Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B

Documenti analoghi
Strumenti digitali e privacy. Avv. Gloria Galli

Trattamento dei dati personali

La tutela della Privacy. Annoiatore: Stefano Pelacchi

Comune di San Martino Buon Albergo Provincia di Verona

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

COMUNE DI ROBASSOMERO

Regolamento di attuazione degli articoli 20, comma 2, e 21 del decreto legislativo 30 giugno 2003 n. 196,

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

Continuità operativa e disaster recovery nella pubblica amministrazione

FORMAZIONE PRIVACY 2015

Il nuovo codice in materia di protezione dei dati personali

Procedura automatizzata per la gestione del prestito - FLUXUS

Disposizioni in materia di trattamento dei dati personali.

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

PRIVACY. Federica Savio M2 Informatica

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

COMUNE DI PARMA REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA AI FINI DELLA SICUREZZA URBANA

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy

Comune di Olgiate Molgora (Provincia di Lecco)

COMUNE DI MOGORO Provincia di Oristano

Documento Programmatico sulla Sicurezza

5.1.1 Politica per la sicurezza delle informazioni

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

FASCICOLO INFORMATIVO PER INSEGNANTI E PERSONALE AMMINISTRATIVO

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

ART. 1 OGGETTO ART. 2 FINALITA ART. 3 DEFINIZIONI DI RIFERIMENTO

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

LA PRIVACY POLICY DI WEDDINGART

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

Nome modulo: ANALISI ED ILLUSTRAZIONE DEI RUOLI PREVISTI NELL ORGANIZZAZIONE

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

I dati : patrimonio aziendale da proteggere

La Privacy nelle Associazioni di Promozione Sociale

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA. Approvato con delibera di Consiglio comunale n. 36 del

il Rettore Richiamato lo Statuto di Ateneo emanato con D.R. n 501 in data 27 marzo 2000 e successive modificazioni;

LINEE GUIDA PER LA REDAZIONE DEL DPS (Documento Programmatico sulla Sicurezza)

PO 01 Rev. 0. Azienda S.p.A.

REGOLAMENTO PER LA DISCIPLINA

L amministratore di sistema. di Michele Iaselli

MANUALE DELLA QUALITÀ Pag. 1 di 6

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.8) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio.

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Codice. in materia di. Protezione dei Dati Personali

Introduzione: scopo del documento, organizzazione e funzioni dell amministrazione

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

COMUNE DI RENATE Provincia di Monza e Brianza

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

REGOLAMENTO ALBO PRETORIO ON LINE

REGOLAMENTO DI ATTUAZIONE DELLE NORME SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DI DATI PERSONALI

Regolamento per la tutela della riservatezza dei dati personali

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

TAURUS INFORMATICA S.R.L. Area Consulenza

Gestione dei documenti e delle registrazioni Rev. 00 del

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ONLINE

COMUNE DI MARIGLIANO Provincia di Napoli REGOLAMENTO PER L INSTALLAZIONE E LA GESTIONE DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

Politica per la Sicurezza

SCHEMA DI REGOLAMENTO DI ATTUAZIONE DELL ARTICOLO 23 DELLA LEGGE N

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Ci si riferisce, in particolare, all'abuso della qualità di operatore di

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

SCHEMA DI DELIBERAZIONE

Privacy semplice per le PMI

UNIONE BASSA REGGIANA. Programma triennale per la trasparenza e l integrità

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

COMUNE DI CAVERNAGO REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

Gestione della Sicurezza Informatica

REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

REGOLAMENTO PER LA GESTIONE DELL ALBO PRETORIO ON LINE

PRIVACY.NET. La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda

In particolare, gli artt TITOLO V rimandano all allegato B, che

Atto Dirigenziale n del 15/12/2009

Documento Programmatico sulla sicurezza

CARTA INTESTATA PREMESSA

La figura del RAPPRESENTANTE DEI LAVORATORI PER LA SICUREZZA (RLS) IN AZIENDA quali prospettive di collaborazione

Azienda Pubblica di Servizi alla Persona Opere Sociali di N.S. di Misericordia Savona

COMUNE DI CASTELLAR (Provincia di Cuneo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO 2014/2016.

