BREVE ANALISI DEL PROVVEDIMENTO SULLA FIGURA DELL'AMMINISTRATORE DI SISTEMA.DOC
|
|
- Romina Simonetti
- 7 anni fa
- Visualizzazioni
Transcript
1 Avv. Luca-M. de Grazia BREVE ANALISI DEL PROVVEDIMENTO SULLA FIGURA DELL'AMMINISTRATORE DI SISTEMA.DOC 1. Premessa Alcune precisazioni preliminari Analisi generale della situazione Analisi particolare del provvedimento Possibili conclusioni Il testo del provvedimento Premessa In questa sintesi verrà analizzata, in via sintetica, la portata del Provvedimento del Garante per la Protezione dei dati personali del , pubblicato nella G.U. del (reperibile, tra l altro, alla url: recentemente introdotte all art.34 del D.Lgs. n.196/2003, anche alla luce delle varie notizie riportate. L analisi si baserà fondamentalmente sul dettato della normativa 2. Alcune precisazioni preliminari Il provvedimento segue altri provvedimenti di (apparente) semplificazione delle misure (minime) di sicurezza, alcuni effettuati con provvedimento legislativo, altri effettuati con provvedimenti del Garante, e segue anche le modifiche al D.Lgs. n.196/2003 introdotte dall art. 44 del decreto legge 207/2008 (G.U. 31/12/2008), modifiche che hanno inasprito in maniera significativa le sanzioni previste dalla normativa citata. Il commento al provvedimento verrà effettuato in pieno stile da mailing list, ovvero riportando la parte di provvedimento con il commento immediatamente sottostante. Come riferimento ad un corretto sistema di gestione delle informazioni si fa espresso riferimento a quanto previsto dalla normativa ISO 27001:2005, che a parere del sottoscritto costituisce pur nascendo in ambiti normativi differenti dal nostro un ottimo sistema per applicare correttamente ed in maniera organica il disposto del D.Lgs. n.196/2003. Da ultimo verranno effettuati alcuni cenni alla relazione tra il provvedimento citato e l applicazione del D.Lgs n.231/2001, in particolare per quanto concerne la repressione dei reati informatici introdotti con l ultima modifica alla normativa appena specificata. 3. Analisi generale della situazione Il provvedimento, sia nella parte introduttiva sia nella parte della premessa, richiama espressamente quanto la giurisprudenza ha chiarito in merito alla figura del c.d. amministratore di sistema (previsto per la prima volta nelle modifiche al C.P. operate del DPR 513/97, in particolare come aggravante per alcuni reati introdotti da quel DPR).
2 Inoltre non fa altro che prendere atto della normale complessità di gestione di qualsivoglia attività organizzata di una certa dimensione, laddove per esigenze organizzative il titolare del trattamento decide di gestire i propri sistemi informativi, le proprie infrastrutture, il proprio sistema informatico e telematico non solamente in maniera diretta (il che vuole dire attraverso contratti di lavoro che prevedano il controllo diretto dell imprenditore sull operato dei lavoratori incaricati) ma anche attraverso le varie forme di collaborazione esterna, usualmente denominate outsourcing, laddove per lo più si tratta di: a. Contratti di appalto di servizi b. Contratti d opera intellettuale se più propriamente consulenza c. Contratti d opera (in qualche caso sporadico) d. Contratti che colleghino le figure innanzi indicate Inoltre, oserei dire finalmente, l Autorità prende atto della circostanza che lo skill professionale e morale (o, quanto meno, etico ) delle persone preposte a determinate attività dovrebbe comprendere una analisi a tutto tondo, rifuggendo quindi da persone che abbiano un passato non propriamente limpido. Si tratta di pratiche che le imprese serie già da tempo mettono in atto ma, in questo senso, la circostanza che un provvedimento di un Autorità Indipendente precisi tali punti non può che essere produttivo per una vera cultura della sicurezza. 4. Analisi particolare del provvedimento 4.1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29. Viene riferita anche alla figura dell A.d.S. la pre - analisi dei requisiti previsti dalla normativa per la scelta del responsabile del trattamento. Il secondo periodo non vuol significare altro che la scelta del soggetto persona fisica che svolga materialmente le funzioni di A.d.S. e quindi abbia un determinato profilo come incaricato del trattamento debba tenere conto di quanto previsto dall art Designazioni individuali. La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. A parere del sottoscritto anche in questo caso la locuzione individuale non vada intesa come ad personam ma riferita ad un (corretto) organigramma funzionale / operativo, che alla luce delle modifiche normative dovrà (se necessario) essere integrato con l elencazione analitica degli ambiti di operatività. E appena il caso di notare come questo modo di inquadrare i soggetti operanti nell ambito di serie organizzazioni complesse sia già da tempo operante; nello specifico si
3 tratterà di effettuare un ulteriore controllo dei profili utente (già previsti sin dall inizio dall allegato B) ed eventualmente apportare qualche modifica specifica. In sostanza, non occorre una elencazione di nominativi (si utilizza appunto la locuzione individuale, non personale e/o nominativa), ma una corretta gestione delle entità logico organizzative, con annesso elenco delle persone che ricoprano protempore la funzione. In pratica, non il contenuto della variabile (A), ma una corretta individuazione delle funzioni spettanti alla variabile (A); per inciso, mi sembra ovvio che qualora la persona fisica che ricopra un certo ruolo venga magari trasferito ad altro lavoro, ed al suo posto venga inserita persona con caratteristiche simili, il riferimento continui ad essere alla funzione, non alla persona Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non é tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Norma totalmente inutile per quanto concerne l inserimento nel DPS; sarebbe stato sufficiente applicare a tutti i casi la necessità di un documento interno. Ricordiamo comunque che il DPS dovrebbe essere classificato come documento riservato, non accessibile a tutti, e che non necessariamente il DPS debba avere la forma monolitica di un romanzo di appendice, ben potendo ricorrere agli allegati. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione é prevista dal provvedimento del Garante n. 13 del 1 marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Precisazione anche in questo caso inutile, in quanto deriva direttamente dalla applicazione della normativa; nel momento in cui l Autorità da rilievo specifico ad una figura che prima non aveva rilievo normativo (ma che magari già esisteva nella organizzazione aziendale) ne consegue la necessità di aggiornare tutti i documenti che in qualche modo facciano riferimento a tale figura. Forse anche in questo caso è opportuno precisare che laddove si sia svolto un corretto e paziente lavoro di inquadramento delle figure professionali esistenti, sia siano correttamente parametrati gli organigrammi funzionali con quanto previsto dal D.Lgs. n.196/2003, probabilmente sarà necessario solamente un link tra le figure esistenti [ivi compresa ovviamente una dettagliata descrizione dei poteri / doveri ad esse attribuiti] e la nuova figura normativamente qualificata.
