Informativa ex art. 13. D. Lgs. 30 giugno 2003, n Codice in materia di protezione dei dati personali.

Transcript

1 Informativa ex art. 13 D. Lgs. 30 giugno 2003, n Codice in materia di protezione dei dati personali. Ai sensi e per gli effetti del D. Lgs. 196/2003, il partecipante/azienda sottoscrive la presente quale espresso consenso al trattamento dei propri dati personali da parte del Sig.X e/o ditta mandante e conferma di aver ricevuto informativa sui seguenti punti: 1) i dati personali verranno trattati esclusivamente per gli scopi connessi ai fini (DESCRIVERE LE FINALITA ) ivi compresa l adozione di misure di sicurezza; 2) i dati personali potranno essere trattati anche per finalità di (DESCRIVERE LE FINALITA - es. informazione circa le attività promozionali e di formazione promosse, anche con newsletter a mezzo e/o fax e/o posta di superficie); 3) i dati personali verranno trattati manualmente e con strumenti automatizzati, conservati per la durata prevista dal D. Lgs. 196/2003 e alla fine distrutti; 4) il conferimento dei dati è obbligatorio per beneficiare dei servizi di cui sopra e l'eventuale diniego di consenso comporta l'impossibilità per il Sig. e/o ditta mandante di erogare il servizio richiesto; 5) Tali dati saranno diffusi presso terzi nell ipotesi di (DESCRIVERE I CASI NEI QUALI I DATI POSSONO ESSERE TRASFERITI) allo scopo di (PER QUALE SCOPO); 6) La ditta Mandante interessata gode dei diritti assicurati dall'art. 7 del citato D.Lgs. 196/2003, che potranno essere esercitati, secondo l'art. 8 D. Lgs. 196/2003, mediante apposita richiesta al titolare o al responsabile del trattamento; 7) titolare del trattamento è (IL TITOLARE DEI DATI E IL RAPPRESENTANTE O CHI PER LUI); responsabile/i del trattamento è (NOME DI COLUI CHE RISPONDERA IN CASO DI EVENTUALI RESPONSABILITA ). Lì , data Firma Pag. 1 di 12

2 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DI DATI PERSONALI, SENSIBILI E GIUDIZIARI EFFETTUATO CON/ O SENZA, AUSILI DI STRUMENTI ELETTRONICI (ai sensi dell art. 34 del D.Lgs. n. ) Nome agente di commercio: Via: Tel/fax: P. Iva: N. iscrizione registro imprese: PREMESSA Il presente documento è stato redatto in conformità a quanto previsto dalla normativa nazionale in vigore ed in particolare in conformità a quanto statuito dall art. 34 e dall Allegato B del Decreto Lgs. n.196/2003 Codice in materia di protezione dei dati personali ed è suddiviso come segue: l elenco dei trattamenti dei dati personali (regola 19.1); l analisi dei rischi che incombono sui dati (regola 19.3); le misure in essere e da adottare (regola 19.4); i criteri e modalità di ripristino della disponibilità dei dati (regola 19.5); i trattamenti affidati all esterno (regola 19.7). Pag. 2 di 12

3 Elenco dei trattamenti dei dati personali (regola 19.1) Contenuti: In questa sezione viene inserito l elenco dei trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati trattati e della struttura, interna od esterna che operativamente effettua il trattamento. Tabella 1.1: elenco dei trattamenti informazioni base Identificativ o del trattamento (1) Descrizione sintetica (1) Natura dei dati trattati (2) S G Altre strutture (anche esterne) che concorrono al trattamento (3) Descrizione degli strumenti utilizzati (4) Tabella 1.2: elenco dei trattamenti descrizione analitica degli strumenti utilizzati Identific ativo del trattam ento (1) Eventuale banca dati (6) Ubicazione fisica dei supporti di memorizzazione (7) Tipologia di dispositivi di accesso (8) Tipologia di interconnessi one al trattamento (9) (1) art. 4: le attività di trattamento consistono in: 1.a) raccolta 1.b) registrazione 1.c) organizzazione 1.d) conservazione 1.e) consultazione 1.f) elaborazione 1.g) modificazione 1.h) selezione 1.i) estrazione 1.l) raffronto 1.m) utilizzo 1.n) interconnessione 1.o) blocco 1.p) comunicazione 1.q) diffusione 1.r) cancellazione 1.s) distruzione Pag. 3 di 12

