PRIVACY: Breve guida per l INCARICATO. Le misure di sicurezza. Decreto Legislativo 30 Giugno 2003 n Milano, 29 Settembre 2010

Transcript

1 PRIVACY: Le misure di sicurezza Decreto Legislativo 30 Giugno 2003 n. 196 Breve guida per l INCARICATO Milano, 29 Settembre

2 LA TUTELA DEI DATI: principi generali Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Il trattamento dei dati personali di terzi deve essere svolto nel rispetto dei diritti, delle libertà fondamentali e della dignità della persona, con particolare attenzione ai diritti alla riservatezza, all'identità personale e alla protezione e sicurezza dei dati stessi. Per TRATTAMENTO si intende qualunque operazione concernente la raccolta, l'elaborazione, la diffusione, la comunicazione a terzi, il trasferimento all estero e la distruzione finale dei dati. 2

3 LA NORMATIVA Nell ultimo decennio sono state emanate diverse direttive europee recepite dallo Stato Italiano con l emanazione di numerose disposizioni legislative, tra le quali: - LEGGE 675/96 relativa alla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali; - D.P.R. 318/99 relativo alle misure minime di sicurezza per il trattamento di dati personali. A partire dal 1 Gennaio 2004 viene introdotto il CODICE IN MATERIA DI TUTELA DEI DATI PERSONALI contenuto nel D.Lgs 196/2003 che riunisce in un Testo Unico Abrogativo tutte le disposizioni in materia di privacy fino ad allora emanate. Il controllo sulla corretta applicazione del Codice è affidata ad un organo collegiale chiamato GARANTE PER LA PROTEZIONE DEI DATI PERSONALI. 3

4 LA TUTELA DEI DATI: principi generali La tutela delle informazioni trattate con strumenti sia informatici che cartacei deve garantire: - RISERVATEZZA: accesso ai dati solo alle persone autorizzate; - INTEGRITA : prevenire la corruzione dei dati dovuta a fattori esterni o al trascorrere del tempo; - DISPONIBILITA : i dati devono essere fruibili quando richiesto. Al fine di EVITARE RISCHI di: Distruzione o perdita, anche accidentale, dei dati; Accesso non autorizzato; Trattamenti non autorizzati o non conformi alla finalità della raccolta. 4

5 LA CLASSIFICAZIONE DEI DATI PERSONALI: Informazioni relative a persone fisiche o giuridiche chiaramente identificate o identificabili. SENSIBILI: Dati idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. GIUDIZIARI: Dati idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato. 5

6 LE FIGURE coinvolte nel trattamento INTERESSATO: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. TITOLARE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati. RESPONSABILE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. INCARICATI: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. 6

7 I DIRITTI DELL INTERESSATO Il Titolare del trattamento ha il dovere di: 1. Fornire all interessato l Informativa; 2. Raccogliere il consenso dell interessato. L INTERESSATO HA DIRITTO in qualsiasi momento: Di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, e la loro comunicazione in forma intelligibile. Di ottenere l aggiornamento, la rettifica, l integrazione, la cancellazione, la trasformazione o il blocco dei dati. Di opporsi per motivi legittimi al trattamento dei dati che lo riguardano. Di esercitare i propri diritti con richiesta rivolta senza formalità al Titolare o al Responsabile. 7

8 L INFORMATIVA: art. 13 D.Lgs. 196/2003 L'interessato è previamente informato circa: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; i diritti di cui all'articolo 7 (aggiornamento / integrazione / cancellazione / blocco); gli estremi identificativi del titolare e del responsabile, indicando le modalità attraverso cui quest ultimo è raggiungibile; 8

9 IL CONSENSO: art. 23 D.Lgs. 196/2003 Il trattamento di dati personali è ammesso solo con il consenso espresso dell'interessato. Il consenso è VALIDO solo se: è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato; è documentato per iscritto; sono state rese all'interessato le informazioni di cui all'articolo 13 (informativa). Il consenso deve essere obbligatoriamente manifestato in forma scritta quando il trattamento riguarda dati sensibili. 9