4 Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. A stretto tenore letterale della norma, nel caso in cui venga svolto in outsourcing SOLAMENTE il servizio di A.d.S. (ed aggiungo configurando il rapporto come titolare responsabile) il Titolare dovrà pretendere dal Responsabile l elenco dei soggetti preposti a tali funzioni. In realtà occorrerà controllare ancora una volta quali funzioni siano affidate all outsourcer e conseguementente gli atti di individuazione dovranno subire un upgrade (dovuto per legge) Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Si tratta semplicemente di inserire un altra attività da monitorare in previsione della redazione del DPS. A mio giudizio un termine trimestrale o al massimo quadrimestrale di aggiornamento della situazione, anche per rispettare quanto previsto dal D.Lgs n.231/2001, non potrà che essere utile per il rispetto delle normative citate, anche se la normativa parla di termine annuale Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Nulla di nuovo, lo prevedeva già l Allegato B Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Finalmente si fa riferimento alla necessità peraltro da tempo affermata dalla letteratura tecnica di inalterabilità dei log; i riscontri ed i riferimenti alla c.d. forensic mi sembrano del tutto chiari. Come sempre e correttamente l Autorità non dice cosa utilizzare, anche perché ormai il panorama tecnico legislativo italiano è sufficientemente esteso per fornire soluzioni per tutti i gusti e tutte le tasche. Si va dalla firma elettronica avanzata alla firma digitale, alla marca temporale, alla conservazione sostitutiva dei documenti, ovvero ad un insieme di tali tecniche / servizi esistenti. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
5 Corretta la necessità di inserimento dei riferimenti temporali, senza i quali sarebbe praticamente impossibile ricostruire a posteriori cosa esattamente sia accaduto. Qui però - siamo in completa contro tendenza con quanto in genere previsto dall Autorità (il tempo di conservazione dei trattamenti deve in linea di massima essere il minimo necessario) ma, oggettivamente, mi trova perfettamente concorde il periodo di almeno sei mesi Ritengo che ormai i tempi siano maturi per comprendere che non è cancellando i dati che si protegge l individuo (e non solo, l interessato per il D.Lgs. n.196/2003 non è solamente la persona fisica) ma, anzi, magari si sottrae al soggetto leso la possibilità di ricostruire cosa sia successo, specialmente in caso di reati e/o abusi perpetrati attraverso il mezzo internet. E necessario sanzionare velocemente e pesantemente l abuso (del trattamento) dei dati, non l esistenza dei medesimi. 5. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti di cui al punto 4 dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che é congruo stabilire, in centoventi giorni dalla medesima data. Molto semplicemente i Titolari del trattamento dovranno, entro aprile 2009, adeguare le proprie organizzazioni a quanto stabilito dal provvedimento. Una piccola notazione: il termine di scadenza è successivo a quello di redazione del DPS per cui, per l anno 2008, quanto previsto dal punto 4.3 non potrà avere sanzione, in quanto il termine massimo di scadenza per l adozione di queste nuove misure di sicurezza è successivo a quello di scadenza per la redazione del DPS. 5. Possibili conclusioni Provvedimento sostanzialmente corretto nella sostanza, con le solite complicazioni burocratiche che discendono purtroppo ed ancora dalla mancata conoscenza da parte dell Autorità della realtà organizzativa delle imprese italiane, molto tardivo (in realtà poteva costituire una parte dell Allegato B), ma che forse, alla fine, per alcuni principi introdotti, potrà contribuire ad una corretta applicazione della cultura della sicurezza (informatica) Va da sé che l ulteriore layer di codificazione (ora anche necessariamente normativa) della figura analizzata non potrà che essere d aiuto anche nella corretta applicazione del D.Lgs n.231/2001, tenendo presente che ambedue le normative citate dovrebbero prevenire certi accadimenti. (Avv. Luca-M. de Grazia)
6 6. Il testo del provvedimento PROVVEDIMENTO DEL 27 NOVEMBRE 2008 GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 27 novembre 2008 MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA. (Pubblicato sulla G.U. n. 300 del ) IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare, gli articoli 31 ss. e 154, comma 1, lettera c) e h), nonché il disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B al medesimo Codice; Visti gli atti d'ufficio relativi alla protezione dei dati trattati con sistemi informatici e alla sicurezza dei medesimi dati e sistemi; Rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei c.d. «amministratori di sistema», nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella «Società dell'informazione» e dei rischi a esse associati; Considerata l'esigenza di consentire più agevolmente, nei dovuti casi, la conoscibilità dell'esistenza di tali figure o di ruoli analoghi svolti in relazione a talune fasi del trattamento all'interno di enti e organizzazioni; Ritenuta la necessità di promuovere l'adozione di specifiche cautele nello svolgimento delle mansioni svolte dagli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare (due diligence); Constatato che lo svolgimento delle mansioni di un amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si é legittimati ad accedere rispetto ai profili di autorizzazione attribuiti; Rilevata la necessità di richiamare l'attenzione su tale rischio del pubblico, nonché di persone giuridiche, pubbliche amministrazioni e di altri enti [di seguito sinteticamente individuati con l'espressione «titolari del trattamento»: art. 4, comma 1, lettera f) del Codice] che impiegano, in riferimento alla gestione di banche dati o reti informatiche, sistemi di elaborazione utilizzati da una molteplicità di incaricati con diverse funzioni, applicative o sistemistiche; Rilevato che i titolari sono tenuti, ai sensi dell'art. 31 del Codice, ad adottare misure di sicurezza «idonee e preventive» in relazione ai trattamenti svolti, dalla cui mancata o non idonea predisposizione possono derivare responsabilità anche di ordine penale e civile (articoli 15 e 169 del Codice); Constatato che l'individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò curata in modo particolare evitando incauti affidamenti; Considerato inoltre che, qualora ritenga facoltativamente di designare uno o più responsabili del trattamento, il titolare é tenuto a individuare solo soggetti che «per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza» (art. 29, comma 2, del Codice);
7 Ritenuto che i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativocontabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 27 novembre 2008), debbano essere allo stato esclusi dall'ambito applicativo del presente provvedimento; Viste le osservazioni dell'ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; Premesso: 1. Considerazioni preliminari. Con la definizione di «amministratore di sistema» si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente «responsabili» di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti «in chiaro» le informazioni medesime. La rilevanza, la specificità e la particolare criticità del ruolo dell'amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante. Ci si riferisce, in particolare, all'abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615-ter) e di frode informatica (art. 640-ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (articoli 635-bis e ter) e di danneggiamento di sistemi informatici e telematici (articoli 635-quater e quinques) di recente modifica (vedi nota 1). La disciplina di protezione dei dati previgente al Codice del 2003 definiva l'amministratore di sistema, individuandolo quale «soggetto al quale é conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione» [art. 1, comma 1, lettera c) decreto del Presidente della Repubblica n. 318/1999]. Il Codice non ha invece incluso questa figura tra le proprie definizioni normative. Tuttavia, le funzioni tipiche dell'amministrazione di un sistema sono richiamate nel menzionato allegato B, nella parte in cui prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nel medesimo allegato B spettano tipicamente all'amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione. Nel loro complesso, le norme predette mettono in rilievo la particolare capacità di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento é previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati della «Società dell'informazione» (vedi nota 2). Nel corso delle attività ispettive disposte negli ultimi anni dal Garante é stato possibile rilevare quale importanza annettano ai ruoli di system administrator (e di network administrator o database administrator) la gran parte di aziende e di grandi organizzazioni pubbliche e private, al di là delle definizioni giuridiche, individuando tali figure nell'ambito di piani di sicurezza o di documenti programmatici e designandoli a volte quali responsabili.
