PRIVACY D.Lgs.196/2003 Check.-list adempimenti per verifica annuale adeguamento alle misure minime di sicurezza previste

Transcript

1 LISTA DI CONTROLLO ADFEMPIMENTI PRIVACY PREVISTI DAL D.LGS.196/03 BARRARE SE OK INFORMATIVE DEL TRATTAMENTO EX ART. 13 ELEMENTI DA INDICARE OBBLIGATORIAMENTE NELL INFORMATIVA: 1. Finalità del trattamento 2. Modalità del trattamento 3. Natura obbligatoria o facoltativa del conferimento dei dati 4. Conseguenze di un eventuale rifiuto di rispondere 5. Soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi 6. i diritti dell Interessato di cui all'articolo 7 7. Chi è il titolare del trattamento 8. Quando il titolare ha designato più responsabili va indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali é conoscibile in modo agevole l'elenco aggiornato dei responsabili. 9. Quando é stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, é indicato tale responsabile. E stata predisposta informativa per i clienti + privacy policy sito? E stata predisposta l informativa FORNITORI (anche verbale) E stata predisposta DIPENDENTI(e assimilati)? Tutte le finalità perseguite devono essere indicate in ciascuna informativa: è stato controllato? Nell Informativa è stato indicato il nome di almeno un Responsabile (se nominato)? Se è prevista la comunicazione di dati ad altri titolari o a privati è stato annunciato nell informativa? Se è prevista la diffusione di dati è stato annunciato nell informativa? Se è previsto che altri titolari svolgano trattamenti per ns conto,è stato indicato nell informativa? Se il titolare ha designato più responsabili, è stato indicato il sito web o le modalità attraverso le quali é conoscibile in modo agevole l'elenco aggiornato dei responsabili? E stata predisposta una procedura per attestare l avvenuta informativa? (N.B. Tale procedura non è obbligatoria, ma solo opportuna) E stata predisposta una procedura per i dati personali che pervengono per posta (anche elettronica) senza essere richiesti e che pertanto non possono essere utilizzati perché assente l informativa? (N.B. Tale procedura non è obbligatoria, ma solo opportuna) Sono state date esaurienti istruzione agli incaricati che raccolgono dati personali, compresa posta elettronica, fax, lettere, ecc.? (obbligatorio) E stata impostata una procedura per il riscontro all Interessato nel caso di accesso mediante art. 7 e seguenti? (N.B. Tale procedura non è obbligatoria, ma solo opportuna) Pagina 1-5

2 CONSENSI AL TRATTAMENTO Sono stati raccolti i consensi per l utilizzo dei dati per info info commerciali e marketing? Sono stati raccolti i consensi per l utilizzo delle immagini anche sui social network, sito web, eventi ecc..? LETTERE DI NOMINA PER INCARICATI DEL TRATTAMENTO Sono stati nominati Incaricati tutti i dipendenti e collaboratori che a qualsiasi titolo trattano dati personali? Ha avuto nomina specifica il custode delle password e codici identificativi? Ha avuto nomina specifica l Amministratore di sistema secondo quanto previsto dal provvedimento del garante? Per ciascun Incaricato (o per intere unità organizzative) è stato individuato puntualmente l'ambito del trattamento consentito? E stato loro reso noto? Sono state impartite loro adeguate istruzioni? E stata programmata adeguata formazione per ciascuno, in base ai compiti? Sono state predisposte modalità organizzative per far conoscere immediatamente la sua qualifica di incaricato a ogni nuovo arrivato o supplente? (attraverso consegna della lettera di nomina con istruzioni) E stato predisposto e consegnato il mansionario per uso Internet e Posta Elettronica da parte degli incaricati del trattamento? RESPONSABILI ESTERNI Le persone fisiche o giuridiche esterne che trattano dati per conto dell azienda sono state TUTTE nominate responsabili esterni (esempio consulenti e professionisti)? E stata fatta la nomina a incaricati o responsabili esterni che fanno manutenzione al software? E stata fatta la nomina a incaricati o responsabili esterni che fanno manutenzione dell hardware? Ha avuto nomina specifica a Incaricato o responsabile il Responsabile del Servizio di Prevenzione e Protezione che potrebbe trattare particolari dati anche sensibili se è un esterno e se si tratta di una persona fisica? Ha avuto nomina specifica il personale che si occupa delle pulizie dei locali con opportuna formazione? Sono stati nominati responsabili esterni TUTTE le società, ditte pluripersonali ecc. esterne al Titolare, che trattano dati per suo conto? Per ciascuno è stato individuato puntualmente l'ambito del trattamento consentito? E stato loro reso noto? Sono state impartite loro adeguate istruzioni, anche solo orali? E stata programmata adeguata formazione per ciascuno, in base ai compiti? RESPONSABILI INTERNI Sono stati nominati i responsabili e custodi delle chiavi degli archivi di dati Pagina 2-5

3 sensibili presenti nei vari locali? I compiti affidati sono stati analiticamente specificati per iscritto dal titolare? A ciascun responsabile sono state date le necessarie istruzioni? Ciascun Responsabile è stato messo in grado di ricevere adeguata formazione? DOCUMENTO PROGRAMMATICO SULLA SICUREZZA il decreto semplificazioni entrato in vigore nel mese di marzo 2012 ha abrogato esclusivamente la redazione e l aggiornamento del DPS mantenendo inalterati i restanti obblighi previsti dal Codice della Privacy, che rimangono pertanto in vigore (obbligo di adozione delle misure minime di sicurezza). È comunque obbligatorio avere a disposizione i dati relativi alla gestione Privacy quindi opportuno continuare a redigere il documento (EVENTUALE) NOTIFICA AL GARANTE Per chi vi è tenuto MISURE DI SICUREZZA SU SISTEMA INFORMATICO Ognuna delle misure minime di seguito elencate deve avere il Certificato di Conformità. Esso è un documento che è obbligatorio farsi rilasciare dal fornitore/tecnico esterno quando installa le misure minime (che possono essere sia hardware che software). Infatti il punto 25 dell << ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA>> prescrive:<< Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione, riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico>>. VERIFICARE pertanto puntualmente per ciascuna misura minima se tale Certificato di Conformità esiste. CREDENZIALI DI ACCESSO AL COMPUTER (all. B punti 1 11) Ciascun computer contenente dati personali (o che può accedere a dati personali) è stato configurato in modo che ciascun Incaricato che lo utilizza vi acceda mediante credenziali (Password e nome utente)? Ciascun Incaricato che utilizza il computer ha avuto la consegna delle credenziali iniziali, con l invito a cambiare immediatamente la password? Ciascun Incaricato che utilizza il computer ha avuto istruzioni chiare per gestire la sua password(caratteristiche delle password, obbligo del cambiamento password ogni 3 mesi se tratta anche dati sensibili/giudiziari, altrimenti ogni 6 mesi; segretezza assoluta nella gestione della password? Sono state predisposte procedure per rimuovere le credenziali, quando il dipendente lascia il servizio per qualsiasi ragione o comunque non le usa per 6 mesi)? Sono state predisposte procedure per assegnare le credenziali iniziali a nuovi dipendenti che arrivano? Pagina 3-5