Comune di Spilamberto Provincia di Modena. Regolamento per la gestione del sistema di video sorveglianza

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

COMUNE DI FOSSO PROVINCIA DI VENEZIA

Normativa sulla privacy negli. USA: Italia:

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL D.LGS. 196/2003 (C.D. CODICE PRIVACY)

EasyGov Solutions Srl. Start-up del Politecnico di Milano

«Gestione dei documenti e delle registrazioni» 1 SCOPO CAMPO DI APPLICAZIONE E GENERALITA RESPONSABILITA DEFINIZIONI...

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

Roma, ottobre Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore

I dati in cassaforte 1

un responsabile ti chiamerà al più presto per chiarire ogni dubbio

1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria

Gestione del protocollo informatico con OrdineP-NET

Chi è il Rappresentante dei Lavoratori per la Sicurezza RLS

( PROCEDURA REGISTRO PERSONE RILEVANTI )

Comune di Medicina Provincia di Bologna REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA

I SISTEMI DI GESTIONE DELLA SICUREZZA

FIDEURO MEDIAZIONE CREDITIZIA S.R.L.

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

Regolamento sulla tenuta dell Albo aziendale telematico

Transcript:

Pagina 1 di 18 Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B

Pagina 2 di 18 SCOPO DEL (DPS) GR Elettronica S.r.l. (di seguito azienda), al fine di adempiere all obbligo di adozione di misure idonee di sicurezza, secondo quanto previsto dall articolo 31 del d. lgs. 196/2003 (denominato codice privacy) e dall allegato B al codice medesimo, nonché al fine di gestire in modo organico gli adempimenti previsti dalla normativa in tema di protezione dei dati personali, ha deciso di continuare ad aggiornare il (per brevità DPS), nonostante l art. 45 del D.L. 5/2012, convertito in legge, abbia abrogato il riferimento al DPS quale misura minima di sicurezza, ai sensi dell art. 34 del codice privacy. Il DPS, pertanto, costituisce valido strumento per descrivere e definire: compiti, istruzioni e responsabilità dei soggetti che a vario titolo sono preposti al trattamento dei dati personali; politiche aziendali, azioni e adempimenti per la corretta gestione dei rischi di accesso abusivo, di distruzione o perdita, anche accidentale, dei dati, di trattamento illecito o non consentito, al fine di procedere all adozione delle misure di sicurezza, ai sensi del codice privacy e dell allegato B al codice medesimo; le misure per la continuità operativa e per la garanzia del ripristino degli strumenti e dei dati, in caso di emergenza; le azioni per procedere al controllo del sistema di sicurezza degli strumenti elettronici e dei dati oggetto di trattamento. La disciplina in tema di privacy individua diverse figure soggettive aventi responsabilità specifiche per quanto concerne il trattamento dei dati personali: a) il titolare del trattamento, ossia la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo, cui competono le decisioni in ordine alle finalità, alle modalità del trattamento, agli strumenti e alla sicurezza. L articolo 28 del codice privacy dispone, altresì, che quando il trattamento è effettuato da

Pagina 3 di 18 una persona giuridica, il titolare del trattamento è l entità nel suo complesso (nel caso di specie, quindi, titolare del trattamento è l azienda nel suo complesso); b) il responsabile del trattamento, che può essere designato facoltativamente - tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento, compreso il profilo relativo alla sicurezza; c) l incaricato del trattamento, ossia la persona fisica che è preposta dal titolare o dal responsabile allo svolgimento delle operazioni di trattamento, avendo ricevuto istruzioni scritte al riguardo. Sono individuati in tale veste tutte le persone fisiche che raccolgono i dati e svolgono le altre operazioni di trattamento, secondo quanto previsto dal codice della privacy; d) l amministratore di sistema, persona fisica che ha accesso ai sistemi informatici e ai dati in posizione privilegiata e che svolge funzioni e compiti di amministrazione, gestione e assistenza di banche dati, sistemi informatici e strumenti elettronici. Tale figura deve essere individuata obbligatoriamente al fine di conformarsi al provvedimento generale in tema di nomina degli amministratori di sistema adottato dal Garante per la protezione dei dati personali, nell esercizio delle funzioni di indirizzo e di conformazione, quale autorità di controllo e di garanzia. Il codice della privacy ha ad oggetto la disciplina dell attività di trattamento dei dati personali. In particolare: - per trattamento si intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati ; - per dato personale si ha riguardo a qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Pagina 4 di 18 Il trattamento (che costituisce un processo) può essere schematizzato in tre fasi: l input, ossia la raccolta del dato costituisce il momento dell avvio del processo considerato; il processo interno di trattamento (ossia la cd. black-box) riguarda le svolgimento delle seguenti operazioni: registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, cancellazione, distruzione. In particolare, il processo può consistere nella sola raccolta del dato ed in tal caso il diritto alla riservatezza è garantito dall obbligo del segreto d ufficio, a seconda della natura del soggetto incaricato, che ha conoscenza dei dati. Di norma, alla raccolta segue la registrazione del dato, l archiviazione e la conservazione (che sono operazioni statiche si trattamento). A queste possono seguire operazioni dinamiche di trattamento (ad esempio l utilizzo, l elaborazione, il raffronto, l incrocio dei dati, ); la (eventuale) fase di out-put, che si caratterizza per il trasferimento dei dati personali a soggetti terzi rispetto al rapporto bilatero titolare del trattamento interessato: può consistere nella comunicazione o diffusione dei dati personali. La differenza tra queste due ultime tipologie di operazioni risiede nella determinazione o meno del soggetto destinatario della conoscenza, in qualunque forma. Per cui avremo una comunicazione ove il soggetto terzo, destinatario della conoscenza dei dati, sia determinato; al contrario, si avrà diffusione dei dati se i soggetti, che possono conoscere i dati riferiti a un interessato, non siano determinati. Va ricordato che è in assoluto vietata, da parte del codice della privacy, la diffusione di dati idonei a rivelare lo stato di salute.