8 In altri casi, non soltanto in organizzazioni di piccole dimensioni, si é invece riscontrata, anche a elevati livelli di responsabilità, una carente consapevolezza delle criticità insite nello svolgimento delle predette mansioni, con preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico. Con il presente provvedimento il Garante intende pertanto richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi e alle criticità implicite nell'affidamento degli incarichi di amministratore di sistema. L'Autorità ravvisa inoltre l'esigenza di individuare in questa sede alcune prime misure di carattere organizzativo che favoriscano una più agevole conoscenza, nell'ambito di organizzazioni ed enti pubblici e privati, dell'esistenza di determinati ruoli tecnici, delle responsabilità connesse a tali mansioni e, in taluni casi, dell'identità dei soggetti che operano quali amministratori di sistema in relazione ai diversi servizi e banche di dati. 2. Quadro di riferimento normativo. Nell'ambito del Codice il presente provvedimento si richiama, in particolare, all'art. 154, comma 1, lettera h), rientrando tra i compiti dell'autorità quello di promuovere la «conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati». La lettera c) del medesimo comma 1 prevede poi la possibilità, da parte del Garante, di prescrivere misure e accorgimenti, specifici o di carattere generale, che i titolari di trattamento sono tenuti ad adottare. 3. Segnalazione ai titolari di trattamenti, relativa alle funzioni di amministratore di sistema. Ai sensi del menzionato art. 154, comma 1, lettera h) il Garante, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; richiama inoltre l'attenzione sull'esigenza di valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato, da vagliare anche in considerazione delle responsabilità, specie di ordine penale e civile (articoli 15 e 169 del Codice), che possono derivare in caso di incauta o inidonea designazione. 4. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici. Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lettera c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29 decretolegge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 27 novembre 2008). I seguenti accorgimenti e misure lasciano impregiudicata l'adozione di altre specifiche cautele imposte da discipline di settore per particolari trattamenti o che verranno eventualmente prescritte dal Garante ai sensi dell'art. 17 del Codice. Per effetto del presente provvedimento: 4.1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art Designazioni individuali. La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato Elenco degli amministratori di sistema.
9 Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non é tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione é prevista dal provvedimento del Garante n. 13 del 1 marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. 5. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti di cui al punto 4 dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che é congruo stabilire, in centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati. Tutto ciò premesso il Garante: 1. Ai sensi dell'art. 154, comma 1, lettera h) del Codice, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sull'esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato. 2. Ai sensi dell'art. 154, comma 1, lettera c) del Codice prescrive l'adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (articoli 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29, decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 27 novembre 2008): a) Valutazione delle caratteristiche soggettive.
10 L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29; b) Designazioni individuali. La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. c) Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non é tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1 marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore; d) Servizi in outsourcing. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema; e) Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. f) Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. 3. Dispone che le misure e gli accorgimenti di cui al punto 2 del presente dispositivo siano introdotti, per tutti i trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al più presto e comunque entro, e non oltre, il termine che é congruo stabilire in centoventi giorni dalla medesima data; per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati. 4. Dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia - Ufficio pubblicazione leggi e decreti per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 27 novembre 2008 Il presidente e relatore Pizzetti Il segretario generale Buttarelli
11 (1) V., ad es., l'art. 5 legge 18 marzo 2008, n. 48, che prevede, oltre a una maggiore pena, la procedibilità d'uffico nel caso in cui il reato sia commesso con «abuso della qualità di operatore del sistema». (2) Per altro verso il legislatore, nell'intervenire in tema di «Società dell'informazione», ha previsto che i certificatori di firma elettronica, i quali sono preposti al trattamento dei dati connessi al rilascio del certificato di firma, debbano possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche, oltre ai requisiti tecnici necessari per lo svolgimento della loro attività (articoli 26, 27 e 29 del decreto legislativo 7 marzo 2005, n. 82). Registrazione degli accessi ed Amministratori di sistema La premessa.[...omissis...] 4.5 Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. [...omissis...] TUTTO CIÒ PREMESSO IL GARANTE: Il provvedimento vero e proprio.[...omissis...] f. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; L esegesi letterale della norma sembrerebbe portare alle seguenti considerazioni (fermo restando che come ho già evidenziato in altro scritto sicuramente si poteva fare di meglio quanto a chiarezza del provvedimento): Quello che deve essere adottato (laddove non già presente) è: 1. un sistema idoneo alla registrazione degli accessi logici intesi come autenticazione informatica ai sistemi di elaborazione 2. un sistema idoneo alla registrazione degli accessi logici agli archivi elettronici a. in ambedue i casi quando uno degli accessi appena citati venga effettuato da un amministratore di sistema (d ora in avanti AdS)
12 I log degli accessi appena menzionati devono essere, praticamente, forensic ready e la locuzione adeguate al raggiungimento dello scopo per cui sono richieste sta a significare che a posteriori si dovrà poter ricostruire quello che è accaduto; se non si raggiunge tale scopo, l apparato che sarà stato messo in piedi non sarà servito a nulla. Altra domanda: quali sono esattamente gli AdS? Posto che nella parte preliminare del provvedimento l Autorità non solo volutamente non ha voluto effettuare una elencazione delle funzioni che ricadano in tale ambito, ma espressamente ha fatto riferimento anche ad altre normative, non ultima la Legge 547/93 che all epoca introdusse i reati informatici nell ordinamento italiano, e che prevede espressamente come ipotesi aggravata l atto compiuto dal c.d. operatore di sistema, soggetto che la giurisprudenza in materia ha individuato in un soggetto che sicuramente ha molti meno poteri di quello che viene considerato dalla letteratura tecnica un AdS, mi sembra che la soluzione come spesso è consuetudine nel diritto non possa essere totalmente univoca, ma debba essere sempre e comunque contestualizzata. In pratica (rinvio ad un altro mio articolo più approfondito sull intero provvedimento sugli AdS) occorrerà effettuare una bella ricognizione delle figure esistenti, e conseguentemente operare. Ma non è sicuramente finita qui. Avv. Luca-M. de Grazia
Garante per la protezione dei dati personali Provvedimento del 27 novembre 2008 Gazzetta Ufficiale 24 dicembre 2008, n. 300
Garante per la protezione dei dati personali Provvedimento del 27 novembre 2008 Gazzetta Ufficiale 24 dicembre 2008, n. 300 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti
DettagliProvvedimenti a carattere generale - 27 novembre 2008 Bollettino del n. 99/novembre 2008, pag. 0 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Provvedimenti a carattere generale - 27 novembre 2008 Bollettino del n. 99/novembre 2008, pag. 0 [doc. web n. 1577499] [v. Comunicato stampa] [v. doc. web n. 1591970] Misure e accorgimenti prescritti ai
DettagliProvvedimento Garante privacy su misure e obblighi per amministratori di sistema
Provvedimento Garante privacy su misure e obblighi per amministratori di sistema lunedì 29 giugno 2009 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
DettagliAmministratore di sistema
Amministratore di sistema La figura dell Amministratore di sistema, anche se non esplicitamente indicata nel "Codice in materia di protezione dei dati personali" era definita dal D.P.R. 318/1999 (abrogato
DettagliSintesi Provvedimento Garante Privacy del 27/11/2008
napoli 29 / 06 / 2009 pagina 1 / 5 Provvedimento Garante Privacy del 27/11/2008 ns. riferimento G.U. n. 300 del 24 dicembre 2008 Allegati - oggetto Misure e accorgimenti prescritti ai titolari dei trattamenti
DettagliGiudizio di conformità sugli adempimenti richiesti BOZZA
Documento di Due-Diligence Il Garante nel provvedimento del 27 novembre 2008 sull amministratore di sistema usa per la prima volta l espressione "due diligence" per indicare "gli accorgimenti e misure,
DettagliProvvedimenti a carattere generale - 27 novembre 2008 Bollettino del n. 99/novembre 2008.
