Sicurezza degli archivi fisici

Transcript

1 Il presente documento viene redatto in aderenza alle disposizioni di cui al Decreto Legislativo 30 giugno 2003, n. 196, artt. da 33 a 36 (misure minime di sicurezza) nonché dal disciplinare tecnico contenuto nell allegato B del citato decreto. In particolare: - l art. 34, comma 1, lettera g) del D.Lgs. 196/2003 prevede nel caso di trattamento di dati personali effettuato con strumenti elettronici l obbligo della tenuta di un aggiornato documento programmatico sulla sicurezza ; - il punto 19 dell allegato B definisce le idonee informazioni necessarie per redigere il predetto documento, che di seguito viene più semplicemente definito DPS. In particolare, sulla base delle regole previste dal disciplinare tecnico, il DPS è strutturato nelle seguenti sezioni: Quadro A Sezione A.1 Sezione A.1.b Sezione A.2 Sezione A.3 Sezione A.4 Quadro B Sezione B.1 Sezione B.2 Sezione B.3 Sezione B.4 Quadro C Sezione C.1 Quadro D Quadro E Soggetti Titolare del trattamento Trattamenti affidati all esterno Distribuzione dei compiti e delle responsabilità Elenco dei trattamenti di dati personali Pianificazione degli interventi formativi Analisi dei rischi Tipologie di rischio Sicurezza dei locali Sicurezza degli archivi informatici Sicurezza degli archivi fisici Eventi accidentali e ripristino Criteri e modalità di ripristino della disponibilità dei dati Cifratura dei dati e separazione dei dati identificativi Allegati QUADRO A - Soggetti Sezione A.1. Titolare del trattamento Tabella A Titolare del trattamento (1) Dati anagrafici o aziendali del titolare del trattamento Cognome e nome Ragione sociale Codice fiscale o partita iva Indirizzo Telefono Fax web 1

2 Responsabile del trattamento IDT Sezione A.1.b Trattamenti affidati all esterno (mod. P19.7) Codice dati oggetto del trattamento Dati sensibili e giudiziari interessati Tabella A1.2 Trattamenti affidati all esterno (2) Soggetto esterno incaricato Descrizione criteri per l adozione delle misure di sicurezza Date delle verifiche Sezione A.2. Distribuzione dei compiti e delle responsabilità Tabella A2.1 Strutture preposte ai trattamenti (3) 1 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura 2 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura 2

3 3 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura 4 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura 5 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura 6 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura 7 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura 3

4 8 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura 9 Struttura Data di aggiornamento Dati riferiti ai singoli trattamenti Responsabile Trattamento operato Compiti della struttura Sezione A.3. Elenco dei trattamenti di dati personali 1 Identificativo Descrizione Tabella A3.1 - Elenco dei trattamenti (4) 2 Identificativo Descrizione 4

5 3 Identificativo Descrizione 4 Identificativo Descrizione 5 Identificativo Descrizione 6 Identificativo Descrizione 5

6 7 Identificativo Descrizione 8 Identificativo Descrizione 9 Identificativo Descrizione 10 Identificativo Descrizione 6

7 11 Identificativo Descrizione 12 Identificativo Descrizione Sezione A.4. Pianificazione degli interventi formativi Corso di formazione Descrizione sintetica Tabella A4.1 Interventi formativi previsti (5) Categorie interessate Numero soggetti interessati Incaricati già formati in preced. Calendario date 7

8 QUADRO B Analisi dei rischi Presenza del modello P25 (6) SI [ ] NO [ ] Sezione B.1. Tipologie di rischio Tabella B1.1 Analisi dei rischi (7) trattamenti con rischio basso Identificativo Descrizione di massima trattamenti con rischio medio Identificativo Descrizione di massima trattamenti con rischio alto Identificativo Descrizione di massima Sezione B.2. Sicurezza dei locali 8

9 Tabella B2.1 Sicurezza dei locali di archivio dati (8) Locale Archivi contenuti Tipo di protezione Sezione B.3. Sicurezza degli archivi informatici Tabella B3.1 Sicurezza degli archivi elettronici e degli elaboratori dati (9) Archivi contenenti dati protetti Dislocazione Azioni lesive Furto di credenziali di autenticazione Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Err ori mat eria li Descrizione Contromisure aggiornate Azione di virus informatici Spamming o altre tecniche informatiche di sabotaggio Malfunzionamento degli strumenti elettronici Accessi esterni non autorizzati 9