Pagina 5 di 18 Le tipologie di misure minime di sicurezza sono differenziate a seconda della natura dei dati personali oggetto di trattamento: da un lato i dati cd. particolari (ossia, dati sensibili e dati giudiziari); dall altro i dati comuni. Per dato sensibile si intende il dato personale idoneo a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Per dati giudiziari, infine, si intendono i dati personali idonei a rivelare provvedimenti di cui all articolo 3, comma 1, lettere da a) a o) e da r) a u), del DPR 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. I dati comuni possono essere definiti, in via residuale, come informazioni riferite a persone fisiche identificate o comunque identificabili, che non siano idonee a rivelare stati, fatti e qualità, per cui il codice si riferisce alle tipologie dei dati sensibili e giudiziari. Il presente DPS si basa sui seguenti principi generali: tutte le informazioni (dati, documenti, archivi, ) devono essere protette e disponibili; al fine di garantire la riservatezza dei contenuti e delle informazioni, la sicurezza deve riguardare anche le reti di comunicazioni elettroniche dei dati; si deve procedere alla previsione di standard di sicurezza per la protezione delle aree e locali, in cui sono localizzati i server considerati sensibili per l attività dell azienda e gli archivi cartacei, monitorando le caratteristiche tecniche e le misure di tutela dagli accessi non autorizzati; tutte le operazioni di trattamento dei dati, effettuate utilizzando strumenti connessi alla rete di comunicazione elettronica, devono essere oggetto di tracciabilità, garantendo il non

Pagina 6 di 18 ripudio delle operazioni svolte, dovendo utilizzare un sistema di autenticazione informatica, che consenta un controllo dell identità di chi sta facendo che cosa ; devono essere predisposte adeguate misure di sicurezza per l accesso ai locali, che ospitano i server e gli strumenti elettronici in dotazione alle postazioni di lavoro, favorendo possibilmente la localizzazione e ubicazione in unico luogo o in luoghi collegati, al fine di consentire una migliore gestione degli strumenti e della sicurezza attiva e passiva; ogni eventuale incidente o evento straordinario, che possa pregiudicare la sicurezza dei dati e dei sistemi, deve essere oggetto di analisi e di rapporto scritto; tutti i progetti per lo sviluppo di nuovi sistemi / servizi, aventi natura trasversale e che possano interessano il sistema informativo dell azienda, devono essere inseriti nel presente DPS; al pari, tutte le modifiche eventualmente apportate ai processi organizzativi devono essere documentate nel presente DPS. Gli obiettivi di sicurezza, che l azienda si pone con la redazione del presente documento e a seguito dell attuazione delle misure di sicurezza ivi previste, sono: 1. dare attuazione - per tutti i dati personali oggetto di trattamento - a quanto previsto dall art. 31 del codice della privacy, che dispone che I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ; 2. adottare le misure minime di sicurezza previste dall allegato B del codice della privacy; 3. pianificare e adottare misure di sicurezza ulteriori, che rispetto a quelle previste dal codice della privacy l azienda ritenga opportune e necessarie, nell ottica della garanzia della protezione del proprio patrimonio informativo aziendale; 4. ridurre, a livelli accettabili e che sono gestibili, i principali rischi di sicurezza, a cui il sistema informativo aziendale può essere sottoposto;