Provvedimenti a carattere generale - 27 novembre 2008 Bollettino del n. 99/novembre 2008. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente
DettagliSCHEDA TECNICA N. 2/10 L AMMINISTRATORE DI SISTEMA E LA PRIVACY
SCHEDA TECNICA N. 2/10 L AMMINISTRATORE DI SISTEMA E LA PRIVACY a cura di Gianantonio Poli Commissione Consultiva Organizzazione dello Studio e informatica Coordinatore: Gianantonio Poli. Delegato del
DettagliPerinformazioni rivolgersi a: d.ssa Sandra Campioli ( scampioli@consulentiassociati.com )
Perinformazioni rivolgersi a: d.ssa Sandra Campioli ( scampioli@consulentiassociati.com ) Reggio Emilia, 14 Luglio 2009 Il Garante per la protezione dei dati personali ha stabilito, a mezzo di Provvedimento
DettagliATTO DI NOMINA DELL AMMINISTRATORE DI SISTEMA PREMESSO CHE
ATTO DI NOMINA DELL AMMINISTRATORE DI SISTEMA (ai sensi del Codice in materia di protezione dei dati personali e del Provvedimento del Garante per la protezione dei dati personali del 27/11/2008) PREMESSO
DettagliFAQ MODIFICHE. (G.U. n. 300 del 24 dicembre 2008) e relative. e successive. (G.U. n. 149 del 30 giugno 2009) PROVVEDIMENTO 27 NOVEMBRE 2008
MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA PROVVEDIMENTO 27 NOVEMBRE 2008
DettagliD.P.R. 28 luglio 1999, n. 318
D.P.R. 28 luglio 1999, n. 318 (1) Regolamento recante norme per l individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell articolo 15, comma 2, della legge 31
DettagliCOMUNE DI BALLAO PROVINCIA DI CAGLIARI. DETERMINAZIONE N. 26 del 07/02/2013 SEGRETERIA
COMUNE DI BALLAO PROVINCIA DI CAGLIARI Copia DETERMINAZIONE N. 26 del 07/02/2013 SEGRETERIA Oggetto: CONFERIMENTO INCARICO TRIENNALE (2013-2015) DI AMMINISTRATORE DI SISTEMA ALLA AO SYSTEM & SOFTWARE DI
DettagliCircolare alla clientela TZ&A
Circolare alla clientela TZ&A Informativa n. 5 7 marzo 2011 Codice della Privacy Decreto Legislativo 30 giugno 2003, n. 196 INDICE Premessa 2 Documento Programmatico sulla Sicurezza (D.P.S.) 2 Esonero
DettagliLe responsabilità giuridiche dell Amministratore di Sistema Udine 31 maggio 2012
Le responsabilità giuridiche dell Amministratore di Sistema Udine 31 maggio 2012 Chi è l'ads? www.avvocatidagostini.it Avv. David D'Agostini Avv. Luca Zenarolla www.cindi.it Chi è l'ads? Nel nostro ordinamento
DettagliAMMINISTRATORI DI SISTEMA: PROROGATI I TERMINI PER GLI ADEMPIMENTI. Le procedure da adottare entro il termine di scadenza della proroga
AMMINISTRATORI DI SISTEMA: PROROGATI I TERMINI PER GLI ADEMPIMENTI Il garante della Privacy ha prorogato al 30 giugno 2009 i termini per l adozione da parte di enti, amministrazioni pubbliche, società
DettagliCircolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS
Circolare N.26 del 22 febbraio 2012 DL semplificazioni: eliminato il DPS DL semplificazioni: eliminato il DPS Gentile cliente con la presente intendiamo informarla che secondo quanto previsto dall art.
