Check list dei controlli periodici, che attuano l attività di vigilanza ex decreto legislativo n. 196/2003, articolo 29, comma 5

Transcript

1 Check list dei controlli periodici, che attuano l attività di vigilanza ex decreto legislativo n. 196/2003, articolo 29, comma 5 Edizione Data Chk App Tipo di revisione I Emissione I Revisione Inseriti controlli su impianti di video sorveglianza II Revisione Inseriti controlli su aggiornamento notificazione, su documento programmatico, su ispezioni del Garante e su archivi dei visitatori III revisione Aggiornato elenco sulla base delle indicazioni del codice della privacy d.lgs. 196/2003 Adalberto Biasiotti Nota bene: Questo documento è stato emesso a cura di ed approvato dal titolare Dell'aggiornamento di questo documento è responsabile 1

2 Sommario 1 Controlli generali Controlli afferenti al diritto di accesso (art. 7 e segg.) Controlli afferenti alla informativa (art. 13) ed alla raccolta del consenso (art. 23) Controlli afferenti ai responsabili (art. 28) ed agli incaricati (art.30) I rapporti con i responsabili esterni Controlli afferenti alla sicurezza del trattamento (art. 33 e segg.) Controlli afferenti alla notificazione (art. 37 e segg.) Controlli sul trasferimento di dati all'estero (articolo 42 e seguenti) Controlli sulla cessazione del trattamento (art.16) Controlli generali afferenti alla protezione fisica dei dati Controlli afferenti alla protezione logica dei dati Sistema di autenticazione informatica Sistema di autorizzazione Misure di aggiornamento dei programmi, antivirus ed anti intrusione Dati originali, salvataggio e custodia delle copie di rispetto Documento programmatico sulla sicurezza Strumentazione di sicurezza Allegato alla relazione di bilancio I controlli sui personal computer portatili ed altri strumenti elettronici portatili Controlli su trattamenti effettuati senza l'ausilio di strumenti elettronici Gli impianti di videosorveglianza (si veda anche la specifica lista di controllo) Gli archivi dei visitatori La formazione degli incaricati Il trattamento di dati genetici Controlli specifici, ex parte II d. lgsl. 193/ Le ispezioni del Garante I controlli dall'esterno Nota bene: 1 - l elenco delle attività di controllo appresso descritte può costituire strumento di attuazione delle prescrizioni di vigilanza, di cui all art. 29, comma 5 del d.lgls. 196/ ove il trattamento svolto dall ente contempli attività specifiche, descritte nella parte seconda del d. lgsl. 193/2003, occorre attivare appropriati e specifici controlli 3- ove in corrispondenza dell area da controllare sia apposto un asterisco, esso indica che l area in questione è riferita al solo caso di trattamento di dati sensibili o giudiziari. Tuttavia, ragioni di prudenza ed opportunità raccomandano che tali aree vengano controllate, anche in relazione al trattamento di dati personali non sensibili. 4 alcuni dei controlli di seguito indicati possono esser applicabili solo al trattamento di dati sensibili o giudiziari 2

3 1 Controlli generali Il titolare ha attivato in prima persona, o tramite delega ad idoneo responsabile, una politica di protezione dei dati, debitamente documentata e regolarmente aggiornata? Quale è la struttura di supporto che verifica e mantiene aggiornata questa politica? Questa struttura ha risorse sufficienti? Le procedure di protezione dei dati sono documentate formalmente e periodicamente riesaminate dai responsabili, e comprovate con documenti oggettivi (ad esempio con verbali di riunioni), che attestino la costante diligenza e vigilanza nello svolgimento dell'attività di protezione dei dati personali? I responsabili e gli incaricati, interni ed esterni, ad ogni livello, conoscono tutte le disposizioni del decreto legislativo n.196/2003, applicabili al trattamento svolto? Esiste una procedura formalizzata che permetta agli incaricati di affrontare e risolvere eventuali problemi legati alla protezione dei dati? E' stata effettuata una verifica dell'aggiornamento dei dati e delle informazioni riportati nella notificazione di trattamento (vedi anche specifico paragrafo)? Esiste una procedura formalizzata, che mantiene aggiornato il registro generale dei dati personali, e come viene controllata? I rapporti contrattuali con clienti e fornitori tengono in specifica considerazione i requisiti connessi alla protezione dei dati personali? 2 Controlli afferenti al diritto di accesso (art. 7 e segg.) Le procedure in atto, che consentono all'interessato di esercitare il diritto di accesso, sono tali da facilitare al massimo l esercizio del diritto stesso? Tutti gli incaricati aziendali, anche esterni, sono al corrente delle modalità di esercizio del diritto di accesso? Quali procedure vengono adottate per verificare la identità dell interessato? Esiste un registro generale delle richieste di accesso e della evasione della stessa? Quale è il livello di efficacia della procedura che consente di individuare tutti i dati personali richiesti dall'interessato? Quali procedure sono in atto per accertarsi che non possano essere scambiati i dati personali di due diversi interessati? 3

4 Quali procedure sono presenti per impedire di comunicare all'interessato opinioni, anziché i soli dati personali di suo interesse? Chi è responsabile per fornire spiegazioni scritte all'interessato? Chi è responsabile per il rispetto del dettato di decreto legislativo n.196/2003, che prevede una sollecita risposta (max 15 gg, con possibile deroga a 30gg)? Quali sono le procedure che permettono di incassare il contributo spese, quando appropriato? Con quali modalità viene verificata la validità della eventuale delega rilasciata al soggetto, che esercita il diritto di accesso per conto dell interessato? 3 Controlli afferenti alla informativa (art. 13) ed alla raccolta del consenso (art. 23) Le persone incaricate di offrire la informativa e della raccolta del consenso sono state addestrate in modo specifico? Nella informativa sono stati chiaramente evidenziati i trattamenti che abbisognano di consenso e quelli che non ne abbisognano? I moduli utilizzati per la informativa e la raccolta del consenso periodicamente? vengono riesaminati Vengono effettuati controlli periodici sul comportamento delle persone addette alla offerta di informativa e raccolta di consenso? Viene effettuato un costante controllo circa la tipologia dei dati raccolti e la loro conformità ai limiti eventualmente presenti nella notificazione? In fase di informativa, il personale addetto è in grado di informare con chiarezza l'interessato dei suoi diritti, oralmente o per iscritto? Quali procedure vengono usate per informare l'interessato e raccogliere il suo consenso, in caso di variazione del trattamento o delle finalità del trattamento indicate nella notificazione? Queste variazioni vengono registrate sul registro generale dei dati? Il responsabile addetto è al corrente del suo obbligo di tenere aggiornato il registro generale dei dati? Il registro generale dei dati tiene conto anche di dati acquisiti non manualmente, ma ad esempio con scanner od altri mezzi? Quali controlli vengono effettuati per accertarsi che la comunicazione e diffusione dei dati personali avvengano sempre nei limiti della notificazione? Il personale è al corrente delle limitazioni che governano la comunicazione o diffusione, anche involontaria, di dati personali a terzi? 4

