Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.

Slides:



Advertisements
Presentazioni simili
A cura di Fabio Della Casa
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
PREVENIRE: FARE O DIRE QUALCOSA IN ANTICIPO AL PREVEDIBILE ORDINE DI SUCCESSIONE PREVENZIONE: AZIONE DIRETTA A IMPEDIRE IL VERIFICARSI O IL DIFFONDERSI.
il Rappresentante dei Lavoratori per la Sicurezza
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Aspetti Tecnici e Requisiti IT
CORSO PRIVACY PARTE GENERALE
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Milano Introduzione alla sicurezza informatica per il Codice della Privacy Prof. Avv. Giovanni Ziccardi - Università degli Studi di Milano
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
“Testo Unico sulla Privacy”
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Convegno il fattore sicurezza slide n. 1 La messa a norma per il trattamento dei dati personali (privacy) Ing. Piero Giagnoni Milano, 4 dicembre 2001.
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
IN TEMA DI FASCICOLO SANITARIO ELETTRONICO E DI DOSSIER SANITARIO
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
IL CODICE DELLA PRIVACY
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
Cos’é il Modello di Organizzazione e Gestione o Modello 231?
del revisore contabile
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
E. Bovo INFN1 Documento informatico e comunicazioni elettroniche. Tutela dei dati ed efficacia delle comunicazioni. Castiadas (CA) Eleonora.
© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Le associazioni possono costituirsi:
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
CRUI 14 e 15 luglio 2014 Elisabetta Di Russo Dipartimento di Medicina Molecolare GLAD – Gruppo di Lavoro Ateneo Drupal Nuove linee guida in materia di.
D.Lgs 196/03: Tutela della privacy
Sicurezza e attacchi informatici
La diffusione sul web di dati personali e la privacy negli enti locali Relatore Gianni Festi 1.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
1 Il regolamento di organizzazione A cura del dott. Arturo Bianco.
Protezione dei dati personali: Soggetti, compiti e responsabilità 15° Censimento generale della popolazione e delle abitazioni Formazione UCC Prefettura.
1 2 DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Sistema di autenticazione informatica 1.Il trattamento di dati personali con strumenti.
L’iscrizione al Registro dei produttori di apparecchiature elettriche ed elettroniche Paolo Pipere Responsabile Servizio Ambiente e Innovazione Organizzativa.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion e dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati

Associazione Industriale Bresciana 24 giugno 2004 DISCIPLINARE TECNICO Istruzioni scritte agli incaricati finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e documenti contenenti dati personali. Gli atti e i documenti che contengono dati sensibili o giudiziari sono controllati e custoditi dagli incaricati ai quali sono affidati per operazioni di trattamento fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate Controllo dell’accesso agli archivi contenenti dati sensibili o giudiziari. Identificazione e registrazione delle persone ammesse, a qualunque titolo, dopo l’orario di chiusura. Se il controllo degli accessi non avviene con strumenti elettronici o tramite incaricati alla vigilanza, le persone che accedono agli archivi sono preventivamente autorizzate.

Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI CON STRUMENTI ELETTRONICI IN GENERALE (ART. 34 DEL CODICE) Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nel rispetto del disciplinare, le seguenti misure: 1- Autenticazione informatica 2- Adozione di procedure di gestione delle credenziali di autenticazione 3- Utilizzazione di un sistema di autorizzazione 4- Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici

Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI CON STRUMENTI ELETTRONICI IN GENERALE (ART. 34 DEL CODICE) 5- Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici 6- Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi 7- Tenuta di un aggiornato documento programmato sulla sicurezza 8- Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessueale effettuati da organismi sanitari

Associazione Industriale Bresciana 24 giugno 2004 … In particolare (DISCIPLINARE TECNICO) (ALLEGATO B AL CODICE) Contiene una serie di disposizioni di attuazione dirette alla trasposizione dei precetti contenuti nell’art. 34 del codice in modalità operative. Sostituisce integralmente il “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali” contenuto del DPR 28 luglio 1999, n. 318.