Pagina 7 di 18 5. mantenere, compatibilmente con i vincoli di sicurezza sopra enunciati, il massimo livello di usabilità del sistema. Il DPS è strutturato in sezioni, che costituiscono la parte riservata alla descrizione generale degli obblighi e delle azioni da intraprendere con riferimento al trattamento dei dati personali. Ciascuna sezione è corredata da allegati tecnici, contenenti le descrizioni e le istruzioni specifiche, nonché i moduli. Gli allegati costituiscono la parte dinamica del presente documento e devono essere utilizzati per la gestione della sicurezza dei dati. Il presente DPS è redatto come documento ad uso interno e deve essere custodito e conservato per eventuali controlli da parte di organismi di vigilanza e per soddisfare richieste di accesso. Il presente DPS è aggiornato a seguito di novità normative o di innovazioni tecnologiche o organizzative, a seconda delle necessità di protezione dei dati personali aziendali. * * * Sezione 1 Determinazione dell ambito dei trattamenti aziendali Ogni persona fisica, al fine di svolgere le operazioni di trattamento necessarie, deve essere formalmente autorizzata dall azienda ad accedere ai dati personali, secondo quanto previsto dal codice della privacy e utilizzando la modulistica allegata al presente DPS. Ciascun dipendente, consulente o collaboratore dell azienda quindi deve essere preventivamente designato in qualità di incaricato del trattamento e deve operare sotto la diretta autorità dell azienda (titolare del trattamento) e dell eventuale responsabile del trattamento, attenendosi alle istruzioni scritte impartite dall azienda. A tal fine, l art. 30 del codice della privacy prevede due diverse modalità per il conferimento del detto incarico:

Pagina 8 di 18 a) designazione mediante lettera personale, che individua puntualmente l ambito di trattamento consentito; b) determinazione dell ambito di trattamento associato a ciascuna unità di trattamento, al fine di procedere alla preposizione documentata di una persona fisica, per consentire lo svolgimento delle relative operazioni, secondo l ambito analiticamente individuato. La individuazione delle tipologie di trattamenti di dati in seno all azienda è svolta tenendo conto dell organigramma aziendale e dei manuali operativi e di organizzazione, ai quali si rinvia in modo dinamico e funzionale e che costituiscono parte integrante e sostanziale del presente DPS. Inoltre, tenendo conto dell organizzazione aziendale, così come descritta nell organigramma e nella documentazione aziendale in uso, nell allegato AL01 al presente DPS sono descritti gli ambiti di trattamento dei dati, che costituiscono la base di riferimento, ai sensi dell art. 30 del codice privacy, per la determinazione delle autorizzazioni da rilasciarsi agli incaricati ai fini dell accesso agli strumenti e ai dati, nonché per la corretta determinazione delle operazioni di trattamento affidate, secondo il profilo professionale o il contratto di lavoro o di collaborazione in essere. L azienda invia per posta elettronica a ciascuna persona fisica (dipendente o collaboratore) il documento (di cui all allegato AL02) avente ad oggetto la preposizione al trattamento dei dati in qualità di incaricato del trattamento ed il manuale operativo per il trattamento dei dati. A ciascun incaricato viene quindi assegnata una o più credenziale/i di autenticazione, da parte dell amministratore di sistema, relativa al profilo di autorizzazione assegnato a ciascun incaricato, secondo l ambito di trattamento assegnato, ai sensi di quanto indicato in allegato AL01. Sezione 2 - Compiti e responsabilità L azienda, in qualità di titolare del trattamento, provvede a determinare le finalità e le modalità dei trattamenti. In particolare, con riferimento alla protezione dei dati e alla sicurezza degli strumenti, l amministratore dell azienda ovvero un suo delegato deve: a) inviare per posta elettronica (all indirizzo individuale assegnato dall azienda o a quello dichiarato all atto dell sottoscrizione del contratto di collaborazione) a ciascuna persona (sia

