Documento Programmatico sulla Sicurezza (DPS) (Art.34, Decreto Legislativo n.196 del 30 Giugno 2003) Dal 1 gennaio 2004 è entrato in vigore il Decreto Legislativo 30 giugno 2003 n. 196, denominato Codice in materia di protezione dei dati personali (d ora in poi indicato semplicemente con Codice). Esso riunisce in un testo unico una varietà di provvedimenti stratificati nel tempo a livello nazionale e comunitario. In particolare, l art. 34 prevede una serie di misure a tutela dell integrità e della riservatezza dei dati personali trattati in modo elettronico. Il presente documento programmatico per la sicurezza (in breve: DPS), redatto in accordo al suddetto articolo ed alle successive raccomandazioni del Garante per la Privacy, descrive come l Università della Calabria tratta i dati personali di cui è titolare e le misure di sicurezza che pone in essere per ridurre al minimo ogni rischio per tali dati. Il DPS è aggiornato almeno una volta l anno, entro il 31 marzo. La versione più aggiornata è sempre disponibile sulla rete interna dell Università della Calabria. Il DPS è organizzato come segue: 1. Descrizione sintetica della struttura dell Università della Calabria (UNICAL) e delle sue finalità istituzionali. 2. Definizione delle varie categorie di dati personali e dei trattamenti che l UNICAL effettua su tali dati. 3. Definizione delle figure abilitate ad effettuare tali trattamenti. 4. Descrizione delle misure sicurezza che l UNICAL pone in essere per tutelare i dati personali da essa trattati. 5. Descrizione delle tipologie di rischi per i dati trattati presso l UNICAL. 6. Descrizione dei trattamenti effettuati all esterno dell UNICAL. 7. Pianificazione delle attività formative previste. 8. Schede dettagliate relative a strutture dell UNICAL che trattano dati sensibili o giudiziari nelle quali sono specificati eventuali rischi peculiari per le strutture e le conseguenti misure aggiuntive realizzate o previste per ridurre tali rischi. Il DPS è affiancato dai regolamenti dell UNICAL per il trattamento dei dati sensibili e giudiziari e per il trattamento dei dati acquisiti mediante videosorveglianza, disponibili sul portale Internet dell UNICAL, insieme ad altri documenti relativi alla tutela dei dati personali, quali il Vademecum della sicurezza informatica per gli incaricati dei trattamenti e le informative sul trattamento.
1. L Università della Calabria L'UNICAL è un'istituzione pubblica dotata di personalità giuridica finalizzata alla ricerca scientifica, alla formazione culturale ed al progresso civile della società in cui opera. Nel perseguimento di tali fini l'università promuove anche forme di collaborazione con altri organismi pubblici e privati, internazionali e nazionali, ed in particolare con la Regione Calabria ed i suoi enti locali. Per la maggiore efficacia della propria azione formativa, l'università della Calabria, nel rispetto della sua legge istitutiva, ha carattere residenziale e la frequenza dei suoi corsi è obbligatoria e controllata. Essa programma, in rapporto alle proprie risorse, il numero di studenti da immatricolare, subordina l'iscrizione agli anni successivi al primo alla verifica dei risultati conseguiti e favorisce la vita comunitaria di docenti, studenti e personale tecnico-amministrativo in un apposito Centro Residenziale, dotato oltre che di alloggi e di mense anche di impianti per attività culturali, sportive e ricreative. I servizi erogati dal Centro Residenziale non sono in alcun caso totalmente gratuiti. La quota a carico degli studenti è commisurata alle condizioni economiche dei rispettivi nuclei familiari. Per il suo carattere residenziale, l'università della Calabria esercita anche funzioni in materia di diritto allo studio. L'Università persegue le proprie finalità nell'ambito della autonomia scientifica, didattica ed amministrativa prevista dalla Costituzione della Repubblica e dalle leggi vigenti. E' garantita la libertà di insegnamento e di ricerca dei singoli docenti e ricercatori. Il coordinamento delle corrispondenti attività viene esercitato dagli organi a ciò preposti dalle leggi vigenti, nelle forme e secondo le modalità stabilite dal Regolamento Generale di Ateneo, dal Regolamento Didattico di Ateneo e dai Regolamenti delle strutture nelle quali l insegnamento e la ricerca vengono svolti. A tutte le componenti dell'università è garantita pari dignità di rappresentanza e di partecipazione nelle forme