Associazione Industriale Bresciana 24 giugno 2004 Individuazione e designazione degli incaricati (persone fisiche) Designazione scritta con puntuale individuazione dell’ambito del trattamento consentito nonchè delle “istruzioni” Necessità di aggiornare le lettere di incarico predisposte in vigenza del DPR n. 318/1999

Associazione Industriale Bresciana 24 giugno 2004 AUTORIZZAZIONE (seconda verifica, relativa alla possibilità che la stessa persona possa accedere all’applicazione per compiere una o più operazioni di trattamento) AUTENTICAZIONE (prima verifica, relativa all’identità della persona che intende accedere allo strumento) DOPPIO SISTEMA DI CONTROLLO

Associazione Industriale Bresciana 24 giugno 2004 SISTEMA DI AUTENTICAZIONE Il trattamento di dati personali è consentito agli incaricati dotati di credenziali di AUTENTICAZIONE che consentono il superamento di una procedura di autenticazione relativa ad uno specifico trattamento o a un insieme di trattamenti (le disposizioni sul sistema di autenticazione non si applicano ai trattamenti di dati destinati alla diffusione)

Associazione Industriale Bresciana 24 giugno 2004 CREDENZIALI DI AUTENTICAZIONE NOZIONE I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica si tratta di dati o dispositivi che permettono all’incaricato di dimostrare la propria identità, ovvero che consentono la verifica del fatto che l’incaricato sia colui che dichiara di essere

Associazione Industriale Bresciana 24 giugno 2004 Le credenziali di autenticazione consistono alternativamente in: 1- Un codice per l’identificazione dell’incaricato associato ad una parola chiave riservata conosciuta solamente dal medesimo 2- Altro dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato ad un codice identificativo o ad una parola chiave 3- Una caratteristica biometrica dell’incaricato, eventualmente associata ad un codice identificativo o ad una parola chiave Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. E’ necessario individuare preventivamente e per iscritto i soggetti incaricati della custodia delle copie delle credenziali.

Associazione Industriale Bresciana 24 giugno 2004 “ROBUSTEZZA” DELLA PASSWORD La parola chiave, qualora sia prevista dal sistema di autenticazione deve: Essere composta da almeno 8 caratteri (o, se lo strumento non lo permette, dal numero massimo di caratteri consentito) Non essere di facile decodificazione, e quindi non contenere riferimenti agevolmente riconducibili all’incaricato (nome, data nascita, ecc.) Essere modificata dall’incaricato al primo utilizzo, e, successivamente, almeno ogni 6 mesi (o almeno ogni 3 mesi in caso di trattamento di dati sensibili e giudiziari)

Associazione Industriale Bresciana 24 giugno 2004 Le credenziali per l’autenticazione Sono assegnate o associate individualmente ad ogni incaricato (può essere assegnata anche più di una credenziale) Se non utilizzate da almeno 6 mesi sono disattivate (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica) Sono disattivate in caso di perdita della qualità che consente all’incaricato l’accesso ai dati

Associazione Industriale Bresciana 24 giugno 2004 Sistema di AUTORIZZAZIONE Insieme di strumenti e procedure che abilitano l’accesso ai dati e alle modalità di trattamento, in funzione del “profilo di autorizzazione” (cioè dei confini entro i quali è consentita l’attività di trattamento) Un sistema di autorizzazione è utilizzato quando per gli incaricati sono individuati diversi profili di autorizzazione I profili di autorizzazione, per ogni incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento Verifica almeno annuale della sussistenza delle condizioni per la conservazione dei profili di autorizzazione

Associazione Industriale Bresciana 24 giugno 2004 Istruzioni agli incaricati concernenti: L’adozione di tutte le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato l’obbligo di non lasciare incustodito ed accessibile lo strumento elettronico durante una sessione di trattamento le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che rende indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. (I soggetti incaricati della custodia delle copie delle credenziali devono informare tempestivamente l’incaricato dell’intervento effettuato). Il salvataggio dei dati con frequenza almeno settimanale

Associazione Industriale Bresciana 24 giugno 2004 Ulteriori obblighi: Adozione di programmi anti-virus ed anti-intrusione, con obbligo di aggiornamento periodico. Aggiornamento dei programmi per elaboratore volti a prevenire la vulnerabilità degli strumenti elettronici ed a correggere i difetti. Salvataggio dei dati con cadenza almeno settimanale (nel caso di trattamento di dati sensibili o giudiziari, deve essere garantito, oltre al salvataggio, il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a 7 giorni).