5 Quali accorgimenti vengono presi per essere certi che i dati siano adeguati, rilevanti e non eccessivi, nel contesto di ogni particolare trattamento indicato nella notificazione? Esistono dati personali che sono conservati solo perché potrebbero essere utili in futuro? Quali procedure sono in atto per controllare ad intervalli i dati personali e verificarne la idoneità, accuratezza, rilevanza ed aggiornamento? Quali procedure sono in atto per separare le opinioni sugli interessati dai dati personali degli interessati? Quali procedure sono in atto per rimuovere i dati personali non più necessari? Vengono registrate le fonti da cui sono ricavati i dati personali? Con che frequenza viene verificata la accuratezza dei dati personali? Quali procedure sono in atto per verificare se i dati personali hanno bisogno di aggiornamento? Esiste una procedura che permetta di stabilire il tipo e la gravità dei danni, che possono essere causati da dati non accurati o non aggiornati? Esistono delle procedure che permettono di registrare la data in cui i dati personali sono stati acquisiti o prodotti? Esistono delle procedure che permettono di verificare periodicamente se e quando è appropriata la trasformazione in forma anonima di dati personali? Le modalità di raccolta del consenso rispettano il dettato di legge ( consenso documentato)? Il consenso, espresso su più aspetti del trattamento, è debitamente registrato, rispettando la attivazione separata dei trattamento, relativi alle varie voci autorizzate? Il consenso al trattamento di dati sensibili, salvo le previsione specifiche per i soggetti pubblici, è raccolto per iscritto? 4 Controlli afferenti ai responsabili (art. 28) ed agli incaricati (art.30) Nella individuazione dei responsabili, se designati, è stata puntualmente verificata la sussistenza delle caratteristiche personali, di cui all'articolo 29 (esperienza, capacità, affidabilità, in particolare in materia di sicurezza dei dati)? Tutti i responsabili sono stati formalmente designati per iscritto, impartendo loro istruzioni analitiche sulle incombenze attribuite? Tutti gli incaricati, personalmente o per classi omogenee, sono stati formalmente designati come tali? 5

6 Tutti gli incaricati, personalmente o per classi omogenee, hanno ricevuto specifiche istruzioni scritte sulla modalità di trattamento e protezione dei dati personali? E' aggiornato l'elenco degli incaricati del trattamento ed essi hanno tutti ricevuto adeguata formazione e istruzione? Tale formazione è adeguatamente documentata? Sono stai effettuati controlli, e se si, con quale esito, in merito alla efficacia della formazione impartita? Viene periodicamente verificato che il privilegio di accesso, concesso agli incaricati del trattamento, sia congruo ed aggiornato, e che le istruzioni impartite siano anch'esse aggiornate? 5 I rapporti con i responsabili esterni Come vengono gestiti i contatti e contratti con aziende esterne, per quanto riguarda le prescrizioni relative alla comunicazione ed al trattamento di dati personali? Viene introdotta in ogni contratto con terzi collaboratori un specifica clausola di riservatezza, che preveda esplicitamente la designazione del terzo come incaricato o responsabile del trattamento dei dati personali, eventualmente affidati? Vengono impartite specifiche istruzioni di sicurezza ai responsabili od incaricati esterni? Vengono effettuati controlli presso tutte le aziende esterne, o soggetti, cui è conferita la qualifica di responsabile od incaricato, e dell'esito di tali controlli viene steso un verbale? Nel verbale vengono prese in considerazione tutte le aree di rischio e le contromisure appropriate alla tipologia specifica di trattamento in atto? Sono state esaminate le istruzioni impartite agli incaricati esterni e ne è stata verificata la congruità ed il livello di conoscenza, da parte degli incaricati stessi? Ove il sistema di trattamento effettuato dal responsabile esterno preveda la compilazione del documento programmatico sulla sicurezza, esso è stato esaminato e trovato congruo con i rischi e le contromisure approntate sono appropriate? Il responsabile esterno ha rilasciato dichiarazione in merito al puntuale rispetto delle disposizioni del disciplinare tecnico in materia di misure minime di sicurezza? E' stata verificata la qualità della formazione impartita dal responsabile esterno agli incaricati, da esso designati? 6 Controlli afferenti alla sicurezza del trattamento (art. 33 e segg.) Vedi punti seguenti specifici 6

