La sicurezza in azienda
|
|
- Valentina Adamo
- 7 anni fa
- Visualizzazioni
Transcript
1 La sicurezza in azienda Le regole da seguire per la tutela della privacy attraverso il documento programmatico sulla sicurezza 1 - CONTINUA La seconda parte saraà pubblicata su ItaliaOggi di mercoledì 8 marzo a cura di Antonio Ciccia INDICE 1 INTRODUZIONE I TEMPI PER ADEGUARSI IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 2.2 RIFERIMENTI DI LEGGE 3 L ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA REVISIONI DEL DOCUMENTO I MODELLI DA UTILIZZARE MANUALE PER LA SICUREZZA AD USO DEGLI INCARICATI Riproduzione riservata 6 Marzo 2006
2 2 1 INTRODUZIONE Una delle regole principali per la protezione dei dati personali è rappresentata dalla sicurezza dei dati e dei sistemi. Il rispetto delle misure minime rappresenta un interesse anche per chi deve utilizzare i dati: si raggiunge così una comunanza di intenti: quello degli interessati di evitare che i propri dati personali entrino in possesso di malintenzionati; quello dei titolari del trattamento che sbarrano la strada a hacker e simili. Il Testo unico della privacy (decreto legislativo 30 giugno 2003 n. 196) riprende le disposizioni sulla sicurezza privacy presenti nella legge 675/1996 (articolo 15) e ne fornisce una disciplina più analitica. I dati personali oggetto di trattamento devono essere sempre custoditi e controllati, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (articolo 31 del Testo unico della privacy). Tutto ciò deve essere realizzato anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, Le misure idonee devono comunque essere garantite, anche a scanso delle responsabilità civili. Le imprese e tutti i titolari del trattamento, fermo restando che devono realizzare tutte misure idonee, sono comunque tenuti ad adottare alcune misure minime volte ad assicurare un livello minimo di protezione dei dati personali. Insomma il livello deve essere almeno il minimo di legge (così si evitano conseguenze penali); se però in base al caso concreto si potevano predisporre misure ulteriori, queste dovevano essere approntate, altrimenti c è il rischio di dovere risarcire i danni eventualmente cagionati. Il Codice della privacy ha confermato il principio secondo cui le «misure minime», di importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. 33 del Codice) (nota Garante 22 marzo 2004). In effetti gli obblighi sulla sicurezza sono di due tipi. 1) Obbligo più generale di ridurre al minimo determinati rischi. Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Resta in vigore, oltre alle cosiddette «misure minime», l obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art. 31). L inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt. 15 e 152 del Codice) (nota Garante 22 marzo 2004). La fonte normativa principale dell obbligo generale di sicurezza è rappresentato dal citato articolo 31 del Codice. Ai sensi di tale articolo i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 2) Il dovere di adottare in ogni caso le «misure minime». Si tratta del livello minimo di protezione dei dati personali. Ai sensi dell articolo 33 del Codice della privacy Nel quadro dei più generali obblighi di sicurezza di cui all articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate volte ad assicurare un livello minimo di protezione dei dati personali. Ai sensi dell articolo, comma 4, del codice della privacy per «misure minime», si intende il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell articolo 31. L omessa adozione di alcune misure indispensabili («minime»), le cui modalità sono specificate tassativamente nell allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l arresto sino a due anni o l ammenda da 10 mila euro a 50 mila euro, e l eventuale «ravvedimento operoso» di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l estinzione del reato) (nota Garante 22 marzo 2004). Le misure minime sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari. Le misure minime sono già state previste dal dpr 318/1999: le «misure minime» che erano già obbligatorie in passato devono essere adottate oggi senza attendere il decorso di termini transitori. Invece per le nuove misure il termine transitorio è quello del 31 dicembre È previsto un periodo più ampio per l adeguamento (fino al 31 marzo 2005) solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica.
3 2 I TEMPI PER ADEGUARSI Il Codice della privacy definisce in un allegato (allegato B) il dettaglio delle misure minime di sicurezza. L allegato b) sostituisce il dpr 318/1999 con alcune integrazioni. Il Codice fissa alcune scadenze per adeguarsi alle nuovi prescrizioni dell allegato b). Le misure minime di sicurezza dell allegato B), che non erano previste dal dpr 318/1999, n. 318, devono essere adottate entro il 31 marzo Tuttavia il titolare che disponesse di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l immediata applicazione delle misure minime, deve descrivere le medesime ragioni in un documento a data certa da conservare presso la propria struttura. In questo caso il titolare deve adottare ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi, adeguando comunque i medesimi strumenti al più tardi entro il 30 giugno In materia di diritto transitorio è intervenuto il Garante della privacy che ha precisato in un suo parere le scadenze per l adeguamento alle misure di sicurezza. Il contenuto saliente del parere sulle misure di sicurezza è rappresentato certamente dalla indicazione tra le nuove misure minime previste dal Codice della privacy (nell allegato b) del Documento programmatico sulla sicurezza, ma non vanno sottovalutate altre indicazioni operative. Punto importante del vademecum del garante è che si è ampliata la platea dei soggetti tenuti ad adottare una particolare misura minima di sicurezza, che va sotto il nome di documento programmatico sulla sicurezza. Sono tenuti al Dps tutti coloro che trattano dati sensibili e giudiziari con elaboratori elettronici. Peraltro va segnalato che con questa interpretazione viene fugato il dubbio derivante dalla formulazione letterale dell articolo 34 del codice e cioè che i l mero trattamento con elaboratori obbligasse al Dps. Oltre a ciò occorre, infatti, che il trattamento concerna dati sensibili e giudiziari. Peraltro si è tenuti al Dps anche se il trattamento avviene con elaboratori non accessibili in rete pubblica (condizione invece prima richiesta dal dpr 318/1999). Da queste considerazioni si può raggiungere un primo risultato: tutti i titolari di trattamento devono realizzare archivi sicuri (anche se usano solo archivi cartacei); alcuni accorgimenti di sicurezza minimali devono essere realizzati a pena di responsabilità penali. Chi tratta dati sensibili e giudiziari con elaboratore elettronico deve redigere il documento programmatico sulla sicurezza. Da qui l allargamento della platea dei destinatari (imprese, Pa e professionisti, fra tutti) per adempimenti che hanno nel marzo 2006 la scadenza. Il garante peraltro ha promesso un modello semplificato ad uso delle piccole realtà. È previsto un periodo più ampio per l adeguamento (fino al 30 giugno 2006) solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica, da dichiarare in un atto avente data certa da redigere entro il 31 marzo 2006, anch esso. Un ultima precisazione: le «misure minime» che erano già obbligatorie in passato (in base al vecchio regolamento dpr 318/1999) devono essere adottate ancora oggi senza attendere il decorso di termini transitori, che valgono solo per quelle nuove di cui all allegato b) al Codice. 3 L elenco delle misure minime di sicurezza Trattamenti con strumenti elettronici Autenticazione informatica Adozione di procedure di gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione Aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Tenuta di un aggiornato documento programmatico sulla sicurezza Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Aggiornamento periodico dell individuazione dell ambito del tratta- mento consentito ai singoli incaricati o alle unità organizzative; previsione di procedure per un idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all identificazione degli incaricati Trattamenti senza l ausilio di strumenti elettronici
