Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGilberta Lupo Modificato 8 anni fa
1
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion e dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati
2
Associazione Industriale Bresciana 24 giugno 2004 DISCIPLINARE TECNICO Istruzioni scritte agli incaricati finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e documenti contenenti dati personali. Gli atti e i documenti che contengono dati sensibili o giudiziari sono controllati e custoditi dagli incaricati ai quali sono affidati per operazioni di trattamento fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate Controllo dell’accesso agli archivi contenenti dati sensibili o giudiziari. Identificazione e registrazione delle persone ammesse, a qualunque titolo, dopo l’orario di chiusura. Se il controllo degli accessi non avviene con strumenti elettronici o tramite incaricati alla vigilanza, le persone che accedono agli archivi sono preventivamente autorizzate.
3
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI CON STRUMENTI ELETTRONICI IN GENERALE (ART. 34 DEL CODICE) Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nel rispetto del disciplinare, le seguenti misure: 1- Autenticazione informatica 2- Adozione di procedure di gestione delle credenziali di autenticazione 3- Utilizzazione di un sistema di autorizzazione 4- Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
4
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI CON STRUMENTI ELETTRONICI IN GENERALE (ART. 34 DEL CODICE) 5- Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici 6- Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi 7- Tenuta di un aggiornato documento programmato sulla sicurezza 8- Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessueale effettuati da organismi sanitari
5
Associazione Industriale Bresciana 24 giugno 2004 … In particolare (DISCIPLINARE TECNICO) (ALLEGATO B AL CODICE) Contiene una serie di disposizioni di attuazione dirette alla trasposizione dei precetti contenuti nell’art. 34 del codice in modalità operative. Sostituisce integralmente il “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali” contenuto del DPR 28 luglio 1999, n. 318.
6
Associazione Industriale Bresciana 24 giugno 2004 Individuazione e designazione degli incaricati (persone fisiche) Designazione scritta con puntuale individuazione dell’ambito del trattamento consentito nonchè delle “istruzioni” Necessità di aggiornare le lettere di incarico predisposte in vigenza del DPR n. 318/1999
7
Associazione Industriale Bresciana 24 giugno 2004 AUTORIZZAZIONE (seconda verifica, relativa alla possibilità che la stessa persona possa accedere all’applicazione per compiere una o più operazioni di trattamento) AUTENTICAZIONE (prima verifica, relativa all’identità della persona che intende accedere allo strumento) DOPPIO SISTEMA DI CONTROLLO
8
Associazione Industriale Bresciana 24 giugno 2004 SISTEMA DI AUTENTICAZIONE Il trattamento di dati personali è consentito agli incaricati dotati di credenziali di AUTENTICAZIONE che consentono il superamento di una procedura di autenticazione relativa ad uno specifico trattamento o a un insieme di trattamenti (le disposizioni sul sistema di autenticazione non si applicano ai trattamenti di dati destinati alla diffusione)
9
Associazione Industriale Bresciana 24 giugno 2004 CREDENZIALI DI AUTENTICAZIONE NOZIONE I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica si tratta di dati o dispositivi che permettono all’incaricato di dimostrare la propria identità, ovvero che consentono la verifica del fatto che l’incaricato sia colui che dichiara di essere
10
Associazione Industriale Bresciana 24 giugno 2004 Le credenziali di autenticazione consistono alternativamente in: 1- Un codice per l’identificazione dell’incaricato associato ad una parola chiave riservata conosciuta solamente dal medesimo 2- Altro dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato ad un codice identificativo o ad una parola chiave 3- Una caratteristica biometrica dell’incaricato, eventualmente associata ad un codice identificativo o ad una parola chiave Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. E’ necessario individuare preventivamente e per iscritto i soggetti incaricati della custodia delle copie delle credenziali.