10 Intercettazione di informazioni in rete Accessi non autorizzati a locali ad accesso ristretto Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o accidentali o dolosi, o per incuria Guasto ai sistemi complementari (impianti elettrico, condizionamento) Hacking Cracking Err ori um ani nell a ges tion e dell a sicu rez za fisic a Rottura drive e guasto supporti Malfunzionamento dei sistemi di rete Crash di sistema Fallimento procedure di disinstallazione Sezione B.4. Sicurezza degli archivi fisici Tabella B4.1 Sicurezza d egli archivi elettronici e degli elaboratori dati (10) Archivi contenenti dati protetti Dislocazione Azioni lesive Descrizione Contromisure Furto e sottrazioni non autorizzate in genere Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti 10

11 Err ori mat eria li Azioni di spionagg io Malfunzionamento di serrature Malfunzionamento della meccanica degli schedari Accessi esterni non autorizzati Intercettazioni Accessi non a utorizzati a locali ad accesso ristretto Asportazione e furto di fascicoli Eventi distruttivi, naturali o accidentali o dolosi, o per incuria Guasto ai sistemi complementari (impianti elettrico, condizionamento) Err ori um ani nell a ges tion e dell a sicu rez za fisic a QUADRO C Eventi accidentali e ripristino Tabella C1.1 Ripristino dati e procedura di back up (11) Archivi con tenenti dati protetti Tipologia Back up Art. 23 Assistenza tecnica Data manutenzione 11

12 QUADRO D Cifratura dei dati o separazione dei dati identificativi art. 22 comma 6 (solo per gli organismi s anitari e gli esercenti le professioni sanitarie è necessario prevedere anche la seguente ulteriore sezione) 1 Tipologia archivio Tabella D1.1 - Elenco dei trattamenti (12) Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 2 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 3 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 12

13 4 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 5 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 6 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 7 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 8 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 9 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 10 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 11 Tipologia archivio Cod ice identificativo [_] numerico [_] alfanumerico [_] logico 12 Tipologia archivio Codice identificativo [_] numerico [_] alfanumerico [_] logico 13 Tipologia archivio Codice identificativo [_] numerico [_] alfanumeri co [_] logico 14 Tipologia archivio Codice identificativo [_] numerico [_] alfanumerico [_] logico 15 Tipologia archivio Codice identificativo [_] numerico [_] alfanumerico [_] logico Allegati 13

14 Tabella E1.1 Affidamento incarichi (13) Identificativo modello Descrizione sintetica Soggetto affidatario Data Data Firma del titolare del trattamento 14