stabilite dalle leggi vigenti dallo Statuto, dal Regolamento Generale di Ateneo e dai Regolamenti delle strutture operanti. Il funzionamento o la gestione del Centro Residenziale sono disciplinati dallo Statuto e da un apposito Regolamento. Per l'organizzazione e la gestione delle attività didattiche e di ricerca scientifica l'università si articola in Facoltà e Dipartimenti. Per l'erogazione dei servizi di supporto alle attività didattiche e scientifiche delle Facoltà e dei dipartimenti sono istituiti i Centri di Servizio Interdipartimentali. Per l'erogazione di servizi di supporto all'intera collettività universitaria, ivi comprese le manifestazioni promosse dal Centro Residenziale, sono istituiti i Centri Comuni di Servizio. Per le attività scientifiche di rilevante impegno, connesse a specifici progetti di durata almeno quinquennale, in cui siano coinvolti più Dipartimenti, sono istituiti i Centri di Ricerca Interdipartimentali. Per la raccolta, la conservazione e la gestione di informazioni e di materiali sperimentali riguardanti i fenomeni antropici e fisici che interessano il territorio regionale e che costituiscono oggetto di studio nell'ateneo, sono istituiti i Centri di Sperimentazione e/o Documentazione Scientifica. Un elenco dettagliato delle strutture dell UNICAL è riportato in Tabella 1.
2. Trattamenti di dati personali presso l UNICAL All art. 4, il Codice definisce a. dato personale, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; b. dati identificativi, i dati personali che permettono l'identificazione diretta dell'interessato; c. dati sensibili, i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; d. dati giudiziari, i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; Un trattamento su tali dati è qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. I trattamenti dei dati effettuati dall UNICAL possono essere classificati nei seguenti ambiti: A. Gestione del rapporto di lavoro del personale dipendente (docente, dirigente, tecnico amministrativo), dei collaboratori esterni e dei soggetti che intrattengono altri rapporti di lavoro diversi da quello subordinato. B. Attività di ricerca scientifica. C. Attività didattica e gestione delle iscrizioni e delle carriere degli studenti. D. Gestione del contenzioso giudiziale, stragiudiziale e attività di consulenza. E. Gestione Amministrativa e Contabile. F. Attività del Centro Sanitario Ricordiamo che, come previsto dall art. 18 del Codice, qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali. Inoltre i soggetti pubblici (ad eccezione degli organismi sanitari) non devono richiedere il consenso dell'interessato. Pertanto, ad eccezione dei trattamenti di dati relativi ai servizi sanitari effettuati dal Centro Sanitario, l UNICAL non deve richiedere il consenso al trattamento dei dati personali. E importante ricordare che il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite (art. 20 del Codice). Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a
cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo. Insieme alla CRUI ed alle altre università italiane, è stato predisposto uno schema di regolamento per il trattamento dei dati sensibili e giudiziari, poi specializzato alla realtà dell UNICAL ed attualmente disponibile sul portale Internet dell Università. Il regolamento individua, per ciascuno dei suddetti ambiti di trattamento, i dati sensibili e giudiziari trattati dall UNICAL, le finalità di interesse pubblico perseguite, i riferimenti normativi ed i flussi informativi relativi a tali dati. In particolare, ricordiamo qui i principali tipi di dati trattati dall UNICAL per gli ambiti A e C di cui sopra, distinti per tipologie di interessati (per gli altri ambiti e per maggiori dettagli si rimanda alle schede particolareggiate per le diverse strutture): a) Personale docente, tecnico-amministrativo e collaboratori esterni - dati anagrafici, identificativi e informativi contenuti nel curriculum vitae; - dati contenuti nel fascicolo individuale del personale docente o tecnicoamministrativo o dei collaboratori esterni; - dati contenuti nei certificati medici per giustificazione di assenze (malattie, infortuni ecc.); - dati inerenti lo stato di salute per esigenze di gestione del personale, assunzioni del personale appartenente alle c.d. categorie protette, igiene e sicurezza sul luogo di lavoro, equo indennizzo, causa di servizio ecc.; - dati relativi alle carriere; - dati