4 2.1 IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA La redazione del Documento programmatico sulla sicurezza (Dps) è una «misura minima», prevista dall allegato B). Non è una misura nuova. Tuttavia è aumentato il numero dei soggetti che deve redigere il Dps e il suo necessario contenuto è parzialmente diverso. Secondo la precedente disciplina prevedeva già l obbligo di predisporre e aggiornare il Dps, almeno annualmente, in caso di trattamento di dati sensibili OBBLIGATI A REDI- GERE IL DPS SCADENZA PER LA REDAZIONE/AG- GIORNAMENTO DPS DPR 318/99 In caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico I soggetti tenuti a predisporre il Dps hanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al più tardi, entro il 31 dicembre 2000; con l obbligo di revisione almeno annuale, hanno dovuto aggiornare il Dps negli anni successivi, anche nel o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (artt. 22 e 24 l. n. 675/1996; art. 6 dpr n. 318/1999). I soggetti tenuti a predisporre il Dpshanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al più tardi, entro il 31 dicembre 2000 (artt. 15, comma 2 e 41, comma 3 legge n. 675/1996; legge n. 325/2000); dovendo rispettare l obbligo di revisione almeno annuale, hanno dovuto aggiornare il Dps negli anni successivi, anche nel CODICE DELLA PRIVACY Deve essere adottato dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l organo, ufficio o persona fisica a ciò legittimata in base all ordinamento aziendale o della pubblica amministrazione interessata Il Dps da redigere nel 2004 per la prima volta, o da aggiornare, possa essere predisposto al più tardi entro il 31 dicembre 2004, anziché necessariamente entro il 31 marzo, data che è invece prevista a regime per gli anni a partire dal In base al nuovo Codice, la misura minima del Dps deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l organo, ufficio o persona fisica a ciò legittimata in base all ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g, del Codice; regola 19 dell allegato B). Da un punto di vista dei contenuti il nuovo Dpsè LEGGE/DECRETO Decreto legislativo 30 giugno 2003 n. 196 Decreto legge 273/2005 «milleproroghe» Dpcm8 Febbraio 1999 Dpr 20 ottobre 1998, n. 428 Legge 23 dicembre 1993 n. 547 Dlgs 29 dicembre 1992 n. 518 arricchito da elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. 2.2 RIFERIMENTI DI LEGGE Nella definizione di quanto riportato in questo documento si fa riferimento e sono applicate indicazioni riportate nelle seguenti leggi, decreti, provvedimenti: OGGETTO Codice in materia di dati personali Proroga termini per la adozione del DPS Regole tecniche per la formazione, la trasmissione, la conservazione duplicazione, la riproduzione e la validazione, anche temporale, di documenti informatici ai sensi dell articolo 3, comma 1, del Decreto Presidente della Repubblica, 10 novembre 1997, n Regolamento per la tenuta del protocollo amministrativo con procedura informatica Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Attuazione della direttiva 91/250/Cee relativa alla tutela giuridica per programmi per elaboratore 3 L ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA L allegato B al Codice elenca le misure di sicurezza privacy da adottare in relazione ai diversi tipi di trattamento. Con riferimento ai trattamenti con strumenti elettronici, l allegato B dettaglia le modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell incaricato. Per «strumenti elettronici» il codice intende gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento (articolo 4, comma 3). Le misure per chi usa elaboratori si distinguono in: - sistema di autenticazione informatica; - sistema di autorizzazione;
5 - altre misure di sicurezza; - documento programmatico sulla sicurezza; - ulteriori misure in caso di trattamento di dati sensibili o giudiziari; - misure di tutela e garanzia. Per «autenticazione informatica», il codice della privacy intende l insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell identità. Con l autenticazione informatica ci si propone di verificare l identità del responsabile e dell incaricato del trattamento. Si vuol sapere chi compie operazioni di trattamento dati con l elaboratore. Al sistema di autenticazione informatica sono dedicate 11 regole. La prima regola introduce il concetto di credenziali di autenticazione. Le «credenziali di autenticazione» sono costitute da dati e dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l autenticazione informatica (articolo 4, comma 3, del codice). Le credenziali sono lo strumento per ottenere l autenticazione informatica. Attraverso le credenziali si può risalire alla persona che accede ai dati conservati nell elaboratore. 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. La regola n. 2 dice come sono fatte le credenziali di autenticazione. 2. Le credenziali di autenticazione consistono in un codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell incaricato, eventualmente associata a un codice identificativo o a una parola chiave. Le opzioni della regola 2 sono le seguenti: - codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo; - dispositivo di autenticazione in possesso e uso esclusivo dell incaricato, eventualmente associato a un codice identificativo o a una parola chiave; - una caratteristica biometrica dell incaricato, eventualmente associata a un codice identificativo o a una parola chiave. In materia di credenziali è dettata la regola per cui: 3. Ad ogni incaricato sono assegnate o associate individualmente una o piu credenziali per l autenticazione. Come è evidente, a contrario, a più incaricati di trattamento non può essere assegnata o associata la stessa credenziale. Allo stesso modo una successiva regola prescrive: 6. Il codice per l identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Anche il codice identificativo (che è una componente della credenziale) è individualmente assegnato. Quanto alla parola chiave le regole specifiche sono le seguenti: 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all incaricato ed è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. le regole sulle password sono le seguenti: - l incaricato deve mantenerla segreta; - l incaricato deve sceglierla con cura; - la password ha una sua scadenza. Quanto ai dispositivi di identificazione la regola 4 sopra riportata dispone a carico dell incaricato l obbligo di diligente custodia. La regola della scadenza riguarda anche le credenziali nel loro complesso: 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all incaricato l accesso ai dati personali. Già la regola 4 parlava di istruzioni agli incaricati del trattamento. Alle istruzioni relative alla password si aggiungono relative: - alla custodia dello strumento elettronico; - alla custodia della password per consentire l accesso agli elaboratori 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l autenticazione, sono impartite idonee e pre- 5
6 6 ventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l incaricato dell intervento effettuato. Le credenziali rappresentano il livello base: chi accede all elaboratore deve autenticarsi ed eventualmente inserire una parte riservata da lui solo conosciuta. Al livello base segue un secondo livello: quello delle autorizzazioni. Si passa così a descrivere le misure di sicurezza relative al sistema di autorizzazione. Siamo nel caso in cui per gli incaricati sono individuati profili di autorizzazione di ambito diverso. Questo significa cha a un incaricato è attribuito un «profilo di autorizzazione», ovvero l insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonchè i trattamenti ad essa consentiti. Il «sistema di autorizzazione» è dunque l insieme degli strumenti e delle procedure che abilitano l accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. Insomma non c è solo l identificazione dell incaricato, ma c è anche la verifica della corrispondenza tra soggetto che entra nel sistema e ambito di informazioni allo stesso disponibili. 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. In sostanza, per esempio, se un dipendente può consultare, ma non modificare alcune informazioni, il sistema deve essere congegnato in modo da autorizzare solo la prima modalità di trattamento e inibire la seconda. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all inizio del trattamento, in modo da limitare l accesso ai soli dati necessari per effettuare le operazioni di trattamento. I profili di autorizzazione sono soggetti a verifica periodica: 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Un limite ai sistemi di autenticazione informatica e ai sistemi di autorizzazione è rappresentato dai dati destinati alla diffusione: 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Pertanto il sistema di sicurezza degli elaboratori fin qui descritto comprende: - il sistema di autenticazione; - il sistema di autorizzazione. A tutto ciò si aggiungono altre misure di sicurezza: - lista degli incaricati 15. Nell ambito dell aggiornamento periodico con cadenza almeno annuale dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. - strumenti antintrusione 16. I dati personali sono protetti contro il rischio di intrusione e dell azione di programmi di cui all art. 615-quinquies del codice penale, mediante l attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. - programmi preventivi della vulnerabilità degli strumenti 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale. - back up 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Un altra misura minima di sicurezza è il Documento programmatico sulla sicurezza (punto 19). Per il trattamento di dati sensibili o giudiziari sono previste Ulteriori misure: - strumenti elettronici contro l accesso abusivo 20. I dati sensibili o giudiziari sono protetti contro l accesso abusivo, di cui all art. 615-ter del codice penale, mediante l utilizzo di idonei strumenti elettronici. - istruzioni su uso e conservazione supporti 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