DettagliISTITUTO NAZIONALE PREVIDENZA SOCIALE. Direzione Centrale Risorse Strumentali CENTRALE UNICA ACQUISTI ALLEGATO E AL CONTRATTO
ISTITUTO NAZIONALE PREVIDENZA SOCIALE Direzione Centrale Risorse Strumentali CENTRALE UNICA ACQUISTI ALLEGATO E AL CONTRATTO ATTO DI DESIGNAZIONE DEL RESPONSABILE ESTERNO AL TRATTAMENTO DEI DATI PERSONALI
DettagliIl recente provvedimento del garante riguardo agli amministratori di sistema
Il recente provvedimento del garante riguardo agli amministratori di sistema Sessione di Studio Roma 6 maggio 2009 ( a cura di Natale Prampolini, LA ISO27001, CISA, CISM, ITIL ) Pag. 1 Amministratori di
DettagliCOMUNE DI CODOGNE VERBALE DI DELIBERAZIONE DELLA GIUNTA COMUNALE OGGETTO
ORIGINALE N. 74 Reg. Delib. COMUNE DI CODOGNE VERBALE DI DELIBERAZIONE DELLA GIUNTA COMUNALE OGGETTO NOMINA AD AMMINISTRATORE DI SISTEMA AI SENSI DEL PROVVEDIMENTO DELL'AUTORITA' GARANTE PER LA PROTEZIONE
DettagliAmministratore di Sistema. Provvedimento del Garante per la protezione dei dati personali 27 novembre 2008 e successive integrazioni
Amministratore di Sistema Provvedimento del Garante per la protezione dei dati personali 27 novembre 2008 e successive integrazioni Obiettivi Obiettivi di questa sessione formativa per gli Amministratori
DettagliI COMMENTI AMMINISTRATORE DI SISTEMA E PRIVACY. I commenti
43_49.qxd 23/02/2009 9.14 Pagina 44 AMMINISTRATORE DI SISTEMA E PRIVACY Il provvedimento del Garante di Aldo Monea - Avvocato Profili introduttivi Nonostante sia passato oltre un decennio dall introduzione
DettagliREGOLAMENTO PER L UTILIZZO DEI SISTEMI DI VIDEOSORVEGLIANZA ALL INTERNO DEL COMUNE
COMUNE DI GUARDAMIGLIO PROVINCIA DI LODI REGOLAMENTO PER L UTILIZZO DEI SISTEMI DI VIDEOSORVEGLIANZA ALL INTERNO DEL COMUNE INDICE DEL REGOLAMENTO Art. 1 Premessa Art. 2 Finalità Art. 3 Caratteristiche
DettagliDPR 318 e sua entrata in vigore
DPR 318 e sua entrata in vigore Nel luglio del 1999 il Consiglio dei Ministri ha definitivamente approvato il DPR 318 "Regolamento recante norme in materia di individuazione delle misure di sicurezza minime
DettagliIntervento formativo per i Responsabili del trattamento. Giovanni M. Bianco Maggio 2007
Intervento formativo per i Responsabili del trattamento Giovanni M. Bianco Finalità della formazione (1/2) Sono essenzialmente derivanti dall aggiornamento dei vostri/nostri compiti di cui al Decreto -
DettagliL AMMINISTRATORE DI SISTEMA
collana diretta da Michele Iaselli @ N u m e r o 1 3 L AMMINISTRATORE DI SISTEMA di ebook 2010 L AMMINISTRATORE DI SISTEMA: LUCI E OMBRE DEL PROVVEDIMENTO DEL GARANTE PRIVACY DEL 27 NOVEMBRE 2008 di Sommario
DettagliDOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO (ART. 34 COMMA 1-BIS E REGOLA 19 DELL ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI) 1 Scopo di questo Documento è delineare il
DettagliIL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Comunicato stampa - 18 aprile 2012 Fisco: sí del Garante agli schemi di provvedimento dell'agenzia delle entrate sui conti correnti dei cittadini e sulla partecipazione dei Comuni alla lotta all'evasione
DettagliComune di Sclafani Bagni Provincia di Palermo
N. 2/2016 reg. 1 settore Affisso il Comune di Sclafani Bagni Provincia di Palermo Defisso il DETERMINAZIONE DEL SINDACO N. 63 DEL 04/03/2016 Oggetto: nomina Responsabile della Gestione Documentale (RGD)
DettagliIL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
[doc. web n. 1753845] vedi anche [newsletter] Giustizia amministrativa più protetta - 23 settembre 2010 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco
DettagliNome modulo: MISURE DI SICUREZZA ADOTTATE DALL AMMINISTRAZIONE NOME LEZIONE: INTRODUZIONE
NOME LEZIONE: INTRODUZIONE Il nuovo Codice prevede ed indica una serie di misure definite minime di sicurezza da adottare per l idoneo trattamento dei dati. In questo modulo tratteremo di: Misure minime
DettagliSample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza
01 Quando e come nasce il concetto di privacy? a. Nasce a fine ottocento come diritto di essere lasciati soli. b. Nasce nel 1980 in Europa con l approvazione della Convenzione di Strasburgo. c. Nasce in
DettagliGestione del protocollo informatico con OrdineP-NET
Ordine dei Farmacisti Della Provincia di Livorno Gestione del protocollo informatico con OrdineP-NET Manuale gestore DT-Manuale gestore Gestione del protocollo informatico con OrdineP-NET (per utenti servizio
DettagliIter del provvedimento
Confindustria - Area Relazioni Industriali, Sicurezza e Affari Sociali DPR n. 177 del 14 settembre 2011 Regolamento per la qualificazione delle imprese e dei lavoratori autonomi operanti in ambienti sospetti
DettagliCircolare per i Clienti del 22 febbraio 2012
Studio Dott. Maurizio DONADELLI Viale Italia 48 - Cecina (LI) Tel 0586 631605 info@studiodonadelli.it Circolare per i Clienti del 22 febbraio 2012 Ai gentili clienti Loro sedi DL semplificazioni: eliminato
Dettagli02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A
ABILITA INFORMATICHE E TELEMATICHE Protezione dei dati e Privacy A.A. 2010-11 1 Introduzione al problema Contestualmente al progresso tecnologico che consente la conoscibilità, la conservazione e la elaborazione
DettagliComune di Assago. Provincia di MI. DOCUMENTO PROGRAMMATICO sulla SICUREZZA
Provincia di MI DOCUMENTO PROGRAMMATICO sulla SICUREZZA Il presente documento è stato emesso il giorno 31 marzo 2011, è stato redatto ai sensi e per gli effetti dell articolo 34, comma 1, lettera g del
DettagliLe misure di sicurezza nel trattamento di dati personali
Le misure di sicurezza nel trattamento di dati personali Lezione n. 6 Claudio Di Cocco 1 Testi di riferimento. D.lgs. 30 giugno 2003, n. 196. Codice in materia di protezione dei dati personali. (http://www.garanteprivacy.it/garante/doc.jsp?id=1311248)
DettagliREGOLAMENTO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNALE
COMUNE DI BARZANA Provincia di Bergamo REGOLAMENTO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNALE Approvato con deliberazione del Consiglio Comunale
DettagliREGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI
Pag. 1 di 6 REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI Approvato con deliberazione consiliare n. 72 del 29/12/2005 CAPO I - OGGETTO E FINALITA Articolo 1 - Oggetto 1. Il presente
DettagliSettore Risorse umane, finanziarie, patrimoniali e servizi di supporto ********* DECRETO PRESIDENZIALE
PROVINCIA DI PIACENZA Settore Risorse umane, finanziarie, patrimoniali e servizi di supporto ********* DECRETO PRESIDENZIALE Proposta n. STRISORS 2414/2014 Decreto n. 41 del 10/10/2014 Oggetto: D.LGS 81/2008.