relativi agli stipendi ed alle voci retributive; - dati relativi alla adesione a sindacati o ad organizzazioni di carattere sindacale per gli adempimenti connessi al versamento delle quote di iscrizione o all esercizio dei diritti sindacali; - dati relativi ai riscatti ed alle ricongiunzioni previdenziali, dei trattamenti assicurativi e previdenziali obbligatori e contrattuali. b) Studenti - dati anagrafici; - dati relativi agli esiti scolastici, intermedi e finali o comunque connessi alla carriera universitaria; - dati relativi agli studenti diversamente abili; - dati sul reddito delle famiglie finalizzati ad eventuali esoneri dal versamento delle tasse universitarie; Si precisa che il trattamento di tutti i dati sopra citati avviene esclusivamente ai fini dell adempimento delle prescrizioni di legge anche relative al rapporto di lavoro e di quelli connessi agli oneri fiscali e previdenziali, secondo quanto disposto sia dalla legislazione vigente in materia, sia dai contratti collettivi nazionali ed integrativi, ovvero per finalità di gestione amministrativa degli studenti e/o per finalità didattiche e/o per finalità afferenti alle elezioni delle rappresentanze studentesche negli Organi Accademici, ovvero per finalità connesse alle eventuali collaborazioni a tempo parziale degli studenti presso le Strutture universitarie. Si ricorda, altresì che i trattamenti sopra menzionati possono riguardare anche dati sensibili e giudiziari, quali
i dati relativi all iscrizione ai sindacati, ai fini dell effettuazione delle trattenute e del versamento del contributo al sindacato indicato dal dipendente; i dati inseriti nelle certificazioni mediche, ai fini della verifica dell attitudine a determinati lavori, dell idoneità al servizio, dell avviamento al lavoro degli inabili; i dati relativi allo stato di salute dei dipendenti assunti sulla base della L. 2 aprile 1968 n. 482 e successive modifiche; i dati relativi all appartenenza ad organizzazioni o fedi religiose ai fini dei permessi per festività; i dati relativi agli studenti diversamente abili ai fini di eventuali esoneri dal versamento delle tasse universitarie; 3. Compiti e responsabilità di chi tratta i dati personali presso l UNICAL I. Il Titolare del trattamento dei dati personali Il Titolare dei trattamenti dei dati personali descritti nella precedente sezione è l Università della Calabria, che decide come effettuare tali trattamenti e come tutelare l integrità e la sicurezza dei dati trattati. II. Il Responsabile del trattamento dei dati personali Il Codice per la tutela dei dati personali prevede la facoltà, per il Titolare, di nominare uno o più Responsabili del trattamento. Il Titolare individua il Responsabile tra i soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi compreso il profilo della sicurezza. E altresì previsto che possa essere nominato Responsabile non solo una persona fisica ma anche una società o altri organismi come gli enti, le associazioni, ecc. La designazione può inoltre riguardare più soggetti. Un Responsabile di trattamenti di dati presso l UNICAL ha il compito di: Nominare gli incaricati dei trattamenti, cioè individuare le persone fisiche che dovranno effettuare i trattamenti di cui è responsabile ed autorizzarli al trattamento, impartendo loro adeguate istruzioni e, in particolare, istruendoli sulle misure di sicurezza per i dati personali adottate presso l UNICAL e meglio individuate nella sezione 4. Verificare con l ausilio degli amministratori dei sistemi informatici che le istruzioni impartite agli incaricati siano rispettate e, in particolare, che le misure descritte nella sezione 4 siano effettivamente adottate. Nominare uno o più preposti alla custodia delle credenziali di autenticazione, i cui compiti sono meglio descritti al successivo punto V. Definire le modalità di accesso ai locali in cui sono custoditi dati personali, sia in formato cartaceo sia in formato elettronico. In caso di trattamenti sensibili o giudiziari, inviare al Titolare le schede di cui all Allegato 1, opportunamente compilate con le informazioni sulle modalità con cui vengono effettuati i trattamenti di cui è responsabile, complete di eventuali indicazioni su particolari rischi che incombono su tali dati o su eventi che possono averne compromesso l integrità e/o la riservatezza. Informare tempestivamente il Titolare di ogni possibile aggiornamento alle informazioni di cui al punto precedente.