7 7 Controlli afferenti alla notificazione (art. 37 e segg.) I dati riportati sulla notificazione sono aggiornati? In particolare, sono aggiornati i dati relativi ai luoghi ove sono custoditi i dati? Sono aggiornati i dati afferenti alle finalità del trattamento ed agli archivi relativi? E' aggiornato l'elenco dei responsabili interni ed esterni ed è stata debitamente formalizzata l'attribuzione di tale qualifica? Ove il titolare abbia scelto di non riportare l elenco completo dei responsabili, ci si è accertati che almeno sia riportato quello del responsabile del diritto di accesso? È aggiornato l'elenco dei paesi nei quali i dati possono essere trasferiti? È aggiornato l'elenco degli enti cui i dati vengono comunicati? È aggiornato l'elenco dei dati che vengono diffusi? In caso di trattamento di dati sensibili, è stata ottenuta la relativa autorizzazione specifica dall'autorità garante, oppure ci si è accertati che la relativa autorizzazione ricada nelle autorizzazioni generali, rilasciate dall'autorità garante? Ove la notificazione non sia necessaria, secondo il dettato dell art. 38, comma 6, il titolare provvede egualmente ad aver a disposizione e tenere aggiornati tutti i dati contemplati nel modulo di notificazione? 8 Controlli sul trasferimento di dati all'estero (articolo 42 e seguenti) In caso di trasferimento di dati all'estero, nell'ambito dell'unione europea, esiste e viene applicata una procedura, che garantisce che esso avvenga soltanto nell'ambito delle specifiche prescrizioni di legge? In caso di trasferimento di dati all'estero, fuori dell'ambito dell'unione europea, viene verificato che esso avvenga solo nei confronti dei paesi, con i quali l'unione europea ha stabilito una specifico protocollo di accordo? In caso di trasferimento all'estero, nell'ambito dell'unione europea od altrove, di dati sensibili, viene verificato che esso avvenga soltanto rispettando le specifiche prescrizioni di legge? 7

8 9 Controlli sulla cessazione del trattamento (art.16) Nel caso l'ente abbia deciso di cessare totalmente l'attività di trattamento di dati personali, è stata messa a punto una adeguata procedura, che può comprendere l'aggiornamento della notificazione, e che contempla le modalità con cui debbono essere trasferiti, alienati o distrutti i dati personali, trattati sino alla cessazione del trattamento stesso? Nota bene: in caso di cessazione solo parziale, riferita a specifici archivi, non è necessario aggiornare la notificazione 10 Controlli generali afferenti alla protezione fisica dei dati Tutte le attrezzature destinate alla raccolta, trattamento e conservazione di dati sono racchiuse in siti protetti e di essi è nota la ubicazione? Viene periodicamente effettuata una ricognizione del livello di sicurezza dei siti in questione? Ove vi sia una variazione dell'elenco dei luoghi ove i dati sono comunque trattati, si è provveduto ad un aggiornamento della relativa notificazione? Come viene protetto l'accesso agli edifici ove si trovano queste attrezzature di trattamento e custodia dei dati? Esiste un regolare contratto di manutenzione per i sistemi di sicurezza antintrusione ed antincendio dei siti di trattamento e custodia dei dati?? Esistono dei contenitori sicuri, in numero e distribuzione appropriati, a disposizione degli incaricati per la custodia anche temporanea dei dati personali, sotto qualunque forma (cartacea, magnetica, ecc.)? Esiste una politica di gestione e controllo delle chiavi di sicurezza dei contenitori sicuri, del sito del trattamento ed in genere di tutti i luoghi e contenitori ove possono trovarsi dati personali? Vengono effettuati controlli circa il fatto che i documenti contenenti dati sensibili non vengano lasciati incustoditi, quando sono affidati agli incaricati e si trovano all'esterno degli archivi protetti? Come vengono usati, archiviati e cancellati i supporti magnetici? Come vengono usati, archiviati e cancellati i supporti magnetici, costituiti da video cassette registrate? Gli incaricati hanno ricevuto specifiche istruzioni, in merito alle modalità di cancellazione o distruzione di supporti, prima del riutilizzo? Gli incaricati hanno a disposizione e possono agevolmente utilizzare distruggitori di documenti? Prima di riutilizzare un qualsiasi supporto magnetico, contenente dati sensibili, si provvede sempre alla sua cancellazione? 8