7 - riutilizzo supporti 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. - ripristino dati 23. Sono adottate idonee misure per garantire il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. L allegato B, alle regole 27/28/29 si occupa dei Trattamenti senza l ausilio di strumenti elettronici e descrive le modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell incaricato, in caso di trattamento con strumenti diversi da quelli elettronici. La prima regola riguarda istruzioni da impartire agli incaricati e la redazione della lista degli incaricati: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell ambito dell aggiornamento periodico con cadenza almeno annuale dell individuazione dell ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. - misure per organismi sanitari ed esercenti professioni sanitarie 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all identità genetica sono trattati esclusivamente all interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Chiudono le misure minime di sicurezza per i trattamenti con elaboratore le Misure di tutela e garanzia. La prima misura di tela e garanzia riguarda l attestazione di conformità da parte di installatori 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. La seconda misura di tutela e garanzia riguarda l obbligo di annotazione nel bilancio di esercizio della redazione/aggiornamento del Dps: 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d esercizio, se dovuta, dell avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. La seconda regola concerne obblighi di custodia e di restituzione di atti e documenti: 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. La terza regola riguarda l accesso agli archivi dopo l orario di chiusura: 29. L accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. 4 IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA La regola 19 riguarda il documento programmatico sulla sicurezza e si articola in 8 sottoregole. 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: Quanto ai soggetti obbligati il Garante ha chiarito che il Dps va redatto obbligatoriamente per evitare sanzioni penali in relazione ai trattamenti di dati sensibili e giudiziari. Con riferimento ad altre categorie di dati non sussiste un obbligo penalmente sanzionato in caso di inosservanza. E tuttavia la redazione del Dps rappresenta una misura di sicurezza ai sensi dell articolo 31 del codice della privacy, idonea a scongiurare il rischio di responsabilità civili. Vediamo ora di illustrare il contenuto del DPS per ciascuna delle otto sottocategorie, inserendo le spiegazioni date dal Garante nella sua Guida. 7
8 TABELLA 1.1 Elenco dei trattamenti: informazioni essenziali Descrizione sintetica Natura dei Struttura di Altre strutture Descrizione degli del trattamento dati trattati riferimento (anche esterne) strumenti utilizzati che concorrono al trattamento Finalità Categorie S G perseguita di o attività svolta interessati TABELLA 1.2 Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti 2 Identificativo Eventuale Ubicazione fisica Tipologia di Tipologia di del trattamento banca dati dei supporti di dispositivi di interconnessione memorizzazione accesso 8 2. Da compilare facoltativamente, collegandola alla tabella precedente, ad esempio attraverso l identificativo. TABELLA 2 Competenze e responsabilità delle strutture preposte ai trattamenti Struttura Trattamenti effettuati Descrizione dei compiti dalla struttura e delle responsabilità della struttura TABELLA 3 Comportamenti degli operatori Analisi dei rischi Rischi Si/No Descrizione dell impatto sulla sicurezza (gravità: alta/media/bassa) sottrazione di credenziali di autenticazione carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale altro evento
9 Eventi relativi agli strumenti Eventi relativi al contesto azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti accessi esterni non autorizzati intercettazione di informazioni in rete altro evento accessi non autorizzati a locali/reparti ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della sicurezza fisica altro evento TABELLA 4.1 Le misure di sicurezza adottate o da adottare Misure Descrizione dei Trattamenti Misura già Misura da Struttura o persone rischi contrastati interessati in essere adottare (*) addette all adozione 9 (*) Indicare eventualmente i tempi previsti per l adozione delle misure TABELLA 4.2 Scheda descrittiva delle misure adottate 3 Scheda n. Compilata Data di da compilazione Misura Descrizione sintetica Elementi descrittivi Data aggiornamento 3 Da compilare facoltativamente.
10 TABELLA 5.1 Ripristino Criteri e procedure per il ripristino della disponibilità dei dati Banca /data Criteri e procedure per il Pianificazione delle base/archivio di dati salvataggio e il ripristino dei dati prove di ripristino TABELLA 5.2 Salvataggio Criteri e procedure per il salvataggio dei dati 4 Banca dati Criteri e procedure Luogo di custodia Struttura o persona per il salvataggio delle copie incaricata del salvataggio 10 4 Da compilare facoltativamente. TABELLA 6 Pianificazione degli interventi formativi previsti Descrizione sintetica Classi di incarico o tipologie Tempi previsti degli interventi formativi di incaricati interessati TABELLA 7 Trattamenti affidati all esterno Descrizione Trattamenti di Soggetto esterno Descrizione dei criteri e degli sintetica dell attività dati interessati impegni assunti per l adozione esternalizzata delle misure TABELLA 8 Cifratura dei dati o separazione dei dati identificativi (solo per organismi sanitari ed esercenti professioni sanitarie) Trattamenti di dati Protezione scelta Tecnica adottata (Cifratura/Separazione) Descrizione Informazioni utili
11 19.1. L ELENCO DEI TRATTAMENTI DI DATI PERSONALI Elenco dei trattamenti di dati personali (regola 19.1) Contenuti In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato. Informazioni essenziali (v. anche tab. 1.1) Per ciascun trattamento vanno indicate le seguenti informazioni secondo il livello di sintesi determinato dal titolare: Descrizione sintetica: menzionare il trattamento dei dati personali attraverso l indicazione della finalità perseguita o dell attività svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.). Natura dei dati trattati: indicare se, tra i dati personali, sono presenti dati sensibili o giudiziari. Struttura di riferimento: indicare la struttura (ufficio, funzione, ecc.) all interno della quale viene effettuato il trattamento. In caso di strutture complesse, è possibile indicare la macro-struttura (direzione, dipartimento o servizio del personale), oppure gli uffici specifici all interno della stessa (ufficio contratti, sviluppo risorse, controversie sindacali, amministrazione-contabilità.) Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere completato, comporta l attività di diverse strutture è opportuno indicare, oltre quella che cura primariamente l attività, le altre principali strutture che concorrono al trattamento anche dall esterno. Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale, geografica o Internet; sistemi informativi più complessi). Ulteriori elementi per descrivere gli strumenti (v. anche tab. 1.2) Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere associato un codice, facoltativo, per favorire un identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle. Banca dati: indicare eventualmente la banca dati (ovvero il data base o l archivio informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate. Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di aggiornamenti. Da indicare facoltativamente. Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino, ecc. Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi d accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc. Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di architettura del sistema informativo o da altri documenti aziendali già compilati e idonei a fornire in altro modo le informazioni medesime LA DISTRIBUZIONE DEI COMPITI E DELLE RESPON- SABILITÀ NELL AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI; Distribuzione dei compiti e delle responsabilità (regola 19.2) Contenuti In questa sezione occorre descrivere sinteticamente l organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), indicando le precise modalità per reperirli. Informazioni essenziali (v. anche tab. 2) Struttura: riportare le indicazioni delle strutture già menzionate nella precedente sezione. Trattamenti effettuati dalla struttura: indicare i trattamenti di competenza di ciascuna struttura. Compiti e responsabilità della struttura: descrivere sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Anche in questo caso è possibile utilizzare, nei termini predetti, altri documenti già predisposti L ANALISI DEI RISCHI CHE INCOMBONO SUI DATI; Analisi dei rischi che incombono sui dati (regola 19.3) Contenuti Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico ambientale di riferimento e agli strumenti elettronici utilizzati. Informazioni essenziali (v. anche tab. 3) Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi: 1) comportamenti degli operatori: sottrazione di credenziali di autenticazione 11
