© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza

© R. Larese Obblighi di sicurezza Art. 31 del Testo Unico: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Obblighi e misure di sicurezza

© R. Larese Misure Minime di Sicurezza Art. 33 del Testo Unico: Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. L’adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali. Obblighi e misure di sicurezza

© R. Larese Sanzioni Art. 169 del Testo Unico: Chiunque, essendovi tenuto, omette di adottare il misure minime previste dall’art. 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro Obblighi e misure di sicurezza

© R. Larese “Ravvedimento operoso” Prescrizione del Garante Termine massimo per la regolarizzazione non eccedente sei mesi Verifica dell’adempimento da parte del Garante Pagamento di una somma pari al quarto del massimo dell’ammendo stabilita per la contravvenzione Estinzione del reato Obblighi e misure di sicurezza

© R. Larese Entrata in vigore Il Testo Unico è in vigore dal 1° Gennaio Le nuove Misure Minime di Sicurezza devono essere adottate entro il 30 Giugno 2004 (art. 180 comma1) Se esistono obiettive ragioni tecniche che non permettono l’adozione delle nuove misure entro il 30 giugno: –Entro il 30 giugno il titolare predispone un documento avente data certa per descrivere i motivi della mancata adozione –Adotta ogni misura atta a ridurre i rischi –Entro il 31 dicembre 2004 provvede ad aggiornare i sistemi per garantire l’adeguamento Obblighi e misure di sicurezza

© R. Larese Misure Minime di Sicurezza per trattamenti eseguiti mediante strumenti elettronici ( i numeri tra parentesi rimandano ai punti del Disciplinare tecnico)

© R. Larese Autenticazione informatica (1-11) Il trattamento di dati personali è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Credenziali di autenticazione (2) : –Codice per l’identificazione dell’incaricato associato ad una parola chiave riservata conosciuta solamente dal medesimo –Dispositivo di autenticazione in possesso ed uso esclusivo (badge, smart card), anche associato a codice identificativo o parola chiave –Caratteristica biometrica dell’interessato (iride, impronta digitale ), anche associato a codice identificativo o parola chiave Misure minime di sicurezza per trattamenti mediante strumenti elettronici

© R. Larese Autenticazione informatica ELABORATORE SISTEMA DI AUTENTICAZIONE UTENTI CODICE + PAROLA CHIAVE DISPOSITIVO DI AUTEN- TICANZIONE CARATTER. BIOMETRICA

© R. Larese Gestione delle credenziali di autenticazione Le credenziali di autenticazione non utilizzate da almeno 6 mesi devono essere disattivate (tranne quelle usate per soli scopi di gestione tecnica) (7) Le credenziali devono essere disattivate in caso di perdita della qualità che consente l’accesso ai dati (8) Il sistema di autenticazione

© R. Larese Codice per l’identificazione Ogni codice può essere utilizzato da un solo incaricato e non può essere assegnato ad altri incaricati, neppure in tempi diversi (6) Ad ogni incaricato possono eventualmente essere assegnati più codici per l’identificazione (ad esempio per funzioni diverse) (3) Il sistema di autenticazione

© R. Larese Parola chiave ( ) Riservata e conosciuta solamente dall’incaricato (2) L’incaricato deve assicurarne la riservatezza (4) La lunghezza minima è di otto caratteri (5) Non contiene riferimenti agevolmente riconducibili all’incaricato (5) Modificata al primo utilizzo (5) Modificata ogni sei mesi od ogni tre mesi (trattamento di dati sensibili o giudiziari) (5) Il sistema di autenticazione

© R. Larese Gestione della riservatezza L’incaricato deve assicurare la riservatezza delle parole chiave (4) Gli incaricati devono ricevere istruzioni che indichino in quale modo il computer non deve essere lasciato incustodito durante le sessioni di lavoro (screen saver, log- off) (9) Devono essere individuati per iscritto soggetti incaricati e modalità per l’accesso a dati o sistemi di elaborazione in caso di assenza dell’interessato per esclusive necessità di operatività o sicurezza del sistema (nomina del custode delle parole chiave) (10) Il sistema di autenticazione

© R. Larese Cos’è cambiato dal DPR 318/99? Eliminata la classificazione dei sistemi di elaborazione: il sistema di autenticazione deve essere sempre utilizzato in modo integrale Rinforzata la definizione delle parole chiave Le parole chiave non devono essere conosciute nemmeno dal custode Responsabilizzazione maggiore degli incaricati Il sistema di autenticazione

© R. Larese Sistema di autorizzazione (12-14) Profilo di autorizzazione: l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti Sistema di autorizzazione: l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati ed alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente Il sistema di autorizzazione