Associazione Industriale Bresciana 24 giugno 2004 Dati sensibili o giudiziari: ulteriori misure Protezione contro l’accesso abusivo mediante l’utilizzo di idonei strumenti elettronici Istruzioni per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati per evitare accessi non autorizzati e trattamenti non consentiti Distruzione o inutilizzabilità di supporti rimovibili in caso di non utilizzo (salvo che i dati non siano “ricostruibili”)

Associazione Industriale Bresciana 24 giugno 2004 MISURE DI TUTELA E GARANZIA Il titolare che adotta le misure minime avvalendosi di soggetti esterni deve ottenere dall’installatore una dichiarazione scritta dell’intervento effettuato che ne attesti la conformità alle disposizioni del Disciplinare Il titolare deve riferire dell’avvenuta redazione o aggiornamento del d.p.s. nella relazione di accompagnatoria del bilancio, se dovuta

Associazione Industriale Bresciana 24 giugno 2004 DOCUMENTO PROGRAMMATICO PER LA SICUREZZA Rientra tra le misure minime di sicurezza (Art. 34, lett. g)) ed è riferito ai trattamenti effettuati con strumenti elettronici; Il contenuto è stabilito dalla regola 19 del Disciplinare Tecnico (All. B al Codice); Va redatto/aggiornato entro il 31 marzo di ogni anno; per l’anno 2004, va redatto entro il 31 dicembre 2004; E’ necessario riferire della redazione/aggiornamento del DPS nella relazione accompagnatoria del bilancio d’esercizio, se dovuta; Non va inviato al Garante, bensì conservato presso la struttura aziendale ed esibito in caso di controllo.

Associazione Industriale Bresciana 24 giugno 2004 RUOLO DEL DPS Definizione ed indirizzo delle politiche di sicurezza e di protezione dei dati personali dell’Azienda. Esplicitazione delle misure di sicurezza adottate e di quelle da adottare per garantire un adeguato livello di protezione per i dati personali trattati dal titolare. E’ misura minima di sicurezza per i dati sensibili e giudiziari trattati con l’ausilio di strumenti elettronici. E’ tuttavia opportuno adottare oltre alle misure “minime”, anche le misure “idonee”, in osservanza dell’art. 31 al fine di ridurre al minimo i rischi gravanti sui dati personali.

Associazione Industriale Bresciana 24 giugno 2004 GUIDA OPERATIVA MESSA A DISPOSIZIONE DALL’AUTORITA’ GARANTE sul sito Ha finalità di facilitare l’adempimento delle organizzazioni di medie e piccole dimensioni Fornisce indicazioni sui contenuti del DPS e sulle modalità di redazione Ha carattere facoltativo, e può essere impiegata (anche solo parzialmente) per la redazione del DPS L’unica condizione da osservare nella stesura del DPS è che contenga tutte le informazioni richieste dalla regola 19 del Codice

Associazione Industriale Bresciana 24 giugno 2004 CRITERI DI REDAZIONE DEL DPS di carattere generale Descrizione del sistema informatico, presente in Azienda, nelle sue componenti hardware e software e definizione dell’elenco dei trattamenti dei dati personali effettuati regola 19.1 Distribuzione di compiti e responsabilità nell’ambito della struttura aziendale regola 19.2 Analisi dei rischi che incombono sui dati Individuazione delle opportune misure (già adottate e da adottare) per la predisposizione di un idoneo sistema di sicurezza

Associazione Industriale Bresciana 24 giugno 2004 E’ possibile utilizzare alcune tabelle, anche avvalendosi di quelle predisposte dal Garante. E’ possibile, inoltre, in altri punti sviluppare il documento in via discorsiva, anche rinviando a documenti ulteriori (da allegare) che contengono le informazioni richieste dal disciplinare tecnico

