• sanzioni amministrative fino a 60.000 euro (artt. 162,163,164 e 169) e, nel caso di omessa o inidonea informativa all'interessato, fino a 30.000 euro che possono essere aumentati sino al triplo in caso di inadeguatezza della stessa in ragione delle condizioni economiche del contravventore (art. 161);
• sanzioni penali che prevedono la reclusione fino a 3 anni (artt. 167,168,169,170,171 e 172).

• prevedere, predisporre e mettere in atto (verificandone periodicamente la validità e l'adeguatezza) quanto necessario in merito alla sicurezza informatica in linea con le ultime normative vigenti;
• verificare che quanto predisposto sia tecnologicamente avanzato per contrastare qualsiasi criticità dovesse sorgere;
• essere sicuro che i dipendenti le usino quotidiamente;
• poterne dimostrare il loro utilizzo analizzando dei report periodici;
• poterne controllare, in caso di criticità del sistema, le responsabilita.

• reporting e registrazioni in grado di dare un quadro consolidato attraverso le piattaforme gestite;

quanto necessario per l'analisi degli eventi legati alla sicurezza dei vari sistemi informatici interni

• security policy;
• security organization;
• asset classification and control;
• physical and environmental security;
• communications and operations management;
• access control;
• system development and maintenance;
• business continuity management;
• compliance.

• Firewall
• Controllo degli accessi
• Autentificazione
• Crittografia
• Antivirus
• Backup
• Rilevamento delle intrusioni
• Sistemi operativi e SW applicativi
• Banche dati

• Ricerca delle vulnerabilità
• Analisi delle vulnerabilità (verifiche e registrazioni)
• Azioni correttive
• Monitoraggio delle minacce

Art. 161. Omessa o inidonea informativa all'interessato
Articoli coinvolti: 13, 17
Sanzioni: la violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

Art. 162. Altre fattispecie
Articoli coinvolti: 16, comma 1, lettera b), o altre disposizioni in materia di disciplina del trattamento dei dati personali; 84, comma 1
Sanzioni: la cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da cinquemila euro a trentamila euro.
La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da cinquecento euro a tremila euro.

Art. 163. Omessa o incompleta notificazione
Articoli coinvolti: 37, 38
Sanzioni: chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.

Art. 164. Omessa informazione o esibizione al Garante
Articoli coinvolti: 150.2, 157
Sanzioni: chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattro mila euro.

Art. 165. Pubblicazione del provvedimento del Garante
Articoli coinvolti: 161, 162, 164
Sanzioni: nei casi di cui agli articoli 161, 162 e 164 può essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.

Art. 167. Trattamento illecito di dati
Articoli coinvolti: 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129; 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45
Sanzioni: salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Art. 168. Falsità nelle dichiarazioni e notificazioni al Garante
Articoli coinvolti: 37
Sanzioni: chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

Art. 169. Misure di sicurezza
Articoli coinvolti: 33
Sanzioni: chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.
All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione.
L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

Art. 170. Inosservanza di provvedimenti del Garante
Articoli coinvolti: 26 comma 2, 90, 150 commi 1 e 2, 143 comma 1 lettera c)
Sanzioni: chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

Art. 171. Altre fattispecie
Articoli coinvolti: 113 comma 1, 114
Sanzioni: la violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 è punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300.

Inoltre, alle sanzioni penali ed amministrative, occorre aggiungere anche le responsabilità di natura civile come sancito dall’art. 15:
Art. 15. Danni cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.

1. L’accesso ai  dati e’ consentito solo ad operatori autorizzati a mezzo di autenticazione (es. Username e password) alfanumerici di almeno 8 caratteri.
2. Lo username e la password sono personali ed individuali e non ripetibili nel tempo
3. Vige l’obbligo di fornire un vademecum scritto agli operaturi sulla diligente custodia ed utilizzo dei terminali e dell’atenticazione.
4. Lo strumento di autenticazione non deve contenere riferimenti all’operatore ed e’ da cambiare almeno ogni 3 mesi
5. Eliminazione delle credenziali:
• Dopo 6 mesi inutilizzo
• Perdita di qualita dell’incaricato
• Salvo quelle di gestione tecnica
6. Divieto di lasciare incustodito il terminale prevenuto dal logout automatico entro 120 secondi dall’inutilizzo con obbligo di nuovo login sul terminale al successivo utilizzo
7. Antivirus-firewall da aggiornare almeno 1 volta al mese
8. Sistema operativo da aggiornare almeno una volta ogni 6 mesi
9. Backup dei dati almeno 1 volta a settimana
10. Obbligo di relazione tecnica dell’installatore
11. Obbligo per i titolari di attestato di frequenza ad un corso di almeno 8 ore sugli strumenti di protezione e sulle conseguenze legali della mancata adozione

1. Ogni documento deve essere archiviato in cartella con indicazione di massima solo del nome e cognome (meglio una sigla)
2. I documenti vengono all’occorrenza prelevati dagli incaricati che ne assumono la responsabilita’ e poi dagli stessi riconsegnati alla fine dell’utilizzo
3. I documenti devono essere custoditi in luoghi dotati di chiusura di sicurezza azionabile a chive o amezzo di altro strumento
4. L’accesso a tali documeti dopo l’orario normale di lavoro deve essere registrato.

1. Redazione dps
2. Assunzione fuzioni titolare trattamento
3. Consenso al trattamento
4. Nomina responsabile trattamento elettr
5. Nomina responsabile trattamento cartaceo
6. Nomina incaricato trattamento cartaceo
7. Nomina incaricato trattamento elettronico
8. Istruzioni e articoli del codice da fornire all’incaricato

Ps. Tutte le comunicazioni devono essere fatte agli incaricati dai titolari in forma scritta con relativa firma di ricezione e/o lettura