Evadere tempestivamente le richieste degli interessati o del Garante per la Privacy e dare immediata esecuzione alle eventuali indicazioni da parte del Garante. L Università della Calabria ha nominato i seguenti Responsabili del trattamento dei dati: A. Per ciò che attiene i trattamenti nell ambito delle attività della Segreteria del Rettorato, della Struttura in Staff denominata Gabinetto del Rettore, il Rettore. B. Per ciò che attiene i trattamenti nell ambito delle attività delle Strutture amministrative e tecniche afferenti alla Amministrazione Centrale: Il Direttore Amministrativo, relativamente ai trattamenti effettuati dalle seguenti strutture: - Segreteria della Direzione Amministrativa - Ufficio Controllo di Gestione - Ufficio Nucleo di Valutazione - Ufficio Formazione - Ufficio Prevenzione e Protezione - Ufficio Energy Manager I Dirigenti responsabili d Area, ciascuno per i trattamenti effettuati nell ambito delle attività dell Area di intervento amministrativo e/o tecnico da lui diretta. C. Per ciò che attiene i trattamenti effettuati nell ambito delle attività delle Facoltà (ufficio di presidenza, uffici amministrativi e tecnici), i Presidi di Facoltà. D. Per ciò che attiene i trattamenti effettuati dai Dipartimenti (ufficio di direzione, uffici amministrativi e tecnici), i Direttori di Dipartimento. E. Per ciò che attiene i trattamenti effettuati nell ambito delle attività di coordinamento didattico dei Corsi di Laurea e dei Corsi di Laurea specialistica, i loro Presidenti. F. Per ciò che attiene i trattamenti effettuati nell ambito delle attività di coordinamento didattico delle Scuole di Specializzazione, i loro Direttori. G. Per ciò che attiene i trattamenti effettuati nell ambito delle attività di coordinamento scientifico e di gestione dei Centri di sperimentazione e/o documentazione scientifica, i Presidenti dei loro Comitati tecnico scientifici (CTS). H. Per ciò che attiene i trattamenti effettuati nell ambito delle attività di servizio e di gestione dei Centri di Servizio Interdipartimentali, dei Centri Comuni di Servizio e delle Biblioteche, i Presidenti dei loro Comitati tecnico scientifici (CTS). I. Per ciò che attiene i trattamenti effettuati nell ambito delle attività delle Strutture amministrative e tecniche afferenti al Centro Residenziale: - il Presidente del Centro Residenziale relativamente ai trattamenti effettuati dall Ufficio di Presidenza; - il Direttore Amministrativo del Centro Residenziale, relativamente ai trattamenti effettuati dalla Segreteria di Direzione; - i Dirigenti (Responsabili d Area), ciascuno relativamente ai trattamenti effettuati dalle rispettive Aree di intervento amministrativo e/o tecnico. J. La C.M.D. Sud s.r.l. per i dati relativi alla sorveglianza sanitaria dei lavoratori dell UNICAL. K. Il consorzio universitario CINECA, per i dati relativi alla gestione degli stipendi dei dipendenti UNICAL. L. L Istituto di Vigilanza La Torpedine per il trattamento dei dati acquisiti attraverso il sistema di Videosorveglianza, meglio descritto nell apposito regolamento. L UNICAL può comunque nominare ulteriori responsabili, nel caso di trattamenti che non siano compresi nei suddetti ambiti.