4 (2) art. 4: i dati sensibili consistono in: s.1) origini razziali o etniche; s.2) convinzioni religiose; adesioni ad organizzazioni a carattere religioso; s.3) convinzioni filosofiche o di altro genere; adesioni ad organizzazioni a carattere filosofico; s.4) opinioni politiche; s.5) adesione a partiti od organizzazioni a carattere politico; s.6) adesione a sindacati o organizzazioni a carattere sindacale; s.7) stato di salute; s.8) vita sessuale; i dati giudiziari consistono in: g.1) casellario giudiziale; g.2) anagrafe delle sanzioni amministrative dipendenti da reato; g.3) carichi pendenti; g.4) qualità di imputato o di indagato; (3) Altre strutture che concorrono al trattamento: nel caso in cui il trattamento, per essere completo, comporti l attività di diverse strutture è opportuno indicare oltre a quella che primariamente detiene la responsabilità del trattamento, anche quelle che concorrono, siano esse interne od esterne all organizzazione. (4) Descrizione degli strumenti utilizzati: descrizione degli strumenti utilizzati nel trattamento (pc, fascicoli cartacei, etc) (5) Il nome o l identificativo del data base o dell archivio informatico in cui sono contenuti i dati che sono trattati: artigiani; imprenditori e piccoli imprenditori; commercianti; lavoratori autonomi; familiari degli interessati; clienti ed utenti; potenziali clienti ed utenti; fornitori e potenziali fornitori consulenti e liberi professionisti, anche associati; agenti e rappresentanti; personale dipendente; personale dipendente di clienti, dell Ente; candidati da considerare per possibili rapporti di lavoro; scolari e studenti di ogni ordine e grado; soggetti od organismi pubblici; aderenti ad associazioni sindacali, politiche, religiose. (6) Ubicazione fisica dei supporti di memorizzazione: contiene l indicazione del luogo in cui risiedono fisicamente i dati, cioè dove si trova l elaboratore su cui i dischi sono memorizzati, etc. (7) Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, etc. (8) Tipologia di interconnessione: descrizione sintetica della rete informatica che collega i dispositivi d accesso utilizzati dagli incaricati ai dati: rete locale, internet, etc. Pag. 4 di 12

5 Analisi dei rischi che incombono sui dati (regola 19.3) Contenuti: Individuare i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutarne le possibili conseguenze e la gravità e podi in correlazione con misure previste. Tabella 3.1: analisi dei rischi Evento (1) Azione di virus informatici Impatto sulla sicurezza dei dati (2) Descrizione Gravità stimata Rif. misure d azione (3) Eventi relativi agli strumenti Spamming o altre tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Intercettazione di informazioni in rete Accessi non autorizzati ad elaboratori/apparati di rete, ai servizi di rete, agli applicativi e alle funzioni Eventi relativi ad attacchi logici Accesso e lettura non autorizzati di dati presenti su archivi informatici Modifica non autorizzata di dati o di programmi Inserimento non autorizzato di software Pag. 5 di 12

6 Alterazione dei dati di configurazione del sistema Intercettazione delle informazioni Lettura non autorizzata di schermate video Furto/duplicazione/lettura di supporti magnetici (Cd- Rom, dischetti, token, smart-card) Malfunzionamento hardware e software Analisi delle tipologie di traffico sulle linee di trasmissione dei dati (traffic analysis) Estrazione non autorizzata di informazioni/dati trasportati in Rete (sniffing) Lettura non autorizzata di dati di Rete (utilizzo non aziendale di Internet) Modifica non autorizzata di dati in fase di trasmissione Replica di messaggi Dirottamento dei risultati di una elaborazione Mascheramento dell originatore/destinatari o, utente o sistema (spoofing) Pag. 6 di 12

7 Decifratura di password (password cracking) Eventi relativi al contesto Accessi fisico non autorizzati a locali/reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati Eventi distruttivi naturali Eventi distruttivi d origine umana accidentali o dovuti ad incuria Eventi distruttivi d origine umana dolosi Guasto al sistemi complementari (impianto elettrico, climatizzazione,...) Errori umani nella gestione della sicurezza fisica Mancata rilevazione e valutazione dei rischi; aggiornamento dell analisi Mancanza di misure protettive ed aggiornamenti tecnologici necessari Eventi relativi ad attacchi organizzativi Mancanza di cultura ed informazione aziendale sulla sicurezza Mancata assegnazione ed istruzioni agli incaricati Mancata classificazione dei dati Pag. 7 di 12