DettagliRegolamento interno per l utilizzo delle fonti dati gestite dal Comune di MELLE e dal Comune di VALMALA
Regolamento interno per l utilizzo delle fonti dati gestite dal Comune di MELLE e dal Comune di VALMALA Responsabile accessibilità dati: responsabile servizio personale Ambito: valorizzazione del patrimonio
DettagliDECRETI E DELIBERE DI ALTRE AUTORITÀ
DECRETI E DELIBERE DI ALTRE AUTORITÀ DELIBERAZIONE 20 aprile 2010. COMMISSIONE NAZIONALE PER LE SOCIETÀ E LA BORSA ModiÞ che al Regolamento recante l individuazione dei tipi di dati sensibili e giudiziari
DettagliIL DIRETTORE DELL AGENZIA DISPONE. 1. Controlli periodici ed attività di analisi del rischio sui soggetti titolari di partita Iva
PROVVEDIMENTO PROT. 110418 DEL 12 GIUGNO 2017 Criteri e modalità di cessazione della partita Iva e dell esclusione della stessa dalla banca dati dei soggetti che effettuano operazioni intracomunitarie,
DettagliCOMUNE DI UBOLDO Provincia di Varese
COMUNE DI UBOLDO Provincia di Varese REGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DELLO SPORTELLO UNICO PER L EDILIZIA Giugno 2016 Approvato con deliberazione del Consiglio Comunale n. 49 del 28 luglio
DettagliAPAM ESERCIZIO SPA REGOLAMENTO DELL ORGANISMO DI VIGILANZA D. LGS. 231/01
APAM ESERCIZIO SPA REGOLAMENTO DELL ORGANISMO DI VIGILANZA D. LGS. 231/01 SOMMARIO Art. 1 Scopo e ambito di applicazione pag. 3 Art. 2 Convocazione, voto e delibere dell Organismo pag. 3 Art. 3 Nomina
DettagliREGOLAMENTO CONTENENTE DISPOSIZIONI IN MERITO ALLA PUBBLICAZIONE DELLE DELIBERAZIONI E DELLE DETERMINAZIONI DIRIGENZIALI ALL ALBO AZIENDALE
REGOLAMENTO CONTENENTE DISPOSIZIONI IN MERITO ALLA PUBBLICAZIONE DELLE DELIBERAZIONI E DELLE DETERMINAZIONI DIRIGENZIALI ALL ALBO AZIENDALE Art. 1 OGGETTO Art. 2 NORMATIVA E PRINCIPI DI RIFERIMENTO Art.
DettagliProvincia di Ravenna Piazza dei Caduti per la Libertà, 2
Provincia di Ravenna Piazza dei Caduti per la Libertà, 2 Provvedimento n. 89 Proponente: Segreteria Classificazione: 01-24 2016/5 del 28/12/2016 Oggetto: NOMINA DEL SEGRETARIO GENERALE, DOTT. PAOLO NERI,
DettagliREGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DELLA PROCURA GENERALE DELLO SPORT INDICE SOMMARIO
REGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DELLA PROCURA GENERALE DELLO SPORT INDICE SOMMARIO TITOLO I - NORME GENERALI TITOLO II - ORGANIZZAZIONE E FUNZIONAMENTO DELLA PROCURA GENERALE DELLO SPORT
DettagliDiritto e ICT Modulo 1 Protezione Dati Personali Privacy e Sicurezza (Versione 1.0)
Diritto e ICT Modulo 1 Protezione Dati Personali Privacy e Sicurezza (Versione 1.0) Il seguente Syllabus riguarda il Modulo 1, Protezione dei dati personali, ed è finalizzato alla conoscenza dei princìpi
DettagliCOMUNE DI MONTEPULCIANO PROVINCIA DI SIENA
ALLEGATI N. ORIGINALE COMUNE DI MONTEPULCIANO PROVINCIA DI SIENA Verbale di deliberazione della GIUNTA COMUNALE N. 10 Adunanza del giorno 26-01-2010 OGGETTO: D. LGS. 30.6.2003 N. 196 CODICE IN MATERIA
DettagliREGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI
Pagina 1 di 8 REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI Pagina 2 di 8 Approvato con deliberazione del Consiglio Comunale n. 46 del 28.11.2005 CAPO I - OGGETTO E FINALITA 2 ARTICOLO
DettagliLavori in appalto in azienda DVR - DUVRI e PSC Costi per la sicurezza Lavori edili: fra art.26 e Titolo IV del D. Lgs. 81/08"
Lavori in appalto in azienda DVR - DUVRI e PSC Costi per la sicurezza Lavori edili: fra art.26 e Titolo IV del D. Lgs. 81/08" RES Edili Reggio Emilia Scuola Via del Chioso 22/A Lunedì 21 marzo 2016 ore
DettagliPIANO TRIENNALE ANTICORRUZIONE
PIANO TRIENNALE ANTICORRUZIONE 2017-2019 1. PREMESSA La legge del 6 novembre 2012, n. 190 Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione
DettagliDOCUMENTO DI LINEE GUIDA
DOCUMENTO DI LINEE GUIDA RECANTE CRITERI GENERALI PER IL CONFERIMENTO DEGLI INCARICHI DI DIREZIONE DI STRUTTURA COMPLESSA PER LA DIRIGENZA MEDICA SANITARIA NELLE AZIENDE DEL SERVIZIO SANITARIO NAZIONALE
DettagliPROCEDURA 1 GESTIONE DEI RAPPORTI CON L ORGANISMO DI VIGILANZA
ALLEGATO 6 PROCEDURA 1 GESTIONE DEI RAPPORTI CON L ORGANISMO DI VIGILANZA 1. Obiettivi La presente procedura ha l obiettivo di definire ruoli e responsabilità, e dettare di comportamento e controllo, sui
DettagliISTITUTO COMPRENSIVO STATALE Via L Ua Bianca, 8 Tel/Fax 079/ BADESI (OT)
Alle Istituzioni Scolastiche della Provincia di Sassari - Loro Sedi All albo dell Istituto - Sede Al sito web dell Istituto Sede OGGETTO: Avviso pubblico per l affidamento dell incarico di Amministratore
DettagliUniversità degli Studi di Ferrara
Università degli Studi di Ferrara SENATO ACCADEMICO 22 febbraio 2017 CONSIGLIO DI AMMINISTRAZIONE 24 febbraio 2017 DECRETO RETTORALE di 1ª emanazione rep. n. 265/2017-27 febbraio 2017 DECRETO RETTORALE
DettagliCOMUNE DI PONTOGLIO Provincia di Brescia. Determinazione del Responsabile Area Polizia Locale Pedone Mauro
COMUNE DI PONTOGLIO Provincia di Brescia Determinazione del Responsabile Area Polizia Locale Pedone Mauro Determinazione Reg. Gen. n. 502 del 01/12/2015 [ ] ORIGINALE [ ] COPIA OGGETTO: IMPEGNO DI SPESA
DettagliGazzetta ufficiale 27 dicembre 2007, n. 299
Ministero del Lavoro e della Previdenza Sociale - Decreto 30 ottobre 2007 Gazzetta ufficiale 27 dicembre 2007, n. 299 Comunicazioni obbligatorie telematiche dovute dai datori di lavoro pubblici e privati
DettagliPROTOCOLLO D'INTESA RELATIVO AI RAPPORTI DI COLLABORAZIONE TRA LA BANCA D ITALIA E LA GUARDIA DI FINANZA
PROTOCOLLO D'INTESA RELATIVO AI RAPPORTI DI COLLABORAZIONE TRA LA BANCA D ITALIA E LA GUARDIA DI FINANZA La Banca d Italia e la Guardia di Finanza: VISTI il decreto legislativo 1 settembre 1993, n. 385,
DettagliREGOLAMENTO COMUNALE PER LA GESTIONE DELL ALBO PRETORIO ON LINE
REGOLAMENTO COMUNALE PER LA GESTIONE DELL ALBO PRETORIO ON LINE Approvato con deliberazione G.C. n.01 del 13.01.2011. INDICE GENERALE Art. 1 - Oggetto del regolamento Art. 2 Principi e Finalità Art. 3
DettagliC O M U N E D I C O D O G N O. ( Provincia di Lodi ) REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI
C O M U N E D I C O D O G N O ( Provincia di Lodi ) REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI Approvato dal Consiglio Comunale con atto n. 121 del 8.11.2000 Esaminato dall'o.re.co.
