Intervento formativo per i Responsabili del trattamento. Giovanni M. Bianco Maggio 2007

Transcript

1 Intervento formativo per i Responsabili del trattamento Giovanni M. Bianco

2 Finalità della formazione (1/2) Sono essenzialmente derivanti dall aggiornamento dei vostri/nostri compiti di cui al Decreto - n : L'obbligo di mantenere aggiornata, tramite Ie specifiche procedure software, l"'anagrafe della Privacy"; L'obbligo di trattare, tramite Ie specifiche procedure software, Ie informazioni necessarie per la gestione delle credenziali degli utenti per l'accesso alla rete dati dell'ateneo, al fine di stabilire i consoni livelli di autorizzazione, nel rispetto dei diritti degli interessati; l'obbligo di assicurare, nei rapporti con terzi, che vengano fornite ed adeguate Ie informazioni stabilite dalla normativa sui trattamento dei dati personali e che siano rispettate Ie condizioni per il corretto trattamento dei dati personali ad essi inerenti o da essi effettuati.

3 Finalità della formazione (2/2) Facoltà (Art. 30 D.Lgs. 196/2003) di designare per iscritto uno o più Incaricati del trattamento, individuando puntualmente Ie operazioni, gli ambiti e gli scopi dei trattamenti consentiti. Comprendere il quadro organico delle linee guida informatiche Analizzare gli aggiornamenti introdotti dal DPS 2006/2007 Conoscere gli interventi previsti dalla deliberazione del Garante del 1 Marzo 2007 Prima di approfondire i concetti, alcuni riferimenti indispensabili al D.Lgs. 196/2003 possonoe ssere utili

4 Uno sguardo al D.Lgs. 196/2003 (1/2) Art Trattamenti con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione;. Allegato B al D.Lgs. 196/2003 Sistema di autenticazione informatica (1-11); Sistema di autorizzazione (12-14) Si descrivono una combinazione di processi e tecnologie che dettano le basi affinché vi sia uno stretto controllo di gestione sulle utenze che possono accedere al sistema informativo, dal momento in cui sono legittimate al momento in cui non lo sono più (per cessazioni, per scadenze di contratto, per momentanee variazioni ). A questo scopo, le funzionalità richieste si denotato con il termine di Identity Management.

5 Uno sguardo al D.Lgs. 196/2003 (2/2) Art Incaricati del trattamento 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unita' medesima.

6 Allegato B, commi 1-14 ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Artt. da 33 a 36 del codice) Trattamenti con strumenti elettronici: modalita' tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici. Delibera CdA 24 Giugno 2005

7 Linee guida informatiche Il rapido evolversi della moderna società dell informazione impone anche al nostro Ateneo di ridefinire, periodicamente, le linee di indirizzo cui attenersi per una corretta gestione delle reti informative ed informatiche attivate, nel rispetto delle normative di comparto, dei vincoli tecnologici e, naturalmente, degli obiettivi traguardati dagli Organi di Governo. Per tale motivo sì è raccolto in un unico documento commentato l attuale stato dell arte sulle linee guida informatiche

8 DPS 2006/2007 Entro il 31 Marzo di ciascun anno è necessario redigere, aggiornare il Documento Programmatico sulla Sicurezza Deliberazione del CdA del 30 Marzo u.s. I principali aggiornamenti inseriti nel DPS 2006/2007

9 Deliberazione Garante 1/3/2007 Il Garante privacy, con un provvedimento generale pubblicato sulla Gazzetta Ufficiale, fornisce concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro. La questione è particolarmente delicata afferma il relatore Mauro Paissan perché dall'analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato. Occorre prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori. Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica.