Esempio di Documento Programmatico sulla Sicurezza per una Pubblica Amministrazione

Transcript

1 Esempio di Documento Programmatico sulla Sicurezza per una Pubblica Amministrazione Agenda Sessione 1 Sessione 2 Scenario Elementi essenziali del DPS Analisi del contesto Sessione 3 Analisi dei rischi Sessione 1 Piano di adeguamento 2

2 Sessione 1 Scenario Elementi essenziali del DPS 3 L Amministrazione di Esempio Una SEDE CENTRALE Vi risiede: Generale Altre Direzioni Centro Elaborazione Dati (CED) Sedi Periferiche 4

3 5 L organizzazione Ministero Ministero A A B B C C Generale Generale D D E E A1 A1 A2 A2 B1 B1 B2 B2 C1 C1 C2 C2 D1 D1 D2 D2 E1 E1 E2 E2 6 L organizzazione Ministero Ministero A A Centrale Centrale IT IT Generale Generale Affari Generali Affari Generali del Personale del Personale A1 A1 A2 A2 B1 B1 B2 B2 C1 C1 C2 C2 D1 D1 D2 D2 E1 E1 E2 E2

4 L architettura ICT SEDE CENTRALE SEDE B SEDE A RUPA SEDE C SEDE D INTERNET 7 Elementi di base: L architettura ICT Application Server per le applicazioni istituzionali Data Base Server Application Server per servizi Web Data Base Server per servizi Web Dominio Active Directory Mail Server Proxy Server Firewall 8

5 L architettura ICT Server di Dominio Application Server DB Server DB Server (web) Proxy Web Server Mail Server Firewall ZONA DEMILITARIZZATA INTERNET 9 Documento Programmatico sulla Sicurezza Il DPSS deve essere redatto obbligatoriamente da tutti i soggetti che trattano dati con strumenti elettronici entro il 31 marzo di ogni anno, mantenuto costantemente aggiornato e allegato alla relazione di accompagnamento al bilancio d esercizio. Dovrà contenere l elenco dei trattamenti dei dati personali la distribuzione di compiti e responsabilità nella struttura del titolare l analisi dei rischi sui dati le misure da adottare per garantire l integrità e la disponibilità dei dati, la protezione delle aree e dei locali la descrizione dei criteri da adottare per il ripristino della disponibilità dei dati a seguito di danneggiamento e/o distruzione la previsione della formazione sugli incaricati la descrizione dei criteri da adottare per garantire l attuazione delle misure di sicurezza in caso di trattamenti svolti all esterno della struttura del titolare 10

6 Il Disciplinare tecnico Il Disciplinare Tecnico individua ulteriori misure minime per il trattamento di dati sensibili e giudiziari Dovrà contenere Istruzioni organizzative e tecniche per la custodia e l uso di supporti rimovibili (floppy, cd-rom) Istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute (non tecnicamente ricostruibili) Adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti 11 Il Disciplinare tecnico ola Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. 12

7 Sessione 2 Analisi del contesto 13 Indice del DPS Elenco dei trattamenti di dati personali (regola 19.1) Distribuzione dei compiti e delle responsabilità (regola 19.2) Analisi dei rischi che incombono sui dati (regola 19.3) Misure in essere e da adottare (regola 19.4) Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) Pianificazione degli interventi formativi previsti (regola 19.6) Trattamenti affidati all esterno (regola 19.7) Cifratura dei dati o separazione dei dati identificativi (regola 19.8) 14

8 DEFINIZIONI: Dato Personale Dato comune Dato sensibile e giudiziario Tutte le informazioni relative a persona fisica o giuridica. Diversi dai sensibili e giudiziari, presentano, per la loro natura o per la modalità del trattamento, RISCHI SPECIFICI. Il trattamento di tali dati è ammesso nel rispetto delle misure e degli accorgimenti a garanzia dell interessato, ove prescritti. (Es. solvibilità, centrali rischi) A metà strada Dati Particolari Provv. penali Inform. su pene ed effetti dei provv. giudiziari Stato di imputato e/o di indagato l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale. 15 DEFINIZIONI: Trattamento qualunque operazione effettuata anche senza l ausilio di strumenti elettronici, concernenti: la raccolta la registrazione la modificazione la selezione l estrazione il raffronto la consultazione e/o l utilizzo l interconnessione il blocco la comunicazione la diffusione la cancellazione e distruzione attraverso strumenti elettronici o cartacei su qualsiasi supporto e in qualsiasi modo delle caratteristiche originarie ed integrazioni ordinamento, classificazione, categorizzazione secondo criteri di selezione e ordinamento accertamento dell identità, statistiche, ricerche secondo i fini dichiarati nell informativa di cui art.13 con altre fonti informative la sospensione temporanea del trattamento a uno o più soggetti individuabili a soggetti indeterminati logica ovvero fisica dei dati Anche se non registrati in una banca dati Es. Strumenti elettronici: Elaboratori, Video registratori, Audio istratori, Rilevatori biometrici (impronte digitali) 16