11
Associazione Industriale Bresciana 24 giugno 2004 “ROBUSTEZZA” DELLA PASSWORD La parola chiave, qualora sia prevista dal sistema di autenticazione deve: Essere composta da almeno 8 caratteri (o, se lo strumento non lo permette, dal numero massimo di caratteri consentito) Non essere di facile decodificazione, e quindi non contenere riferimenti agevolmente riconducibili all’incaricato (nome, data nascita, ecc.) Essere modificata dall’incaricato al primo utilizzo, e, successivamente, almeno ogni 6 mesi (o almeno ogni 3 mesi in caso di trattamento di dati sensibili e giudiziari)
12
Associazione Industriale Bresciana 24 giugno 2004 Le credenziali per l’autenticazione Sono assegnate o associate individualmente ad ogni incaricato (può essere assegnata anche più di una credenziale) Se non utilizzate da almeno 6 mesi sono disattivate (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica) Sono disattivate in caso di perdita della qualità che consente all’incaricato l’accesso ai dati
13
Associazione Industriale Bresciana 24 giugno 2004 Sistema di AUTORIZZAZIONE Insieme di strumenti e procedure che abilitano l’accesso ai dati e alle modalità di trattamento, in funzione del “profilo di autorizzazione” (cioè dei confini entro i quali è consentita l’attività di trattamento) Un sistema di autorizzazione è utilizzato quando per gli incaricati sono individuati diversi profili di autorizzazione I profili di autorizzazione, per ogni incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento Verifica almeno annuale della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
14
Associazione Industriale Bresciana 24 giugno 2004 Istruzioni agli incaricati concernenti: L’adozione di tutte le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato l’obbligo di non lasciare incustodito ed accessibile lo strumento elettronico durante una sessione di trattamento le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che rende indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. (I soggetti incaricati della custodia delle copie delle credenziali devono informare tempestivamente l’incaricato dell’intervento effettuato). Il salvataggio dei dati con frequenza almeno settimanale
15
Associazione Industriale Bresciana 24 giugno 2004 Ulteriori obblighi: Adozione di programmi anti-virus ed anti-intrusione, con obbligo di aggiornamento periodico. Aggiornamento dei programmi per elaboratore volti a prevenire la vulnerabilità degli strumenti elettronici ed a correggere i difetti. Salvataggio dei dati con cadenza almeno settimanale (nel caso di trattamento di dati sensibili o giudiziari, deve essere garantito, oltre al salvataggio, il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a 7 giorni).
16
Associazione Industriale Bresciana 24 giugno 2004 Dati sensibili o giudiziari: ulteriori misure Protezione contro l’accesso abusivo mediante l’utilizzo di idonei strumenti elettronici Istruzioni per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati per evitare accessi non autorizzati e trattamenti non consentiti Distruzione o inutilizzabilità di supporti rimovibili in caso di non utilizzo (salvo che i dati non siano “ricostruibili”)
17
Associazione Industriale Bresciana 24 giugno 2004 MISURE DI TUTELA E GARANZIA Il titolare che adotta le misure minime avvalendosi di soggetti esterni deve ottenere dall’installatore una dichiarazione scritta dell’intervento effettuato che ne attesti la conformità alle disposizioni del Disciplinare Il titolare deve riferire dell’avvenuta redazione o aggiornamento del d.p.s. nella relazione di accompagnatoria del bilancio, se dovuta
18
Associazione Industriale Bresciana 24 giugno 2004 DOCUMENTO PROGRAMMATICO PER LA SICUREZZA Rientra tra le misure minime di sicurezza (Art. 34, lett. g)) ed è riferito ai trattamenti effettuati con strumenti elettronici; Il contenuto è stabilito dalla regola 19 del Disciplinare Tecnico (All. B al Codice); Va redatto/aggiornato entro il 31 marzo di ogni anno; per l’anno 2004, va redatto entro il 31 dicembre 2004; E’ necessario riferire della redazione/aggiornamento del DPS nella relazione accompagnatoria del bilancio d’esercizio, se dovuta; Non va inviato al Garante, bensì conservato presso la struttura aziendale ed esibito in caso di controllo.
19
Associazione Industriale Bresciana 24 giugno 2004 RUOLO DEL DPS Definizione ed indirizzo delle politiche di sicurezza e di protezione dei dati personali dell’Azienda. Esplicitazione delle misure di sicurezza adottate e di quelle da adottare per garantire un adeguato livello di protezione per i dati personali trattati dal titolare. E’ misura minima di sicurezza per i dati sensibili e giudiziari trattati con l’ausilio di strumenti elettronici. E’ tuttavia opportuno adottare oltre alle misure “minime”, anche le misure “idonee”, in osservanza dell’art. 31 al fine di ridurre al minimo i rischi gravanti sui dati personali.