Pagina 9 di 18 dipendente, sia collaboratore strutturato) le istruzioni scritte (riportate nel manuale operativo di cui all allegato AL02) per il trattamento dei dati in qualità di incaricato; b) nominare in qualità di responsabili esterni del trattamento (utilizzando il modello di nomina riportato in allegato AL03) fornitori e soggetti esterni all organizzazione aziendale che siano preposti allo svolgimento di operazioni di trattamento per conto e nell interesse dell azienda; c) vigilare sul rispetto delle istruzioni relative alle misure di sicurezza previste dall azienda da parte degli incaricati e dei soggetti nominati in qualità di responsabili esterni, adottando le misure correttive e integrative necessarie, con conseguente aggiornamento del presente DPS e dei relativi allegati, ove necessario; d) adottare le misure minime di sicurezza a protezione degli strumenti elettronici utilizzati all interno della propria area di competenza, previste dall allegato B del Codice privacy: aggiornamento dei programmi, installazione e mantenimento degli antivirus, configurazione del firewall e effettuazione (almeno settimanalmente) e conservazione delle copie di back-up; e) collaborare con i soggetti individuati in qualità di addetti alla manutenzione e alla gestione del sistema informatico aziendale (la cui architettura è riportata e rappresentata nel documentato riservato, di cui all allegato AL04) nella definizione del profilo di autorizzazione da associare alle credenziali di autenticazione assegnate a ciascun incaricato del trattamento dei dati. Per profilo di autorizzazione si intende l insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; il sistema di autorizzazione è costituito dall insieme degli strumenti e delle procedure che abilitano l accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente; f) provvedere a richiedere la disattivazione, ovvero la variazione del profilo di autorizzazione associato a ciascun incaricato, nel caso in cui la persona fisica cessasse di operare all interno della struttura di propria competenza ovvero, per qualsiasi motivo, fosse stato modificato il suo profilo professionale; g) collaborare con l Amministratore pro tempore dell azienda nella pianificazione della formazione degli incaricati in tema di tutela della riservatezza dei dati personali e sensibili; h) fornire istruzioni ai propri incaricati per fornire idonea informativa agli interessati, che deve essere data con le modalità previste dall azienda. La modulistica da utilizzare per adempiere all obbligo di informativa e alla raccolta del consenso (ove necessario) è riportata in allegato AL05;

Pagina 10 di 18 i) controllare che la raccolta del consenso dell interessato al trattamento dei dati, ove necessaria, sia effettuata utilizzando la modulistica aziendale (riportata in allegato AL05, richiamato al punto precedente); j) vigilare sull attività svolta dagli incaricati del trattamento, verificando il rispetto delle procedure operative e delle istruzioni impartite dall azienda, anche in materia di misure di sicurezza. L azienda, inoltre, per quanto riguarda la gestione e la manutenzione degli strumenti elettronici, si avvale sia di personale interno, sia di soggetti esterni, che sono nominati amministratori di sistema, in conformità alle indicazioni fornite dal Garante per la protezione dei dati personali nel provvedimento generale del 27 novembre 2008, così come modificato ed integrato con deliberazione del 25 giugno 2009. La designazione delle persone fisiche in qualità di amministratore di sistema avviene mediante l utilizzo del modello di lettera di nomina riportata in allegato AL06, che deve essere consegnata personalmente o trasmessa a mezzo PEC alla persona o al consulente da nominare in qualità di amministratore di sistema ovvero al fornitore da nominare in qualità di responsabile esterno del trattamento, con funzioni di amministrazione di sistema, quest ultimo obbligato a procedere alla designazione delle persone fisiche, preposte allo svolgimento dei compiti di amministrazione di sistema, nell interesse e per conto dell azienda, in qualità di titolare. Sezione 3 - Analisi dei rischi e misure per la protezione dell integrità e della disponibilità dei dati La sicurezza è l insieme delle misure atte a garantire la disponibilità, l integrità e la riservatezza delle informazioni gestite e dunque l insieme di tutte le misure atte a difendere il sistema informativo dalle possibili minacce d attacco. I rischi di perdita dei dati, anche accidentale, di accesso abusivo e di trattamento illecito o non consentito dei dati possono essere causati da: malfunzionamenti di sistemi hardware e software, applicativi software e servizi; persone esterne all organizzazione (hacker, spie, terroristi, vandali, ecc.); eventi naturali (inondazioni, incendi, terremoti, tempeste, ecc.); persone interne all organizzazione; e possono essere identificati come:

Pagina 11 di 18 accidentali, deliberati. Rendere sicuro un sistema informatico non significa esclusivamente attivare un insieme di contromisure specifiche, di carattere tecnologico ed organizzativo, che neutralizzino tutti gli attacchi ipotizzabili al sistema di servizi, ma comporta l esigenza di collocare ciascuna delle contromisure individuate in una politica organica di sicurezza, che tenga conto dei vincoli (tecnici, logistici, organizzativi, amministrativi e legislativi) imposti dalla struttura tecnica ed organizzativa, in cui il sistema di servizi opera e che giustifichi ciascuna contromisura in un quadro complessivo. Principale obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni. Per ciascun sistema informativo automatizzato, per gli strumenti elettronici e per gli archivi e documenti cartacei deve essere fornita la garanzia R.I.D., ossia Riservatezza Integrità Disponibilità: Riservatezza (o Confidenzialità): solo gli utenti autorizzati possono accedere alle informazioni necessarie; Integrità: protezione contro alterazioni o danneggiamenti; tutela dell accuratezza e completezza dei dati; Disponibilità: le informazioni sono rese disponibili quando occorre e nell ambito di un contesto pertinente. Fra le risorse (asset) da tutelare rientrano certamente: dati digitali; documenti cartacei; flussi informativi; nonché componenti materiali come: server; computer; reti; ma anche: il personale; gli edifici; gli uffici.

Pagina 12 di 18 L approccio alla sicurezza deve avvenire in una logica di prevenzione (ossia mediante l utilizzo di metodologie e di strumenti di risk management) piuttosto che in una logica di gestione delle emergenze o di semplice controllo / vigilanza. L architettura del sistema, al fine di garantire le esigenze di sicurezza di protezione degli strumenti e dei dati, si basa su 3 elementi fondamentali: le politiche aziendali di sicurezza; le soluzioni organizzative e tecnologiche; gli atteggiamenti individuali. Un sistema di gestione della sicurezza delle informazioni efficiente ed efficace permette all organizzazione di: mantenersi aggiornata su nuove minacce e vulnerabilità e prenderle in considerazione in modo sistematico; trattare incidenti e perdite in ottica di prevenzione e di miglioramento continuo del sistema; sapere quando politiche di sicurezza e procedure non sono implementate, in tempo utile per prevenire danni; implementare politiche e procedure di primaria importanza. Con specifico riferimento alla protezione dei dati personali, l articolo 31 del codice della privacy prevede l obbligo di adottare misure idonee di sicurezza, allo scopo di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Le misure idonee di sicurezza devono essere adottate a seguito di una valutazione delle minacce possibili, che devono essere considerate dal titolare del trattamento, che può avvalersi di uno o più soggetti nominati responsabili del trattamento. Le misure idonee di sicurezza devono essere adottate mediante l utilizzo di un processo di autodeterminazione, per cui occorre provvedere alla riduzione dei rischi, che possono interessare i dati personali oggetto di trattamento in seno all azienda e che riguardano il sistema informativo nel suo complesso. Il legislatore, infatti, definisce l obbligo di adozione di misure di sicurezza idonee in termini funzionali, obbligando il titolare del trattamento, anche mediante l ausilio del responsabile, a

Pagina 13 di 18 procedere ad un attento processo di valutazione, finalizzato ad eliminare (ove possibile) ovvero a ridurre i rischi, senza specificare quali debbano essere tali misure, che sono affidate alla valutazione discrezionale del titolare, a seguito di un processo organico e dinamico di analisi del rischio. In particolare, l analisi e la valutazione dei rischi sono effettuate utilizzando la tabella riportata in allegato (AL07), mediante l individuazione delle singole minacce e vulnerabilità, per le quali si è provveduto a determinare il peso del rischio in termini di probabilità (P) e danno (D), valutati secondo i parametri (alto medio lieve) associati a ciascuna minaccia. Al fianco delle misure idonee di sicurezza, al fine di favorire un livello omogeneo di sicurezza per ogni soggetto che proceda al trattamento dei dati personali, il legislatore ha previsto (ai sensi dell articolo 33 del codice della privacy) un obbligo di adozione di misure minime, che sono individuate dagli articoli 34 e 35 del codice della privacy e specificate dall allegato B del medesimo codice. Le misure minime sono ripartite e specificate a seconda della diversa tipologia di strumenti utilizzati, siano essi elettronici ovvero non elettronici. Per strumenti elettronici, secondo la definizione del codice della privacy, si intendono gli elaboratori, i programmi per elaboratore e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. L omessa adozione delle misure minime di sicurezza costituisce condotta penalmente rilevante ai sensi dell articolo 169, comma 1 del codice della privacy, il quale dispone che: Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall articolo 33 è punito con l arresto sino a due anni. Si tratta di un reato omissivo proprio; tuttavia, l articolo 169, comma 2 del codice della privacy prevede il ravvedimento operoso, che consiste nella possibilità, concessa all autore del reato, all atto dell accertamento o, nei casi più complessi, anche con successivo atto del Garante, di: 1) adempiere entro un termine alle prescrizioni impartite, al fine della regolarizzazione del proprio sistema e delle misure di sicurezza non adottate in precedenza (il periodo di tempo concesso per l adeguamento è prorogabile in caso di particolare complessità o per l oggettiva difficoltà dell adempimento e comunque non superiore a sei mesi);

