Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.

Slides:



Advertisements
Presentazioni simili
Il Codice della Privacy (D.Lgs. 196/2003) e le Associazioni Sportive
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.
1 DECRETO LEGISLATIVO 626/94 19 SETTEMBRE 1994 MODIFICHE ED INTEGRAZIONI DECRETO LEGISLATIVO 242/96 19 MARZO 1996 CORSO DI FORMAZIONE ED INFORMAZIONE IN.
Privacy e nuove tecnologie Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Anno Accademico 2010/2011 Ignazio Zangara.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Confindustria Genova Workshop 31 gennaio 2008 Privacy e fisco Avv. Roberto Falcone.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
La sicurezza dei dati e la loro gestione.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riproduzione riservata
2 3 4 RISERVATEZZA INTEGRITA DISPONIBILITA 5 6.
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
Il nuovo Codice in materia di protezione dei dati personali.
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
La tutela dei dati personali
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
A cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Il Codice della Privacy Sintesi normativa e cenni applicativi a cura di Malfarà Sacchini.
L’INFORMATIVA E CONSENSO PRIVACY NELL’ORDINAMENTO SCOLASTICO
Per la gestione dei dati personali: Per la gestione dei dati personali:
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
Razionalizzazione delle
IL CODICE DELLA PRIVACY
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Codice della Privacy e sanzioni
Nozioni basilari in materia di Privacy
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
I dati Personali Sono Persona Fisica Privati I dati Personali
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Riservatezza del minore Convenzione O.N.U. sui diritti del bambino 1989 Carta di Treviso 25 novembre 1995 Ordine nazionale giornalisti/federazione nazionale.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
R:\2.Scambio\Normativa_Privacy
IL GIOCO DEL PORTIERE CASISTICA. Caso n. 1 Il portiere nella seguente azione NON commette infrazioni.
Rivacy QUALITA’ EFFICIENZA EFFICACIA SICUREZZA PROFESSIONALITA’ ESPERIENZA D.Lgs. 196/03 La nostra esprienza al vostro servizio Premere INVIO per andare.
Le associazioni possono costituirsi:
D.Lgs 196/03: Tutela della privacy
La diffusione sul web di dati personali e la privacy negli enti locali Relatore Gianni Festi 1.
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
Protezione dei dati personali: Soggetti, compiti e responsabilità 15° Censimento generale della popolazione e delle abitazioni Formazione UCC Prefettura.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre 2004

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 2 Legge Delega n. 127/2001 Decreto Legislativo n.196 del 30 giugno 2003 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 3 Ultima data per mettersi in regola: 1 gennaio 2005 (fra quarantuno giorni)

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 4 Principi generali e Finalità della Legge Protezione della privacy riservatezza delle informazioni nel privato Sicurezza dei dati correttezza negli enti e nelle aziende Tutela dei diritti fondamentali i diritti fondamentali del cittadino nei rapporti sociali

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 5 Principi generali e Finalità della Legge: Dignità riservatezza, identità personale e diritto alla protezione dei dati personali (metodologie invasive) Necessità utilizzazione minima dei dati personali e identificativi (limiti e moderazione nella schedatura) Pertinenza e proporzionalità proporzione tra fini e mezzi impiegati (soluzioni biometriche)

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 6 Principi generali e Finalità della Legge: Valutazione di impatto Privacy

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 7 dati personali informazioni relative a persona fisica, giuridica, ente o associazione, identificati o identificabili anche indirettamente mediante riferimenti, ivi compreso un codice personale dati identificativi i dati personali che permettono lidentificazione diretta dellinteressato dati sensibili i dati personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, associazioni, organizzazioni a carattere religioso, stato di salute, vita sessuale dati giudiziari i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt.60 e 61 del codice di procedura penale