Associazione Industriale Bresciana 24 giugno 2004 Nello specifico…... Elenco dei trattamenti dei dati personali (regola 19.1) Censimento dei trattamenti di dati personali presenti in Azienda finalizzato alla redazione di un elenco da inserire nel DPS. Poiché il livello delle misure di sicurezza idonee da predisporre varia in relazione alla tipologia dei dati (comuni, giudiziari, sensibili), nell’effettuare il censimento è necessario specificare la natura dei dati trattati. Il Garante che chiarito che il DPS è misura minima di sicurezza solo per il trattamento di dati sensibili o giudiziari mediante strumenti elettronici. Tuttavia, essendo necessario predisporre tutte le misure idonee per ridurre al minimo i rischi gravanti sui dati, è opportuno indicare gli ulteriori trattamenti di dati personali, in modo particolare di quelli intrensicamente collegati a dati sensibili o giudiziari.

Associazione Industriale Bresciana 24 giugno 2004 Il livello di sintesi delle informazioni inserite nel DPS può essere descrizione precisa delle informazioni relative ai dati sensibili e giudiziari possibile un dettaglio minore per le informazioni relative alle altre categorie di trattamenti Per ogni categoria di trattamento censita individuare le modalità specifiche del trattamento le tipologie dei dati considerati determinato dal titolare L’elenco può in concreto essere compilato facendo riferimento a: - categorie di dati (definite, ad es., attraverso macro categorie di interessati) - modalità di trattamento, opportunamente accorpate (es.: raccolta e registrazione, consultazione, selezione ed elaborazione, utilizzazione, ecc.)

Associazione Industriale Bresciana 24 giugno 2004 DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ Regola 19.2 * Individuazione delle classi d’incarico, ad esempio suddividendo gli incaricati in base all’area funzionale di riferimento (amministrazione e contabilità, gestione risorse umane, area commerciale, logistica, ecc.) * Menzione di eventuali Responsabili, se designati, e specificazione dei relativi compiti. A questo riguardo è possibile fare riferimento ad altri documenti che contengono queste informazioni, se esistenti (es. manuali organizzativi presenti in Azienda, ordini di servizio, circolari, ecc.). Consiglio Includere le nomine di responsabili e le designazioni degli incaricati e di altri soggetti che, a vario titolo, svolgono una funzione peculiare nella struttura (ad es. il custode delle credenziali per l’accesso)

Associazione Industriale Bresciana 24 giugno 2004 L’ANALISI DEI RISCHI CHE INCOMBONO SUI DATI Regola 19.3 Il Codice impone al titolare di ridurre al minimo i rischi di: * distruzione o perdita, anche accidentale, dei dati * accesso non autorizzato * trattamento non consentito o non conforme alle finalità della raccolta Alcune categorie possibili * danneggiamento e/o sottrazione delle strutture di hardware * danneggiamento (doloso, colposo o accidentale) del server, del software e dei dati contenuti al loro interno * conseguenze negative di ogni tipo derivanti da accessi non autorizzati (di soggetti con profilo diverso di autorizzazione o di altri soggetti esterni alla struttura).

Associazione Industriale Bresciana 24 giugno 2004 * distruzione, alterazione, diffusione, e/o comunicazione non autorizzata dei dati, anche di quelli meramente personali * La tabella 3 della Guida operativa proposta dal Garante fornisce una lista di eventi potenzialmente dannosi per la sicurezza dei dati riferendoli a tre categorie principali: 1) comportamenti degli operatori 2) eventi relativi agli strumenti 3) eventi relativi al contesto fisico d’ambiente Elenco esemplificativo, modificabile in relazione alle peculiarità del caso di specie Le valutazioni della stima della gravità dei rischi possono essere espresse con parametri generali (alto-medio-basso)

Associazione Industriale Bresciana 24 giugno 2004 Misure in essere e da adottare:regola 19.4 Individuazione delle misure per garantire l’integrità dei dati la loro disponibilità la protezione delle strutture in cui i dati vengono custoditi e mediante le quali si accede agli stessi delle modalità con cui le misure minime vengono realizzate nelle realtà organizzative dell’Impresa Le misure minime per il trattamento effettuato con strumenti informatici: * credenziali di autenticazione e modalità di gestione delle stesse; * sistema di autorizzazione, ove per gli incaricati siano stati individuati profili di autorizzazione d’ambito diverso, definendo i profili per classi e mantenendoli aggiornati; * regole relative all’impiego e all’aggiornamento di programmi antivirus, di programmi antidistruzione e degli aggiornamenti/upgrade di programmi; *l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.