10 IL CONSENSO non è richiesto quando 1. Se è necessario per adempiere ad un obbligo previsto dalla legge; 2. Se è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato; 3. Se riguarda dati provenienti da pubblici registri, elenchi, atti o documenti; 4. Se riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa; 5. Se è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo o dell interessato; 6. Se è necessario ai fini dello svolgimento delle investigazioni difensive; 7. Se è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati. 10

11 LE MISURE DI SICUREZZA MISURE MINIME DI SICUREZZA: Sono misure fissate e denunciate dalla normativa cui si deve attenere l incaricato a seconda che esso debba trattare dati archiviati in sistemi informativi oppure no. Il non applicarle comporta una SANZIONE AMMINISTRATIVA. MISURE IDONEE: Sono misure volte a prevenire un incidente. Il non applicarle comporta una responsabilità civile RISARCIMENTO DANNI. La misura di sicurezza più importante sta nella diligenza e nella prudenza di tutti coloro che sono coinvolti nel trattamento dei dati personali 11

12 LE MISURE MINIME DI SICUREZZA Trattamenti CON l ausilio di STRUMENTI ELETTRONICI: Autenticazione informatica Credenziali di autenticazione Profili di autorizzazione Aggiornamento periodico di incarichi e autorizzazioni Backup DPS: Documento Programmatico sulla Sicurezza Adozione di tecniche di cifratura o di codici identificativi per il trattamento di dati sensibili. 12

13 LE MISURE MINIME DI SICUREZZA Trattamenti SENZA l ausilio di STRUMENTI ELETTRONICI: Aggiornamento periodico degli incarichi Procedure per un idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti Conservazione di documenti contenenti dati sensibili con modalità sicure e separatamente dalla restante documentazione Protezione fisica delle aree DPS: Documento Programmatico sulla Sicurezza 13

14 I PROFILI DI AUTORIZZAZIONE Il titolare o responsabile devono impostare un sistema di autorizzazioni che stabilisca per ogni singolo incaricato, o gruppi omogenei di incaricati, quali sono i dati a cui può accedere e i trattamenti a lui consentiti. Le caratteristiche di ogni singolo profilo devono essere descritte nelle specifiche istruzioni (redatte in forma cartacea) che ogni responsabile consegnerà ad ogni incaricato. Anche se diverse categorie di incaricati possono accedere agli stessi dati, non è detto che i privilegi di accesso siano gli stessi. Periodicamente, e comunque almeno una volta all anno, deve essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. 14

15 LE CREDENZIALI DI AUTENTICAZIONE Il trattamento di dati personali con strumenti elettronici è consentito ai soli incaricati dotati di credenziali di autenticazione che ne consentano l identificazione e che permettano di applicare all utente il profilo di autorizzazione opportuno. Le credenziali sono composte da: 1. CODICE DI IDENTIFICAZIONE, non necessariamente segreto; 2. PAROLA CHIAVE, segreta e nota solo all incaricato. E dovere dell incaricato custodire le credenziali di autenticazione con la massima cura ed avvisare il Responsabile in caso di diffusione, smarrimento, furto. Le credenziali devono essere disattivate nei casi sopra citati o di perdita della qualità che consente all incaricato l accesso ai dati personali / sensibili. 15

16 CODICE DI IDENTIFICAZIONE Il codice di identificazione può consistere in: - CODICE ALFANUMERICO (user id), associato a una parola chiave. - DISPOSITIVO DI AUTENTICAZIONE in possesso ed uso esclusivo dell incaricato (smart card, token usb ), eventualmente associato ad una parola chiave. - CARATTERISTICA BIOMETRICA dell incaricato (impronta digitale), eventualmente associata ad una parola chiave. Il codice di identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 16

17 PAROLA CHIAVE: le caratteristiche La parola chiave deve essere composta da almeno 8 caratteri (se inferiore, pari al massimo che lo strumento elettronico consenta). Deve essere cambiata dall incaricato al primo accesso e successivamente: Cambiata almeno OGNI 6 MESI, in caso di trattamento di dati personali; Cambiata almeno OGNI 3 MESI, in caso di trattamento di dati sensibili o giudiziari; Cambiata OGNI VOLTA che il responsabile la utilizza (o la cambia) in caso di assenza dell incaricato. 17