12 12 carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale 2) eventi relativi agli strumenti: azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti accessi esterni non autorizzati intercettazione di informazioni in rete 3) eventi relativi al contesto fisico-ambientale: ingressi non autorizzati a locali/aree ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali,...), nonché dolosi, accidentali o dovuti ad incuria guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della sicurezza fisica È possibile, per ulteriori dettagli, rinviare a documenti analoghi già redatti in tema di piani di sicurezza e gestione del rischio, come ad es.: Business Continuity Plan, Disaster Recovery Plan, ecc. (si tenga però presente che le analisi alla base di questi altri documenti possono avere una natura ben diversa). Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell evento (anche in termini sintetici: es., alta/media/bassa). In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare. L analisi dei rischi può essere condotta utilizzando metodi di complessità diversa: l approccio qui descritto è volto solo a consentire una prima riflessione in contesti che per dimensioni ridotte o per altre analoghe ragioni, non ritengano di dover procedere ad una analisi più strutturata LE MISURE DA ADOTTARE PER GARANTIRE L INTE- GRITA E LA DISPONIBILITÀ DEI DATI, NONCHE LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVAN- TI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ; Misure in essere e da adottare (regola 19.4) Contenuti In questa sezione vanno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Le misure da adottare possono essere inserite in una sezione dedicata ai programmi per migliorare la sicurezza. Informazioni essenziali Misure: descrivere sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole dell Allegato B del Codice). Descrizione dei rischi: per ciascuna misura indicare sinteticamente i rischi che si intende contrastare (anche qui, si possono utilizzare le indicazioni fornite dall Allegato B). Trattamenti interessati: indicare i trattamenti interessati per ciascuna delle misure adottate. Determinate misure possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio, con riferimento alle misure per la protezione delle aree e dei locali). Occorre specificare se la misura è già in essere o da adottare, con eventuale indicazione, in tale ultimo caso, dei tempi previsti per la sua messa in opera. Struttura o persone addette all adozione: indicare la struttura o la persona responsabili o preposte all adozione delle misure indicate. Ulteriori elementi per la descrizione analitica delle misure di sicurezza (v. anche tab. 4.2) Oltre alle informazioni sopra riportate può essere opportuno compilare, per ciascuna misura, una scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza e, in particolare, nelle attività di verifica e controllo. Queste schede sono a formato libero e le informazioni utili devono essere individuate in funzione della specifica misura. A puro titolo di esempio, possono essere inserite informazioni relative a: la minaccia che si intende contrastare la tipologia della misura (preventiva, di contrasto, di contenimento degli effetti ecc.) le informazioni relative alla responsabilità dell attuazione e della gestione della misura i tempi di validità delle scelte (contratti esterni, aggiornamento di prodotti, ecc.) gli ambiti cui si applica (ambiti fisici -un reparto, un edificio, ecc. - o logici - una procedura, un applicazione, ecc.-) Può essere opportuno indicare chi ha compilato la scheda e la data in cui la compilazione è terminata. Da indicare facoltativamente LA DESCRIZIONE DEI CRITERI E DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITA DEI DA- TI IN SEGUITO A DISTRUZIONE O DANNEGGIA- MENTO DI CUI AL SUCCESSIVO PUNTO 23; Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) Contenuti In questa sezione sono descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di ina23ffidabilità della base dati. L importanza di queste attività deriva dall eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i cri-
13 teri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino. Informazioni essenziali (v. anche tab. 5.1) Per quanto riguarda il ripristino, le informazioni essenziali sono: Banca dati/data base/archivio: indicare la banca dati, il data base o l archivio interessati. Criteri e procedure per il salvataggio e il ripristino dei dati: descrivere sinteticamente le procedure e i criteri individuati per il salvataggio e il ripristino dei dati, con eventuale rinvio ad un ulteriore scheda operativa o a documentazioni analoghe. Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia delle procedure di salvataggio/ripristino dei dati adottate. Ulteriori elementi per specificare i criteri e le procedure per il salvataggio e il ripristino dei dati (v. anche tab. 5.2) Data base: identificare la banca, la base o l archivio elettronico di dati interessati. Criteri e procedure per il salvataggio dei dati: descrivere sinteticamente la tipologia di salvataggio e la frequenza con cui viene effettuato. Modalità di custodia delle copie: indicare il luogo fisico in cui sono custodite le copie dei dati salvate. Struttura o persona incaricata del salvataggio: indicare la struttura o le persone incaricate di effettuare il salvataggio e/o di controllarne l esito LA PREVISIONE DI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO, PER RENDERLI EDOTTI DEI RISCHI CHE INCOMBONO SUI DATI, DELLE MISURE DISPONIBILI PER PREVENIRE EVEN- TI DANNOSI, DEI PROFILI DELLA DISCIPLINA SUL- LA PROTEZIONE DEI DATI PERSONALI PIU RILE- VANTI IN RAPPORTO ALLE RELATIVE ATTIVITA, DELLE RESPONSABILITA CHE NE DERIVANO E DEL- LE MODALITA PER AGGIORNARSI SULLE MISURE MINIME ADOTTATE DAL TITOLARE. LA FORMA- ZIONE E PROGRAMMATA GIA AL MOMENTO DELL INGRESSO IN SERVIZIO, NONCHE IN OCCA- SIONE DI CAMBIAMENTI DI MANSIONI, O DI IN- TRODUZIONE DI NUOVI SIGNIFICATIVI STRU- MENTI, RILEVANTI RISPETTO AL TRATTAMENTO DI DATI PERSONALI; Pianificazione degli interventi formativi previsti (regola 19.6) Contenuti In questa sezione sono riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. Da indicare facoltativamente. Informazioni essenziali Descrizione sintetica degli interventi formativi: descrivere sinteticamente gli obiettivi e le modalità dell intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc). Classi di incarico o tipologie di incaricati interessati: individuare le classi omogenee di incarico a cui l intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza. Tempi previsti: indicare i tempi previsti per lo svolgimento degli interventi formativi LA DESCRIZIONE DEI CRITERI DA ADOTTARE PER GA- RANTIRE L ADOZIONE DELLE MISURE MINIME DI SI- CUREZZA IN CASO DI TRATTAMENTI DI DATI PERSO- NALI AFFIDATI, IN CONFORMITA AL CODICE, ALL ESTERNO DELLA STRUTTURA DEL TITOLARE; Trattamenti affidati all esterno (regola 19.7) Contenuti Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all esterno, per garantire la protezione dei dati stessi. Informazioni essenziali Descrizione dell attività «esternalizzata»: indicare sinteticamente l attività affidata all esterno. Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell ambito della predetta attività. Soggetto esterno : indicare la società, l ente o il consulente cui è stata affidata l attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento). Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a: 1. trattamento di dati ai soli fini dell espletamento dell incarico ricevuto; 2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali; 3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere; 4. impegno a relazionare periodicamente sulle misure di sicurezza adottate anche mediante eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze PER I DATI PERSONALI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA SESSUALE DI CUI AL PUNTO 24, L INDIVIDUAZIONE DEI CRITERI DA ADOTTARE PER LA CIFRATURA O PER LA SEPARAZIONE DI TALI DATI DAGLI ALTRI DATI PERSONALI DELL INTERESSATO. Cifratura dei dati o separazione dei dati identificativi (regola 19.8) Contenuti In questa sezione vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura -o la separazione fra dati identificativi e dati sensibili-, nonché i criteri e le modalità 13
Trattamenti con strumenti elettronici
- 1 - Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell incaricato, in caso di trattamento con strumenti elettronici: Sistema
DettagliAzienda Servizi alla Persona A.S.P. Carlo Pezzani. Provincia di Pavia. Documento di Adozione delle Misure Minime di Sicurezza ALLEGATO A
Azienda Servizi alla Persona A.S.P. Carlo Pezzani Provincia di Pavia Documento di Adozione delle Misure Minime di Sicurezza ALLEGATO A Disciplinare Tecnico in materia di Misure Minime di Sicurezza Il presente
DettagliCodice in materia di protezione dei dati personali.