9 Elenco dei trattamenti di dati personali-19.1 Vanno individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l indicazione l della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Descrizione sintetica del trattamento Finalità perseguita o attività svolta Categorie di interessati Natura dei dati trattati Sensibile Giudiziario Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati Tabella 1.1 Elenco dei trattamenti: informazioni essenziali 17 Elenco dei trattamenti di dati personali-19.1 Descrizione sintetica del trattamento Finalità perseguita o attività svolta Categorie di interessati Natura dei dati trattati S G Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati Gestione del personale Dipendenti X Personale Applicativo HR Prot.Informatico Dipendenti X Protocollo App. Protocollo Contabilità Fornitori X Affari Generali Tutte le A.OO. App. Contabilità Sistema Documentale Utenti Interni X A IT Work Flow Documentale Documenti Cartacei Tutti X Tutte le A.OO. Videosorveglianza Tutti X Centrale Gestione Log Tutti X IT Tutte le A.OO. Posta Elettronica Dipendenti X IT Tutte le A.OO. Server di Posta Servizi Web all utenza Utenti Esterni X IT A Server Web 18

10 Elenco dei trattamenti di dati personali-19.1 DB Personale DB Protocollo DB Contabilità DB ServiziWeb Server di Dominio Application Server DB Server DB DocElettronici DB Server (web) Proxy Web Server Mail Server Firewall ZONA DEMILITARIZZATA INTERNET 19 Elenco dei trattamenti di dati personali-19.1 Identificativo del trattamento Eventuale banca dati Ubicazione fisica dei supporti di memorizzazione Tipologia di dispositivi di accesso Tipologia di interconnessione Gestione del personale DB Personale CED sede centrale Personal Computer Rete Intranet Prot.Informatico DB Protocollo CED sede centrale Personal Computer Rete Intranet Contabilità DB Contabilità CED sede centrale Personal Computer Rete Intranet Sistema Documentale DB DocElettronici CED sede centrale Personal Computer Rete Intranet Documenti Cartacei Videosorveglianza Gestione Log CED sede centrale Personal Computer Rete Intranet Posta Elettronica CED sede centrale Personal Computer Rete Intranet Servizi Web all utenza DB ServiziWeb CED sede centrale Personal Computer Rete Internet 20

11 I soggetti del trattamento TITOLARE Titolare del trattamento Incaricato Responsabile Responsabile Esterno Incaricato Incaricato Incaricato Incaricato Incaricato E la persona fisica o il soggetto giuridico, nel suo complesso, o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Interessato Interessato Interessato Interessato Interessato Interessato Responsabile del trattamento è designato dal titolare facoltativamente. è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. Incaricati del trattamento Persone fisiche autorizzate a compiere operazioni di trattamento; operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni loro impartite. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Rif. Artt.28,29,30 D.Lgs 196/03 21 Ipotesi di schema organizzativo Titolare del trattamento Amministrazione nel suo complesso Funzioni di staff Delegato del Titolare Direttore Generale o altra funzione delegata Incaricati del trattamento Comitato interdisciplinare COMITATO PRIVACY Responsabili di Funzione/Area Responsabile del trattamento Responsabile Del trattamento Responsabile Del trattamento Incaricati del trattamento Tutti coloro che trattano dati Figure previste dalla legge Figure a supporto operativo/organizzativo 22

12 Distribuzione compiti e responsabilità-19.2 Sulla base dell organizzazione e delle relative strutture di riferimento, vanno correttamente individuati i compiti e le relative responsabilità,, in relazione ai trattamenti effettuati. Struttura Trattamenti effettuati dalla struttura Descrizione dei compiti e delle responsabilità della struttura Sulla base dell organizzazione interna vengono individuati i ruoli e le funzioni secondo quanto indicato dagli articoli 28, 29, 30 del D.Lgs 196/03: Titolare ed eventuali co-titolari Responsabili Incaricati 23 Sessione 3 Analisi dei rischi 24

13 Analisi del Rischio Le specifiche attività sono finalizzate all individuazione dei rischi che incombono sui dati (All.( B 19.3): analisi di tutte le modalità di acquisizione dei dati pervenuti: Per via elettronica (rete tlc,, terminali, web, supporti multimediali, etc.) Su supporto cartaceo (modulistica, posta ordinaria, etc.) analisi di tutte le modalità di protezione dei dati immagazzinati (elettronici e cartacei) da possibilità di accessi illeciti o non pertinenti, da manipolazioni, contraffazioni e distruzioni. Analisi dei rischi (fasi principali): Identificazione degli asset; Identificazione delle minacce che insistono su ciascun asset; Identificazione delle vulnerabilità che possono essere sfruttate dalle minacce; Identificazione degli impatti che potrebbero derivare dalla perdita di riservatezza, integrità e disponibilità. 25 Sessione 1 Piano di adeguamento 26

14 Misure da adottare Le vulnerabilità rilevate devono essere affrontate con opportune misure atte a ridurre al minimo i rischi. Tutte le misure di protezione, le modalità di acquisizione e di adozione dei dati e le relative fasi di aggiornamento annuale, devono confluire nel Documento Programmatico sulla Sicurezza. Tra gli interventi principali: Predisposizione di soluzioni di protezione fisica e logica (codice identificativo, password, registrazione accessi logici e/o fisici, antivirus, videosorveglianza, armadi blindati, etc.) Aggiornamenti alle soluzioni tecniche e organizzative in essere effettuati tenendo conto anche della letteratura specifica in materia. 27 Misure Minime MISURE MINIME RISCHI CONTRASTATI GIA IN ESSERE DA ADOTTA RE STRUTTURA O PERSONE ADDETTE ALL ADOZIONE. 1 Credenziali e procedura di autenticazione. 2 Codice di identificazione personale e parola chiave riservata Attivazione o Implementazione della Policy di Sistema. 3 Credenziali individuali. 4 Istruzioni di diligente custodia Istruzioni per gli amministratori di sistema 28

15 Misure Minime MISURE MINIME RISCHI CONTRASTATI GIA IN ESSERE DA ADOTTA RE STRUTTURA O PERSONE ADDETTE ALL ADOZIONE Lunghezza della password pari a 8 caratteri o pari al massimo consentito dal sistema Adeguamento per consentire l'adozione di password con lunghezza di almeno 8 caratteri Istruzioni per gli incaricati Attivazione della policy se disponibile sul sistema Controllo sulla complessità della password Istruzioni per gli incaricati. 5 Modifica password al primo accesso Attivazione della policy se disponibile sul sistema Istruzioni per gli incaricati Possibilità di sostituzione autonoma della password Scadenza della password per dati sensibili e giudiziari entro 3 mesi Attivazioni delle Policy su tutte le piattaforme Attivazione della policy se disponibile sul sistema Istruzioni per gli amministratori di sistema 29 Misure Minime MISURE MINIME RISCHI CONTRASTATI GIA IN ESSERE DA ADOTTA RE STRUTTURA O PERSONE ADDETTE ALL ADOZIONE.6 Il codice identificativo deve essere univoco Attivazione della policy se disponibile sul sistema Istruzioni per gli amministratori di sistema.7 Scadenza delle credenziali non utilizzate da 6 mesi Attivazione della policy se disponibile sul sistema.8 Disattivazione delle credenziali in caso di perdita della qualità per l'accesso Policy per Uff. del Personale, Responsabili Amm. Di sistema ola 9 Istruzioni per l'incaricato a non lasciare incustodito lo strumento elettronico in caso di prolungata assenza dal posto di lavoro Automatismi di logoff a tempo quando disponibili ovvero adozione di SceenSaver e configurazione dei medesimi Istruzioni per gli incaricati Istruzioni per gli amministratori di sistema ola 10 Gestione delle credenziali in caso di prolungata assenza o impedimento dell'incaricato per la disponibilità dei dati o degli strumenti elettronici Procedura per la conservazione cartacea delle password in presenza di trattamenti particolari effettuati da incaricati su sistemi stand alone Istruzioni per gli incaricati 30