20
Associazione Industriale Bresciana 24 giugno 2004 GUIDA OPERATIVA MESSA A DISPOSIZIONE DALL’AUTORITA’ GARANTE sul sito www.garanteprivacy.it Ha finalità di facilitare l’adempimento delle organizzazioni di medie e piccole dimensioni Fornisce indicazioni sui contenuti del DPS e sulle modalità di redazione Ha carattere facoltativo, e può essere impiegata (anche solo parzialmente) per la redazione del DPS L’unica condizione da osservare nella stesura del DPS è che contenga tutte le informazioni richieste dalla regola 19 del Codice
21
Associazione Industriale Bresciana 24 giugno 2004 CRITERI DI REDAZIONE DEL DPS di carattere generale Descrizione del sistema informatico, presente in Azienda, nelle sue componenti hardware e software e definizione dell’elenco dei trattamenti dei dati personali effettuati regola 19.1 Distribuzione di compiti e responsabilità nell’ambito della struttura aziendale regola 19.2 Analisi dei rischi che incombono sui dati Individuazione delle opportune misure (già adottate e da adottare) per la predisposizione di un idoneo sistema di sicurezza
22
Associazione Industriale Bresciana 24 giugno 2004 E’ possibile utilizzare alcune tabelle, anche avvalendosi di quelle predisposte dal Garante. E’ possibile, inoltre, in altri punti sviluppare il documento in via discorsiva, anche rinviando a documenti ulteriori (da allegare) che contengono le informazioni richieste dal disciplinare tecnico
23
Associazione Industriale Bresciana 24 giugno 2004 Nello specifico…... Elenco dei trattamenti dei dati personali (regola 19.1) Censimento dei trattamenti di dati personali presenti in Azienda finalizzato alla redazione di un elenco da inserire nel DPS. Poiché il livello delle misure di sicurezza idonee da predisporre varia in relazione alla tipologia dei dati (comuni, giudiziari, sensibili), nell’effettuare il censimento è necessario specificare la natura dei dati trattati. Il Garante che chiarito che il DPS è misura minima di sicurezza solo per il trattamento di dati sensibili o giudiziari mediante strumenti elettronici. Tuttavia, essendo necessario predisporre tutte le misure idonee per ridurre al minimo i rischi gravanti sui dati, è opportuno indicare gli ulteriori trattamenti di dati personali, in modo particolare di quelli intrensicamente collegati a dati sensibili o giudiziari.
24
Associazione Industriale Bresciana 24 giugno 2004 Il livello di sintesi delle informazioni inserite nel DPS può essere descrizione precisa delle informazioni relative ai dati sensibili e giudiziari possibile un dettaglio minore per le informazioni relative alle altre categorie di trattamenti Per ogni categoria di trattamento censita individuare le modalità specifiche del trattamento le tipologie dei dati considerati determinato dal titolare L’elenco può in concreto essere compilato facendo riferimento a: - categorie di dati (definite, ad es., attraverso macro categorie di interessati) - modalità di trattamento, opportunamente accorpate (es.: raccolta e registrazione, consultazione, selezione ed elaborazione, utilizzazione, ecc.)
25
Associazione Industriale Bresciana 24 giugno 2004 DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ Regola 19.2 * Individuazione delle classi d’incarico, ad esempio suddividendo gli incaricati in base all’area funzionale di riferimento (amministrazione e contabilità, gestione risorse umane, area commerciale, logistica, ecc.) * Menzione di eventuali Responsabili, se designati, e specificazione dei relativi compiti. A questo riguardo è possibile fare riferimento ad altri documenti che contengono queste informazioni, se esistenti (es. manuali organizzativi presenti in Azienda, ordini di servizio, circolari, ecc.). Consiglio Includere le nomine di responsabili e le designazioni degli incaricati e di altri soggetti che, a vario titolo, svolgono una funzione peculiare nella struttura (ad es. il custode delle credenziali per l’accesso)
26
Associazione Industriale Bresciana 24 giugno 2004 L’ANALISI DEI RISCHI CHE INCOMBONO SUI DATI Regola 19.3 Il Codice impone al titolare di ridurre al minimo i rischi di: * distruzione o perdita, anche accidentale, dei dati * accesso non autorizzato * trattamento non consentito o non conforme alle finalità della raccolta Alcune categorie possibili * danneggiamento e/o sottrazione delle strutture di hardware * danneggiamento (doloso, colposo o accidentale) del server, del software e dei dati contenuti al loro interno * conseguenze negative di ogni tipo derivanti da accessi non autorizzati (di soggetti con profilo diverso di autorizzazione o di altri soggetti esterni alla struttura).