9 Prima di riutilizzare un qualsiasi supporto cartaceo, contenente dati sensibili, si provvede sempre alla sua cancellazione (meglio, distruzione)? Come vengono usati, archiviati e cancellati i supporti cartacei? L accesso agli archivi contenenti dati personali, è gestito da idonee procedure di sicurezza, che comprendono la possibile identificazione del soggetto che accede agli archivi? 11 Controlli afferenti alla protezione logica dei dati 11.1 Sistema di autenticazione informatica È stato attivato un sistema di autenticazione informatica, rispondente ai requisiti del disciplinare tecnico in materia di misure minime di sicurezza, che permette di identificare con certezza un incaricato, che accede al trattamento di dati personali con strumenti elettronici? Ogni incaricato, che deve essere inquadrato in un sistema di autenticazione informatica, ha ricevuto delle istruzioni, preferibilmente scritte, capaci di assicurare la segretezza nella gestione e la diligenza nella custodia della parole chiave riservata o di altre credenziali di autenticazione? L'incaricato è stato reso edotto del fatto che, se possibile, la parola chiave deve essere composta da almeno 8 caratteri e che deve essere selezionata con criteri di sicurezza? L'incaricato è stato informato del fatto che la parola chiave deve essere modificata almeno ogni sei mesi, che si riducono a tre mesi in caso di trattamento di dati sensibili? L'interessato è stato informato che, ove egli non utilizzi le sue credenziali di autenticazione per più di sei mesi, esse vengono disattivate? L'incaricato ha ricevuto specifiche istruzioni in merito al fatto che non deve lasciare incustodito, quando è attivo ed accessibile, il terminale su cui lavora, attivando ad esempio uno screen saver sotto parola chiave, o disattivando il terminale? Il responsabile dell'emissione e gestione delle procedure di accesso logico agli strumenti elettronici di trattamento ha predisposto una appropriata procedura, che permetta di accedere ai dati personali, cui ha accesso un solo incaricato, in caso di sua indisponibilità? Come viene controllato l'accesso ai documenti, ai programmi ed i dati personali, per esser certi di limitare l'accesso ai soli incaricati? Vengono utilizzate speciali procedure per l'accesso ai dati particolari? Il responsabile dell'emissione e gestione delle procedure di accesso logico agli strumenti elettronici ha valutato le implicazioni di sicurezza che scaturiscono dai collegamenti in rete? In caso di utilizzo di protezioni crittografiche, ne è stata controllata la efficacia, efficienza e congruità con il livello di rischio percepito? 9

10 È stata compilata, e viene tenuta aggiornata, una rassegna degli strumenti mediante i quali gli incaricati possono trasmettere o ricevere dati sensibili? 11.2 Sistema di autorizzazione Per ogni incaricato, o classi omogenee di incaricati, viene costruito un profilo di autorizzazione, che limiti l'accesso ai soli dati, rilevanti per l'attività di trattamento svolta dall'incaricato,? Per ogni profilo di autorizzazione, vengono individuate le modalità con le quali l'incaricato può accedere ai dati personali, indicando ad esempio se con privilegio di creazione, lettura, modifica, cancellazione? Almeno una volta l'anno, viene verificata la sussistenza delle condizioni, in forza delle quali un incaricato gode di uno specifico profilo di autorizzazione? 11.3 Misure di aggiornamento dei programmi, antivirus ed anti intrusione L'intero sistema di trattamento con strumenti elettronici, compresi eventuali strumenti elettronici portatili, è protetto con appropriati applicativi antivirus, e gli stessi vengono aggiornati con scadenza massima non superiore a sei mesi, ma preferibilmente assai più spesso? È stata attivata una procedura, e viene regolarmente aggiornata, che permette di effettuare aggiornamenti periodici dei programmi applicativi e dei sistemi operativi, utilizzati nell'ambito degli strumenti elettronici, mirata a correggere possibili difetti e vulnerabilità? La frequenza di tali aggiornamenti periodici è fatta a scadenze annuali, che si riducono a sei mesi in caso di trattamento di dati sensibili? I dati sensibili eventualmente trattati dagli strumenti elettronici sono protetti contro l'accesso abusivo, mediante apparati IDS intrusion detection systems- o strumentazione similare, costantemente aggiornata? Viene effettuato un controllo costante sui tentativi di violazione e sulle violazioni dell'accesso? Viene effettuato un controllo costante sull'aggiornamento degli applicativi antivirus? Tutti controlli di cui sopra vengono anche svolti sui personal computer portatili, od altri strumenti portatili di trattamento, in dotazione agli incaricati? 11.4 Custodia di dati originali, salvataggio e custodia delle copie di rispetto I documenti e supporti di input output vengono conservati in luoghi sicuri? Come vengono distribuiti i supporti di input output? Come vengono eliminati i supporti input output? Dove è conservata la documentazione significativa originale? 10