18 PAROLE CHIAVE: composizione e conservazione Deve contenere almeno un numero, un lettera minuscola, una lettera maiuscola e un carattere speciale, es.: $!. ; : Non deve contenere riferimenti facilmente individuabili, es. codice di identificazione; nome/cognome; nomi di animali domestici; ecc. Possono essere usate due o più parole concatenate. Evitare singole parole di senso compiuto assai diffuse. Evitare caratteri sequenziali ripetuti o cifre a salire o scendere. Evitare al cambio di password l alternanza tra due password, o il cambio di un singolo carattere. Evitare di annotare la parola chiave; se indispensabile evitare di mettere il foglio in posti ovvii (sotto il tappetino del mouse, sotto la tastiera, ecc.). 18

19 ACCESSO AI DATI in assenza dell incaricato Quando l accesso ai dati è consentito mediante l uso della parola chiave, il titolare/responsabile in caso assenza dell incaricato, e per esclusive necessità, devono avere la disponibilità dei dati medesimi. In tal caso: Se è presente un sistema centralizzato di controllo delle credenziali, l amministratore di sistema (ADS) potrà cambiare temporaneamente la parola chiave. E poi obbligo dell ADS comunicare all incaricato l avvenuta variazione e obbligarlo a cambiare nuovamente la parola chiave. Se non è presente un sistema centralizzato di controllo delle credenziali, l incaricato dovrà preventivamente scrivere le proprie credenziali e inserirle in una busta chiusa e sigillata; consegnare la busta al responsabile della custodia delle credenziali, il quale la dovrà conservare in luogo protetto e sicuro (cassaforte). In caso di apertura della busta, il custode delle credenziali dovrà avvertire l incaricato, il quale provvederà a ricambiare la parola chiave e ripetere il processo di consegna in busta chiusa. 19

20 PROTEZIONE DEGLI STRUMENTI ELETTRONICI Gli strumenti elettronici devono essere dotati di opportune PROTEZIONI contro il rischio di intrusione e contro l azione di programmi diretti a danneggiare o interrompere un sistema informatico. Il Garante ha previsto un aggiornamento degli strumenti elettronici adottati con cadenza ALMENO SEMESTRALE, ma e buona norma provvedere ad eseguire gli aggiornamenti con cadenza giornaliera e se possibile anche ad intervalli minori. Le misure minime sono: - Programmi Antivirus / Antispyware; - L incaricato deve verificare che tutte le protezioni installate sugli strumenti elettronici a lui affidati vengano aggiornati quotidianamente. 20

21 PROTEZIONE DEGLI STRUMENTI ELETTRONICI I programmi per elaboratore devono essere essere aggiornati periodicamente per: - Prevenire la vulnerabilità degli strumenti elettronici; - Correggerne i difetti. L aggiornamento deve essere eseguito almeno: - ANNUALMENTE in caso di trattamento di dati personali; - SEMESTRALMENTE in caso di trattamento di dati sensibili o giudiziari. L incaricato deve verificare che periodicamente gli strumenti elettronici a lui affidati siano aggiornati (sistemi operativi, programmi, protezioni). 21

22 COPIE DI SICUREZZA E obbligatorio adottare idonee misure per garantire il ripristino dell accesso ai dati in caso di danneggiamento, in tempi non superiori a SETTE GIORNI. L incaricato deve assicurarsi che i dati residenti sugli strumenti elettronici a lui affidati vengano periodicamente salvati nel sistema centrale, il quale provvederà ad eseguire le copie di sicurezza; se ciò non fosse possibile, l incaricato deve provvedere autonomamente ad eseguire il salvataggio. TIPOLOGIA (dischi esterni, cd/dvd, chiavette usb, altro), METODOLOGIA (completi, differenziali, rotazione dei supporti, periodicità) e QUANTITA delle copie di sicurezza da conservare devono essere congrue per garantire il ripristino completo e senza perdite dei dati nei termini stabiliti dal Garante. 22