27
Associazione Industriale Bresciana 24 giugno 2004 * distruzione, alterazione, diffusione, e/o comunicazione non autorizzata dei dati, anche di quelli meramente personali * La tabella 3 della Guida operativa proposta dal Garante fornisce una lista di eventi potenzialmente dannosi per la sicurezza dei dati riferendoli a tre categorie principali: 1) comportamenti degli operatori 2) eventi relativi agli strumenti 3) eventi relativi al contesto fisico d’ambiente Elenco esemplificativo, modificabile in relazione alle peculiarità del caso di specie Le valutazioni della stima della gravità dei rischi possono essere espresse con parametri generali (alto-medio-basso)
28
Associazione Industriale Bresciana 24 giugno 2004 Misure in essere e da adottare:regola 19.4 Individuazione delle misure per garantire l’integrità dei dati la loro disponibilità la protezione delle strutture in cui i dati vengono custoditi e mediante le quali si accede agli stessi delle modalità con cui le misure minime vengono realizzate nelle realtà organizzative dell’Impresa Le misure minime per il trattamento effettuato con strumenti informatici: * credenziali di autenticazione e modalità di gestione delle stesse; * sistema di autorizzazione, ove per gli incaricati siano stati individuati profili di autorizzazione d’ambito diverso, definendo i profili per classi e mantenendoli aggiornati; * regole relative all’impiego e all’aggiornamento di programmi antivirus, di programmi antidistruzione e degli aggiornamenti/upgrade di programmi; *l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
29
Associazione Industriale Bresciana 24 giugno 2004 Protezione delle aree e dei locali I criteri sono vari e vanno individuati a seconda della strumentazione posseduta e delle circostanze presenti nel caso concreto. Opportune misure per assicurare la protezione fisica e logica: * del server (protezione dei locali, previsione di procedure di accesso, sistemi di allarme e dispositivi antincendio, servizi di vigilanza, ecc.) * delle strutture di rete (sistemi di firewall, procedure specifiche per chi accede alle infrastrutture, ecc.); * dei singoli elaboratori situati negli uffici e negli altri locali dell’Azienda (protezione del sistema operativo e dei programmi applicativi, installazione ed aggiornamento dei programmi antivirus, allarmi antifurto, sistemi di vigilanza, gruppi di continuità, ecc).
30
Associazione Industriale Bresciana 24 giugno 2004 Criteri e modalità di ripristino della disponibilità dei dati regola 19.5 Sintetica descrizione (anche elaborata in forma descrittiva) delle procedure adottate per il ripristino dei dati in caso di perdita o danneggiamento in conformità alle disposizioni del disciplinare tecnico. La regola 23 del disciplinare impone, con esclusivo riferimento ai dati sensibili o giudiziari, l’adozione di idonee misure per garantire l’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi compatibili con i diritti degli interessati e non superi sette giorni.
31
Associazione Industriale Bresciana 24 giugno 2004 Pianificazione degli interventi formativi: regola 19.6 Il disciplinare tecnico definisce in maniera specifica gli adempimenti sulla formazione degli incaricati, con riferimento a * periodicità - all’attribuzione dell’incarico - al cambiamento del profilo di autorizzazione - all’introduzione di nuovi strumenti, rilevanti rispetto al trattamento dei dati personali * contenuti - rischi che incombono sui dati - misure per la prevenzione degli eventi dannosi - profili della disciplina della protezione di dati personali rilevanti per l’attività svolta - profili di responsabilità - modalità per aggiornarsi sulle misure minime adottate dal titolare
32
Associazione Industriale Bresciana 24 giugno 2004 Nel DPS, pertanto, è necessario descrivere l’adozione di un piano formativo conforme al disciplinare: * individuazione dei potenziali destinatari degli interventi formativi * natura di tali interventi E’ possibile sviluppare le dettagliate indicazioni contenute nel disciplinare in via discorsiva. Il titolare può scegliere lo strumento di formazione più idoneo al caso concreto (corso di formazione in aula, e- learning, formazione erogata attraverso l’intranet aziendale, ecc.)
33
Associazione Industriale Bresciana 24 giugno 2004 Trattamenti affidati all’esterno: regola 19.7 Descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza nel caso in cui i trattamenti siano affidati all’esterno della struttura del titolare. La tabella n. 7 della Guida Operativa chiede: * descrizione sintetica dell’attività esternalizzata * trattamenti di dati interessati * soggetto esterno * descrizione dei criteri e degli impegni assunti per l’adozione delle misure Quanto ai criteri ed impegni si distingue a seconda che il soggetto esterno operi in qualità di Titolare autonomo Responsabile di trattamento
34
Associazione Industriale Bresciana 24 giugno 2004 A titolo esemplificativo: Se titolare autonomo, clausole che prevedono l’impegno a trattare i dati ricevuti unicamente per l’espletamento dell’incarico da svolgere l’adempimento degli obblighi previsti dal Codice in materia di protezione dei dati personali Se designato Responsabile, clausole che prevedono l’obbligo di rispettare le istruzioni specifiche ricevute per il trattamento dei dati personali, anche integrando le procedure già in essere l’impegno a relazionare periodicamente sulle misure di sicurezza adottate e ad informare il titolare del trattamento in caso di situazioni anomale o di emergenza
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.