11 Come è controllato l'accesso a questa documentazione? Come viene eliminata questa documentazione? Quali precauzioni sono prese per prevenire cancellazioni accidentali dei dati? Sono state impartite specifiche istruzioni e sono stati messi a disposizione strumenti tecnici, che permettono agli incaricati di effettuare una copia di rispetto dei dati personali trattati, con frequenza almeno settimanale? Nel caso le copie di rispetto contengano dati sensibili, sono state impartite istruzioni e sono stati messi a disposizione strumenti tecnici, che consentono di custodire in modo sicuro le copie stesse? Sono state impartite specifiche istruzioni ed attivate specifiche procedure, che consentano il pronto recupero delle copie di rispetto, in caso di necessità? Tutte le istruzioni e gli strumenti tecnici sopradescritti, sono applicati anche al mondo dei personal computer portatili od altri strumenti elettronici di trattamento, di tipo portatile (attenzione: non dimenticare computer palmari, laptop, fotocamere digitali, eccetera)? Quando è stata effettuata l ultima verifica della pronta disponibilità, leggibilità ed aggiornamento delle copie di rispetto e quale esiti ha avuto tale verifica? 11.5 Documento programmatico sulla sicurezza Entro il 31 marzo di ogni anno, il titolare del trattamento di dati sensibili ha provveduto a compilare od aggiornare il documento programmatico, con la assistenza dell'eventuale responsabile addetto? È stata verificata la completezza e l'aggiornamento dell'elenco dei dati e dei trattamenti di dati personali? E' stato verificato ed aggiornato l'organigramma delle strutture preposte al trattamento dei dati? L'analisi dei rischi che incombono sui dati è stata estesa alle categorie specificamente previste dall'articolo 31 (rischi di distruzione o perdita, anche accidentale, rischi di accesso non autorizzato o di trattamento non consentito o non conformi alle finalità della raccolta)? Sono state individuate, descritte, attivate e tenute in condizioni di efficacia ed efficienza tutte le misure necessarie a garantire l'integrità e la disponibilità dei dati, ivi inclusa la protezione delle aree e dei locali, ove le attrezzature di trattamento ed i dati stessi sono custoditi? È stato elaborato e sperimentato, almeno una volta, un piano che consente il ripristino della disponibilità dei dati, in caso di temporanea inaccessibilità, per dolo o colpa, di modo che almeno gli archivi e gli applicativi, che permettono di garantire il diritto di accesso ai dati, siano riattivati in un tempo non superiore a sette giorni? È stato impostato, attivato e verificato il programma di formazione degli incaricati del trattamento? 11