23 COPIE DI SICUREZZA Le copie di sicurezza devono essere archiviate in locali separati da quelli che contengono gli strumenti elettronici, e in contenitori di sicurezza (casseforti o armadi blindati e possibilmente ignifughi). Nel caso di trasporto all esterno utilizzare contenitori sicuri, dotati di serrature di sicurezza (meglio se ignifughi). Non abbandonare mai il contenitore. Non conservarlo in luoghi pericolosi. Se i dati sono di tipo sensibile o giudiziario, devono essere crittografati. Chi detiene le copie di sicurezza deve effettuare periodicamente dei test di ripristino al fine di verificare la validità dei backup. 23

24 TRATTAMENTO di dati sensibili e giudiziari I dati sensibili e giudiziari tenuti con l'ausilio di strumenti elettronici, devono essere trattati o con tecniche di cifratura o mediante l'utilizzazione di codici identificativi che li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessità. (Art. 22 comma 6). Ad esempio, gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale con le modalità di cui all articolo 22, comma 6, del codice, al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. 24

25 UTILIZZO DI SUPPORTI O STRUMENTI ELETTRONICI trasportabili I dati personali residenti su supporti trasportabili (PC portatile, chiavette usb, dischi esterni, cd/dvd, ecc.), e portati all esterno della sede aziendale, devono essere protetti contro l involontario o il volontario tentativo di lettura. Le soluzioni possono essere: Bauletti blindati, quando non ne è previsto l uso ma solo il trasporto; Software di cifratura, quando i dati devono essere utilizzati. Indipendentemente dallo strumento di protezione che si decide di utilizzare, rimane indispensabile che l incaricato che li trasporta non li abbandoni mai e si accerti che essi non siano accessibili ad estranei. 25

26 LA CANCELLAZIONE SICURA delle informazioni È importante adottare idonee misure volte a evitare accessi non consentiti ai dati personali memorizzati nelle apparecchiature destinate a essere riciclate o smaltite. Esempi sono : CD E DVD Quando i dati contenuti sono obsoleti provvedere a distruggerli fisicamente. CHIAVETTE USB E DISCHI ESTERNI Usare tecniche di cifratura dei file; Prima di procedere al loro riutilizzo utilizzare tecniche di cancellazione sicura; Se non più utilizzabili provvedere a distruggerli fisicamente. 26

27 POSTA ELETTRONICA E INTERNET Il controllo della navigazione Internet e della posta elettronica comportano un trattamento di dati personali e sensibili, riguardanti i lavoratori o terzi, identificati o identificabili. COMPETE AI DATORI DI LAVORO: Assicurare la funzionalità e il corretto impiego dei sistemi informativi da parte dei lavoratori; Definirne le modalità d'uso nell'organizzazione dell'attività lavorativa; Tenere conto della disciplina in tema di diritti e relazioni sindacali; Adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità dei sistemi informativi e dei dati, anche per prevenire utilizzi indebiti. 27

28 POSTA ELETTRONICA Il contenuto dei messaggi di posta elettronica riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente. Tuttavia, con specifico riferimento all'impiego della posta elettronica nel contesto lavorativo, può risultare dubbio se il lavoratore utilizzi la posta elettronica esclusivamente operando nell'organizzazione datoriale o ne faccia anche un uso personale pur operando in una struttura lavorativa. A tal proposito, è possibile prevenire violazioni della disciplina sull'eventuale segretezza della corrispondenza nel seguente modo: l incaricato può nominare persona di fiducia che in caso di sua assenza e per esigenze aziendali, alla presenza del responsabile, provveda alla lettura della propria posta elettronica. Il responsabile dovrà essere a conoscenza della nomina, da eseguirsi per iscritto, e sarà sua cura avvisare, non appena possibile, l incaricato dell avvenuta operazione di lettura della posta in sua assenza. 28