Pagina 14 di 18 2) provvedere, nei sessanta giorni successivi allo scadere del termine, ove risultasse il corretto adempimento rispetto alle prescrizioni ricevute dall autorità Garante, a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa (ossia la somma di trentamila euro); 3) ottenere l estinzione del reato, a seguito del positivo riscontro dell avvenuto adempimento degli obblighi e del pagamento della somma dovuta, di cui al punto precedente. L omessa adozione delle misure minime di sicurezza (quindi in violazione di quanto previsto dall art. 33 del codice della privacy) può comportare, altresì, l applicazione della sanzione amministrativa del pagamento di una somma da ventimila a centoventimila euro, con esclusione del pagamento in misura ridotta. All esito dell analisi, di cui alla tabella riportata in allegato AL07, i rischi così individuati sono soggetti, come detto, a valutazione, al fine di procedere all adozione delle misure di sicurezza elencate e descritte nell allegato AL08. Sezione 4 - Continuità operativa e ripristino della disponibilità dei dati a seguito di distruzione o danneggiamento dei dati o degli strumenti elettronici Con l espressione continuità operativa si intende l insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l obiettivo di riportarlo alle condizioni antecedenti a un evento disastroso. Al fine di garantire la continuità operativa dei sistemi e quindi dei trattamenti di dati personali, nonché allo scopo di fronteggiare eventi che possano causare il danneggiamento degli strumenti elettronici e la distruzione o perdita delle informazioni cd. critiche, si deve procedere alla formalizzazione di un piano di emergenza. Le soluzioni di continuità prendono in considerazione, quindi, l effetto di un evento e non le sue cause. Al contrario, la prevenzione degli eventi è generalmente demandata a forme di intervento (quali ad esempio l adozione di misure per la sicurezza e l integrità fisica degli strumenti e dei dati) non classificabili come soluzioni di continuità. Al fine di garantire la continuità dell attività produttiva, l azienda definisce:

Pagina 15 di 18 a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. L azienda verifica la funzionalità del proprio piano di continuità operativa con cadenza biennale; b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a), stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. Il piano di continuità operativa dell azienda ha ad oggetto le attività ed i processi di natura critica. In via preliminare, è opportuno costituire un gruppo di lavoro per la continuità operativa, di cui fanno parte soggetti dotati di esperienza professionale e formazione specifica nel campo dell organizzazione aziendale, delle conoscenze tecnico-informatiche e delle norme giuridiche in tema di protezione dei dati personali e gestione dei rischi. Il gruppo di lavoro, cui possono far parte anche soggetti esterni, deve procedere alla redazione dello studio di fattibilità. La redazione del piano di continuità deve avvenire nel rispetto dei seguenti principi: 1) redigere uno studio del contesto e un piano di gestione delle emergenze, conseguenti ad eventi naturali o accadimenti / condotte umane, che causino la distruzione o perdita di dati e strumenti ovvero il blocco del sistema con conseguente arresto dell attività istituzionale e di servizio; 2) in base alle risultanze dello studio del contesto, procedere all individuazione, nell ambito di ciascuna unità di trattamento (di cui all allegato AL01), dei processi cd. critici, per cui occorre garantire la continuità operativa senza alcuna interruzione di servizio; 3) per ogni servizio o processo cd. critico da proteggere, individuare l insieme delle risorse (umane, tecnologiche, procedurali e gli spazi di lavoro) necessarie alla erogazione. Tale insieme di risorse viene definito come isola ;

