USR Lombardia – Formazione personale Milano, 26 Gennaio 2012 1 Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Il D ocumento P.

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
A cura del PROGETTO QUALITA Ministero dellIstruzione, dellUniversità e della Ricerca Ufficio Scolastico Regionale per la Campania Direzione Generale VERSO.
Come redigere il DPS a cura dell’Avvocato Marco Maglio
Il DPS: cos’è e come si aggiorna a cura dell’Avvocato Marco Maglio
IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.
il Rappresentante dei Lavoratori per la Sicurezza
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Confindustria Genova Workshop 31 gennaio 2008 Privacy e fisco Avv. Roberto Falcone.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
1 La Legge Italiana sulla Firma Digitale Nicola Rebagliati.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Controllo di Gestione negli Enti Pubblici
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
Il nuovo Codice in materia di protezione dei dati personali.
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
La tutela dei dati personali
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Per la gestione dei dati personali: Per la gestione dei dati personali:
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
1 Ly-LAB Sistema di gestione dei dati analitici di laboratorio.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
Razionalizzazione delle
IL CODICE DELLA PRIVACY
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
LA FORMAZIONE,L’INFORMAZIONE E L’ADDESTRAMENTO PER LA SICUREZZA
Nozioni basilari in materia di Privacy
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
I dati Personali Sono Persona Fisica Privati I dati Personali
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
R:\2.Scambio\Normativa_Privacy
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Le associazioni possono costituirsi:
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
D.Lgs 196/03: Tutela della privacy
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Il D ocumento P rogrammatico sulla S icurezza: cosè e come si aggiorna a cura dellUSR Lombardia Giornata di formazione 26 gennaio 2012

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Introduzione Questo corso ha un contenuto operativo e spiega cosè e come si aggiorna il Documento Programmatico sulla Sicurezza (DPS). Lincontro ha una durata di 120 minuti circa.

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Tratteremo questi argomenti: 1.il documento programmatico sulla sicurezza: funzioni, struttura e contenuti 2.come verificare il grado di aggiornamento del DPS 3.le risposte alle domande classiche laggiornamento è sempre necessario? quali notizie fornire nellaggiornamento? laggiornamento deve avere data certa? 4.come redigere laggiornamento del DPS 5.come comunicare lavvenuto aggiornamento del DPS 6.a chi comunicare lavvenuto aggiornamento 7.cosa fare e cosa non fare dopo laggiornamento 8.consigli per pianificare i futuri aggiornamenti Contenuti del corso

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Cosa è il documento programmatico sulla sicurezza Il documento programmatico è una delle misure minime di sicurezza prescritte dalla normativa per gestire correttamente i rischi connessi al trattamento dei dati personali. Le misure di sicurezza hanno lo scopo di prevenire i rischi di distruzione, intrusione o uso improprio dei dati personali. Alle precauzioni già previste nella normativa fin dal 1999 (password, codici identificativi, utilizzo di antivirus aggiornati) con ladozione del Codice in materia di protezione dei dati personali, dopo il 31 marzo 2006, sono state aggiunte anche forme di autenticazione informatica, sistemi di cifratura, procedure per il ripristino dei dati da adottare a seconda della sensibilità e del livello di rischio legato al trattamento dei dati. Nel caso in cui il titolare ometta ladozione delle misure minime è prevista la pena dellarresto sino a due anni o, alternativamente, lammenda da euro a

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Laggiornamento annuale del DPS Il 31 marzo di ogni anno scade il termine per laggiornamento obbligatorio del Documento Programmatico sulla sicurezza. Laggiornamento non è una mera formalità, ma deve dimostrare che lEnte ha tenuto costantemente sotto controllo le attività di trattamento dei dati. In un quadro di evoluzione tecnologica costante, il DPS va aggiornato almeno una volta allanno, entro il 31 marzo, da parte del Titolare, anche avvalendosi dei responsabili eventualmente designati. In pratica entro il 31 marzo di ogni anno il Titolare del trattamento è tenuto a verificare se nel corso dellanno appena trascorso sono intervenute variazioni rispetto a quanto indicato lanno precedente.