15 Istruzioni per la compilazione QUADRO A 1 - Tabella A1.1 Generalità del titolare del trattamento. Nei primi 8 campi della tabella A1.1 saranno indicati i dati che identificano il titolare del trattamento di cui all art. 28 del Codice della Privacy il quale sottoscriverà in calce il DPS dopo averlo interamente compilato. Responsabile del trattamento. Il Responsabile del trattamento di cui all art. 29 del Codice della Privacy è colui che viene incaricato dal titolare del trattamento di gestire e amministrare i dati protetti. E una figura facoltativa designata dal titolare del trattamento e predisposta a verificare i corretti adempimenti di legge, per cui tale riquadro della tabella A1.1 sarà compilato solo se il responsabile del trattamento è persona diversa dal titolare del trattamento. Incaricato del trattamento. (IDT) E la persona fisica autorizzata a compiere le operazioni di trattamento in virtù del rapporto che sussiste con il titolare o con il responsabile del trattamento. Sono incaricati del trattamento i praticanti o tirocinanti, i segretari o le segretarie, gli apprendisti e in genere tutti i collaboratori a diverso titolo del soggetto titolare e/o responsabile del trattamento. Ogni IDT è espressamente nominato con apposito atto di conferimento mod. IDT1 che dovrà essere allegato al presente documento ed indicato nel quadro E. Se gli IDT sono più di uno, indicare solo il numero con la dicitura vedi quadro E. Nel caso vi sia un solo IDT indicarne le generalità. 2 - Tabella A.1.2. La Tabella A.1.2. andrà compilata solo in caso di affidamento a soggetti terzi della gestione del trattamento dei dati personali e dovranno essere fornite tutte le indicazioni necessarie ad identificare i dati trattati all esterno, nonché i soggetti coinvolti. Il soggetto incaricato del trattamento rilascerà apposita certificazione (mod. P19.7) dalla quale risulta: - che il terzo dichiara di essere consapevole che i dati da lui trattati nell espletamento dell incarico ricevuto sono dati personali e, come tali, sono soggetti alla disciplina di cui al D.Lgs. 196/2003 (Codice per la protezione dei dati personali); - che il terzo dichiara di ottemperare agli obblighi previsti dal predetto D.Lgs. 196/2003; - che il terzo dichiara di adottare ogni istruzione ricevuta dal titolare del trattamento; - che il terzo si impegna a relazionare il titolare in ordine alle misure di sicurezza da lui adottate, notiziando il committente circa le situazioni di pericolo per i dati in cui potrebbe imbattersi; - che il terzo dichiara di riconoscere il diritto del committente alla verifica periodica dell applicazione delle norme di sicurezza adottate. Nella tabella, inoltre, dovranno essere indicati i seguenti dati: Codice dati oggetto del trattamento. Sarà indicato il codice di cui alla successiva tabella B relativo al tipo di dati il cui trattamento è stato ceduto. Dati sensibili e giudiziari interessati. Indicare SI se sono presenti dati sensibili o giudiziari, altrimenti indicare NO. Soggetto esterno incaricato. Indicare nome e cognome o ragione sociale del terzo incaricato. 15

16 Descrizione dei criteri per l adozione delle misure di sicurezza. Descrivere le misure adottate dal terzo e comunicate successivamente al dichiarante per proteggere i dati forniti utilizzando il seguente schema: Tabella A Codice F1 F2 IN1 IN2 D SL Descrizione sintetica Protezione degli ambienti e limitazioni di accesso ai non addetti Protezione dei locali mediante installazione di allarmi e sistemi di vigilanza privata Sicurezza informatica di base. Protezione archivi mediante password e procedure di backup Sicurezza informatica avanzata. Protezione archivi mediante software antivirus, screeensaver, firewall, software antispammig e sicurezza di rete. Sicurezza dei documenti mediante apposite procedure di tutela della stampa centralizzata e di distruzione dei documenti non più utili. Rispetto della L. 626/94 in tema di sicurezza dei luoghi di lavoro. Date delle verifiche. Indicare le date in cui sono state verificate da parte del dichiarante le norme sul rispetto della normativa sulla privacy da parte del terzo. 3 - Tabella A.2.1 Struttura. Indicare il codice della struttura aziendale o l ufficio che gestisce il trattamento dei dati oggetto del trattamento. I codici sono quelli di seguito indicati: Divisione Amministrativa A1: Contabilità e bilancio A2: Fatturazione e valorizzazione prestazioni. A3: Pianificazione e controllo di gestione A4: Gestione finanziaria A5: Personale A6: Front office e segreteria A7: Archivio A8: Tesoreria Divisione Direzionale B1: Formazione e Risorse Umane B2: Marketing B3: Sicurezza B4: Gestione del Patrimonio B5: Controllo di qualità 16

17 B6: Amministrazione dei sistemi B10:Manutenzione attrezzature Divisione Ufficio U1: Ufficio Unico - Studi professionali, piccoli imprenditori e società non aventi organizzazione aziendale ne divisione delle risorse che gestiscono in proprio il trattamento di dati personali, senza l ausilio di strutture interne, divisioni compartimentali o uffici gestionali. - Studi e imprese individuali non aventi collaboratori interni od esterni. Data di aggiornamento. Indicare la data di aggiornamento dell archivio. Responsabile. Indicare il responsabile della struttura incaricato del trattamento oppure il responsabile del trattamento nominato oppure gli IDT incaricati e preposti alla struttura che gestisce i dati riportati. Trattamento operato. Indicare i codici di cui alla successiva Tabella B Compiti della struttura. Indicare il compito affidato alla struttura nell ambito dell organizzazione aziendale. 4 - Tabella A.3.1 Identificativo. Identificare il tipo di dati trattati inserendo i codici di seguito riportati: Codice DIP/1 CL/1 Tabella B Descrizione sintetica Dati relativi al personale dipendente Dati relativi alla clientela X/1 Dati relativi a soggetti terzi parti dell attività e comunque trattati X/2 Dati relativi a persone non direttamente interessate dall attività del dichiarante ma trattati X/3 Altri dati trattati dal dichiarante e soggetti all obbligo di protezione Descrizione. X/4 Dati tutelati conosciuti casualmente e/o occasionalmente Natura dei dati. Barrare le successive caselle a seconda che si tratti di dati personali, sensibili o giudiziari. 17