© R. Larese Il sistema di autorizzazione E’ una necessità organizzativa, in quanto regola l’accesso alle informazioni in base ad un corretto criterio di necessità delle stesse per svolgere le diverse attività lavorative Riguarda, ad esempio: –Utilizzo di applicazioni o funzioni applicative –Accesso alle informazioni mediante applicazioni, definendone le modalità (lettura o scrittura) –Accesso diretto alle informazioni (database) –Accesso agli archivi (documenti, posta elettronica, ecc.) Il sistema di autorizzazione

© R. Larese I profili di autorizzazione Devono essere definiti precedentemente all’inizio del trattamento (13) Devono essere verificati almeno annualmente (14) Possono essere definiti per singolo incaricato o per classi omogenee di incaricati (ad es. uffici o reparti) (13) Devono essere completi considerando quindi programmi, funzioni, archivi (12) Il sistema di autorizzazione

© R. Larese Definizione dei profili E’ indispensabile definire il livello di dettaglio dei profili: –Un dettaglio insufficiente non consente selettività nell’accesso ai dati –Un dettaglio eccessivo genera un sistema complesso e difficilmente gestibile E’ indispensabile la collaborazione dei responsabili funzionali e del settore HR E’ indispensabile un frequente aggiornamento (nuovi incaricati, cambiamenti di mansioni, ecc.) E’ consigliabile disporre di uno strumento informatico per la gestione dei profili Il sistema di autorizzazione

© R. Larese Cos’è cambiato dal DPR 318/99? Nel DPR/318 non era prevista la definizione dei profili di autorizzazione se non, parzialmente, per gli incaricati che eseguissero trattamenti di dati sensibili o giudiziari mediante sistemi informatici Il sistema di autorizzazione

© R. Larese Individuazione degli ambiti di trattamento (15) Ambiti di trattamento dei dati personali: –Finalità –Modalità –Ambiti di comunicazione o diffusione Devono essere definiti ed aggiornati almeno annualmente Devono essere documentati in forma scritta Possono essere definiti per incaricato o per classi omogenee (ad es. uffici o reparti) Gli ambiti di trattamento

© R. Larese Cos’è cambiato dal DPR 318/99? Gli ambiti possono essere definiti per classi omogenee di incaricati Gli ambiti di trattamento

© R. Larese Protezione antivirus (16) Tutti i sistemi di elaborazione (server, client) devono essere protetti dal rischio costituito da virus informatici e simili La protezione deve essere attiva anche per i sistemi non connessi in rete o che non accedono a internet Gli utenti non devono poter disattivare l’antivirus L’aggiornamento deve essere obbligatoriamente almeno semestrale, ma è necessario – per la sicurezza del sistema informatico aziendale – che sia quotidiano o al massimo settimanale! Nulla è cambiato rispetto al DPR/318 Protezione antivirus

© R. Larese Aggiornamenti dei programmi (17) Aggiornamenti di programmi per elaboratore volti a: –Prevenire la vulnerabilità si strumenti elettronici –Correggere difetti Devono essere eseguiti con cadenza almeno annuale In caso di trattamento di dati sensibili o giudiziari con cadenza almeno semestrale L’aggiornamento dei programmi per elaboratore

© R. Larese Aggiornamenti: i problemi Quali programmi? –Sistema operativo –Programmi applicativi –Programmi per il trattamento dei dati personali Quali aggiornamenti? –Service pack –Nuove versioni a pagamento In alcune condizioni un aggiornamento può non essere possibile, può non essere consigliabile, può essere molto costoso (ad es. può richiedere implementazioni dell’hardware) L’aggiornamento dei programmi per elaboratore

© R. Larese Cos’è cambiato dal DPR 318/99? La misura minima di sicurezza non era prevista nel DPR/318 L’aggiornamento dei programmi per elaboratore

© R. Larese Salvataggio dei dati (18) E’ obbligatorio il salvataggio dei dati personali (backup) La frequenza di salvataggio deve essere almeno settimanale, ma è opportuno che sia quotidiana Devono essere protetti tutti i dati: –Sistemi gestionali o ERP –Documenti degli utenti –Posta elettronica –… Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per definirne le modalità di esecuzione Il salvataggio dei dati

© R. Larese Istruzioni tecniche (18) Individuazione dei dispositivi Individuazione degli archivi Definizione delle frequenze Definizione delle modalità (backup completo, incrementale, differenziale) Definizione dei criteri di rotazione dei dispositivi Definizione dei criteri di archiviazione dei dispositivi Definizione delle procedure di controllo Il salvataggio dei dati

© R. Larese Istruzioni organizzative (18) Definizione delle responsabilità Definizione delle procedure in caso di incidente Definizione delle modalità di aggiornamento delle procedure Il salvataggio dei dati

© R. Larese Cos’è cambiato dal DPR 318/99? La misura di sicurezza non era regolamentata nel DPR/318 ma esisteva l’obbligo di descrivere le modalità di salvataggio nel Documento Programmatico per i titolari che erano soggetti alla relativa stesura Il salvataggio dei dati