DECRETO LEGISLATIVO 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali. Vigente al: 28-2-2018 CAPO II MISURE MINIME DI SICUREZZA Art. 34 Trattamenti con strumenti elettronici 1.
DettagliNome modulo: MISURE DI SICUREZZA ADOTTATE DALL AMMINISTRAZIONE NOME LEZIONE: INTRODUZIONE
NOME LEZIONE: INTRODUZIONE Il nuovo Codice prevede ed indica una serie di misure definite minime di sicurezza da adottare per l idoneo trattamento dei dati. In questo modulo tratteremo di: Misure minime
DettagliDISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2018
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2018 Approvato dall Amministratore Unico di Metro con determina n. 1 del 9 gennaio 2018 Sommario Premessa pag. 3 Trattamenti con strumenti
DettagliPRIVACY e SICUREZZA Dr. Antonio Piva
PRIVACY e SICUREZZA Dr. Antonio Piva antonio@piva.mobi 2014 Dr. Antonio Piva 1 Le misure di Sicurezza La filosofia del Codice della Privacy è quella di salvaguardare la riservatezza ed i diritti dell interessato.
DettagliTITOLO V Sicurezza dei dati e dei sistemi. CAPO I Misure di sicurezza
D. Lgs. 30 giugno 2003, n. 196: Codice in materia di protezione dei dati personali. (Pubblicato nel Suppl. Ord. n. 123 alla G.U. n. 174 del 29 luglio 2003) (Omissis) TITOLO V Sicurezza dei dati e dei sistemi
DettagliCorso di formazione per incaricati del trattamento dei dati personali Anno Eleonora Bovo
Corso di formazione per incaricati del trattamento dei dati personali Anno 2004 Eleonora Bovo Parte seconda Applicazione delle norme in ambito informatico Aspetti legali Le modalità del trattamento Le
DettagliPRIME RIFLESSIONI SUI CRITERI DI REDAZIONE
PRIME RIFLESSIONI SUI CRITERI DI REDAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ART. 34 E REGOLA 19 DELL ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI) Bozza del 13 maggio 2004
DettagliOggetto: Privacy Misure minime di sicurezza Proroga al 31 dicembre 2004 D.L , n.158, su G.U. n.147 del
Confederazione Generale Italiana dei Trasporti e della Logistica 00198 Roma - via Panama 62 - tel. 06/8559151 - fax 06/8415576 e-mail: confetra@tin.it - http://www.confetra.com Roma, 28 giugno 2004 Circolare
DettagliCapo II - Misure minime di sicurezza
Allegato 1 D.Lgs. 30 giugno 2003, n. 196 (1). Codice in materia di protezione dei dati personali (2). (1) Pubblicato nella Gazz. Uff. 29 luglio 2003, n. 174, S.O. (2) Per l'attuazione nelle pubbliche amministrazioni
DettagliDOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) D.Lgs. n. 196 del 30/06/2003 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) D.Lgs. n. 196 del 30/06/2003 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Ai sensi e per gli effetti dell art. 34, comma 1, lettera g) del D.Lgs. n.
DettagliSTUDIO MURER COMMERCIALISTI
1 RM/ml per telefax/ per e-mail San Donà di Piave, 20 gennaio 2004 Alle Spett.li Aziende e Società Clienti dello Studio Loro Indirizzi Oggetto: misure minime obbligatorie per le imprese in materia di privacy.
DettagliCircolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS
Circolare N.26 del 22 febbraio 2012 DL semplificazioni: eliminato il DPS DL semplificazioni: eliminato il DPS Gentile cliente con la presente intendiamo informarla che secondo quanto previsto dall art.
DettagliREGOLAMENTO RECANTE NORME PER L INDIVIDUAZIONE DELLE MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI
REGOLAMENTO RECANTE NORME PER L INDIVIDUAZIONE DELLE MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI SOMMARIO CAPO I... 3 PRINCIPI GENERALI... 3 ART. 1... 3 DEFINIZIONI... 3 ART. 2...
DettagliSTRUTTURA (Denominazione). COMPETENZE della Struttura...
Pag. 1 ALLEGATO 5 SCHEDA RILEVAMENTO DATI Decreto Legislativo 30 giugno 2003 n. 196 e successive modifiche Codice in materia di protezione dei dati personali La scheda deve essere compilata dal Responsabile
DettagliAllegato B - Disciplinare tecnico in materia di misure minime di sicurezza - (artt. da 33 a 36 del codice)
CAPO II Misure minime di sicurezza Art. 33 - (Misure minime) 1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento
DettagliKineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.
