Ci si riferisce, in particolare, all'abuso della qualità di operatore di

Transcript

1 Con il presente provvedimento il Garante intende richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi e alle criticità implicite nell'affidamento degli incarichi di amministratore di sistema.

2 La rilevanza, la specificità e la particolare criticità del ruolo dell'amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante. Ci si riferisce, in particolare, all'abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di: accesso abusivo a sistema informatico o telematico (art. 615 ter) frode informatica (art. 640 ter), danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques)

3 Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.

4 Provvedere entro i termini previsiti (già scaduti 15 dicembre 2009) : a. Valutazione delle caratteristiche soggettive L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. b. Designazioni individuali La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

5 c. Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante d. Servizi in outsourcing Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

6 e. Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti f. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

7 L amministratore di sistema non è più semplicemente il manutentore della struttura informatica ma è il GARANTE INFORMATICO della protezione dei dati personali unitamente al Titolare

8 Art. 31. Obbligo di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

9 MISURE MINIME DI SICUREZZA, contenute nell allegato b al D.Lgs 196/2003, Devono essere sempre adottate. MISURE DI SICUREZZA IDONEE, riferite alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento.

10 Art. 33. Misure minime Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. L adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali.

11 Art.4, Comma 3, Lettera a) Le "misure minime", sono il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31.

12 Art. 15. Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11. Art Responsabilità per l'esercizio di attività pericolose. Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, e tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.

13 Art. 169 Omessa adozione delle misure minime di sicurezza (Arresto sino a 2 anni / ammenda da ,00 a ,00) RAVVEDIMENTO OPEROSO Esatta e puntuale adozione delle prescrizioni + pagamento di ,00 ESTINZIONE DEL REATO

14 Misure Minime Misure Idonee Responsabilità Penale (Art.169) Sì Sì Responsabilità Amministrativa No Sì Responsabilità Civile No Sì

15 Art. 34. Trattamenti con strumenti elettronici Art. 34. Trattamenti Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

16 Art. 34. Trattamenti con con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e adeterminati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

17 Art. 35. Trattamenti senza elettronici senza l'ausilio di strumenti Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

18 Allegato B) al D.L.vo 196/ Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza.

19 19.1. l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

20 Formalizza e documenta il processo di sicurezza. Documenta e giustifica le scelte operate. Conferisce unitarietà e coerenza alle diverse misure di sicurezza (logiche e fisiche). Fornisce la base per la pianificazione degli interventi nei Sistemi Informativi. Fornisce, in alcuni casi, l'unica prova liberatoria agli effetti del risarcimento di cui agli artt. 15 D.L.vo 196/ C.C.

21 In quanto misura minima è obbligatorio per coloro i quali trattano dati sensibili/giudiziari con strumenti elettronici. (Art. 34 combinato con la Regola 19 All. B)) In quanto misura di sicurezza organizzativa di primaria importanza dovrebbe essere redatto da tutti coloro che trattano dati personali. (Art. 31 D.L.vo 196/2003)

22 Art.161 Art. 162 Art. 163 Art. 164 Art. 165 Omessa o inidonea informativa all'interessato nel caso di trattamento di Dati personali Omessa o inidonea informativa all'interessato nel caso di trattamento di Dati Sensibili o Giudiziari Da a Euro Da a Euro Aumentali sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. La cessione dei dati in violazione di quanto previsto dall'articolo 16 (Cessazione del Trattamento, La violazione della disposizione di cui all'articolo 84 in materia Comunicazione di Dati sanitari all interessato Omessa o incompleta notificazione Omessa informazione o esibizione di documenti a richiesta del Garante. Da a Euro Da a Euro Da a Euro Sanzione Amministrativa accessoria : Pubblicazione della sentenza del Garante

23 Illecito trattamento dei dati in violazione agli artt. 18,19, 23, 123, 126, 130 ovvero 129 Reclusione da 6 mesi a 18 mesi Art.167 Se il trattamento è la Comunicazione o la Diffusione Reclusione da 6 mesi a 24 mesi trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22 (c8 e c11), 25, 26, 27 e 45, Reclusione da 1 anno a 3 anni Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni Art. 169 Mancata Adozione delle Misure di Sicurezza (art.33) Al comma due è previsto la possibilità di ridurre la pena nel caso in cui si provveda ad adottare tale misure entro il tempo massimo di 6 mesi Arresto sino a 2 anni o Ammenda da a Euro Art. 170 Art. 171 Art. 172 Inosservanza di provvedimenti del Garante Reclusione da 3 mesi a 2 anni Divieto di Controllo a Distanza e telelavoro : Sanzioni previste dallo statuto dei lavoratori (art. 4 e 38 della L maggio 1970) Pene accessoria : Pubblicazione della sentenza.