12 I contenuti del programma di formazione sono congrui con quanto indicato nel disciplinare tecnico in materia di misure minime di sicurezza? Ove i dati personali vengano affidati per il trattamento a responsabili od incaricati esterni, è stata allestita una procedura, che descrive i criteri che tali soggetti esterni debbono adottare, per garantire il rispetto delle misure minime di sicurezza? Ove il sistema di trattamento tratti anche dati personali, idonei a rivelare lo stato di salute e la vita sessuale, è stata adottata una procedura, che permette di proteggere con appropriata cifratura i dati stessi, o per compartimentare l'accesso a tali dati, separandoli da altri dati personali dello stesso interessato? 11.6 Strumentazione di sicurezza Ove per la attivazione delle misure minime di sicurezza, il titolare o responsabile si debba avvalere di soggetti esterni, che forniscono hardware o software, ci si accerta che al termine della istallazione venga rilasciata una dichiarazione di conformità dell'intervento effettuato ai disposti del disciplinare tecnico in materia di misure minime di sicurezza? 11.7 Allegato alla relazione di bilancio Il titolare ha predisposto tempestivamente, con il supporto dei responsabili, la parte della relazione accompagnatoria del bilancio di esercizio, nella quale deve dare contezza l'assemblea degli azionisti della attività svolta dall'azienda in tema di protezione dati personali, e specificamente di elaborazione, aggiornamento ed attuazione di quanto previsto nel documento programmatico della sicurezza? 11.8 I controlli sui personal computer portatili ed altri strumenti elettronici portatili Esiste un elenco aggiornato di tutti gli strumenti elettronici portatili in dotazione, con la indicazione delle tipologie di dati che su di essi possono esser trattati? Ogni personal computer portatile è stato affidato alla specifica responsabilità di un incaricato? L incaricato ha ricevuto appropriate istruzioni per il trattamento sicuro dei dati, incluse istruzioni afferenti alla custodia ed alla prevenzione del furto e dell accesso abusivo ai dati? È stata introdotta e viene regolarmente sostituita la parola chiave per controllare l'accesso a dati e programmi residenti sul personal computer portatile? Viene regolarmente utilizzato un applicativo crittografico in linea, che operi in modo trasparente per l'incaricato? Se lo strumento ospita dati sensibili, viene effettuato a scadenza almeno semestrale (annuale in altri casi) l aggiornamento del sistema operativo e degli applicativi residenti? Viene installato e mantenuto aggiornato un applicativo antivirus? 12

13 L'incaricato provvede regolarmente ad effettuare copie di riserva di dati eventualmente creati sul personal computer portatili e tali dati vengono custoditi in modo sicuro? Quando il personal computer viene consegnato a terzi per interventi di manutenzione, ci si accerta che il terzo non possa accedere a dati personali e programmi eventualmente ivi presenti? 12 Controlli su trattamenti effettuati senza l'ausilio di strumenti elettronici È stato compilato un elenco di tutti gli incaricati che effettuano trattamenti senza l'ausilio di strumenti elettronici, indicando l'ambito di trattamento consentito, e tale lista viene aggiornata a scadenza almeno annuale? Tutti gli incaricati hanno ricevuto istruzioni scritte finalizzata al controllo, vale a dire alla verifica dei contenuti, ed alla custodia, vale a dire alla sicura protezione dei documenti, che permettono di tenere sotto controllo la integrità e la sicurezza dei documenti affidati, durante l'intero ciclo necessario allo svolgimento delle operazioni di trattamento? Sono state emanate procedure e sono state messi a disposizione degli incaricati degli strumenti, che permettono di controllare e custodire i documenti affidati, sino all'esaurimento del compito ed al successivo e deposito in archivi ad accesso controllato? Sono state emanate procedure e sono state adottate strumentazioni, che permettono di tenere sotto controllo l'accesso ad archivi contenenti dati sensibili e giudiziari, secondo le prescrizioni di cui all'articolo 29? Sono state impartite istruzioni specifiche in merito alle modalità di distruzione, e sono state messe a disposizione attrezzature, che consentano di distruggere in modo sicuro documenti cartacei o di altra natura, sovrabbondanti, come ad esempio copie malriuscite di fotocopie, o non più necessari? 13 Gli impianti di videosorveglianza (si veda anche la specifica lista di controllo) Per ogni impianto di video sorveglianza, è stato emesso uno specifico regolamento di gestione del trattamento stesso? È stato compilato un elenco degli incaricati che hanno accesso alle immagini in diretta e registrate, ed è stato designato un responsabile della gestione dell'impianto stesso? Le immagini registrate vengono custodite con le dovute garanzie di riservatezza e si provvede periodicamente alla loro cancellazione? Sono stati posti degli appositi cartelli informativi circa la esistenza di questi impianti di video sorveglianza? 13