Pagina 16 di 18 4) identificare gli eventi che possono comportare una interruzione della continuità operativa da prendere in considerazione; 5) individuare gli eventi pianificati e gli eventi non pianificati che possono determinare una interruzione della continuità operativa; 6) per ogni servizio o processo critici, determinare in che misura deve essere mantenuto in operatività. Conseguentemente, occorre prevedere procedure per garantire la continuità operativa (in particolare copia e recupero dei dati, sistemi paralleli); 7) programmare misure per il ripristino dei dati personali a seguito di eventi di distruzione o danneggiamento; 8) individuare le misure di sicurezza da adottare per la garanzia della continuità operativa e per il ripristino dei dati e dei sistemi entro un termine massimo di sette giorni dall evento; 9) programmare la verifica, da parte della funzione interna di controllo, del corretto funzionamento dei sistemi e delle procedure organizzative per la continuità operativa e il ripristino dei dati, sia da parte di personale interno, sia di soggetti esterni incaricati dell adozione delle procedure e della realizzazione dei sistemi. Per definire in che misura un sistema critico deve essere mantenuto in operatività si considerano due indicatori: 1) RTO ( Recovery Time Objective - massimo tempo di indisponibilità del servizio), cioè il tempo entro il quale il servizio deve essere ripristinato); 2) RPO ( Recovery Point Objective, perdita dati sostenibile), in termini di distanza temporale tra il verificarsi dell emergenza e l ultimo salvataggio utile e ripristinabile dei dati. A titolo esemplificativo, la necessità che un servizio o un processo sia riattivato entro 48 ore da un emergenza e che non si perdano più di 6 ore di operazioni di aggiornamento dei dati, corrisponde a fissare i parametri RTO = 48 h e RPO = 6 h. Lo studio del contesto da parte del gruppo di lavoro, costituito ai sensi della presente sezione, è caratterizzato da due fasi:

Pagina 17 di 18 1) analisi dei rischi: si determinano i rischi a cui è soggetta un unità di trattamento cd. critica o un servizio erogato, si analizzano le vulnerabilità e si identificano le possibili salvaguardie; 2) business impact analysis: ha lo scopo di determinare le conseguenze derivanti dal verificarsi di ciascun evento critico e di valutarne l impatto sull operatività dell organizzazione. Il piano di continuità operativa e di gestione del ripristino dei dati (riportato in allegato AL09) deve prendere in considerazione almeno i seguenti scenari di crisi: - distruzione o inaccessibilità di strutture nelle quali sono allocate unità operative o apparecchiature critiche per ciascuna unità di trattamento; - indisponibilità di personale essenziale per il funzionamento o la garanzia della continuità degli strumenti cd. critici; - interruzione del funzionamento delle infrastrutture (tra cui alimentazione elettrica, reti di comunicazione elettronica, blocco o danneggiamento degli strumenti); - alterazione dei dati a seguito di attacchi dolosi; - indisponibilità dei sistemi e degli strumenti a seguito di attacchi dolosi di terzi. Il piano di continuità e di ripristino deve indicare: - le misure necessarie per ridurre l impatto di un emergenza; - le risorse alternative a quelle non disponibili; - le misure organizzative per governare il sistema durante l emergenza; - le procedure per gestire il rientro alla normalità. Nel predisporre il piano di ripristino (cd. piano di disaster recovery), si deve provvedere nel seguente modo: 1) analisi degli eventi che possono causare la distruzione o il danneggiamento dei dati o degli strumenti elettronici; 2) definizione di ruoli e di responsabilità;

Pagina 18 di 18 3) descrizione delle azioni da intraprendere in caso di emergenza al fine del ripristino dei dati e del sistema. Al fine di garantire la continuità operativa e di verificare l operato degli amministratori di sistema e la conformità delle misure di sicurezza al codice della privacy, l azienda nomina un addetto in posizione di indipendenza e terzietà, utilizzando il modulo in allegato AL10, al quale affidare funzioni di controllo e vigilanza, secondo quanto previsto dall art. 29, comma 5 del codice privacy. Sezione 5 - Formazione degli incaricati del trattamento Gli incaricati hanno solto una specifica attività di formazione, che è stata affidata a un consulente e docente esterno, esperto in materia di diritto della protezione dei dati personali. Allegati AL01 Ambito dei trattamenti AL02A Preposizione dei dipendenti e dei collaboratori in qualità di incaricati del trattamento AL02B Manuale operativo per il trattamento dei dati AL03 Modulo nomina responsabile esterno del trattamento AL04 Architettura sistema informativo aziendale AL05 Moduli per informativa e consenso AL06 Modello nomina amministratore di sistema AL07 Analisi e valutazione dei rischi AL08 Elenco e descrizione delle misure di sicurezza adottate AL09 Piano di continuità e di ripristino AL10 Nomina addetto alla funzione di controllo e vigilanza AL11 Elenco documenti DPS

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back