8 Mancata registrazione delle consultazioni Mancata documentazione dei controlli periodici Mancanza di verifiche periodiche su dati/trattamenti non consentiti/corretti Mancata distruzione controllata dei supporti Assenza di un piano di disaster recovery (1) Elenco degli eventi: contiene l elenco degli eventi che possono generare danni e che comportano quindi rischi per la sicurezza dei dati personali. (2) Impatto sulla sicurezza dei dati: contiene la descrizione delle principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento ed una valutazione delle gravità delle stesse, anche in relazione alla probabilità stimata dell evento. (3) Rif.misura d azione: contiene il riferimento alla contromisura adottata. Contenuti: Misure in essere e da adottare (regola 19.4) Si riporta in forma sintetica, le misure in essere e da adottare a contrasto dei rischi individuati dall analisi dei rischi. Per misura si intende non solo lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia ma anche tutte le attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia Tab. 4.1: Elenco delle misure di sicurezza in essere o da adottare Misur Trattamento a (1) interessato (3) Rischio contrastato (2) Banca dati interessata (3) Riferi m sched a analiti ca (4) Misura già in essere (5) Misura da adottare (5) Periodicità controlli (6) Respons abilità controlli (6) (1) Misure: la descrizione sintetica della misura di sicurezza adottata. (2) Rischio contrastato: per ogni misura è necessario indicare il riferimento all'elemento dell'analisi dei rischi che ha motivato l'adozione della misura in oggetto. Pag. 8 di 12

9 (3) Data base/trattamento interessato: riportare l'identificativo del (dei) data base o dell'archivio informatizzato e dei trattamenti interessati per ciascuna delle misure adottate. Determinate misure possono non essere riconducibili a specifici trattamenti o basi di dati. (4) Rif Scheda analitica: contiene il riferimento eventuale ad una scheda analitica descrittiva della misura, eventualmente compilata anche utilizzando la successiva tabella 4.2. (5) Data di.effettività: per ogni misura è necessario indicare la data a partire dalla quale la misura è operativa o se già operativa una dicitura standard (ad es.: "in essere). Se la misura non è in essere, scrivere la data di attuazione. (6) Periodicità e modalità dei controlli: contiene l'indicazione della periodicità con cui sono verificate la funzionalità e l'efficienza della misura in questione e della struttura operativa che ne ha la responsabilità. Tab. 4.2: scheda descrittiva delle misure adottate Scheda nr. Compilata da Data di compilazione Misura Descrizione sintetica Elementi descrittivi Eventuali implementazioni Data aggiornamento Oltre alle informazioni sintetiche sopra riportate può essere utile compilare, per ciascuna misura una scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza ed, in particolare, nelle attività di verifica e. controllo. Esempio di misure:per garantire l integrità e la disponibilità dei dati. Contro: errori accidentali (adeguata formazione ed istruzioni agli incaricati; standardizzazione e chiarezza delle informazioni da dare agli incaricati; raccolta presso gli incaricati dei dati relativi all evento ai fini di prevenzione); errori di programmazione (test e verifiche); vulnerabilità del sistema operativo (bugs, patch mensili); accessi abusivi ed intrusioni (divieto di installare programmi non testati); attacchi da virus, worm, malware, etc. (antivirus quotidiani, divieto di installare software non testato); violazione riservatezza ed integrità dei messaggi. Esempio di misure: per la protezione di aree e locali: vigilanza della sede; sistemi di allarme; ingresso controllato ai locali di trattamento; autenticazione degli accessi; custodia in armadi/classificatori non accessibili; custodia in armadi blindati e/o ignifughi; deposito in cassaforte; Pag. 9 di 12