DettagliDELIBERAZIONE DELLA GIUNTA COMUNALE D.LGS 81/08 PRESCRIZIONI IN MATERIA DI IGIENE E SICUREZZA IN AMBIENTE DI LAVORO ATTO DI INDIRIZZO
DELIBERAZIONE DELLA GIUNTA COMUNALE COMUNE DI FRASSINORO PROVINCIA DI MODENA C O P I A Comunicata ai Capigruppo Consiliari ai sensi dell'art. 125 D.Lgs. 267/2000 il 19/04/2016 Nr. Prot. 1612 Affissa all'albo
DettagliREGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI. Approvato con deliberazione del Consiglio Comunale n.
REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI Approvato con deliberazione del Consiglio Comunale n. 24 del 05/05/2004 Entrato in vigore il 17/05/2004 SOMMARIO CAPO I - OGGETTO E FINALITA
DettagliDECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 giugno 2015, n. 184
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 8 giugno 2015, n. 184 Regolamento riguardante l'individuazione del responsabile del procedimento amministrativo e del titolare del potere sostitutivo,
DettagliG.A.M. S.P.A. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO P A R T E S P E C I A L E K
G.A.M. S.P.A. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ai sensi dell art. 6, 3 comma,del Decreto legislativo 8 giugno 2001, n. 231 «Disciplina della responsabilità amministrativa delle persone giuridiche,
DettagliPRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY
PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY 1 Principali Adempimenti D.lgs. 196/03 Adempimenti verso l autorità garante Notificazione Autorizzazione Adempimenti verso gli
DettagliDirezione Generale. DISPOSIZIONE DEL DIRETTORE GENERALE n. 06 del 25 marzo 2016
Direzione Generale DISPOSIZIONE DEL DIRETTORE GENERALE n. 06 del 25 marzo 2016 Oggetto: adozione del piano di rotazione dei dirigenti del Comune di Napoli sulla base dei criteri e delle linee guida approvati
DettagliCriteri e modalità di cessazione della partita IVA ed esclusione dalla banca dati VIES
CIRCOLARE A.F. N. 102 del 12 Luglio 2017 Ai gentili clienti Loro sedi Criteri e modalità di cessazione della partita IVA ed esclusione dalla banca dati VIES Gentile cliente, con la presente desideriamo
DettagliDISCIPLINARE PROGRAMMA PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA
Comune di Avio DISCIPLINARE PROGRAMMA PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA (Approvato con deliberazione giuntale n. 11 dd. 04.02.2016, modificata con deliberazione giuntale n. 19 dd. 18.02.2016)
DettagliCOMUNE DI PAGANI Provincia di Salerno
COMUNE DI PAGANI Provincia di Salerno Copia Determinazione del responsabile del 8- Settore Avvocatura e Contenzioso del lavoro Num. determina: 190 Proposta n. 887 del 26/09/2013 Determina generale num.
DettagliLA FIGURA DEL MEDICO COMPETENTE NEL TESTO UNICO IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO:
LA FIGURA DEL MEDICO COMPETENTE NEL TESTO UNICO IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO: UN COLLABORATORE INDISPENSABILE PER IL DATORE DI LAVORO Agosto 2008 Presentiamo questo mese un articolo dell'ing.
DettagliREGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI TRATTATI DAGLI UFFICI COMUNALI
Allegato alla deliberazione del Consiglio comunale n. 41 di data 26.10.2000 Il segretario comunale f.to d.ssa Claudia Visani COMUNE DI NAVE SAN ROCCO Provincia di Trento REGOLAMENTO SULLA TUTELA DELLA
DettagliMINISTERO DELL INTERNO
MINISTERO DELL INTERNO Vigente al: 21-12-2013 DECRETO 3 dicembre 2013, n. 144 Regolamento recante modifica al decreto 1 agosto 2002, n. 199, concernente il «Regolamento recante modalità di accesso alla
DettagliCITTÀ DI VENTIMIGLIA (PROVINCIA DI IMPERIA)
CITTÀ DI VENTIMIGLIA (PROVINCIA DI IMPERIA) DELIBERAZIONE DELLA COMMISSIONE STRAORDINARIA ADOTTATA CON I POTERI DEL GIUNTA COMUNALE COPIA Del 29/01/2014 N. 14 OGGETTO: APPROVAZIONE PIANO TRIENNALE DI PREVENZIONE
DettagliCOMUNE DI MISILMERI Provincia di Palermo
COMUNE DI MISILMERI Provincia di Palermo Provvedimento del Commissario straordinario adottato nell esercizio dei poteri di competenza del Sindaco COPIA N. 5 del registro Data 14 febbraio 2014 Oggetto:
DettagliDELIBERAZIONE DEL DIRETTORE GENERALE N 260 DEL 29/07/2005 A D O T T A PROVVEDIMENTI ATTUATIVI DEL D.LGS. N. 196 DEL 30 GIUGNO 2003 (CODICE PRIVACY).