Kineo Energy e Facility S.r.l. Via dell Arcoveggio, 70 40129 Bologna (BO) Tel: 051 0185061 - Fax: 051 0822193 C.F.-P.IVA-R.I. 01160950323 ELENCO DELLE MISURE DI SICUREZZA Ai sensi dell art. 32 del Regolamento
DettagliFPf per Windows 3.1. Guida all uso
FPf per Windows 3.1 Guida all uso 8 Uso delle funzionalità di Autenticazione e di Autorizzazione Versione 1 del 15/01/2005 Guida all uso di FPF Uso delle funzionalità di Autenticazione e di Autorizzazione
DettagliIPSOA - REDAZIONE LA LEGGE Fast Information Service PRIVACY E DOCUMENTO PROGRAMMATICO SULLA SICUREZZA VADEMECUM
IPSOA - REDAZIONE LA LEGGE Fast Information Service PRIVACY E DOCUMENTO PROGRAMMATICO SULLA SICUREZZA VADEMECUM :: DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
DettagliCircolare per i Clienti del 22 febbraio 2012
Studio Dott. Maurizio DONADELLI Viale Italia 48 - Cecina (LI) Tel 0586 631605 info@studiodonadelli.it Circolare per i Clienti del 22 febbraio 2012 Ai gentili clienti Loro sedi DL semplificazioni: eliminato
Dettagli02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A
ABILITA INFORMATICHE E TELEMATICHE Protezione dei dati e Privacy A.A. 2010-11 1 Introduzione al problema Contestualmente al progresso tecnologico che consente la conoscibilità, la conservazione e la elaborazione
DettagliAllegato DPS n. 5 Provincia di Latina
Allegato DPS n. 5 Provincia di Latina Procedure operative e istruzioni incaricati (fogli n 11) Provincia di Latina PROCEDURE OPERATIVE e ISTRUZIONI INCARICATI (D.Lgs 196/2003 e Allegato B) Data di redazione
DettagliD.P.R. 28 luglio 1999, n. 318
D.P.R. 28 luglio 1999, n. 318 (1) Regolamento recante norme per l individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell articolo 15, comma 2, della legge 31
DettagliCORSO: PRIVACY E SICUREZZA NEL TRATTAMENTO DEI DATI (VERS. 1.1) Unità didattica: Sicurezza nel trattamento dei dati
CORSO: PRIVACY E SICUREZZA NEL TRATTAMENTO DEI DATI (VERS. 1.1) Unità didattica: Sicurezza nel trattamento dei dati 1 SOMMARIO PRESENTAZIONE...3 Lezioni...3 Obiettivi...3 1. PRINCIPI GENERALI...4 1.1 Controllo
DettagliALLEGATO B CASA DI RIPOSO CESARE BERTOLI VIA CAMPAGNOLA NOGAROLE ROCCA VR REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI
ALLEGATO B CASA DI RIPOSO CESARE BERTOLI VIA CAMPAGNOLA 1 37060 NOGAROLE ROCCA VR REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI 1 CASA DI RIPOSO CESARE BERTOLI - NOGAROLE ROCCA (VR) ART. 1 CAMPO DI APPLICAZIONE
DettagliIL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003
IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003 Art.1 CHIUNQUE HA DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI CHE LO RIGUARDANO I DIRITTI TUTELATI DI RISERVATEZZA DI DIGNITA DI IDENTITA DELLE LIBERTA FONDAMENTALI
DettagliDocumento Programmatico sulla Sicurezza (DPS)
Documento Programmatico sulla Sicurezza (DPS) 2014 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI Il presente documento è redatto ai sensi dell art. 34, comma 1, lett. g) del
DettagliPRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY
PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY 1 Principali Adempimenti D.lgs. 196/03 Adempimenti verso l autorità garante Notificazione Autorizzazione Adempimenti verso gli
DettagliAllegato C Questionario informativo per la redazione / aggiornamento del D.P.S.
Allegato C Questionario informativo per la redazione / aggiornamento del D.P.S. Premessa Le schede che seguono vengono utilizzate per la rilevazione delle attività svolte dalle Strutture Responsabili del
DettagliDocumento adozione misure minime di sicurezza. ex art C.C ed ai sensi dell'art. 24Bis D.Lgs n. 23
Documento adozione misure minime di sicurezza ex art. 2050 C.C ed ai sensi dell'art. 24Bis D.Lgs. 8-6-2001 n. 23 (Codice in materia di protezione dei dati personali art. 34 e Allegato B, del d.lg. 30 giugno
DettagliLe misure di sicurezza nel trattamento di dati personali
Le misure di sicurezza nel trattamento di dati personali Lezione n. 6 Claudio Di Cocco 1 Testi di riferimento. D.lgs. 30 giugno 2003, n. 196. Codice in materia di protezione dei dati personali. (http://www.garanteprivacy.it/garante/doc.jsp?id=1311248)
DettagliLe misure di sicurezza relative al trattamento dei dati personali e responsabilità connesse.
Le misure di sicurezza relative al trattamento dei dati personali e responsabilità connesse. - di Gabriele Gentilini - *********** *********** *********** I. Gli aspetti generali II. Il Disciplinare Tecnico
DettagliCambiamenti Normativi
Cambiamenti Normativi Il Decreto Monti salva ITALIA dice: comma 2 dell art. 40 del D.L. 6 dicembre 2011 n. 201 Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al
DettagliCENTURION PAYROLL SERVICE SRL PRIVACY POLICY
Payroll Outsourcing C.F.=P.I.:0835085 0965 PRIVACY POLICY-CENTURION PAYROLL SERVICE SRL (REG.UE/679/2016 E D.LGS. 196/03) Internet: http//www.centurionpayroll.com e- mail : info@centurionparyroll.com CENTURION
DettagliPRIVACY POLICY- STUDIO DOTT. MONICA MELANI CDL PRIVACY POLICY
Studio di consulenza del lavoro Payroll Outsourcing PRIVACY POLICY- STUDIO DOTT. MONICA MELANI CDL (REG.UE/679/2016 E D.LGS. 196/03) STUDIO DOTT. MONICA MELANI CDL PRIVACY POLICY Via della Commenda n.
DettagliDPR 318 e sua entrata in vigore
DPR 318 e sua entrata in vigore Nel luglio del 1999 il Consiglio dei Ministri ha definitivamente approvato il DPR 318 "Regolamento recante norme in materia di individuazione delle misure di sicurezza minime
DettagliPIANO PER LA SICUREZZA INFORMATICA ANNO 2015
Manuale di gestione documentale Allegato 15 PIANO PER LA SICUREZZA INFORMATICA ANNO 2015 Sommario 1 Introduzione... 1 2 L architettura dell infrastruttura informatica... 2 2.1 Caratteristiche dei locali...
DettagliDOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO (ART. 34 COMMA 1-BIS E REGOLA 19 DELL ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI) 1 Scopo di questo Documento è delineare il
DettagliPrivacy e Misure di Sicurezza. Giulia M. Lugoboni
Privacy e Misure di Sicurezza Giulia M. Lugoboni Titolare del trattamento la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono,
DettagliDOCUMENTO PROGRAMMATICO SULLA SICUREZZA
ISTITUTO D ISTRUZIONE SUPERIORE E. Fermi - 83059 VALLATA (AV) Codice Fiscale 81002870640 Prot. n _118-08 Vallata, 23/01/2017 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA REDATTO AI SENSI E PER GLI EFFETTI DELL
DettagliIl Codice della Privacy
Il Codice della Privacy Aggiornamenti normativi con particolare riferimento al trattamento elettronico dei dati avv. Valerio Vertua UNI EN ISO 9001: 2000 studio@vertua.it Cert. N. 03.791 Fonti Principali
DettagliDOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO (ART. 34 COMMA 1-BIS E REGOLA 19 DELL ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI) Studio Mazzolari Privacy Consulting and Training
DettagliObiettivi di controllo Presidio Verifica effettuata Grado di conformità
Giudizio di conformità sugli adempimenti richiesti Obiettivi di controllo Presidio Verifica effettuata Grado di conformità Censimento dei trattamenti Tutti i trattamenti di dati personali effettuati (anche
DettagliFACSIMILE DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DELLE INFORMAZIONI ALLEGATO B, D. LGS. 196/03
