ALLEGATO 1. Le istruzioni che seguono sono vincolanti per il Responsabile Esterno: Istruzioni generali per il trattamento

Transcript

1 ALLEGATO 1 Le istruzioni che seguono sono vincolanti per il Responsabile Esterno: Istruzioni generali per il trattamento E facoltà del Responsabile impartire agli incaricati istruzioni secondo forme discrezionali, purché conformi nei contenuti e nella sostanza a quanto di seguito indicato. E facoltà del Titolare esaminare e, se del caso, approvare le istruzioni impartite dal Responsabile agli incaricati. Ove il Responsabile rilevi la sua impossibilità a rispettare le istruzioni impartite dal Titolare, anche per fatti imprevisti (danneggiamenti, anomalia di funzionamento delle protezioni e controlli accesso, ecc.) è suo dovere avvertirlo immediatamente ed attuare comunque le possibili e ragionevoli misure di salvaguardia concordando eventuali ulteriori misure di protezione. I dati raccolti non devono mai essere utilizzati per finalità di profilazione o di marketing diretto, fatto salvo il caso di specifica istruzione scritta da parte del Titolare del trattamento. Modalità di designazione degli incaricati Il Responsabile può designare degli incaricati, che operano sotto la sua diretta autorità, attenendosi alle istruzioni impartite. Il titolare attribuisce pertanto al Responsabile del trattamento dei dati la facoltà di designare incaricati ai quali affidare operazioni relative al trattamento di dati personali. Il decreto legislativo impone che tale designazione sia effettuata per iscritto e che nella lettera di designazione vengano individuati puntualmente gli ambiti di trattamento consentito. Si sottolinea che è considerata designazione automatica la documentata preposizione di una persona fisica ad una unità organizzativa della struttura per la quale sia stato individuato per iscritto l ambito del trattamento consentito agli addetti all unità medesima. Si raccomanda, comunque, di compilare in allegato un elenco nominativo di tutti gli incaricati, e ad ognuno dei quali: - deve essere consegnata la lettera di designazione - devono essere consegnate istruzioni scritte sulle modalità di trattamento dei dati. Tali istruzioni possono essere di natura generale e quindi uguali per tutti gli incaricati, ed eventualmente integrate da istruzioni specifiche qualora l incaricato svolga, in fase di trattamento dei dati personali, attività bisognose di particolare illustrazione e secondo modalità che richiedono particolari cautele. Istruzioni per la raccolta dei dati personali Il decreto legislativo 196/2003 prevede il rispetto di particolari cautele in fase di raccolta dei dati personali oggetto di futuro trattamento. E fatto obbligo al Responsabile di prendere diretta e personale cognizione di tutte le modalità e cautele con cui si deve effettuare l attività di informativa e di raccolta del consenso all utilizzo dei dati personali di un interessato. E parimenti fatto obbligo al responsabile di istruire in modo opportuno, anche per iscritto, tutti gli incaricati della raccolta di dati personali, per essere certo che questa critica fase di acquisizione venga svolta nel pieno rispetto degli obblighi di cui al decreto citato e degli interessi della struttura che raccoglie e tratta proprio questi dati. In particolare si richiama l attenzione dei responsabili incaricati sui seguenti punti. La classificazione dei dati Si richiama l attenzione del responsabile e degli incaricati sul fatto che è indispensabile, in fase di raccolta od introduzione dei dati personali nel sistema informativo, classificare i dati stessi secondo le modalità illustrate dal Titolare. La omessa classificazione in fase di raccolta può creare disservizi a catena per la impossibilità di rintracciare, aggiornare e trattare in modo differenziato diverse categorie di dati. 1

2 La gestione dei documenti, utilizzati in fase di raccolta dei dati personali Si richiama l attenzione del Responsabile e degli incaricati sulla necessità di custodire in modo sicuro e riservato tutti i documenti cartacei ove siano presenti dati personali dell interessato ed, in particolare, i dati sensibili. Tali dati non debbono essere alterati, se non attraverso la appropriata trafila indicata e catalogata tra le istruzioni per il diritto di accesso. Ove si debba distruggere una copia obsoleta o una copia non utilizzata per errata compilazione od altro, l incaricato si dovrà attenere alle procedure successivamente indicate, relative alla distruzione di documenti cartacei. Non si dovranno mai gettare nel cestino della carta straccia copie obsolete od errate di documenti cartacei contenenti i dati personali. Parimenti, ove ragioni operative rendano necessaria l acquisizione ed il trasporto dei dati personali all esterno dei siti operativi, si dovranno prendere tutte le cautele appropriate per la loro sicura conservazione. Ove i dati vengano direttamente digitati su personal computer portatile, ad esempio in fase di prospezione o di sviluppo di attività commerciali e promozionali, si dovrà prendere ogni cautela per la sicura conservazione dei dati informatizzati. Divieto di comunicazione o diffusione Istruzioni per il rispetto del diritto di accesso E fatto assoluto divieto di comunicare e diffondere dati personali, in fase di acquisizione, a terzi esterni. Pertanto, gli incaricati adotteranno le opportune cautele. Per consentire all interessato di far valere diritti di cui all art. 7 e seguenti il titolare, attiverà un apposito punto ricezione o contatto con gli interessati, (personale, postale o telefonico), funzionante in orari che rendano agevole l esercizio del diritto di accesso in zona, gestito da personale incaricato adeguatamente preparato. Sarà cura del titolare e del responsabile dare la più ampia ed appropriata pubblicità alle modalità con cui l interessato potrà raggiungere il punto di contatto. La sicurezza degli archivi La motivazione di fondo per la quale il titolare ha deciso di avvalersi della collaborazione di un responsabile esterno, designato secondo le modalità di legge, sta nella capacità, di quest ultimo di mettere a disposizione archivi idonei per la conservazione a breve, medio e lungo termine, dotati di tutte le appropriate garanzie atte a proteggere i documenti ivi custoditi dai rischi specifici elencati nell articolo 31 del d.lgs. 196/03.. Esso impone che i dati personali oggetto di trattamento debbano essere custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento stesso, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati stessi anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Trattamento con strumenti elettronici Illustriamo di seguito alcuni adempimenti critici di specifica competenza e responsabilità del Responsabile. Sistema di autenticazione Il responsabile provvederà ad attivare, gestire, tenere sotto controllo ed aggiornare un sistema di autenticazione, che sia perfettamente rispondente ai dettati di legge. Tale sistema di autenticazione potrà essere tecnicamente aggiornato, in funzione dell evoluzione delle tecnologie disponibili e della eventuale variazione del livello di rischio percepito in fase di protezione dei dati personali 2

3 Sistema di autorizzazione Il responsabile provvederà ad attivare, gestire e tenere sotto controllo ed aggiornare un sistema di autorizzazione che consenta ad ogni incaricato di accedere esclusivamente ai dati pertinenti all attività svolta. Tale sistema di autorizzazione verrà periodicamente verificato, di concerto con gli addetti alla gestione delle risorse umane, per accertarsi della congruità del profilo attribuito con le mansioni svolte. Trattamento senza strumenti elettronici Poiché la struttura non tratta esclusivamente dati su supporto informatico ma dispone anche di una mole non indifferente di documenti che costituiscono un archivio cartaceo o comunque non informatizzato, il responsabile provvederà ad emanare specifiche disposizioni per il rispetto di quanto previsto dalla legge. Istruzioni in merito alle modalità di comunicazione e diffusione Istruzioni per la cessazione del trattamento dei dati personali e distruzione di dati obsoleti Il responsabile potrà comunicare i dati personali solo agli incaricati inclusi nell apposito elenco allestito e tenuto aggiornato dal titolare, con esclusione assoluta di comunicazione e diffusione ad altri. Allo stesso modo potrà diffondere dati personali solo in specifiche circostanze. Il decreto legislativo 196/2003 prevede che, terminato il periodo di utilizzo dei dati personali, essi vengano distrutti, resi anonimi o trasferiti ad altri titolari, come previsto dall art. 16 (Cessazione del trattamento dei dati). La distruzione dei dati può avvenire solo dietro esplicita autorizzazione del titolare, il quale, di concerto con il responsabile, provvederà agli adempimenti previsti. In caso di dubbio è indispensabile rivolgersi al titolare. Metodo di distruzione Il metodo di distruzione prescelto dipende dal tipo di materiale da distruggere. Per i documenti cartacei, la forma più sicura di distruzione, è la frammentazione degli stessi con appositi tritacarte sotto il diretto controllo di un incaricato indicato dal responsabile. E accettabile, con l autorizzazione del responsabile, l accumulo di documenti in appositi grandi contenitori che vengono successivamente svuotati ed il cui contenuto viene distrutto a cura di terzi. In questi casi è opportuno prevedere che l incaricato sorvegli di persona l operazione fino alla avvenuta distruzione e che i contenitori in attesa di svuotamento devono essere conservati in zona protetta. Inoltre la distruzione deve avvenire preferibilmente nello stesso giorno in cui avviene l asportazione. Il responsabile del trattamento emetterà disposizioni in merito alla distruzione di supporti speciali, come microfilm e microfiche, dischi, CD ROM ed altri materiali sfusi. I supporti magnetici non devono essere cancellati per smagnetizzazione, ma solo per sovrascrittura di altri dati, oppure mediante distruzione. E indispensabile ispezionare ad intervalli le macchine di distruzione, per poterne verificare l efficienza ed il rispetto delle istruzioni del fabbricante. Quando possibile, e per tutti i dati particolari, deve essere compilato un verbale di distruzione con scarico del registro dei dati stessi. Questa procedura è particolarmente importante, se le copie dei documenti sono numerate, per sollevare da responsabilità di custodia l incaricato cui la copia numerata è stata affidata. E diritto dell incaricato ottenere una ricevuta dell avvenuta distruzione o della consegna al responsabile incaricato della distruzione; costituirà liberatoria di responsabilità. I prodotti di rifiuto, utilizzati nella preparazione di documenti con dati personali (fotocopie di prova, nastri o dischi di prova, dischi, cd, chiavi e supporti usb, ecc.), devono essere resi illeggibili o distrutti secondo procedure che verranno emanate dal responsabile del trattamento. Ad esempio, un nastro di macchina da scrivere è reso illeggibile se è soprascritto almeno cinque volte. Se in un sito esiste un solo incaricato e non è possibile compilare un verbale di distruzione in contraddittorio, lo stesso dovrà restituire i documenti al responsabile secondo le idonee procedure; quest ultimo rilascerà liberatoria di responsabilità. Si deve ricordare a tutti gli incaricati che le fotocopie mal riuscite, i nastri di stampante, le stampate difettose ed in genere i supporti digitali ed elettronici usati come copie di lavoro debbono essere sempre distrutti o cancellati appena il loro utilizzo non è più richiesto. 3

4 Amministratori di Sistema Si sottolinea il dovere di rispettare le misure indicate nel Provvedimento del Garante Privacy del 27 novembre 2008 in materia di Amministratori di sistema, e in particolare: a.valutazione delle caratteristiche soggettive L attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell art. 29. b.designazioni individuali La designazione quale amministratore di sistema deve essere individuale e recare l elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. c.elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l identità degli amministratori di sistema nell ambito delle proprie organizzazioni, secondo le caratteristiche dell azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell informativa resa agli interessati ai sensi dell art. 13 del Codice nell ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1 marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell ordinamento che disciplinino uno specifico settore. d.servizi in outsourcing Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. e.verifica delle attività L operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. f. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. 4

5 ALLEGATO 2 Codice in materia di protezione dei dati personali - Disciplinare tecnico in materia di misure minime di sicurezza (Artt. da 33 a 36 del Codice in materia di protezione dei dati personali) Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all incaricato ed è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all incaricato l accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l incaricato dell intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all inizio del trattamento, in modo da limitare l accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. 5

6 Altre misure di sicurezza 15. Nell ambito dell aggiornamento periodico con cadenza almeno annuale dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell azione di programmi di cui all art. 615-quinquies del codice penale, mediante l attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. 19. [soppresso] (¹) [soppresso](¹) [soppresso](¹) [soppresso](¹) [soppresso](¹) [soppresso](¹) [soppresso](¹) [soppresso](¹) [soppresso](¹) Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l accesso abusivo, di cui all art. 615-ter del codice penale, mediante l utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all identità genetica sono trattati esclusivamente all interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. 26. [soppresso] (¹) 6

7 Trattamenti senza l ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell ambito dell aggiornamento periodico con cadenza almeno annuale dell individuazione dell ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le pers 7