© R. Larese Misure Minime di Sicurezza per trattamenti riguardanti dati personali di tipo sensibile o giudiziario eseguiti mediante strumenti elettronici

© R. Larese Dati sensibili o giudiziari (art. 4 lett. d ed e) Dati sensibili sono i dati personali idonei a rivelare: –L’origine razziale od etnica; –Le convinzioni religiose, filosofiche o di altro genere; –Le opinioni politiche; –L’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale –Lo stato di salute –La vita sessuale Dati giudiziari: –Provvedimenti di cui all’art.3 comma 1 lett. Da a) a o) ed r) del d.P.R. 14 nov 2002 n. 313 –La qualità di imputato o indagato Dati personali di tipo sensibile o giudiziario

© R. Larese Il Documento Programmatico (19) Descrive in maniera completa tutte le misure di sicurezza poste in essere nel caso di trattamento di dati personali sensibili o giudiziari Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) Se è richiesta la relazione accompagnatoria del bilancio di esercizio, deve esserne riferito dell’avvenuta redazione od aggiornamento (26) Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento Non è richiesto che abbia data certa Il Documento Programmatico sulla Sicurezza

© R. Larese Il Documento Programmatico La redazione del Documento Programmatico è obbligatoria solamente nel caso di trattamento di dati sensibili o giudiziari mediante sistemi informatici, ma è consigliabile in ogni caso in quanto: –Documenta l’applicazione delle misure minime di sicurezza –Fornisce una “check-list” per tutte le misure di sicurezza in essere –Permette la verifica periodica delle procedure di sicurezza Il Documento Programmatico

© R. Larese Significato del Documento Programmatico Per tutte le organizzazioni che, in base al Testo Unico, non sono più soggette alla Notifica dei trattamenti al Garante, il Documento Programmatico diviene il più importante documento che descrive le modalità dei trattamenti dei dati personali. Per questo motivo è opportuno che sia completo, chiaro e costantemente aggiornato Il Documento Programmatico

© R. Larese Contenuti del Documento Programmatico L’elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L’analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) La previsione degli interventi formativi (19.6) La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza dei dati affidati all’esterno della struttura del titolare (19.7) I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8) Il Documento Programmatico

© R. Larese L’elenco dei trattamenti (19.1) Database Modalità di trattamento –Applicazioni –Archivi Finalità di trattamento Ambiti di comunicazione Profili di autorizzazione degli incaricati Il Documento Programmatico

© R. Larese Distribuzione di compiti e responsabilità (19.2) Gestione sistema di autenticazione Gestione sistema di autorizzazione Gestione del sistema antivirus Gestione del sistema anti-intrusione Gestione del sistema di backup/restore Aggiornamento del Documento Programmatico Possibili allegati: –Istruzioni agli incaricati; –Nomine di responsabili e custodi delle parole chiave –Modalità di accesso ai sistemi in assenza dell’incaricato Il Documento Programmatico

© R. Larese Analisi dei rischi (19.3) Elenco dei rischi individuati e delle possibili conseguenze in termini di: –Distruzione o perdita dei dati –Accesso non autorizzato alle informazioni o esecuzione di trattamenti non autorizzati –Indisponibilità dei sistemi –Presenza di informazioni errate Elenco delle contromisure che, per ogni rischio individuato sono poste in essere come misura di protezione, tenendo conto che le misure possono essere graduate per classi di dati, e che la medesima misura può avere effetto su rischi diversi. Il Documento Programmatico

© R. Larese Criteri per garantire integrità e disponibilità (19.4) Sistema di autenticazione ed autorizzazione Sistema antivirus Sistema anti-intrusione informatica Procedure di sviluppo e avviamento di nuove applicazioni Gestione degli aggiornamenti dei programmi Organizzazione degli archivi degli utenti Protezione delle aree e dei locali (generali o specifici ai locali informatici) –Sistemi anti-intrusione –Vigilanza e controllo accessi –Sistemi anti-incendio Il Documento Programmatico

© R. Larese Criteri e modalità per il ripristino dei dati (19.5) Sistema di backup –Dispositivi –Archivi protetti –Modalità di esecuzione –Frequenza –Criteri di rotazione e archiviazione –Modalità di verifica –Strumenti di segnalazione di eventuali errori Sistemi per assicurare la continuità di alimentazione Sistemi ridondanti o ad alta affidabilità –RAID / Cluster / SAN … Disaster recovery Il Documento Programmatico

© R. Larese Interventi formativi (19.6) Riguardano: –Conoscenza dei rischi –Conoscenza delle misure di sicurezza e dei comportamenti da adottare –Responsabilità Devono essere erogati: –Al momento dell’ingresso in servizio –In occasione di cambio di mansioni –In occasione dell’introduzione di nuovi strumenti E’ opportuno che siano documentati Il Documento Programmatico

