Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre 2004
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 2 Legge Delega n. 127/2001 Decreto Legislativo n.196 del 30 giugno 2003 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 3 Ultima data per mettersi in regola: 1 gennaio 2005 (fra quarantuno giorni)
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 4 Principi generali e Finalità della Legge Protezione della privacy riservatezza delle informazioni nel privato Sicurezza dei dati correttezza negli enti e nelle aziende Tutela dei diritti fondamentali i diritti fondamentali del cittadino nei rapporti sociali
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 5 Principi generali e Finalità della Legge: Dignità riservatezza, identità personale e diritto alla protezione dei dati personali (metodologie invasive) Necessità utilizzazione minima dei dati personali e identificativi (limiti e moderazione nella schedatura) Pertinenza e proporzionalità proporzione tra fini e mezzi impiegati (soluzioni biometriche)
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 6 Principi generali e Finalità della Legge: Valutazione di impatto Privacy
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 7 dati personali informazioni relative a persona fisica, giuridica, ente o associazione, identificati o identificabili anche indirettamente mediante riferimenti, ivi compreso un codice personale dati identificativi i dati personali che permettono lidentificazione diretta dellinteressato dati sensibili i dati personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, associazioni, organizzazioni a carattere religioso, stato di salute, vita sessuale dati giudiziari i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt.60 e 61 del codice di procedura penale
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 8 Elenco fornitori Curriculum Vitae Matricole dipendenti Certificati medici Fatture clienti Fatture fornitori Liste di distribuzione marketing Cedolini paga (ritenute sindacali, ecc.) Nominativi personale dipendente Elenco clienti Particolari regimi alimentari delle mense Corrispondenza Dati Sensibili Dati Personali ESEMPI DI DATI PERSONALI E SENSIBILI Convinzioni religiose, tendenze politiche, razza di appartenenza, comportamento sessuale, notizie su stato di salute e su carichi giudiziari Anagrafe della cittadinanza
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 9 LE MISURE DI SICUREZZA RISCHI RELATIVI ALLA SICUREZZA DEI DATI La sicurezza nel trattamento dei dati si caratterizza nella salvaguardia di tre parametri fondamentali delle informazioni: Riservatezza Integrità Disponibilità Garantire che i dati siano protetti da accessi non autorizzati Garantire che i dati siano aggiornati ed integri Garantire che i dati siano disponibili agli utenti autorizzati
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 10 IL CONSENSO DEGLI INTERESSATI (ART. 23 DEL CODICE) Il trattamento di dati personali è ammesso soltanto con il consenso espresso dellinteressato Il consenso è validamente prestato soltanto se è espresso liberamente e documentato per iscritto Il consenso è valido soltanto se è stata resa linformativa Il consenso scritto è necessario se il trattamento riguarda dati sensibil
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 11 RAPPORTI CON GLI INTERESSATI Informazioni all'interessato: –predisposizione della modulistica; –informativa al momento della raccolta; –informativa al momento della comunicazione/diffusione. Raccolta del consenso: –predisposizione della modulistica; –raccolta del consenso ad inizio trattamento; –raccolta del consenso per trattamento dati sensibili; –raccolta del consenso per comunicazione/diffusione;
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 12 Gli Enti e le Aziende debbono darsi una struttura organizzativa e una disciplina di comportamento conformi alle disposizioni della legge. Deve essere compiuta unattività di analisi e revisione dellorganizzazione di ciascun reparto, delle modalità di custodia e di gestione dei dati, delle credenziali di accesso e di intervento da parte degli addetti, delle procedure di sicurezza e di ripristino per le banche dati Il risultato del processo di revisione e di riorganizzazione deve costituire il contenuto del DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 13 DPS: il contenuto
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 14 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 15 Elenco dei trattamenti descrizione sintetica delle finalità perseguite e delle attività svolte, delle categorie di persone interessate; natura dei dati trattati; strutture e reparti di riferimento; strumenti elettronici utilizzati
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 16 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 17 Organigramma dei Compiti e delle Responsabilità distribuzione delle responsabilità a partire dal Titolare designazione dei responsabili e degli incaricati lettere di designazione
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 18 I SOGGETTI DEL TRATTAMENTO Titolare Responsabile BResponsabile A Incaricato Interessato Incaricato Interessato
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 19 In unAzienda il responsabile della Sicurezza - a tutti gli effetti amministrativi e penali - è il Titolare Nei Comuni il Titolare per il trattamento dei Dati Personali è il Sindaco
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 20 Se il Titolare non distribuisce le responsabilità con le lettere di designazione si assume la piena e totale responsabilità personale di qualsiasi infrazione alla legge