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 8 Elenco fornitori Curriculum Vitae Matricole dipendenti Certificati medici Fatture clienti Fatture fornitori Liste di distribuzione marketing Cedolini paga (ritenute sindacali, ecc.) Nominativi personale dipendente Elenco clienti Particolari regimi alimentari delle mense Corrispondenza Dati Sensibili Dati Personali ESEMPI DI DATI PERSONALI E SENSIBILI Convinzioni religiose, tendenze politiche, razza di appartenenza, comportamento sessuale, notizie su stato di salute e su carichi giudiziari Anagrafe della cittadinanza

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 9 LE MISURE DI SICUREZZA RISCHI RELATIVI ALLA SICUREZZA DEI DATI La sicurezza nel trattamento dei dati si caratterizza nella salvaguardia di tre parametri fondamentali delle informazioni: Riservatezza Integrità Disponibilità Garantire che i dati siano protetti da accessi non autorizzati Garantire che i dati siano aggiornati ed integri Garantire che i dati siano disponibili agli utenti autorizzati

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 10 IL CONSENSO DEGLI INTERESSATI (ART. 23 DEL CODICE) Il trattamento di dati personali è ammesso soltanto con il consenso espresso dellinteressato Il consenso è validamente prestato soltanto se è espresso liberamente e documentato per iscritto Il consenso è valido soltanto se è stata resa linformativa Il consenso scritto è necessario se il trattamento riguarda dati sensibil

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 11 RAPPORTI CON GLI INTERESSATI Informazioni all'interessato: –predisposizione della modulistica; –informativa al momento della raccolta; –informativa al momento della comunicazione/diffusione. Raccolta del consenso: –predisposizione della modulistica; –raccolta del consenso ad inizio trattamento; –raccolta del consenso per trattamento dati sensibili; –raccolta del consenso per comunicazione/diffusione;

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 12 Gli Enti e le Aziende debbono darsi una struttura organizzativa e una disciplina di comportamento conformi alle disposizioni della legge. Deve essere compiuta unattività di analisi e revisione dellorganizzazione di ciascun reparto, delle modalità di custodia e di gestione dei dati, delle credenziali di accesso e di intervento da parte degli addetti, delle procedure di sicurezza e di ripristino per le banche dati Il risultato del processo di revisione e di riorganizzazione deve costituire il contenuto del DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 13 DPS: il contenuto

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 14 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 15 Elenco dei trattamenti descrizione sintetica delle finalità perseguite e delle attività svolte, delle categorie di persone interessate; natura dei dati trattati; strutture e reparti di riferimento; strumenti elettronici utilizzati

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 16 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 17 Organigramma dei Compiti e delle Responsabilità distribuzione delle responsabilità a partire dal Titolare designazione dei responsabili e degli incaricati lettere di designazione

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 18 I SOGGETTI DEL TRATTAMENTO Titolare Responsabile BResponsabile A Incaricato Interessato Incaricato Interessato

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 19 In unAzienda il responsabile della Sicurezza - a tutti gli effetti amministrativi e penali - è il Titolare Nei Comuni il Titolare per il trattamento dei Dati Personali è il Sindaco

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 20 Se il Titolare non distribuisce le responsabilità con le lettere di designazione si assume la piena e totale responsabilità personale di qualsiasi infrazione alla legge

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 21 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 22 Struttura delle Sedi, degli Accessi, dellEDP distribuzione dei dati personali nelle diverse sedi descrizione dettagliata delle caratteristiche di sicurezza di ciascuna sede, dotazioni e sistemi di protezione, modalità di accesso, responsabili delle sedi e dei locali; censimento dei PC e delle applicazioni, dei Sistemi Operativi, degli Utenti autorizzati, del responsabile della custodia delle credenziali, dei Tool di Sicurezza e Protezione installati, della gestione degli ambienti di Protezione, dei Sistemi Operativi, delle Applicazioni; elencazione e descrizione delle Banche dati, delle caratteristiche di accesso a ciascuna di esse, degli autorizzati allaccesso, alla lettura, alla modifica, allinserimento e alle cancellazioni; gestione e struttura delle password modalità di backup; responsabili di backup; responsabili della custodia delle copie di backup