DELIBERAZIONE DEL DIRETTORE GENERALE N 260 DEL 29/07/2005 Il DIRETTORE GENERALE acquisiti i pareri preventivi, favorevoli, del Direttore Amministrativo, del Direttore Sanitario e, ove previsto per competenza,
DettagliProvincia di Ravenna Piazza dei Caduti per la Libertà, 2
Provincia di Ravenna Piazza dei Caduti per la Libertà, 2 Provvedimento n. 11 Proponente: Segreteria Classificazione: 01-24 2013/3 del 24/02/2014 Oggetto: IL PRESIDENTE DELLA PROVINCIA PRESO atto che: -
DettagliProfili di Responsabilità degli operatori di sistemi telematici
Profili di Responsabilità degli operatori di sistemi telematici III Incontro GARR-B Firenze 24 gennaio 2001 Eleonora Bovo Servizio Affari Legali e Contenzioso INFN AMBITO D INDAGINE: I reati informatici
DettagliRoma 30 Novembre 2011 Organizzazione Sviluppo Risorse Umane e Qualità
REGOLAMENTO O.D.V. ALES Roma 30 Novembre 2011 Organizzazione Sviluppo Risorse Umane e Qualità Certificata ISO 9001:2008 Certificata OHSAS 18001:2007 ORGANISMO DI VIGILANZA In osservanza dell art. 6, comma
DettagliREGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI. Approvato con deliberazione C.C. n. 23 del 29/05/2000
REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI Approvato con deliberazione C.C. n. 23 del 29/05/2000 Articolo 1 Oggetto del regolamento 1. Il presente regolamento disciplina il trattamento
DettagliFederazione Autonoma Bancari Italiani
Federazione Autonoma Bancari Italiani Delibera COVIP 31 marzo 2011 La nuova disciplina della revisione legale dei conti ed i fondi pensione: le indicazioni di COVIP Il Dlgs. 39/2010, entrato in vigore
DettagliIL PRESIDENTE DELLA REPUBBLICA gli articoli 76, 87, quinto comma, e 117, secondo comma, lettera h), della Costituzione;
Schema di decreto legislativo contenente disposizioni integrative e correttive al decreto legislativo 6 settembre 2011, n. 159, recante Codice delle leggi antimafia e delle misure di prevenzione, nonché
DettagliA12 91 QUADERNI DI DIRITTO ED ECONOMIA DELLE COMUNICAZIONI E DEI MEDIA
QUADERNI DI DIRITTO ED ECONOMIA DELLE COMUNICAZIONI E DEI MEDIA per la Facoltà di Giurisprudenza dell Università LUMSA Libera Università Maria SS. Assunta 5 A12 91 Federico Maurizio d Andrea LA SOCIETÀ
DettagliNUMERO DI REGISTRO SEDUTA DEL ottobre2015 Immediatamente Eseguibile
Estratto del verbale della seduta della Giunta Comunale NUMERO DI REGISTRO SEDUTA DEL 199 28 ottobre2015 Immediatamente Eseguibile Oggetto : Approvazione dello schema di convenzione - quadro per l'accesso
DettagliPrincipali adempimenti privacy
Principali adempimenti privacy DPS e trattamento dei dati personali Abrogazione di tutti gli adempimenti? Ergon Ambiente e Lavoro srl Avv. Angela Costa La privacy La privacy è una materia complessa e di
DettagliQuestioni teoriche e prassi operativa nel PCT
Questioni teoriche e prassi operativa nel PCT Prof. Avv. Giusella Finocchiaro www.studiolegalefinocchiaro.it www.blogstudiolegalefinocchiaro.it Il documento informatico Il quadro normativo (1/2) Percorso
DettagliD.Lgs. 626/94: la legislazione è attenta verso una prevenzione che tiene conto dei comportamenti da adottare.
FORMAZIONE PREPOSTI UN PO DI STORIA Anni 50: la legislazione è orientata verso una prevenzione tecnologica. D.Lgs. 626/94: la legislazione è attenta verso una prevenzione che tiene conto dei comportamenti
DettagliComune di UGGIANO LA CHIESA (Provincia di Lecce)
Comune di UGGIANO LA CHIESA (Provincia di Lecce) DELIBERAZIONE DI INDIRIZZO DELLA GIUNTA COMUNALE N. 64 DEL 02/05/2017 OGGETTO: INDIRIZZI AL RESPONSABILE DELL AREA TECNICA PER L AFFIDAMENTO ALL ESTERNO
DettagliREGOLAMENTO PER L UTILIZZO DEI SISTEMI DI VIDEOSORVEGLIANZA SUL TERRITORIO DELL UNIONE DEI COMUNI DELLA BASSA ROMAGNA
REGOLAMENTO PER L UTILIZZO DEI SISTEMI DI VIDEOSORVEGLIANZA SUL TERRITORIO DELL UNIONE DEI COMUNI DELLA BASSA ROMAGNA approvato con deliberazione di Consiglio Unione dei Comuni della Bassa Romagna n. 10
DettagliC O M U N E D I I S C H I A
C O M U N E D I I S C H I A ORIGINALE VERBALE DI DELIBERAZIONE DI GIUNTA COMUNALE Seduta del 07/07/2004 N. 190 OGGETTO: ADEMPIMENTI MINIMI PREVISTI DAL D.L.VO N.196 DEL 30 GIUGNO 2003. L'anno duemilaquattro,
DettagliProvincia Regionale di Agrigento REGOLAMENTO ATTIVITA UFFICIO ISPETTIVO
Provincia Regionale di Agrigento REGOLAMENTO ATTIVITA UFFICIO ISPETTIVO Approvato con Disposizione Settore Risorse Umane n. 354/2008 ART. 1 ISTITUZIONE DEL SERVIZIO ISPETTIVO 1. Il presente regolamento
DettagliPARTE SPECIALE Quinta Sezione. Reati con finalità di terrorismo
PARTE SPECIALE Quinta Sezione Reati con finalità di terrorismo INDICE PARTE SPECIALE Quinta Sezione Pag. 1. Le fattispecie dei reati con finalità di terrorismo...3 2. Funzione della Parte Speciale Quinta
DettagliI requisiti del provvedimento amministrativo
I requisiti del provvedimento amministrativo partizioni Il provvedimento amministrativo si suddivide in tre parti Parte iniziale Parte centrale Parte finale Parte iniziale comprende: la denominazione formale
DettagliDocumento Programmatico sulla Sicurezza. Istituto Giannina Gaslini
Documento Programmatico sulla Sicurezza Istituto Giannina Gaslini A norma del Decreto Legislativo 196/2003 e succ. mod. Pag.1 di 111 Indice INTRODUZIONE Impostazione del Sistema Documentale...3 CAPITOLO
DettagliIstituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza
Provincia di VI Documento Programmatico sulla Sicurezza ALLEGATO B Adozione delle Misure di Sicurezza Il presente documento è stato emesso il giorno 11 marzo 2015, è stato redatto ai sensi e per gli effetti
DettagliARPA Agenzia Regionale per la Prevenzione e l'ambiente dell'emilia - Romagna * * * Atti amministrativi
ARPA Agenzia Regionale per la Prevenzione e l'ambiente dell'emilia - Romagna * * * Atti amministrativi Determinazione dirigenziale n. DET-2015-860 del 17/12/2015 Oggetto Oggetto: Sezione di Reggio Emilia.
DettagliCircolare 8 aprile Passaggio uffici del giudice di pace ai comuni. Articolo 3 del d. lgs. 156/2014
Circolare 8 aprile 2014 - Passaggio uffici del giudice di pace ai comuni. Articolo 3 del d. lgs. 156/2014 8 aprile 2014 Ministero della Giustizia Dipartimento dell organizzazione giudiziaria, del personale
DettagliREGOLAMENTO SUL REGISTRO DELLE IMPRESE CAPOGRUPPO
REGOLAMENTO SUL REGISTRO DELLE IMPRESE CAPOGRUPPO anno 2014/ numero 03 (Testo consolidato al 01/01/2015 Aggiornamento I) 1 Art. 1 Definizioni 1. Ai sensi del presente regolamento si intendono per: a) Banca
Dettagli