4 SISTEMA DI AUTORIZZAZIONE - PROFILI DI AUTORIZZAZIONE (all. B punti 12 15) E stata eseguita una valutazione se servono profili differenziati per i vari Incaricati che usano i computers? (è opportuno conservarla agli atti) I computer sono stati configurati adeguatamente secondo i profili di autorizzazione individuati come necessari? ALTRE MISURE (all. B punti 16 18) E stato installato l antivirus su ogni PC? (va aggiornato regolarmente con le nuove definizioni e va verificata la validità della licenza) Sono state date istruzioni o impostata una procedura per aggiornare periodicamente il sistema operativo (Windows), Office (Word, Excel, ecc.) e altri programmi utilizzati con le aggiunte predisposte dalla casa che ha prodotto tali software, allo scopo di prevenire vulnerabilità alle intrusioni e difetti? Sono state impartite istruzioni organizzative e tecniche per il salvataggio dei dati con frequenza almeno settimanale? E stato istituito il registro dei back-up? ULTERIORI MISURE PER I DATI SENSIBILI E GIUDIZIARI (all. B punti 20 24) E stato installato il firewall sul sistema informatico? Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili (= floppy disk, CD, flash pen, dischi fissi esterni o altro) su cui sono memorizzati i dati al fine di evitare accessi non autorizzati? Sono impartite istruzioni organizzative e tecniche per far sì che supporti rimovibili non più utilizzati siano distrutti in modo sicuro o, se riutilizzati da altri incaricati non autorizzati a trattare gli stessi dati, siano almeno ri-formattati? Sono state adottate idonee misure per garantire entro 7 giorni il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici? Avete individuato un fornitore in grado di sostituire immediatamente il disco fisso, se il guasto riguarda questa componente? In particolare, per il caso di rottura del disco fisso: è utilizzato un programma che crea a ogni cambiamento importante dei programmi un file immagine del disco fisso in modo che sia ripristinabile immediatamente il sistema operativo, i programmi e i drivers, cosicché cambiando solo il disco fisso il computer sia operativo in poche ore? Se sì, se questa misura minima è stata installata da un fornitore/tecnico esterno, avete in atti un adeguato Certificato di Conformità? Avete programmato prove di ripristino dei programmi e dei dati salvati col backup (dagli esperti è considerata parte essenziale delle misure idonee )? IMPLEMENTAZIONE MISURE MINIME DI SICUREZZA (OBBLIGATORIE) PER LA GESTIONE DEI DOCUMENTI CARTACEI (all. B punti 27 29) Pagina 4-5

5 Gli archivi possono essere : 1) A bassa sicurezza, per dati comuni o neutri, con accesso selezionato (= il Titolare o il Responsabile decidono chi può entrarvi). 2) Ad alta sicurezza, ovviamente per dati sensibili o giudiziari, con accesso non solo selezionato, ma anche controllato : esiste una sola chiave disponibile e l Incaricato che ne ha bisogno e che è autorizzato deve chiederla al Responsabile delle chiavi, che registra l accesso oppure, se c è una vigilanza, ad essa. Può esserci, in alternativa, un sistema elettronico di controllo dell accesso mediante badge. Chi accede fuori orario di lavoro, deve essere annotato in apposito registro. Agli incaricati sono impartite istruzioni per cui, quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono loro affidati per lo svolgimento dei relativi compiti, i medesimi atti e documenti siano controllati e custoditi dagli incaricati stessi fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e siano restituiti al termine delle operazioni affidate? Allo scopo, ogni incaricato è stato dotato di cassetto personale chiudibile a chiave? L'accesso agli archivi contenenti dati sensibili o giudiziari é controllato (cioè la chiave è gestita da un Custode delle chiavi )? E stato nominato il responsabile archivio e Custode delle chiavi? Se c è un sistema di controllo elettronico dell accesso a tali archivi oppure tale controllo è effettuato da addetti alla vigilanza, le persone che vi accedono sono state preventivamente autorizzate? Le persone ammesse, a qualunque titolo, a tali archivi dopo l'orario di chiusura, sono identificate e registrate? VIDEOSORVEGLIANZA Sono presenti sistemi di Videosorveglianza? (anche solo una telecamera) E stato predisposto e reso noto il regolamento per la gestione dei sistemi di videosorveglianza? Sono stati predisposte e consegnate le lettere di incarico per i soggetti che cestiscono a vario titolo la videosorveglianza (anche personale tecnico) Pagina 5-5