18 . Indicare la struttura aziendale, l ufficio o la persona fisica IDT che archivia, custodisce e gestisce i dati trattati. Indicare se tali dati sono affidati alla gestione di strutture esterne di cui alla sezione A.1.b. Scrivere SI oppure NO. Banca dati utilizzata. Indicare il tipo di supporto (fisico o informatico) su cui sono archiviati i dati trattati. Ubicazione fisica dei supporti. Indicare il luogo ove sono archiviati i dati o dove si trova il computer su cui sono memorizzati. Tipo dispositivi di accesso. In caso di dati memorizzati su supporto elettronico, indicare presente se sullo stesso è presente una password di accesso di Bios, di sistema o di utente, non presente se non sussiste alcuna protezione di accesso ma altri dispositivi di limitazione degli accessi. Art. 1 8 All. B. D.Lgs 196/03 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all incaricato ed è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 18

19 L. 31 Dicembre 1996 n. 675 D.P.R. 318/99 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all incaricato l accesso ai dati personali 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l incaricato dell intervento effettuato. Tipo di interconnessione. In caso di dati memorizzati su supporto elettronico condiviso in una rete di computers indicare il tipo di rete. (contattare l amministratore di sistema per ottenere questo tipo di informazione) 5 - Tabella A.4.1 Corso di formazione. Indicare il tipo di corso di formazione a cui partecipano i soggetti della struttura. (base, avanzato o specialistico). Art All. B. D. Lgs. 196/03 La formazione è programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Descrizione sintetica. Indicare una breve descrizione del tipo di insegnamento. Categorie interessate. Indicare i soggetti della struttura o le strutture interessate. Numero dei soggetti interessati. Indicare il numero dei soggetti interessati. Incaricati già formati in precedenza. Indicare i soggetti o le strutture già formati. Calendario date. Indicare le date di svolgimento dei corsi. QUADRO B 6 Presenza del modello P25 Presenza del modello P25. Indicare se il titolare dichiarante adotta le misure minime di sicurezze previste dal Codice della Privacy avvalendosi di soggetti esterni alla propria struttura. In tale caso l installatore del sistema di tutela degli archivi rilascia apposita progetto e realizzazione grafica a cura dello Studio Solaro, Via R. Burchietti n Scandicci (FI) Fax

20 L. 31 Dicembre 1996 n. 675 D.P.R. 318/99 certificazione (mod. P25), da allegarsi al presente documento, come previsto dall art. 25 del disciplinare tecnico di seguito riportato. Art. 25 All. B. D.Lgs 196/03. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico: Identificativo. Vedi tabella A. 7 - Tabella B.1.1 Descrizione di massima. Identificare il tipo di dati trattati come riportato in tabella B. 8 - Tabella B.2.1 Locale. Indicare i locali ove sono fisicamente stoccati gli archivi cartacei o informatici contenenti dati protetti. Archivi contenuti. Indicare il numero di archivi contenuti. Tipo di protezione. Indicare il tipo di protezione (lucchetto, chiusura a combinazione, allarme, vigilanza privata, ecc.) utilizzato. 9 - Tabella B.3.1 Archivi contenenti dati protetti. Indicare il nome dell archivio o delle cartelle contenente i dati protetti. Dislocazione. Indicare il file o il percorso di rete in cui si trovano i dati di cui al punto precedente. Indicare il tipo di supporto nel caso di utilizzo di supporti rimovibili quali floppy, Cd-rom, unità Zip, memorie flash, ecc. tenendo presente la disciplina prevista per tali metodi di archiviazione di seguito riportata. Artt All. B. D.Lgs. 196/ Sono impartite istruzioni organizzative e tecniche per la custodia e l uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Azioni lesive. Vedi modello. Descrizione. Indicare il tipo di danno verificabile (distruzione, cancellazione, alterazione, ecc.) nei confronti dei dati protetti. Contromisure aggiornate. Indicare i programmi o gli accorgimenti adottati per evitare le azioni lesive o ripararne i danni provocati. L aggiornamento delle contromisure da effettuarsi a progetto e realizzazione grafica a cura dello Studio Solaro, Via R. Burchietti n Scandicci (FI) Fax