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Il DPS è obbligatorio per chiunque? Secondo lallegato B del D.Lgs. 196/2003 il documento è obbligatorio solo per i soggetti che trattano dati sensibili e giudiziari, ma la sua adozione è essenziale per ladeguata analisi e prevenzione dei rischi legati allillecito trattamento dei dati. Non redigere il DPS determina lautomatico innalzamento dei rischi connessi al trattamento. Per questo motivo la sua redazione, è da considerarsi una necessaria cautela da adottare per la corretta organizzazione.

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Il Documento Programmatico deve avere data certa? Non esiste nessuna disposizione che preveda un obbligo di data certa per il DPS. Questo vale anche per laggiornamento annuale. La diffusione di una leggenda metropolitana a questo proposito deriva da una frettolosa lettura della normativa. Lunico riferimento alla data certa riguarda lipotesi (oggi superata) di usufruire di un maggior termine per ladozione delle misure di sicurezza. Ai sensi dellart. 180 del D.Lgs. 196/2003 Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B, descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Qual è il contenuto del DPS? Il DPS deve fornire idonee informazioni riguardo a : a)lelenco dei trattamenti di dati personali b)la distribuzione dei compiti e delle responsabilità in relazione al trattamento dei dati c)lanalisi dei rischi d)le misure da adottare per garantire lintegrità e la disponibilità dei dati, nonché le disposizioni per la protezione dei locali destinati alla custodia e)la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Qual è il contenuto del DPS? f)la previsione di interventi formativi a favore degli incaricati del trattamento g)la descrizione dei criteri da adottare per garantire ladozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, allesterno della struttura del titolare h)lindividuazione dei criteri da adottare per la cifratura o per la separazione dei dati relativi alla salute ed alla vita sessuale dagli altri dati personali dellinteressato.

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Quali sono gli elementi da aggiornare nel DPS? Riesaminiamo nel dettaglio questi contenuti del Documento Programmatico sulla Sicurezza, utilizzando come riferimento lo schema descritto dal punto 19 dellallegato B. Potremo così mettere in evidenza i punti che eventualmente richiedono un aggiornamento.

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Elenco dei trattamenti di dati personali regola 19.1 Contenuti In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con lindicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato.

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Informazioni essenziali Per ciascun trattamento vanno indicate le seguenti informazioni: Descrizione sintetica: menzionare il trattamento dei dati personali attraverso lindicazione della finalità perseguita o dellattività svolta (fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.). Natura dei dati trattati: indicare se, tra i dati personali, sono presenti dati sensibili o giudiziari. Elenco dei trattamenti di dati personali regola 19.1

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Struttura di riferimento: indicare la struttura (ufficio, funzione, ecc.) allinterno della quale viene effettuato il trattamento. In caso di strutture complesse, è possibile indicare la macro-struttura (direzione, dipartimento o servizio del personale), oppure gli uffici specifici allinterno della stessa (ufficio contratti, sviluppo risorse, controversie sindacali, amministrazione-contabilità). Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere completato, comporta lattività di diverse strutture è opportuno indicare, oltre quella che cura primariamente lattività, le altre principali strutture che concorrono al trattamento anche dallesterno. Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale, geografica o Internet, sistemi informativi più complessi). Elenco dei trattamenti di dati personali regola 19.1

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Banca dati: indicare eventualmente la banca dati (ovvero il data base o larchivio informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere lutilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate. Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Elenco dei trattamenti di dati personali regola 19.1

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento (pc, terminale non intelligente, palmare, telefonino, ecc.). Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi daccesso ai dati utilizzati dagli incaricati (rete locale, geografica, Internet, ecc.). Elenco dei trattamenti di dati personali regola 19.1

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Contenuti In questa sezione occorre descrivere sinteticamente lorganizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), indicando le precise modalità per reperirli. Distribuzione dei compiti e delle responsabilità regola 19.2

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Informazioni essenziali Struttura: riportare le indicazioni delle strutture già menzionate nella precedente sezione. Trattamenti effettuati dalla struttura: indicare i trattamenti di competenza di ciascuna struttura. Compiti e responsabilità della struttura: descrivere sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Anche in questo caso è possibile utilizzare, nei termini predetti, altri documenti già predisposti. Distribuzione dei compiti e delle responsabilità regola 19.2