FACSIMILE DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DELLE INFORMAZIONI ALLEGATO B, D. LGS. 196/03 Il presente facsimile è puramente indicativo. Ogni socio è tenuto a verificare la correttezza di quanto esposto
DettagliISTRUZIONI AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI COMUNI, SENSIBILI E/O GIUDIZIARI
Allegato A ISTRUZIONI AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI COMUNI, SENSIBILI E/O GIUDIZIARI In ottemperanza alle disposizioni del Codice in materia di protezione dei dati personali (D.Lgs
DettagliIl "Custode delle password": dalla definizione alla nomina
Il "Custode delle password": dalla definizione alla nomina di Luigi Risolo Pubblicato il 30 gennaio 2010 Premessa. Nella maggior parte dei luoghi di lavoro, e di conseguenza, in moltissime attività economiche
DettagliGuida operativa per redigere il Documento programmatico sulla sicurezza (DPS)
Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa
DettagliPrivacy. Natale Prampolini 196/03. ing. Natale Prampolini Business & Technology Adviser
1 Privacy ing. Natale Prampolini Business & Technology Adviser 2 Normative Legge 675/96 Privacy DPR 318/99 Regolamento di attuazione Direttiva EU 58/02 Tutela vita privata nelle comunicazioni elettroniche
DettagliALLEGATO ALLA LETTERA DI NOMINA AD INCARICATO DEL TRATTAMENTO
Disposizioni Incaricati AMT ALLEGATO ALLA LETTERA DI NOMINA AD INCARICATO DEL TRATTAMENTO Principali disposizioni al dipendente incaricato del trattamento di dati personali ai sensi del decreto legislativo
DettagliFondazione Luca Pacioli
Fondazione Luca Pacioli CODICE DELLA PRIVACY Documento Programmatico sulla Sicurezza Documento n. 10 del 31 marzo 2004 CIRCOLARE Via G. Paisiello, 24 00198 Roma tel.: 06/85.440.1 (fax 06/85.440.223) C.F.:80459660587
DettagliComune di Assago. Provincia di MI. DOCUMENTO PROGRAMMATICO sulla SICUREZZA
Provincia di MI DOCUMENTO PROGRAMMATICO sulla SICUREZZA Il presente documento è stato emesso il giorno 31 marzo 2011, è stato redatto ai sensi e per gli effetti dell articolo 34, comma 1, lettera g del
DettagliIL DECRETO LEGGE 196/2003
IL DECRETO LEGGE 196/2003 Anche se in questi mesi si sono succeduti convegni e pubblicazioni di vario tipo riguardanti questo argomento, pensiamo di far cosa gradita allegando anche questo breve documento
DettagliDecreto Legislativo 30giugno 2003, n. 196 Codice in materia di protezione dei dati personali
Decreto Legislativo 30giugno 2003, n. 196 Codice in materia di protezione dei dati personali Definizioni Dato personale Qualsiasi informazione che riguardi persone fisiche identificate o che possono essere
DettagliNorme per il trattamento dei dati personali nell INFN
Norme per il trattamento dei dati personali nell INFN 1 DEFINIZIONI 1.1 IL TRATTAMENTO DEI DATI PERSONALI Per trattamento dei dati personali si intende qualunque operazione o complesso di operazioni compiute
DettagliProcedure in materia di Privacy
Università degli Studi di Ferrara ALLEGATO 11 Procedure in materia di Privacy (dato informatico) REV. 6/06 1 Premessa Gli strumenti informatici rappresentano da un lato un mezzo insostituibile di lavoro
DettagliDOCUMENTO PROGRAMMATICO SULLA SICUREZZA
COMUNE di CERVIGNANO D ADDA PROVINCIA di LODI P.zza del Municipio, 1 Tel. 029813002 * Fax 0298850125 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Aggiornamento del 31 marzo 2010 1. ELENCO DEI TRATTAMENTI DEI
DettagliDL. 30 giugno 2003 n.196 Verifica degli adempimenti e delle misure di sicurezza pagina 1 PARTE 2 MISURE DI SICUREZZA
Verifica degli adempimenti e delle misure di sicurezza pagina 1 Data di compilazione 15/11/2017 Compilato da Gianfausto Vincenzi Conast Società Cooperativa - Brescia Sezione 1 Ruoli (riportare come compilato
DettagliRegolamento. Per il trattamento dei dati personali (legge , n. 675)
COMUNE DI SERRENTI Provincia di Cagliari Regolamento Per il trattamento dei dati personali (legge 31.12.1996, n. 675) Approvato dal Consiglio Comunale con atto N. 50 del 27.9.2000 Approvato dal Comitato
DettagliIL RETTORE. il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;
U.S.R. Decreto n. 5073 IL RETTORE VISTO VISTO VISTO lo Statuto dell'ateneo; il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali; il Regolamento
DettagliALLEGATO 1. Le istruzioni che seguono sono vincolanti per il Responsabile Esterno: Istruzioni generali per il trattamento
ALLEGATO 1 Le istruzioni che seguono sono vincolanti per il Responsabile Esterno: Istruzioni generali per il trattamento E facoltà del Responsabile impartire agli incaricati istruzioni secondo forme discrezionali,
DettagliS.E.F. s.r.l. Servizi Etici Finanziari. Documento Programmatico sulla Sicurezza
S.E.F. s.r.l. Servizi Etici Finanziari Documento Programmatico sulla Sicurezza 1 DATI GENERALI Sede: via Bernocchi, 1 20025 Legnano MI- Responsabile del trattamento: Bianchi Stefano Caruso Cristina Cè
DettagliCASA DI RIPOSO DELLA MISERICORDIA Azienda Pubblica di Servizi alla Persona GAIOLE IN CHIANTI PROVINCIA DI SIENA
CASA DI RIPOSO DELLA MISERICORDIA Azienda Pubblica di Servizi alla Persona GAIOLE IN CHIANTI PROVINCIA DI ENA ESTRATTO DEL VERBALE DI DELIBERAZIONE DEL CONGLIO DI AMMINISTRAZIONE Seduta del 10.03.2011
DettagliTOVO SAN GIACOMO Provincia di Savona
COMUNE DI TOVO SAN GIACOMO Provincia di Savona REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE-DATI COMUNALI Approvato con D.C.C.. n.24 del 16.12.1999 SOMMARIO
DettagliSample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza
01 Quando e come nasce il concetto di privacy? a. Nasce a fine ottocento come diritto di essere lasciati soli. b. Nasce nel 1980 in Europa con l approvazione della Convenzione di Strasburgo. c. Nasce in
DettagliCodice della Privacy. Diritti, Doveri e Implicazioni organizzative. Maurizio Gatti
Codice della Privacy Diritti, Doveri e Implicazioni organizzative Maurizio Gatti 1 Premesse Tutti possono liberamente raccogliere, per uso strettamente personale, dati personali riguardanti altri individui,
DettagliSicurezza degli archivi fisici
Il presente documento viene redatto in aderenza alle disposizioni di cui al Decreto Legislativo 30 giugno 2003, n. 196, artt. da 33 a 36 (misure minime di sicurezza) nonché dal disciplinare tecnico contenuto
DettagliREGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI INDICE
REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI INDICE Art. 1 Oggetto Art. 2 Definizioni Art. 3 Finalità e limiti del trattamento e misure minime di sicurezza Art. 4 Identificazione delle tipologie di
DettagliInformativa ex art. 13. D. Lgs. 30 giugno 2003, n Codice in materia di protezione dei dati personali.
Informativa ex art. 13 D. Lgs. 30 giugno 2003, n 196 - Codice in materia di protezione dei dati personali. Ai sensi e per gli effetti del D. Lgs. 196/2003, il partecipante/azienda sottoscrive la presente
DettagliDipartimento Materno Infantile Strutture Complesse e Semplici Dipartimentali
Dipartimento Materno Infantile Strutture Complesse e Semplici Dipartimentali S.C. Ostetricia e Ginecologia. Savona S.C. Ostetricia e Ginecologia Pietra Ligure S.C. Pediatria e Neonatologia Savona S.C.
DettagliREGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI
REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI COMUNE DI BORGOMANERO APPROVATO CON ATTO C.C. N. 19 DEL 09/03/2001 Il presente Regolamento entra in vigore il 12 aprile 2001 INDICE ART. 1
DettagliNuove responsabilità organizzative del titolare e azioni da intraprendere
Il Regolamento di attuazione del Codice di tutela dei dati personali dell Università degli Studi di Firenze Aula Magna 14 ottobre 2004 Nuove responsabilità organizzative del titolare e azioni da intraprendere
DettagliComune di Cesena. Regolamento per il trattamento dei dati personali (D.Lgs , n. 196)
Comune di Cesena Regolamento per il trattamento dei dati personali (D.Lgs. 30.06.2003, n. 196) Approvato con delibera C.C. n. 284 del 17.12.1998 e successive modifiche (Delibere C.C. 183/1999, 105/2000,
DettagliREGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI
CITTÀ DI MINERBIO PROVINCIA DI BOLOGNA REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI Approvato con deliberazione di Consiglio Comunale
DettagliFasi di implementazione GDPR
Esemplificazione degli step per l implementazione di un sistema privacy. 1. Intervista L intervista è una raccolta di informazioni sullo stato di adeguamento al D.Lgs 196/RE (strumenti interviste preliminari,
DettagliComune di Piscina. D.Lgs. 30/06/2003 n 196. Documento Programmatico Sulla Sicurezza
Comune di Piscina D.Lgs. 30/06/2003 n 196 Documento Programmatico Sulla Sicurezza Aggiornato al 11/9/2015 Sommario Elenco dei trattamenti dei dati personali...3 Distribuzione dei compiti e delle responsabilità
DettagliDipartimento Materno Infantile Strutture Complesse e Semplici Dipartimentali
Dipartimento Materno Infantile Strutture Complesse e Semplici Dipartimentali S.C. Ostetricia e Ginecologia Savona S.C. Ostetricia e Ginecologia Pietra Ligure S.C. Pediatria e Neonatologia Savona S.C. Pediatria
DettagliDipartimento di Emergenza Ponente Strutture Complesse e Semplici Dipartimentali
Dipartimento di Emergenza Ponente Strutture Complesse e Semplici Dipartimentali S.C. Anestesia e Rianimazione Albenga S.C. Anestesia Pietra Ligure S.C. Cardiologia e Unità Coronarica Pietra Ligure S.C.
DettagliCONFERIMENTO INCARICO DI RESPONSABILE ESTERNO PREMESSO CHE
CONFERIMENTO INCARICO DI RESPONSABILE ESTERNO Egr. Sig. Dott. Via Località OGGETTO: Conferimento dell incarico di Responsabile Esterno al trattamento di dati personali concernenti il contratto per la consulenza
DettagliPrincipali adempimenti, responsabilità e sanzioni nel codice della privacy
Principali adempimenti, responsabilità e sanzioni nel codice della privacy 1 Principali Adempimenti D.lgs. 196/03 Adempimenti verso l autorità garante Notificazione Autorizzazione Adempimenti verso gli
DettagliL attuazione del Codice in Materia di Protezione dei Dati Personali in ambito sanitario
L attuazione del Codice in Materia di Protezione dei Dati Personali in ambito sanitario Ernesto Setti, Riccardo Di Sarcina 2 marzo 2004 Il DLG 196/03 (Codice in Materia di Protezione dei Dati Personali,
DettagliDipartimento di Ortopedia Strutture Complesse
Dipartimento di Ortopedia Strutture Complesse S.C. Chirurgia la Mano Savona S.C. Chirurgia Protesica Pietra Ligure S.C. Chirurgia Vertebrale Pietra Ligure S.C. Malattie Infiammatorie Osteoarticolari Pietra
DettagliPrincipali adempimenti privacy
Principali adempimenti privacy DPS e trattamento dei dati personali Abrogazione di tutti gli adempimenti? Ergon Ambiente e Lavoro srl Avv. Angela Costa La privacy La privacy è una materia complessa e di
DettagliDipartimento di Salute Mentale e
Dipartimento di Salute Mentale e Dipendenze Strutture Complesse S.C. Servizio Psichiatrico di Diagnosi e Cura Savona S.C. Servizio Psichiatrico di Diagnosi e Cura Pietra Ligure S.C. Assistenza Psichiatrica
DettagliLINEE GUIDA IN MATERIA DI PRIVACY
Università degli Studi di Ferrara ALLEGATO 14 LINEE GUIDA IN MATERIA DI PRIVACY (PER STUDENTI CHE FREQUENTANO LE STRUTTURE OSPEDALIERE) (Documento redatto ai sensi del D.Lgs. n. 196/03, Codice Privacy,
DettagliCircolare alla clientela TZ&A
Circolare alla clientela TZ&A Informativa n. 5 7 marzo 2011 Codice della Privacy Decreto Legislativo 30 giugno 2003, n. 196 INDICE Premessa 2 Documento Programmatico sulla Sicurezza (D.P.S.) 2 Esonero
DettagliREGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI
Pag. 1 di 6 REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI Approvato con deliberazione consiliare n. 72 del 29/12/2005 CAPO I - OGGETTO E FINALITA Articolo 1 - Oggetto 1. Il presente
DettagliDipartimento di Ortopedia Strutture Complesse e Semplici Dipartimentali
Dipartimento di Ortopedia Strutture Complesse e Semplici Dipartimentali S.C. Chirurgia la Mano Savona S.C. Chirurgia Protesica Pietra Ligure S.C. Chirurgia Vertebrale Pietra Ligure S.C. Malattie Infiammatorie
DettagliGiudizio di conformità sugli adempimenti richiesti BOZZA
Documento di Due-Diligence Il Garante nel provvedimento del 27 novembre 2008 sull amministratore di sistema usa per la prima volta l espressione "due diligence" per indicare "gli accorgimenti e misure,
DettagliOggetto: Incarichi ed istruzioni per il trattamento dei dati personali ai sensi del Codice della privacy
Prot. n. del (Allegato 3) Oggetto: Incarichi ed istruzioni per il trattamento dei dati personali ai sensi del Codice della privacy In attuazione dell art. 30 del d.lgs. n. 196/2003 (Codice della privacy)
DettagliPrivacy: formazione sul nuovo Codice
Area Risorse Umane Privacy Privacy: formazione sul nuovo Codice ASSINDUSTRIA ANCONA Proseguono i pomeriggi di formazione sul nuovo Codice della privacy, entrato in vigore il 1 gennaio 2004 Assindustria
DettagliCOMUNE DI ALBAIRATE Provincia di Milano COMANDO POLIZIA LOCALE
COMUNE DI ALBAIRATE Provincia di Milano COMANDO POLIZIA LOCALE Approvato con C.C. n. 35 del 27/09/2006 1 Art. 1- FINALITA Le finalità perseguite dal Comune di Albairate con il progetto di videosorveglianza
DettagliIl Testo Unico sulla Privacy
Il Testo Unico sulla Privacy 1 Il testo unico sulla privacy D. Lgs. 196/03 Il Codice in materia di protezione dei dati personali, a far data dal 1 gennaio 2004 sostituisce, integra ed accorpa tutte le
DettagliSeminario sul suo recepimento in ISS
Il Regolamento Generale Europeo sulla Protezione dei Dati Personali (UE 2016/679) Seminario sul suo recepimento in ISS Istituto Superiore di Sanità 9 maggio, 2018 Corrado Di Benedetto Servizio di Informatica
DettagliA) NOMINA DEL RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI... 4
PAGINA 1 DI 5 A) NOMINA DEL RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI B) NOMINA DELL AMMINISTRATORE DI SISTEMA 1. SCOPO...2 2. CAMPO DI APPLICAZIONE...2 3. RIFERIMENTI...2 ESTERNI... 2 INTERNI...
DettagliCBC Centro Biologia Clinica
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ART. 34 E REGOLA 19 DELL ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI) Ed. Data Emesso dal Responsabile Trattamento Dati Approvato dal Titolare
Dettagli