14 In caso di richiesta di diritto di accesso alle immagini registrate, gli incaricati addetti hanno ricevuto appropriate istruzioni di comportamento? In caso di conservazione delle immagini a fini di indagini di polizia od in presenza di reato, sono state impartite agli incaricati le appropriate istruzioni? Esistono specifiche istruzioni afferenti alla distruzione, dopo il tempo prefissato, dei dati stessi? 14 Gli archivi dei visitatori Ove l'azienda disponga di un archivio ove vengono registrati i dati afferenti ai visitatori, esiste un elenco di tutti gli incaricati, interni ed esterni, che hanno accesso a tali dati? Gli incaricati inseriti in detto elenco hanno ricevuto una appropriata formazione sulla gestione e custodia di tali dati personali? Esistono specifiche istruzioni afferenti alla distruzione, dopo il tempo prefissato, dei dati stessi? È posta in appropriata evidenzia una informativa ai visitatori circa l'esistenza di questo trattamento e sui loro diritti in merito? 15 La formazione degli incaricati I neo assunti vengono debitamente istruiti, prima di iniziare a svolgere attività di trattamento di dati personali? Come viene valutato il livello di integrità ed affidabilità dei dipendenti, prima di affidare loro attività che comportino l'accesso a dati personali? Gli incaricati sono sensibilizzati sulle problematiche di sicurezza? Gli incaricati ricevono regolarmente una formazione operativa in temi di sicurezza? Solo state distribuite delle linee guida di sicurezza a tutti gli incaricati? Con che frequenza viene esaminata la qualità ed efficacia della formazione, afferente alla sicurezza del trattamento dei dati, da parte della direzione? Esiste una documentazione di supporto e convalida della attività di formazione? 16 Il trattamento di dati genetici 14

15 In caso di trattamento di dati relativi all'identità genetica, sono state predisposte procedure ed attrezzature, che consentono di trattare tali dati esclusivamente all'interno di locali protetti, ad accesso riservato ai soli soggetti specificamente autorizzati ad accedervi? Sono state emanate appropriate procedure e messe a disposizione attrezzature tecniche, che consentono di trasportare tali dati genetici all'esterno dei locali sicuri sopra menzionati, in appropriati contenitori di sicurezza o dispositivi equivalenti (ad es. buste con sigilli di sicurezza)? Ove i dati in questione debbano essere trasferiti all'esterno su supporto informatizzato, sono state impartite istruzioni e messe a disposizione attrezzature tecniche per la cifratura dei dati stessi? 17 Controlli specifici, ex parte II d. lgsl. 193/2003 Ove il trattamento svolto dall ente contempli attività specifiche, descritte nella parte seconda del d. lgsl. 193/2003, sono stati attivati appropriati e specifici controlli? 18 Le ispezioni del Garante È stata elaborata una procedura interna che permette di far fronte con efficienza e rapidità ad eventuali richieste di ispezione da parte del Garante per la protezione dei dati personali? Gli incaricati hanno ricevuto appropriate istruzioni in merito? I responsabili sono tenuti regolarmente aggiornati sulle modalità di svolgimento di queste ispezioni e sui loro obblighi e sulle loro responsabilità in merito? 19 I controlli dall'esterno E' stato richiesto l'intervento di un verificatore esterno delle misure di sicurezza e delle procedure afferenti al rispetto della decreto legislativo n.196/2003? Se si, il suo rapporto è stato esaminato dal titolare e dal responsabile del trattamento? Vi sono raccomandazioni emesse dal verificatore esterno, che per qualche ragione non sono state attuate? 15