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 21 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 22 Struttura delle Sedi, degli Accessi, dellEDP distribuzione dei dati personali nelle diverse sedi descrizione dettagliata delle caratteristiche di sicurezza di ciascuna sede, dotazioni e sistemi di protezione, modalità di accesso, responsabili delle sedi e dei locali; censimento dei PC e delle applicazioni, dei Sistemi Operativi, degli Utenti autorizzati, del responsabile della custodia delle credenziali, dei Tool di Sicurezza e Protezione installati, della gestione degli ambienti di Protezione, dei Sistemi Operativi, delle Applicazioni; elencazione e descrizione delle Banche dati, delle caratteristiche di accesso a ciascuna di esse, degli autorizzati allaccesso, alla lettura, alla modifica, allinserimento e alle cancellazioni; gestione e struttura delle password modalità di backup; responsabili di backup; responsabili della custodia delle copie di backup
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 23 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 24 Analisi dei Rischi elenco dei possibili eventi di rischio comportamento degli operatori: sottrazione di credenziali; incuria; comportamenti fraudolenti; errori materiali eventi addebitabili agli strumenti; virus, worms, trojans; spamming; malfunzionamenti e guasti; accessi esterni; intercettazioni in rete eventi addebitabili al contesto fisico-ambientale; valutazione degli impatti
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 25 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 26 Misure in Essere e da Adottare descrizione sintetica delle misure adottate per ciascuna misura indicazione sintetica dei rischi che si intende contrastare indicazione dei trattamenti interessati per ciascuna delle misure adottate struttura o persone preposte alladozione delle misure indicate tempi o periodi di validità delle misure poste in essere
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 27 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 28 Modalità di Salvataggio e Ripristino indicazione delle Banche Dati o Archivi interessati al ripristino; descrizione sintetica dei criteri e delle procedure adottate per il salvataggio e il ripristino dei dati, con rinvio a documentazioni di maggior dettaglio operativo; indicazione dei tempi previsti per leffettuazione di test di efficacia delle procedure di salvataggio adottate; modalità di custodia delle copie di backup; strutture o persone incaricate delle procedure
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 29 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 30 Interventi di Formazione pianificazione e descrizione sintetica degli eventi formativi (in corrispondenza allingresso in servizio, al cambiamento di mansione, introduzione di elaboratori e di procedure informatiche; individuazione delle classi omogenee di incarico a cui gli interventi formativi sono destinati, anche in riferimento alle strutture di appartenenza; indicazione del calendario degli eventi formativi
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 31 Elenco dei trattamenti Organigramma dei Compiti e Responsabilità Struttura delle Sedi, degli Accessi, dellEDP Analisi dei Rischi Misure in essere e da adottare Modalità di salvataggio e ripristino Interventi di formazione Trattamenti affidati allesterno
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 32 Trattamenti affidati allesterno descrizione dellattività esternalizzata (out-sourcing) indicazione dei trattamenti di dati sensibili o giudiziari interessatinellambito della attività affidata allesterno; indicazione della società, ente o consulente cui è stata affidata lattività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento) a garanzia delladeguato trattamento dei dati è necessario che la società cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma impegni su base contrattuale circa le modalità e i limiti nel trattamento dei dati stessi.
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 33 DPS: aggiornamento controllo generale periodico sullo stato della sicurezza
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 34 iter delle attività per la realizzazione del DPS
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 35 LE SANZIONI Reclusione da tre mesi a due anniArt. 170 Inosservanza dei provvedimenti del Garante Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da a Art. 169 Omessa adozione delle misure minime di sicurezza Reclusione da 6 mesi a 3 anniArt. 168 Falsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni. Possibile estinguere il reato ex art. 169, pagando una somma di denaro se ci si regolarizza entro il termine prescritto (non + di 6 mesi) Art. 167 Trattamento illecito di dati personali Sanzioni PenaliILLECITI PENALI Sanzione da a Art. 164 Omessa informazione o esibizione dei documenti Sanzione da a Art. 163 Omessa o incompleta notificazione al Garante Sanzione da a o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza o di pregiudizio Art. 161 Omessa informativa per dati sensibili o giudiziari Sanzione da a Art. 161 Omessa o inidonea informativa Sanzioni AmministrativeILLECITI CIVILI
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 36 Misure Minime di Sicurezza (art. 34: trattamenti con strumenti elettronici) autenticazione informatica adozione di procedure di gestione delle credenziali di autenticazione utilizzazione di un sistema di autorizzazione aggiornamento periodico dellindividuazione nellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi tenuta di un aggiornato documento programmatico sulla sicurezza adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 37 Misure Minime di Sicurezza (art. 35: trattamenti senza lausilio di strumenti elettronici) aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati o alle unità organizzative; previsione di procedure per unidonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata allidentificazione degli incaricati
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 38 Ultima data per mettersi in regola: 1 gennaio 2005 (ormai fra quaranta giorni)