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 23 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 24 Analisi dei Rischi elenco dei possibili eventi di rischio comportamento degli operatori: sottrazione di credenziali; incuria; comportamenti fraudolenti; errori materiali eventi addebitabili agli strumenti; virus, worms, trojans; spamming; malfunzionamenti e guasti; accessi esterni; intercettazioni in rete eventi addebitabili al contesto fisico-ambientale; valutazione degli impatti

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 25 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 26 Misure in Essere e da Adottare descrizione sintetica delle misure adottate per ciascuna misura indicazione sintetica dei rischi che si intende contrastare indicazione dei trattamenti interessati per ciascuna delle misure adottate struttura o persone preposte alladozione delle misure indicate tempi o periodi di validità delle misure poste in essere

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 27 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 28 Modalità di Salvataggio e Ripristino indicazione delle Banche Dati o Archivi interessati al ripristino; descrizione sintetica dei criteri e delle procedure adottate per il salvataggio e il ripristino dei dati, con rinvio a documentazioni di maggior dettaglio operativo; indicazione dei tempi previsti per leffettuazione di test di efficacia delle procedure di salvataggio adottate; modalità di custodia delle copie di backup; strutture o persone incaricate delle procedure

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 29 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 30 Interventi di Formazione pianificazione e descrizione sintetica degli eventi formativi (in corrispondenza allingresso in servizio, al cambiamento di mansione, introduzione di elaboratori e di procedure informatiche; individuazione delle classi omogenee di incarico a cui gli interventi formativi sono destinati, anche in riferimento alle strutture di appartenenza; indicazione del calendario degli eventi formativi

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 31 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 32 Trattamenti affidati allesterno descrizione dellattività esternalizzata (out-sourcing) indicazione dei trattamenti di dati sensibili o giudiziari interessatinellambito della attività affidata allesterno; indicazione della società, ente o consulente cui è stata affidata lattività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento) a garanzia delladeguato trattamento dei dati è necessario che la società cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma impegni su base contrattuale circa le modalità e i limiti nel trattamento dei dati stessi.

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 33 DPS: aggiornamento controllo generale periodico sullo stato della sicurezza

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 34 iter delle attività per la realizzazione del DPS

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 35 LE SANZIONI Reclusione da tre mesi a due anniArt. 170 Inosservanza dei provvedimenti del Garante Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da a Art. 169 Omessa adozione delle misure minime di sicurezza Reclusione da 6 mesi a 3 anniArt. 168 Falsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni. Possibile estinguere il reato ex art. 169, pagando una somma di denaro se ci si regolarizza entro il termine prescritto (non + di 6 mesi) Art. 167 Trattamento illecito di dati personali Sanzioni PenaliILLECITI PENALI Sanzione da a Art. 164 Omessa informazione o esibizione dei documenti Sanzione da a Art. 163 Omessa o incompleta notificazione al Garante Sanzione da a o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza o di pregiudizio Art. 161 Omessa informativa per dati sensibili o giudiziari Sanzione da a Art. 161 Omessa o inidonea informativa Sanzioni AmministrativeILLECITI CIVILI

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 36 Misure Minime di Sicurezza (art. 34: trattamenti con strumenti elettronici) autenticazione informatica adozione di procedure di gestione delle credenziali di autenticazione utilizzazione di un sistema di autorizzazione aggiornamento periodico dellindividuazione nellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi tenuta di un aggiornato documento programmatico sulla sicurezza adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 37 Misure Minime di Sicurezza (art. 35: trattamenti senza lausilio di strumenti elettronici) aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati o alle unità organizzative; previsione di procedure per unidonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata allidentificazione degli incaricati

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 38 Ultima data per mettersi in regola: 1 gennaio 2005 (ormai fra quaranta giorni)