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Contenuti In questa sezione occorre descrivere i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico – ambientale di riferimento e agli strumenti elettronici utilizzati. Analisi dei rischi che incombono sui dati regola 19.3

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Informazioni essenziali Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi: 1. comportamenti degli operatori: sottrazione di credenziali di autenticazione carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale Analisi dei rischi che incombono sui dati regola 19.3

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo 2. eventi relativi agli strumenti: azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti accessi esterni non autorizzati intercettazione di informazioni in rete Analisi dei rischi che incombono sui dati regola 19.3

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo 3. eventi relativi al contesto fisico – ambientale: ingressi non autorizzati a locali/aree ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della sicurezza fisica Analisi dei rischi che incombono sui dati regola 19.3

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dellevento (anche in termini sintetici: ad es. alta/media/bassa). In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare. Lanalisi dei rischi può essere condotta utilizzando metodi di complessità diversa: lapproccio qui descritto è volto solo a consentire una prima riflessione in contesti che per dimensioni ridotte o per altre analoghe ragioni, non ritengano di dover procedere ad una analisi più strutturata. Analisi dei rischi che incombono sui dati regola 19.3

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Contenuti In questa sezione vanno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne lefficacia. Le misure da adottare possono essere inserite in una sezione dedicata ai programmi per migliorare la sicurezza. Misure in essere e da adottare regola 19.4

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Informazioni essenziali Misure: descrivere sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole dellallegato B del Codice). Descrizione dei rischi: per ciascuna misura indicare sinteticamente i rischi che si intende contrastare (anche qui, si possono utilizzare le indicazioni fornite dallallegato B). Trattamenti interessati: indicare i trattamenti interessati per ciascuna delle misure adottate. Struttura o persone addette alladozione: indicare la struttura o la/e persona/e responsabile/i o preposte alladozione delle misure indicate. Misure in essere e da adottare regola 19.4

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Determinate misure possono non essere riconducibili a specifici trattamenti o banche dati (ad esempio, con riferimento alle misure per la protezione delle aree e dei locali). Occorre specificare se la misura è già in essere o da adottare, con eventuale indicazione, in tale ultimo caso, dei tempi previsti per la sua messa in opera. Oltre alle informazioni sopra riportate può essere opportuno compilare, per ciascuna misura, una scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza e, in particolare, nelle attività di verifica e controllo. Misure in essere e da adottare regola 19.4

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo A puro titolo di esempio, possono essere inserite informazioni relative a: la minaccia che si intende contrastare la tipologia della misura (preventiva, di contrasto, di contenimento degli effetti ecc.) le informazioni relative alla responsabilità dellattuazione e della gestione della misura i tempi di validità delle scelte (contratti esterni, aggiornamento di prodotti, ecc.) gli ambiti cui si applica (ambiti fisici: un reparto, un edificio, ecc.– o logici: una procedura, unapplicazione, ecc.) Misure in essere e da adottare regola 19.4

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Contenuti In questa sezione sono descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. Limportanza di queste attività deriva dalleccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino. Criteri e modalità di ripristino della disponibilità dei dati regola 19.5

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Informazioni essenziali Per quanto riguarda il ripristino, le informazioni essenziali sono: Banca dati/Data base/Archivio: indicare la banca dati, il data base o larchivio interessati. Criteri e procedure per il salvataggio e il ripristino dei dati: descrivere sinteticamente le procedure e i criteri individuati per il salvataggio e il ripristino dei dati, con eventuale rinvio ad unulteriore scheda operativa o a documentazioni analoghe. Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia delle procedure adottate per il salvataggio/ripristino dei dati. Criteri e modalità di ripristino della disponibilità dei dati regola 19.5

