che più di altri si stanno diffondendo con grande rapidità tra le imprese, le pubbliche amministrazioni ed i cittadini, ma anche perché incoraggia un utilizzo flessibile di risorse, quali in particolare infrastrutture ed applicazioni informatiche.
Si tratta nella specie di un insieme di tecnologie che permettono, mediante l'utilizzo di risorse hardware e software, di memorizzare, archiviare ed elaborare dati, successivamente "virtualizzati" in rete.

In particolare, si è soliti distinguere tra "private cloud" e "public cloud": nel primo l'infrastruttura informatica rimane ubicata nei locali delle aziende od affidata in gestione ad un terzo nei confronti del quale l'impresa, in qualità di Titolare del trattamento, può esercitare un controllo puntuale; nel secondo caso, invece, l'infrastruttura risulta di proprietà di un fornitore specializzato nell'erogazione dei servizi e viene messa a disposizione degli utenti, delle aziende o delle amministrazioni tramite internet.

Il "public Cloud", pertanto, richiede una maggiore attenzione in quanto l'utilizzo di servizi "esternalizzati" comporta la migrazione dei dati dai sistemi locali, sotto il diretto controllo dell'utente, ai sistemi gestiti da un fornitore esterno che assume un ruolo centrale in ordine alla sicurezza dei dati e, quindi, all'adozione delle misure necessarie a garantirla.
Nel documento l'Authority ha, in primo luogo, invitato ogni utente che intende utilizzare servizi di cloud computing a verificare l'affidabilità del fornitore prima di migrare sui sistemi virtuali i propri dati, tenendo in considerazione le proprie esigenze istituzionali od imprenditoriali, la quantità e la tipologia delle informazioni che si intende allocare nella cloud, i rischi e soprattutto le misure di sicurezza. Sarà, pertanto, opportuno che ogni utente verifichi le politiche di security adottate dal fornitore, informandosi, ad esempio, su dove risiederanno concretamente i dati e come verranno conservati al fine di stabilire la giurisdizione e la legge applicabile in caso di possibili controversie.
Il fornitore dei servizi dovrà formare adeguatamente il personale preposto al trattamento dei dati allo scopo di ridurre i rischi cui questi ultimi possono essere esposti: comportamenti sleali o fraudolenti, errori materiali, leggerezza o negligenza possono, infatti, dare luogo ad accessi illeciti, perdita di dati o, più in generale, a trattamenti non consentiti.
Il Garante ha, poi, invitato ogni utente a selezionare le informazioni da far confluire nel cloud in quanto alcune di esse quali, ad esempio, i dati sanitari, genetici, reddituali o biometrici possono esigere particolari misure di sicurezza.
L'Autorità ha, pertanto, invitato i soggetti interessati a garantire un utilizzo dei nuovi strumenti tecnologici conforme alla normativa in materia di privacy, nella consapevolezza che, in ogni caso, il cloud computing prefigura problematiche ben difficilmente risolvibili a livello nazionale che richiedono, invece, una riflessione condivisa a livello sia europeo sia internazionale.

AMBIENTE - SISTRI


Il SISTRI rinasce e verrà attivato a partire dal 9 Febbraio 2012!

Dopo esser stato abolito nella manovra di Ferragosto, il SISTRI viene riesumato con la conversione in Legge del DL 138/2011 che pone come nuova data di inizio di piena operatività il 9 Febbraio 2012.
Per i produttori di rifiuti pericolosi sotto i 10 dipendenti viene confermata la proroga a data da definirsi posteriore al 1 Giugno 2012.

Queste le principali novità introdotte:

- il Sistri sarà obbligatorio dal 9 febbraio 2012, senza scaglionamenti. La data, prevista ora da una Legge dello Stato e non da un Decreto, sarà difficilmente posticipata;

- entro 90 giorni dall'entrata in vigore della Legge di conversione, un Decreto congiunto del Ministero dell'Ambiente e di quello della Semplificazione Amministrativa stabilirà le tipologie di rifiuti non critici per l'ambiente. Questi rifiuti, anche nel caso in cui siano pericolosi, continueranno ad essere tracciati con i registri, i formulari e il MUD (non quindi con il Sistri);

- gli operatori che producono soltanto rifiuti soggetti a ritiro obbligatorio potranno delegare gli adempimenti Sistri ai Consorzi di recupero.

La Legge prevede inoltre un'ulteriore verifica tecnica delle componenti software ed hardware da parte del Ministero dell'Ambiente e del concessionario Selex, in stretta collaborazione con le associazioni di categoria più rappresentative. Sia la verifica, con probabile semplificazione delle tecnologie di utilizzo, che i test di funzionamento dovranno essere portati a conclusione entro e non oltre il 15 dicembre 2011.
Come emerso nella riunione dell'11 ottobre del Comitato di Vigilanza e Controllo sul Sistri (del quale fanno parte le categorie interessate ed il Ministero del'Ambiente), dal 24 ottobre in poi si svolgeranno 4 test su specifici aspetti, entro il 10 novembre un grande test con le aziende con oltre 50 dipendenti cui seguirà, entro novembre, un altro per le aziende da 11 a 50 dipendenti. L'obiettivo è quello di testare, entro il termine fissato, tutti gli utenti Sistri per i quali il sistema entrerà in funzione a febbraio.

Gli articoli sopra riportati non ha carattere di ufficialità. L'unico testo ufficiale è quello pubblicato nella Gazzetta Ufficiale Italiana a mezzo stampa. I curatori del sito, pur avendo posto la massima cura nell'elaborazione dei testi e nella riproduzione dei documenti, non assumono responsabilità per eventuali errori o imprecisioni.