16 Misure Minime MISURE MINIME RISCHI CONTRASTATI GIA IN ESSERE DA ADOTTA RE STRUTTURA O PERSONE ADDETTE ALL ADOZIONE. 12 Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione Implementazione di un sistema di profilatura delle autorizzazioni. 13 Assegnazione dei profili per utente o classi omogenee di utenti anteriormente all'inizio del trattamento Policy di Sicurezza e processo di nomina degli Incaricati a cura Uff. del Personale, Responsabili Istruzioni per gli amministratori di sistema Verifica della sussistenza delle condizioni per la conservazione dei profili (almeno annualmente) Individuazione con cadenza almeno annuale della lista degli incaricati anche organizzata per classi omegenee di incarico e relativi profili di autorizzazione Protezione dei dati dal rischio di intrusione e dall'azione di programmi pericolosi (aggiornamento almeno semestrale) Programmi per elaboratore atti a prevenire vulnerabilità degli strumenti elettronici aggiornati almento annualmente, o semestralmente per i dati sensibili o giudiziari Procedura di verifica a cura dell'uff. del Personale, Responsabili, Amm. Di Sistema Procedura di verifica a cura dell'uff. del Personale, Responsabili, Amm. di Sistema e tenuta dell'elenco Presenza di un processo formalizzato di gestione e verifica del sistema Anti-Virus su Server e pdl Processo formalizzato di gestione e verifica del sistema Anti-Virus su Server e pdl Processo formalizzato di verifica e gestione della configurazione dei sistemi (hardening) e degli apparati di rete e produzione di verbali 31 Misure Minime MISURE MINIME RISCHI CONTRASTATI GIA IN ESSERE DA ADOTTA RE STRUTTURA O PERSONE ADDETTE ALL ADOZIONE Istruzioni per gli amministratori di sistema ola 18 Istruzioni organizzative e tecniche che prevedono il salvataggio dei dati almeno settimanalmente ola 20 Protezione dei dati sensibili e giudiziari contro l'accesso abusivo di cui all'art. 615-ter, mediante utilizzo di strumenti elettronici Presenza di un processo formalizzato di gestione e verifica dei sistemi firewalls, ecc Processo formalizzato di gestione e verifica dei sistemi firewalls, ecc ola 21 Controllo sull'utilizzo dei supporti rimovibili di memorizzazione ad evitare l'accesso non autorizzato o il trattamento non consentito Processo di controllo formalizzato per l'uso dei supporti di memorizzazione Istruzioni per gli amministratori di sistema Istruzioni per gli incaricati ola 22 Distruzione dei supporti rimovibili non più utilizzati contenenti dati sensibili / giudiziari o riutilizzo solo se le informazioni precedentemente contenute non possono essere tecnicamente ricostruibili Processo formalizzato per la distruzione dei supporti di memorizzazione Istruzioni per gli amministratori di sistema 32

17 Misure Minime MISURE MINIME RISCHI CONTRASTATI GIA IN ESSERE DA ADOTTA RE STRUTTURA O PERSONE ADDETTE ALL ADOZIONE Delineazione delle esigenze del cliente sulla base della tipologia dei dati e delle verifica sulle soluzioni già adottate ola 23 Misure di ripristino per l'accesso ai dati in caso di danneggiamento degli stessi e degli strumenti in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni Procedure operative formalizzate e documentazione aggiornata Istruzioni per gli amministratori di sistema Approvvigionamento e gestione dei media Cifratura, codici identificativi o separazione dei dati su sistemi distinti per il trattamento dei dati sensibili e giudiziari atti a prevenire l'accesso a persone prive di autorizzazione. Implementazione di un sistema di cifratura (hw/sw) ed eventuali adeguamenti post verifica Procedure operative formalizzate e documentazione aggiornata ola 24 Locali attrezzati di opportune misure di sicurezza per il trattamento di dati idonei a rilevare l'identità genetica degli interessati. Il trasporto all'esterno dei dati genetici deve avvenire solo con contenitori muniti di serratura. Il trasferimento dei dati in formato elettronico dei dati genetici è cifrato. 33 Misure Minime MISURE MINIME RISCHI CONTRASTATI GIA IN ESSERE DA ADOTTA RE STRUTTURA O PERSONE ADDETTE ALL ADOZIONE.26 Attestazione di Avvenuta redazione del DPS e citazione nella relazione accompagnatoria del bilancio. ola 27 Istruzioni per l'incaricato atte al controllo e custodia degli atti e documenti. Mantenimento di un aggiornato elenco degli incaricati e del loro profilo di autorizzazione con cadenza annuale Procedure operative formalizzate e documentazione aggiornata.28 Istruzioni per la custodia e il controllo di atti e documenti contenenti dati sensibili o giudiziari Procedure operative formalizzate e documentazione aggiornata Controllo di accesso agli archivi contenenti dati sensibili o giudiziari Istruzioni per gli incaricati ola 29 Le persone autorizzate all'accesso fuori dall'orario di ufficio sono individuate e registrate. Procedura organizzativa (vigilanza e addetti alle pulizie, o dipendenti) formalizzate e documentazione aggiornata In mancanza di strumenti elettronici per il controllo degli accessi nei locali o di personale di vigilanza, le persone abilitate all'accesso sono preventivamente autorizzate. Procedura formalizzata di autorizzazione per l'accesso ai locali 34