© R. Larese Criteri per i trattamenti all’esterno (19.7) Documento di specifica di finalità, modalità, ed ambiti di comunicazione autorizzati per il trattamento Dichiarazione dell’ente esterno a cui vengono affidati i dati di adozione delle misure di sicurezza Copia del Documento Programmatico del soggetto esterno, se dovuto o comunque disponibile Piani di controllo, se disponibili Il Documento Programmatico

© R. Larese Cifratura o separazione dei dati sensibili (19.8) Cifratura: i dati sono archiviati utilizzando criteri di criptazione che ne rendono impossibile la lettura ai soggetti non autorizzati –Tecnicamente complesso –Normalmente non necessario Separazione: i dati sensibili o giudiziari sono memorizzati unicamente in archivi a cui – utilizzando i profili di autorizzazione – possono avere accesso solo i soggetti abilitati –Applicazioni dotate di parola chiave –Archivi ad accesso limitato Il Documento Programmatico

© R. Larese Ulteriori misure nel caso di trattamenti di dati sensibili o giudiziari

© R. Larese Protezione anti-intrusione (20) I sistemi di elaborazione devono essere protetti contro il rischio di intrusione mediante firewall Un firewall controlla il traffico da e verso l’esterno della rete, in particolare con internet, bloccando quello indesiderato e potenzialmente pericoloso Possono essere utilizzati –Firewall software –Firewall hardware E’ necessario un costante aggiornamento del firewall, che in caso contrario diventa velocemente vulnerabile In aggiunta al firewall, può essere opportuno utilizzare un IDS (Intrusion Detection System) Ulteriori misure per il trattamento di dati sensibili o giudiziari

© R. Larese Supporti removibili (21-22) Devono essere impartite istruzioni organizzative e tecniche per regolare (21) : –Le modalità d’uso –Le modalità di custodia Quando non più utilizzati devono essere (22) : –Distrutti o resi inutilizzabili oppure –Resi non intelleggibili e in alcun modo ricostruibili Ulteriori misure per il trattamento di dati sensibili o giudiziari

© R. Larese Sistema di “Disaster recovery” (23) Deve essere garantito l’accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni Ulteriori misure per il trattamento di dati sensibili o giudiziari

© R. Larese Misure di tutela e garanzia

© R. Larese Dichiarazione di conformità (25) Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento che ne attesta la conformità alle disposizioni del Disciplinare Tecnico Riguarda, ad esempio: –Installazione della rete locale –Installazione del sistema antivirus –Installazione del firewall –Installazione di software per il trattamento di dati sensibili o giusiziari (paghe e stipendi) Misure di tutela e garanzia

© R. Larese Relazione di bilancio (26) Il titolare riferisce, nella relazione accompagnatoria del bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza Misure di tutela e garanzia

© R. Larese Trattamenti senza l’ausilio di strumenti elettronici

© R. Larese Istruzioni agli incaricati (27) Modalità di controllo e custodia di atti e documenti La lista degli incaricati può essere redatta per classi omogenee di incarico e dei relativi profili di autorizzazione Trattamenti senza l’ausilio di strumenti elettronici

© R. Larese Custodia (dati sensibili o giudiziari) (28) Custoditi dagli incaricati fino alla conclusione dei trattamenti, assicurando che non vi sia accesso da parte di soggetti non autorizzati Consegnati a conclusione dei trattamenti Trattamenti senza l’ausilio di strumenti elettronici

© R. Larese Archiviazione (dati sensibili o giudiziari) (29) Accessi controllati agli archivi Identificazione e registrazione degli accessi fuori dall’orario di chiusura Autorizzazione agli incaricati, in caso di accesso controllato mediante strumenti elettronici Il Documento Programmatico

© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Domande e risposte Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza

© R. Larese Allegato – Scadenzario obblighi MisuraScadenza/periodicitàTipologia dati Disattivazione credenziali Entro sei mesi dal mancato utilizzo Tutti Disattivazione credenziali Subito, in caso di perdita della qualità Tutti Sostituzione autonoma parola chiave Ogni sei mesi Ogni tre mesi Comuni Sensibili o giud. Verifica profiliOgni annoTutti Redazione lista incaricati Ogni annoTutti Aggiornamento antivirus Ogni sei mesi ( consigliabile max. ogni settimana) Tutti

© R. Larese Allegato – Scadenzario obblighi MisuraScadenza/periodicitàTipologia dati Aggiornamento programmi Annualmente Ogni sei mesi Comuni Sensibili giud. BackupSettimanalmente (consigliabile ogni giorno) Tutti Aggiornamento DPSOgni anno entro il 31 marzoSensibili o giudiziari