29 VIDEOSORVEGLIANZA La raccolta, la registrazione, la conservazione e, in generale, l'utilizzo di immagini configura un trattamento di dati personali. Gli interessati devono sempre essere informati che stanno per accedere in una zona videosorvegliata, salvo i casi particolari previsti dal Garante. - Luoghi di lavoro: le telecamere possono essere installate solo nel rispetto delle norme in materia di lavoro. Vietato il controllo a distanza dei lavoratori. - Tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine, per prevenzione incendi, sicurezza sul lavoro, ecc., si possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base delle prescrizioni indicate dal Garante. 29

30 TRATTAMENTO SENZA STRUMENTI ELETTRONICI L incaricato deve ricevere istruzioni riguardo le - modalità di utilizzo e custodia dei documenti su cui sono riportati i dati personali, in particolare: deve controllare e custodire i documenti fino alla restituzione e al ritorno in archivio per evitare che possano essere letti o fotocopiati; i documenti cartacei debbono essere tenuti per il massimo tempo possibile all interno di archivi protetti; i dati personali, e in particolare i dati sensibili, devono essere tenuti in armadi chiusi a chiave; se l area dove vengono trattati e/o archiviati dati sensibili non e presidiata, deve essere chiusa a chiave. 30

31 TRATTAMENTO SENZA STRUMENTI ELETTRONICI Gli archivi (armadi, locali, ecc.) con dati personali devono avere idonee caratteristiche: Organizzati in modo tale che sia sempre possibile reperire i documenti ricercati. Accessi selezionati in modo che ai dati possano accedere solo gli incaricati con i profili adeguati. Protetti come anti incendio, elevazione da terra per anti allagamento, accessi sicuri, se necessario allarmi anti intrusione. Caratteristiche ambientali idonee quali ottimali livelli di temperatura e umidità, mancanza di insetti / animali che ne possano deteriorare la conservazione. 31

32 UTILIZZO DEL FAX Il fax tradizionale con supporto cartaceo dovrà essere posizionato in una zona tale da escludere che personale non incaricato, o estraneo all azienda, possa prendere visione dei fax in arrivo. Nel caso di trattamento di dati sensibili, si dovranno adottare particolari misure di sicurezza; le possibilità sono : 1. Il ricevente chiede al mittente di inviare il fax solo quando egli presidia fisicamente il fax. 2. Il ricevente e dotato di fax dedicato a lui solamente o al suo ufficio, e quest ultimo dovrà essere chiuso a chiave quando non presidiato. 3. Il fax software dovrà essere configurato in modo tale da inviare l immagine ricevuta al solo destinatario. 4. Il mittente deve sempre riportare il destinatario e in calce l avviso per la riservatezza dei dati contenuti. 5. Il mittente prima di inviare un fax deve accertarsi che il destinatario sia pronto a riceverlo, per evitare che venga lasciato incustodito in attesa di essere prelevato. 32

33 GESTIONE AMMINISTRATIVA clienti/fornitori I dati amministrativi e contabili relativi a clienti e fornitori sono dati Personali nella gran parte dei casi. Saltuariamente vi sono trattamenti di dati giudiziari per contenziosi, recupero crediti, contenziosi tributari, ecc.; in questi casi si applicano le medesime accortezze applicabili ai dati sensibili. L Incaricato che rileva la presenza di dati sensibili non previsti dal proprio incarico deve avvisare il Responsabile. 33

34 La propria POSIZIONE AMMINISTRATIVA Il personale dipendente ha diritto alla tutela dei propri dati personali ed in particolare di quelli sensibili riguardanti lo stato di salute, le adesioni sindacali, ecc., pertanto ogni dipendente deve ricevere: 1. L Informativa; 2. La lettera di incarico con l assegnazione dei trattamenti a cui può accedere; 3. La policy sull utilizzo degli strumenti elettronici e di eventuali controlli applicati; 4. La formazione in merito alla privacy. Il dipendente deve rendere per iscritto: Il consenso al trattamento dei dati personali; La ricevuta di ricevimento della lettera di incarico, della policy, della formazione. In caso di malattia non consegnate all Ufficio Personale il tagliando del medico con la diagnosi della malattia, ma il solo tagliando anonimo. 34

