Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.

Slides:



Advertisements
Presentazioni simili
Il Codice della Privacy (D.Lgs. 196/2003) e le Associazioni Sportive
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
La sicurezza dei sistemi informatici
Struttura del codice sulla privacy:
IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Reti scolastiche, sicurezza e politiche uso accettabile Dario Zucchini 8° Forum Biblioteca Virtuale Moncalieri.
Aspetti Tecnici e Requisiti IT
Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.
CORSO PRIVACY PARTE GENERALE
Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
Introduzione all’analisi forense: metodologie e strumenti
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Il nuovo Codice sulla Privacy nella scuola
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
Introduzione alla sicurezza informatica
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Milano Introduzione alla sicurezza informatica per il Codice della Privacy Prof. Avv. Giovanni Ziccardi - Università degli Studi di Milano
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
“Testo Unico sulla Privacy”
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
La tutela dei dati personali
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati, siano.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
IL CODICE DELLA PRIVACY
ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione 1.5 Sicurezza.
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Nozioni basilari in materia di Privacy
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
R:\2.Scambio\Normativa_Privacy
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
D.Lgs 196/03: Tutela della privacy
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
PRIVACY ED AVIS Una relazione pericolosa ?. La gestione dei dati: un adempimento importante!! La nostra associazione deve prestare particolare attenzione.
1 2 DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Sistema di autenticazione informatica 1.Il trattamento di dati personali con strumenti.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
La tutela della Privacy ed il trattamento dei dati sensibili negli Uffici Giudiziari”. Corso di formazione in materia di “ La tutela della Privacy ed il.
Transcript della presentazione:

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea Gelpi ( partner Studio Nobile) gelpi.it L'applicazione del codice privacy da parte del tecnico

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Sommario Introduzione alla sicurezza informatica Confronto con la normativa precedente Disciplinare tecnico (allegato B) – Sistema di autenticazione – Sistema di autorizzazione – Altre misure di sicurezza – Documento programmatico sulla sicurezza – Trattamento di dati sensibili o giudiziari – Trattamento senza l'ausilio di strumenti elettronici

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Introduzione alla sicurezza informatica La sicurezza informatica si basa su 3 pilastri Cultura - la sensibilizzazione degli utenti al problema sicurezza informatica Organizzazione – enti e aziende devono verificare se i modelli organizzativi sono compatibili con la normativa Tecnica – fornisce quelle soluzioni che aiutano enti e aziende – L'informatica dovrebbe essere d'aiuto, anche se come dice una legge di Murphy per incasinare davvero le cose serve un computer

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Confronto con la normativa precedente Il nuovo testo sembra essere un insieme di tanti casi particolari, come mai? Misure di sicurezza – Art. 31 identico all'art. 15 comma 1 L. 675/96 – Art. 32 chiarisce meglio l'art. 2 DL 171/98 – Art. 33 misure minime obbligatorie – Art. 34 trattamenti con strumenti elettronici – Art. 35 trattamenti senza l'ausilio di strumenti elettronici – Art. 36 allegato B verrà aggiornato periodicamente – Allegato B – Disciplinare tecnico Certe comunicazioni elettroniche devono essere cifrate

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Confronto con la normativa precedente Problema art. 34 comma 1 lettera g) e allegato B punto 19 – 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: – g) tenuta di un aggiornato documento programmatico sulla sicurezza; – Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Sistema di autenticazione informatica Codici d'accesso – Dispositivo di autenticazione (ad esempio smart-card) – Identificativo (UserID) – Parola chaive (password) riservata e conosciuta solamente dall'incaricato – Parola chiave non contiene riferimenti agevolmente riconducibili all'incaricato – Disattivazione dei codici d'accesso se non usati da 6 mesi o cambio mansioni dell'incaricato – Posto di lavoro non può rimanere incustodito durante la sessione di lavoro – Vanno modificate le abitudini e l'organizzazione

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Sistema di autorizzazione Esiste in tutti i sistemi moderni Unix/Linux autorizzazioni nulle di default (va aperto) Windows autorizzazioni massime di default (va chiuso) Periodicamente vanno controllati i profili di autorizzazione – Pulizia dei profili vecchi e non più utilizzati

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Altre misure di sicurezza Obbligo dell'uso di antivirus per proteggere i dati personali – L'antivirus deve essere aggiornato almeno ogni 6 mesi dice il codice – Se l'antivirus non è aggiornato bastano ore o al massimo 2/3 giorni dal rilascio del virus per essere infettati, quindi: – L'antivirus deve essere aggiornato quasi tutti i giorni, minimo almeno settimanalmente

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Altre misure di sicurezza Obbligo di tenere aggiornati i sistemi – Almeno annualmente per i dati personali, semestralmente per i dati sensibili o giudiziari dice il codice – Nimdapatch 17/10/00 Virus 18/09/01 – CodeRedpatch 18/06/01 Virus 16/07/01 – SQL wormpatch 16/10/02 Virus 23/01/03 – Blasterpatch 16/07/03 Virus 11/08/03 – Almeno trimestralmente per i dati personali, mensilmente per i dati sensibili o giudiziari – Installare le patch richiede tempo e risorse (sono necessari dei test)

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Altre misure di sicurezza Obbligo di eseguire il backup almeno settimanalmente – Se si può è meglio fare backup tutti i giorni – Va controllato che il supporto sia leggibile – Vanno previste prove di ripristino dei dati – Dove conservare i supporti? Non dentro, sopra o in vicinanza del server I supporti vanno portati fuori dai locali, meglio ancora fuori dal palazzo

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Documento programmatico sulla sicurezza Deve essere redatto ogni anno (entro il 31 marzo) Deve contenere: – L'elenco dei trattamenti – L'analisi dei rischi – Le misure di sicurezza adottate sia per la protezione dei dati, che dei locali – Un piano di disaster recovery per il ripristino dei dati entro 7 giorni – Il piano di formazione degli incaricati – Le regole per i trattamenti eseguiti da esterni alla struttura – Per i dati idonei a rilevare lo stato di salute e la vita sessuale i criteri per la cifratura o la separazione dagli altri dati

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Trattamento di dati sensibili o giudiziari Devono essere protetti contro l'accesso abusivo mediante l'utilizzo di idonei strumenti elettronici Trattamenti su supporti removibili (Floppy, CD, chiavette USB, ecc...) – Alla fine del trattamento i supporti removibili vanno distrutti o i dati cancellati in modo sicuro (si fa prima a cambiare il supporto) Il trasferimento per via informatica di dati idonei a rilevare lo stato di salute e la vita sessuale deve essere cifrato

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Trattamento senza l'ausilio di strumenti elettronici Istruzioni scritte agli incaricati per il controllo e la custodia di atti e documenti Deve essere tenuta ed aggiornata ogni anno, la lista degli incaricati con i relativi profili di autorizzazione Per dati sensibili o giudiziari l'accesso è controllato. Va tenuto il registro di chi accede fuori orario Attenzione ai documenti lasciati sui tavoli o sulle scrivanie

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre GRAZIE ;-)

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Quadro Normativo Art Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Quadro Normativo Art. 34 (segue) e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Quadro Normativo Art Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.