Associazione Industriale Bresciana 24 giugno 2004 Protezione delle aree e dei locali I criteri sono vari e vanno individuati a seconda della strumentazione posseduta e delle circostanze presenti nel caso concreto. Opportune misure per assicurare la protezione fisica e logica: * del server (protezione dei locali, previsione di procedure di accesso, sistemi di allarme e dispositivi antincendio, servizi di vigilanza, ecc.) * delle strutture di rete (sistemi di firewall, procedure specifiche per chi accede alle infrastrutture, ecc.); * dei singoli elaboratori situati negli uffici e negli altri locali dell’Azienda (protezione del sistema operativo e dei programmi applicativi, installazione ed aggiornamento dei programmi antivirus, allarmi antifurto, sistemi di vigilanza, gruppi di continuità, ecc).

Associazione Industriale Bresciana 24 giugno 2004 Criteri e modalità di ripristino della disponibilità dei dati regola 19.5 Sintetica descrizione (anche elaborata in forma descrittiva) delle procedure adottate per il ripristino dei dati in caso di perdita o danneggiamento in conformità alle disposizioni del disciplinare tecnico. La regola 23 del disciplinare impone, con esclusivo riferimento ai dati sensibili o giudiziari, l’adozione di idonee misure per garantire l’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi compatibili con i diritti degli interessati e non superi sette giorni.

Associazione Industriale Bresciana 24 giugno 2004 Pianificazione degli interventi formativi: regola 19.6 Il disciplinare tecnico definisce in maniera specifica gli adempimenti sulla formazione degli incaricati, con riferimento a * periodicità - all’attribuzione dell’incarico - al cambiamento del profilo di autorizzazione - all’introduzione di nuovi strumenti, rilevanti rispetto al trattamento dei dati personali * contenuti - rischi che incombono sui dati - misure per la prevenzione degli eventi dannosi - profili della disciplina della protezione di dati personali rilevanti per l’attività svolta - profili di responsabilità - modalità per aggiornarsi sulle misure minime adottate dal titolare

Associazione Industriale Bresciana 24 giugno 2004 Nel DPS, pertanto, è necessario descrivere l’adozione di un piano formativo conforme al disciplinare: * individuazione dei potenziali destinatari degli interventi formativi * natura di tali interventi E’ possibile sviluppare le dettagliate indicazioni contenute nel disciplinare in via discorsiva. Il titolare può scegliere lo strumento di formazione più idoneo al caso concreto (corso di formazione in aula, e- learning, formazione erogata attraverso l’intranet aziendale, ecc.)

Associazione Industriale Bresciana 24 giugno 2004 Trattamenti affidati all’esterno: regola 19.7 Descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza nel caso in cui i trattamenti siano affidati all’esterno della struttura del titolare. La tabella n. 7 della Guida Operativa chiede: * descrizione sintetica dell’attività esternalizzata * trattamenti di dati interessati * soggetto esterno * descrizione dei criteri e degli impegni assunti per l’adozione delle misure Quanto ai criteri ed impegni si distingue a seconda che il soggetto esterno operi in qualità di Titolare autonomo Responsabile di trattamento

Associazione Industriale Bresciana 24 giugno 2004 A titolo esemplificativo: Se titolare autonomo, clausole che prevedono l’impegno a trattare i dati ricevuti unicamente per l’espletamento dell’incarico da svolgere l’adempimento degli obblighi previsti dal Codice in materia di protezione dei dati personali Se designato Responsabile, clausole che prevedono l’obbligo di rispettare le istruzioni specifiche ricevute per il trattamento dei dati personali, anche integrando le procedure già in essere l’impegno a relazionare periodicamente sulle misure di sicurezza adottate e ad informare il titolare del trattamento in caso di situazioni anomale o di emergenza