18 Modalità di ripristino dei dati 19.5 Le attività svolte per la garanzia della continuità e della sicurezza fisica del servizio sono, basate cioè sul salvataggio, con cadenza giornaliera o secondo necessità, di tutti i dati e sul relativo corretto ripristino delle le informazioni salvate. Le copie giornaliere vengono conservate in un armadio ignifugo presso i locali del CED. 35 Interventi formativi Vanno previsti interventi formativi degli incaricati del trattamento, per informarli: dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano, delle modalità per aggiornarsi sulle misure minime adottate dal titolare. E Sufficiente informare? NO: è necessario verificare che ne è stata presa vizione. Possibile soluzione sistemi di e-learning La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 36

19 Misure di tutela e di garanzia Il Il titolare titolare che che si si avvale avvale di di soggetti esterni esterni per per l installazione e l adozione delle delle misure misure di di sicurezza deve deve farsi farsi rilasciare da da questi questi una una descrizione scritta scritta dell intervento effettuato Attestato di di conformità alle Disposizioni del Disciplinare Tecnico 37 Inadempienza temporanea Nel caso in cui gli strumenti non consentono (per limiti tecnologici e/o obsolescenza) l immediata applicazione delle misure di sicurezza previste dal Codice e dal Disciplinare Tecnico Il titolare è tenuto a descrivere, in un documento avente data certa e da custodire presso la propria struttura, gli impedimenti tecnici che non hanno consentito la puntuale attuazione del dettato normativo. Detti titolari avranno un anno di tempo per adeguare i propri sistemi informatici ed implementare le misure di sicurezza. 38

20 Rischi di inadempienza e sanzioni Il d.lgs 196/03 ha inasprito le sanzioni da applicare in caso di inadempienza del Titolare, il quale è responsabile civilmente e penalmente. Particolare rilevanza viene data all adozione delle idonee e preventive misure di sicurezza e soprattutto alla mancanza delle misure minime per le quali sono previste sanzioni penali anche se commutabili in rilevanti ammende. 39 Mancata adozione delle Misure di Sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta (cfr. art. 31) Nel quadro dei più generali obblighi di sicurezza di cui all art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. (cfr. art. 33) Responsabilità civile Responsabilità penale 40

21 Responsabilità Civile Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitarlo. La legge ha parificato il trattamento di dati personali, all esercizio di attività pericolose, ex art c.c., con conseguente presunzione di colpa del gestore e relativa inversione dell onere della prova. Tipologia Omessa, inidonea informativa Importo Codice Dato Personale a Dato Sensibile a Aumento triplo Omessa, incompleta Notificazione a Pubblicaz.ordinanza Omessa informazione o esibizione al Garante Cessione Dati in violazione alle disposizioni Codice Errata o non conforme comunicazione dei dati sanitari all interessato D.P.= Dati Personali D.S.= Dati Sensibili a a a Il Sistema Sanzionatorio Responsabilità Penale Sono previste pene detentive sino ad un massimo di quattro anni di reclusione oltre la pubblicazione della sentenza quale pena accessoria Gli illeciti penali si riferiscono a: falsa notifica o false informazioni al Garante inosservanza di provvedimenti del Garante trattamento illecito di dati (illecita comunicazione o diffusione dei dati; trattamento non consentito; trattamento illecito di dati sensibili) omessa adozione delle misure minime di sicurezza 42