21 L. 31 Dicembre 1996 n. 675 D.P.R. 318/99 cura del dichiarante o dei soggetti da esso incaricati è stabilito dagli artt. 16 e 17 del Disciplinare tecnico di seguito riportati: Artt All. B. D.Lgs. 196/ I dati personali sono protetti contro il rischio di intrusione e dell azione di programmi di cui all art. 615-quinquies del codice penale, mediante l attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale Tabella B.4.1 Vedi tab QUADRO C 11 - Tabella C.1.1 Archivi contenenti dati protetti. Indicare il nome dell archivio o delle cartelle contenente i dati protetti. Tipologia. Indicare se trattasi di dati personali, sensibili o giuridici. Back up. Indicare, se è presente un dispositivo o software di back up, la frequenza di salvataggio dei dati contenuti negli archivi. A mente dell art. 18 del Disciplinare tecnico di seguito riportato è necessario provvedere al salvataggio dei dati con cadenza almeno settimanale. Art. 18 All. B. D.Lgs. 196/ Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Assistenza tecnica. Indicare la persona fisica o l impresa che è incaricata dell assistenza tecnica degli elaboratori. Data manutenzione. Indicare la data dell ultimo intervento di manutenzione o di back up dei dati. QUADRO D 12 - Tabella D.1.1 Art. 22 comma 6 D. Lgs. 196/03 I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, progetto e realizzazione grafica a cura dello Studio Solaro, Via R. Burchietti n Scandicci (FI) Fax

22 L. 31 Dicembre 1996 n. 675 D.P.R. 318/99 li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. Art. 24 All. B. D.Lgs. 196/ Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all identità genetica sono trattati esclusivamente all interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Tipologia archivio. Indicare se trattasi di archivio fisico o elettronico.. Indicare, in caso di supporti informatici, la tecnologia di protezione cifrata installata (contattare l amministratore di sistema per ottenere tali informazioni) Codice identificativo. Indicare barrando le caselle numerico, alfanumerico, logico. (contattare l amministratore di sistema per ottenere tali informazioni). Indicare il tipo di sicurezza di criptatura scegliendo fra le opzioni bassa, media o alta. (contattare l amministratore di sistema per ottenere tali informazioni) QUADRO E 13 - Tabella E.1.1 Identificativo modello. Indicare il codice che identifica il modello di documento allegato al DPS quale risulta dalla successiva tabella C. Tabella C Codice identificativo modello IN13 SIS1 CAL1 CPS1 IDTB Descrizione sintetica Informativa e consenso trattamento dati personali Lettera di incarico all amministratore di sistema Lettera di incarico di controllo degli accessi ai locali Lettera di incarico di custode delle password Elenco degli IDT progetto e realizzazione grafica a cura dello Studio Solaro, Via R. Burchietti n Scandicci (FI) Fax

23 L. 31 Dicembre 1996 n. 675 D.P.R. 318/99 IDT1 BKP Lettera di incarico di IDT Certificazione di back-up P19.7 Dichiarazione di responsabilità del terzo affidatario dei dati trattati P25 Certificazione di conformità del sistema al disciplinare tecnico All. B D. Lgs. 196/03 Descrizione sintetica. Indicare il tipo di documento allegato secondo quanto riportato nella tabella C. Soggetto affidatario. In caso di conferimento di incarico indicare il soggetto incaricato. Data. Indicare la data di redazione del documento allegato progetto e realizzazione grafica a cura dello Studio Solaro, Via R. Burchietti n Scandicci (FI) Fax