35 RACCOMANDAZIONI AGLI INCARICATI: supporti elettronici In vostra assenza non lasciate visualizzati sullo schermo dei dati personali. Accertatevi che estranei non possano osservare i dati sullo schermo, es. attraverso pareti vetrate. Evitate di discutere informazioni relative a dati personali, anche con colleghi che non hanno il medesimo incarico. Cancellate sempre tutti i dati residui quando non più utilizzati. Se vi accorgete di aver accesso a dati e programmi di trattamento non di vostra competenza, informate subito il titolare o il responsabile. Non utilizzate dischetti, cd\dvd, chiavette usb, dischi esterni, ecc. con dati e programmi di provenienza ignota, per evitare infezioni da virus e di danneggiare i dati. Provvedete affinchè l aggiornamento dell antivirus venga effettuato più volte al giorno (comunque con cadenza non oltre i 6 mesi). 35

36 RACCOMANDAZIONI AGLI INCARICATI: supporti elettronici Provvedete affinché l aggiornamento del sistema operativo, di altri programmi di protezione, e dei programmi applicativi venga effettuato con cadenza periodica e non appena il produttore rende disponibili gli aggiornamenti (comunque non oltre i 12 mesi, e nel caso di trattamento di dati sensibili non oltre i 6 mesi). Al termine del trattamento chiudete sempre i programmi secondo procedura. Proteggete i computer, gli apparati terminali ed i supporti di registrazione da condizioni climatiche sfavorevoli. Predisponete copie di riserva dei dati ( copie di backup ) e conservatele in aree sicure. In caso di dati sensibili, le copie di backup devono avere una frequenza almeno settimanale. Non trasportate fuori dalla sede aziendale dati personali su supporti rimovibili (dischetti, chiavette usb, cd\dvd, dischi esterni, ecc.) se questi non vengono prima crittografati. 36

37 RACCOMANDAZIONI AGLI INCARICATI: supporti cartacei I documenti cartacei devono essere tenuti per il massimo tempo possibile all interno di archivi protetti. Controllate e custodite i documenti con dati personali, fino alla restituzione e al ritorno in archivio per evitare che possano essere letti o fotocopiati. Per il trasporto fuori dalla sede aziendale di documenti con dati personali utilizzate borse/bauletti con serratura di sicurezza o blindati. I documenti durante il trasporto non devono essere mai abbandonati (auto, alberghi, ristoranti, ecc.) Nelle aree dove vengono trattati e/o archiviati documenti con dati sensibili, quando l area non e presidiata deve essere chiusa a chiave. 37

38 RACCOMANDAZIONI AGLI INCARICATI Se vi vengono richiesti via telefono dati personali, accertatevi sempre che il richiedente abbia titolo a richiederli. In caso di dati sensibili utilizzate mezzi più sicuri di comunicazione. Se dovete comunicare via telefono dati personali, accertatevi che terzi estranei non possano udirvi. 38

39 IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) Il DPS è una rappresentazione sintetica del sistema di gestione della privacy instaurato in azienda, in particolare vengono esplicitate le misure di sicurezza che il titolare ed il responsabile hanno adottato per garantire un livello minimo di protezione dei dati personali. Il documento, inoltre, deve contenere una descrizione del piano di formazione degli incaricati del trattamento. Il DPS DEVE ESSERE AGGIORNATO ENTRO IL 31 MARZO DI OGNI ANNO. 39

40 IL PIANO DI FORMAZIONE L incaricato NON può trattare dati personali senza aver ricevuto un adeguata formazione. Il Piano di formazione deve essere articolato in modo tale da fornire agli incaricati tutte le indicazioni opportune al fine di effettuare un trattamento di dati in condizioni di sicurezza. L INCARICATO DEVE SEMPRE ESSERE AGGIORNATO SULLE MISURE DI SICUREZZA IN ATTO E PREVISTE. 40