10 custodia dei supporti in contenitori sigillati; continuità dell alimentazione elettrica e del condizionamento; dispositivi antincendio; controllo sull operato dei manutentori. Esempio di misure: per il tempestivo ripristino della disponibilità dei dati in caso di danneggiamento degli stessi o degli strumenti elettronici: criteri e modalità del ripristino (entro 7 giorni); copiatura dei dati in supporti o sistemi di riserva; tipi di dati da salvare in n copie; modalità e frequenza della copiatura; soggetti incaricati di effettuarla; preventivo controllo del funzionamento affidato a ; custodia in luoghi sicuri, in contenitori ignifughi, con accesso ai soli incaricati. Esempio di misure: per la formazione degli incaricati: Si prevedono interventi formativi al momento dell ingresso in servizio e in occasione di: cambiamento di mansioni; introduzione di nuovi strumenti rilevanti per il trattamento; emanazione di norme integrative modificative rilevanti in materia di privacy; gli interventi formativi dovranno mirare a rendere edotti gli incaricati; dei rischi che incombono sui dati; delle misure disponibili per prevenire eventi dannosi; delle norme sulla protezione dei dati più rilevanti nelle attività di competenza; delle responsabilità che ne derivano; dei modi di aggiornarsi sulle misure adottate dal titolare. Esempio di misure: per garantire l adozione delle misure minime in caso di trattamento affidato all esterno della struttura affidamento solo a società di servizi che, per esperienza, capacità ed affidabilità, fornisca idonea garanzia del pieno rispetto delle norme sulla sicurezza; dettagliata esposizione contrattuale delle misure di sicurezza da adottare e delle relative responsabilità civili e penali (stipula di assicurazioni?); obbligo di rendere noti gli eventuali attacchi e le contromisure effettuate; verifiche nella gestione della sicurezza; ispezioni con regolarità; rendicontazione semestrale (sullo stato di gestione della sicurezza; su ulteriori o diverse misure; su variazioni tecnologiche e modalità d utilizzo). Contenuti Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) Si descrivono di seguito i criteri e le procedure adottate per il salvataggio dei dati e il loro ripristino in caso di danneggiamento o inaffidabilità della banca dati. L importanza di queste attività deriva direttamente dall eccezionalità delle situazioni in cui il ripristino ha luogo. Pag. 10 di 12

11 Tabella 5.1: salvataggio dei dati Data base (1) Dati sensibili o giudiziari contenuti (2) Criteri individuati per il salvataggio (procedure operative in essere) (3) Ubicazione di conservazione delle copie (4) Tabella 5.2: ripristino dei dati Ripristino Data base/archivio (1) Scheda operativa (6) Pianificazione delle prove di ripristino (7) (1) Data base: contiene l identificativo del data base o dell archivio interessato. (2) Dati sensibili/giudiziari: contiene l elenco dei dati sensibili o giudiziari contenuti nel data base o archivio. (3) Criteri individuati per il salvataggio: contiene una descrizione della tipologia di salvataggio e della frequenza con cui viene effettuato. (4) Ubicazione conservazione copie: contiene l indicazione del luogo fisico nel quale sono conservate le copie. (5) Struttura operativa o persona incaricata del salvataggio: contiene il nominativo della persona incaricata di effettuare il salvataggio e/o di controllarne l esito o del coordinatore del gruppo preposto. (6) Scheda operativa: contiene il riferimento alla scheda operativa che descrive la procedura di ripristino. (7) Pianificazione delle prove di ripristino: contiene l indicazione delle date in cui si prevede di effettuare test di efficacia delle procedure di salvataggio/ripristino dei dati adottate. Pag. 11 di 12

12 Trattamenti affidati all esterno (regola 19.7) Contenuti In questa sezione è riportato u quadro sintetico delle attività trasferite a terzi che comportano il trattamento di dati personali con l indicazione sintetica del quadro contrattuale in cui tale trasferimento si inserisce. Tabella 7.1: trattamenti affidati all esterno Attività Descrizione sintetica esternalizzata (1) (1) Dati personali, sensibili, giudiziari (2) Soggetto esterno (3) Descrizione dei criteri per l adozione delle misure (4) (1) Attività esternalizzata: contiene l elenco identificativo delle attività delegate e una loro sintetica descrizione. (2) Dati personali, sensibili, giudiziari: contiene l elenco dei dati oggetto dell attività delegata (per la descrizione si veda note a tabella 1.1). (3) Soggetto esterno: identificativo della società a cui è stato affidato l incarico. (4) Descrizione dei criteri per l adozione delle misure: per garantire un adeguato trattamento dei dati è necessario che il soggetto esterno a cui viene affidato lo stesso si assuma alcuni impegni su base contrattuale. Il soggetto esterno dichiara: di essere consapevole che i dati che tratterà nell espletamento dell incarico ricevuto, sono dati personali e, come tali, sono soggetti all applicazione del codice per la protezione dei dati personali; di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali; di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere; di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze; di riconoscere il diritto del committente verificare periodicamente l applicazione delle norme di sicurezza adottate. Pag. 12 di 12