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Ecco ulteriori elementi per specificare i criteri e le procedure per il salvataggio e il ripristino dei dati. Data base: identificare la banca, la base o larchivio elettronico di dati interessati. Criteri e procedure per il salvataggio dei dati: descrivere sinteticamente la tipologia di salvataggio e la frequenza con cui viene effettuato. Modalità di custodia delle copie: indicare il luogo fisico in cui sono custodite le copie dei dati salvate. Struttura o persona incaricata del salvataggio: indicare la struttura o le persone incaricate di effettuare il salvataggio e/o di controllarne lesito. Criteri e modalità di ripristino della disponibilità dei dati regola 19.5

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Contenuti In questa sezione sono riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. Pianificazione degli interventi formativi previsti regola 19.6

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Informazioni essenziali Descrizione sintetica degli interventi formativi: descrivere sinteticamente gli obiettivi e le modalità dellintervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc.). Classi di incarico o tipologie di incaricati interessati: individuare le classi omogenee di incarico a cui lintervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza. Tempi previsti: indicare i tempi previsti per lo svolgimento degli interventi formativi. Pianificazione degli interventi formativi previsti regola 19.6

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Contenuti Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con lindicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche allesterno, per garantire la protezione dei dati stessi. Trattamenti affidati allesterno regola 19.7

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Informazioni essenziali Descrizione dellattività esternalizzata: indicare sinteticamente lattività affidata allesterno. Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nellambito della predetta attività. Soggetto esterno: indicare la società, lente o il consulente cui è stata affidata lattività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento). Trattamenti affidati allesterno regola 19.7

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a: 1.il trattamento di dati ai soli fini dellespletamento dellincarico ricevuto 2.ladempimento degli obblighi previsti dal Codice per la protezione dei dati personali 3.il rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere 4.limpegno a relazionare periodicamente sulle misure di sicurezza adottate, anche mediante eventuali questionari e liste di controllo, e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze. Trattamenti affidati allesterno regola 19.7

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Contenuti In questa sezione vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura – o la separazione fra dati identificativi e dati sensibili – nonché i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti. Cifratura dei dati o separazione dei dati identificativi regola 19.8

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo I cambiamenti più frequenti sono quelli che riguardano questi aspetti: i cambiamenti di sedi dove avviene il trattamento dei dati la variazione nei permessi di accesso ai dati da parte degli incaricati la variazione della struttura del sito Internet la creazione di nuove banche dati le modifiche dei responsabili e degli incaricati del trattamento ladozione di nuovi fornitori nominati responsabili esterni del trattamento dei dati i cambiamenti alla rete, acquisto o dismissione di nuovi computers, nuovi sistemi di elaborazione, ecc. linstallazione di dotazioni (armadi, scaffali o altri arredi dove vengono conservati i dati) lanalisi dei rischi (adozione di nuove misure di sicurezza tecnico-informatiche, organizzative e logistico-procedurali) il trasferimento di dati allestero. I cambiamenti più comuni

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Prima di tutto va tenuto presente che per aggiornare il DPS, non sarà necessario adottarne uno completamente diverso rispetto al precedente, ma basterà integrarlo in alcune parti, secondo le proprie necessità. Quanto alla struttura del DPS: sul piano pratico un buon suggerimento può essere quello di adottare un modello di DPS composto di una parte descrittiva (da lasciare generalmente immutata) e da una serie di allegati, costituenti la parte dinamica, che riporterà le modifiche, le revisioni, gli aggiornamenti e le integrazioni ritenute necessarie. A chi comunicare il DPS: il DPS è un atto interno del Titolare. Va tenuto agli Atti ed esibito a richiesta delle autorità. Quindi il DPS non deve in nessun modo essere inviato a uffici pubblici o autorità. Alcuni suggerimenti pratici

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo A proposito della data certa: la legge non la impone ma se volete potete fare ricorso alla cosiddetta «autoprestazione», presso gli uffici postali con apposizione del timbro direttamente sul documento, anziché sullinvolucro che lo contiene. La tecnologia aiuta: ricordate che sul documento informatico può essere apposta la cosiddetta «marca temporale». La marcatura temporale consiste nell'associare una data e un'ora certe ad un documento informatico tramite la firma digitale. Questa dovrebbe essere coincidente con la versione stampata che andrà in ogni caso firmata. Alcuni suggerimenti pratici