III. L Incaricato del trattamento dei dati personali L Incaricato è la persona fisica alla quale, nell ambito delle proprie attività, il Titolare o il Responsabile affidano il trattamento dei dati personali (raccolta, elaborazione, archiviazione, cancellazione, ecc.). L Incaricato è colui che operativamente effettua uno o più trattamenti su dati personali, attenendosi alle istruzioni del Responsabile e limitandosi ad effettuare solo i trattamenti per i quali è autorizzato. E compito del responsabile assicurarsi che l incaricato conosca ed applichi le misure di sicurezza previste dall UNICAL per i trattamenti di sua competenza. Ad esempio, il preside di una facoltà, nella sua qualità di responsabile del trattamento, nomina i docenti che afferiscono a quella facoltà (così come eventuali docenti a contratto) incaricati dei trattamenti di dati relativi ad attività didattiche quali lo svolgimento di esami, relazioni e controrelazioni di laurea, etc. Si noti che in generale lo stesso dato può essere trattato da diversi incaricati, in modi e con finalità differenti, anche relativi a diverse aree d intervento e con diversi responsabili. Nel caso in esame, gli stessi dati sugli esami degli studenti sono trattati anche dagli impiegati della segreteria studenti, per le opportune verifiche, per il rilascio di certificati, etc., e dagli impiegati dell Area Informatica e Telematica, che non sono però autorizzati alla consultazione di tali dati, ma solo alla loro conservazione (e devono quindi garantirne la sicurezza e l integrità). IV. L Amministratore di Sistema Un Amministratore di Sistema è un incaricato che si occupa della gestione e manutenzione di un determinato insieme di risorse informatiche e telematiche in dotazione all UNICAL. Ove necessario, l Amministratore è nominato da un responsabile del trattamento dei dati, che individua con la lettera d incarico l insieme delle risorse di cui l Amministratore deve occuparsi. In particolare, compete all Amministratore di Sistema: - assegnare e gestire gli aggiornamenti periodici dei codici identificativi personali degli incaricati che abbiano accesso alle risorse di sua competenza; - provvedere affinché tali risorse siano protette contro il rischio di intrusione, mediante idonei strumenti software aggiornati con cadenza almeno semestrale; - disporre misure organizzative e tecniche che prevedano il back-up dei dati personali con cadenza almeno settimanale; - assistere il Responsabile del trattamento nell analisi dei rischi che incombono su tali risorse e nell individuazione di opportune misure di sicurezza per contrastare tali rischi, da inviare al Titolare per l aggiornamento annuale del DPS. V. Preposti alla custodia delle credenziali di autenticazione Il Disciplinare tecnico in materia di misure minime di sicurezza (all. B) del Codice prevede espressamente che, nel caso in cui l'accesso ai dati e agli strumenti elettronici sia consentito esclusivamente ad uno o più incaricati mediante la propria credenziale per l autenticazione (tipicamente una coppia username-password), il titolare sia comunque in grado di assicurare la disponibilità di tali dati o strumenti elettronici in caso di prolungata assenza o impedimento degli incaricati. Pertanto, per i casi in cui si renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, deve essere possibile accedere alle credenziali riservate. A tal fine, il responsabile del trattamento dei dati individua e
nomina almeno due preposti alla custodia delle credenziali riservate degli incaricati la cui assenza prolungata impedirebbe l accesso ai dati di cui è responsabile. Un preposto alla custodia delle credenziali di autenticazione svolge i seguenti compiti: - Garantisce la sicurezza e la segretezza delle credenziali, conservandole in busta chiusa in armadio con serratura e luogo protetto, nel caso di conservazione cartacea, ovvero in file crittografati nel caso di conservazione elettronica. In particolare, custodisce anche le credenziali di autenticazione degli altri preposti in modo da poter accedere agli armadi o ai file crittografati degli incaricati di loro competenza, nel caso in cui gli altri preposti non siano presenti né reperibili in tempi brevi. - Nel caso in cui sia necessario accedere alla parte riservata della credenziale di autenticazione di un incaricato, il preposto provvede ad avvisarlo tempestivamente. Al suo rientro, all incaricato dovrà avere assegnata una nuova credenziale di autenticazione. Si noti che l unico trattamento sulle credenziali per il quale il preposto è autorizzato è la loro conservazione. Egli non può quindi conoscerne il contenuto. Occorre inoltre osservare che non è necessario che esistano più armadi protetti e quindi più copie delle credenziali. E invece importante che in ogni momento vi sia almeno un preposto in grado di accedere alle credenziali in tempi appropriati. 4. Misure di sicurezza adottate presso l UNICAL In questa sezione sono descritte le misure minime di sicurezza che l UNICAL adotta per il trattamento dei dati personali da essa trattati. Ogni incaricato di un trattamento viene informato dal responsabile del trattamento che lo nomina di queste misure di sicurezza a cui deve obbligatoriamente attenersi nell esercizio delle sue funzioni. Nel caso in cui l incaricato non sia in grado di adottare una o più di tali misure (per es. per problemi tecnici), egli deve immediatamente darne avviso al responsabile, perché provveda tempestivamente, eventualmente chiedendo l ausilio del titolare. Distinguiamo le misure di sicurezza in funzione della modalità di trattamento e della natura del dato trattato. A. Trattamenti di dati con strumenti elettronici - Il trattamento di dati personali con strumenti elettronici è consentito solo agli incaricati dotati di credenziali che consentano il superamento di una procedura di autenticazione relativa ai trattamenti per i quali sono stati autorizzati. o Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. o Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
o L incaricato è responsabile della segretezza della componente riservata della sua credenziale e/o della custodia dei dispositivi di autenticazione in suo possesso. o La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e poi almeno ogni tre mesi. o Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. o Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. o Una credenziale è disattivata anche nel caso in cui un incaricato non sia più autorizzato ad effettuare uno dei trattamenti a cui tale credenziale dava accesso. - Gli incaricati consegnano al preposto per la custodia delle credenziali una busta chiusa per ogni loro credenziale di autenticazione, contenente la parte riservata di tale credenziale, ovvero inviano al preposto un documento crittografato con la medesima informazione. Nel caso di documenti crittografati, il preposto dovrà avere la chiave necessaria a decrittografare le informazioni sulla credenziale, ove necessario (si veda la descrizione dei compiti del preposto, nella precedente sezione). - Gli incaricati non dovranno mai lasciare incustodito e accessibile il proprio terminale durante una sessione di trattamento. Dovendosi allontanare temporaneamente avranno cura di chiudere la sessione o avviare un salvaschermo con password, o altre misure che richiedano per l accesso una procedura di autenticazione di sicurezza almeno pari a quella che permette di identificare l incaricato su quel terminale. - Nel caso di trattamento di dati con Personal Computer (PC), gli incaricati verificano che il PC a loro assegnato sia dotato di un programma antivirus e di un programma per la protezione da spyware aggiornati almeno semestralmente (possono anche essere parte di uno stesso prodotto informatico). - L Area Informatica e Telematica rende costantemente disponibili sulla rete telematica interna dell UNICAL i suddetti prodotti, corredati delle informazioni per l installazione e l aggiornamento degli stessi. - L Area Informatica e Telematica mette anche a disposizione nello stesso sito un prodotto per la crittografia e per la cancellazione fisica di documenti (per esempio, il programma freeware PGP che integra entrambe le funzionalità), che possono essere utilizzati per la gestione sicura delle credenziali e per la distruzione di dati personali che non occorre più trattare. - Ove sia necessario prevedere profili di autorizzazione di ambito diverso, i responsabili dei trattamenti, coadiuvati dagli amministratori dei sistemi informatici, progettano e gestiscono tali profili per singolo incaricato o per classi omogenee di incaricati. Tali profili sono verificati almeno annualmente. - I server delle banche dati dell UNICAL sono collocati in aree sicure e protette da intrusioni e accessi indesiderati da opportuni sistemi di allarme. - Ogni Amministratore prepara una descrizione dettagliata delle procedure per il salvataggio ed il ripristino dei dati, nel caso in cui le risorse elettroniche di cui è responsabile siano a rischio di danneggiamento o distruzione. Anche l organizzazione del database o archivio contenente i