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo A proposito dei tempi di revisione: al di là dell'obbligo di legge di procedere ad un aggiornamento del documento entro il 31 marzo di ogni anno, è opportuno stampare una nuova revisione del documento ogni volta che qualche elemento contenuto nel DPS varia, ossia, quando vi siano innovazioni tecnologiche o modificazioni di processi organizzativi. Ricordate che il documento deve mirare a programmare interventi futuri per la protezione dei dati e dei sistemi informatici e fisici adottati per la protezione delle informazioni. Proprio per questo si deve verificare se nel corso dell'anno sono stati evidenziati rischi o minacce (ripetendo l'analisi dei rischi), in modo da prevedere interventi e protezioni. Alcuni suggerimenti pratici

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Cosa fare per impostare correttamente laggiornamento: la scelta operativa migliore consiste nel programmare per tempo gli interventi: a gennaio si può iniziare a lavorare al documento preventivo e a marzo, sulla base delle previsioni, si può aggiornare il DPS. Cosa non fare: ristampare il DPS, anno dopo anno, cambiando solo la data di redazione. Laggiornamento non è formale. Ricordate che la sicurezza non è un dato di fatto statico; è un processo dinamico che deve evolversi. Possibile che in anno non sia cambiato nulla? Neanche un allegato? E comunque tenete presente che non basta dare un nome diverso a una cosa vecchia, per poter sostenere di aver creato qualcosa di nuovo! Alcuni suggerimenti pratici

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Nomina del responsabile e degli incaricati La nomina del responsabile è facoltativa e compete al titolare del trattamento. La nomina degli incaricati, invece, è sempre necessaria ove ci siano altri soggetti che abbiano accesso ai dati trattati (es. dipendenti e collaboratori), anche in via soltanto occasionale. Informativa all'interessato Sempre obbligatoria prima dell'inizio del trattamento. Consenso Informato Non sempre necessario nel caso di trattamento di dati non sensibili. In caso contrario il consenso è sempre obbligatorio e deve essere fornito per iscritto. Deve essere libero, informato e specifico. Misure di Sicurezza Da adottare - Redazione del Documento Programmatico della Sicurezza (DPS)Documento Programmatico della Sicurezza (DPS) Da predisporre - Il DPS dovrà essere aggiornato entro il 31 marzo di ogni anno. Adempimenti

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dati, anche se non registrati in una banca dati Dato personale: qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso il numero di identificazione personale Dato anonimo: il dato che in origine o a seguito di trattamento, non può essere associato a un interessato identificato o identificabile Dati identificabili: i dati personali che permettono l'identificazione diretta dell'interessato Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale lo stato di salute e la vita sessuale Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a9 a o) e da r) a u) del Dpr 14/11/2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dai relativi carichi pendenti o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale Titolare: la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono anche unitamente ad altro titolare, le decisioni in ordine alle finalità e alle modalità del trattamento di dati personali e agli strumenti utilizzati, compreso il profilo della sicurezza Responsabile: la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono anche unitamente ad altro titolare, le decisioni in ordine alle finalità e alle modalità del trattamento di dati personali e agli strumenti utilizzati, compreso il profilo della sicurezza Incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento del titolare o dal responsabile Interessato: la persona fisica, giuridica, l'ente o l'associazione cui si riferiscono i dati personali Strumenti elettronici: gli elaboratori, i software e qualunque dispositivo elettronico o automatizzato con cui si effettua il trattamento Notifica: dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento. Terminologia

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Grazie e buon lavoro. Per informazioni potete scrivere a: Ufficio IX – Comunicazione Silvana Massobrio Aldo Russo Conclusioni

USR Lombardia – Formazione personale Milano, 26 Gennaio Il DPS: cosè e come si aggiorna Relatori: Silvana Massobrio e Aldo Russo Garante per la Protezione dei dati personali - Esempio DPS per una Pubblica Amministrazione - pdfhttp://www2.cnipa.gov.it/site/_contentfiles/ / _Documento%20programmatico. pdf Garante per la protezione dei dati: linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web - 2 marzo Bibliografia