dati deve essere puntualmente descritta, così come il luogo di custodia delle copie dei dati, che deve essere comunque diverso dal luogo dove è collocato il computer in cui sono memorizzati. L Amministratore conserva tale descrizione in un luogo sicuro ed accessibile anche in caso di sua assenza, comunicando la procedura per reperirla ad un preposto per la conservazione delle credenziali di autenticazione, il cui nominativo deve essere segnalato a tutti i responsabili dei trattamenti su quei dati (si ricordi infatti che gli stessi dati possono essere oggetto di diversi trattamenti da parte di diverse strutture dell UNICAL). E prevista anche una pianificazione delle prove di ripristino dei dati. B. Trattamenti senza l ausilio di strumenti elettronici - Nelle ore d ufficio gli incaricati controllano e custodiscono gli atti ed i documenti contenenti i dati personali da loro trattati, attenendosi alle istruzioni ricevute insieme alla nomina. - L UNICAL è inoltre costantemente sorvegliata da un istituto di vigilanza. C. Ulteriori misure per trattamenti di dati sensibili o giudiziari - Nel caso di memorizzazione e trasporto di dati sensibili o giudiziari su supporti elettronici rimovibili e nel caso di trasmissione per via telematica, tali dati devono essere opportunamente crittografati, o viaggiare su connessioni protette. - Nel caso in cui un dato sensibile o giudiziario non sia più necessario, esso deve essere fisicamente cancellato utilizzando appropriati prodotti informatici (come il summenzionato PGP). Nel caso in cui sia memorizzato su un supporto che non consenta tale cancellazione, il supporto deve essere distrutto o comunque reso inutilizzabile. - Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione, in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. - L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di specifici incaricati della vigilanza di tali dati, le persone che vi accedono sono preventivamente autorizzate. - Le informazioni idonee a rivelare lo stato di salute e la vita sessuale e le informazioni genetiche sono memorizzate in archivi o banche dati disgiunte dalle altre informazioni necessarie per identificare l interessato (es., informazioni anagrafiche). Ove ciò sia indispensabile per il trattamento, ad ogni interessato sarà quindi associato un codice univoco che lo identifica sia nella banca dati (archivio) anagrafico, sia nella banca dati con le informazioni sanitarie. Nel caso di trattamenti senza l ausilio di strumenti elettronici, i due archivi sono conservati in armadi diversi e protetti da chiavi.
5. Analisi dei rischi In questa sezione descriviamo le principali tipologie di rischio che incombono sui dati trattati presso l UNICAL e che sono contrastate mediante una scrupolosa osservazione da parte di tutti gli incaricati delle misure di sicurezza descritte nella precedente sezione, favorita dalle attività di sensibilizzazione e formazione previste dall UNICAL per le varie tipologie di incaricati. 1. Comportamenti degli operatori: sottrazione di credenziali di autenticazione per carenza di consapevolezza, disattenzione o incuria, comportamenti sleali o fraudolenti, errore materiale. 2. Eventi relativi agli strumenti: azione di virus informatici o di programmi suscettibili di recare danno, spamming o tecniche di sabotaggio, malfunzionamento, indisponibilità o degrado degli strumenti, accessi esterni non autorizzati intercettazione di informazioni in rete. 3. Eventi relativi al contesto fisico-ambientale: ingressi non autorizzati a locali/aree ad accesso ristretto, sottrazione di strumenti contenenti dati, eventi distruttivi naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali,...), nonché dolosi, accidentali o dovuti ad incuria e guasto di sistemi complementari (impianto elettrico, climatizzazione, ecc.), errori umani nella gestione della sicurezza fisica. In generale le probabilità che si verifichino tali rischi sono ritenute basse presso l UNICAL, considerando le misure di sicurezza adottate, sia in termini di protezione da attacchi informatici, sia in termini di protezione da intrusioni fisiche presso le strutture dell Università. Molta attenzione viene inoltre rivolta alla manutenzione delle apparecchiature. E chiaro comunque che in una realtà così grande e complessa tali eventi sono certamente possibili. Le conseguenze per i dati trattati dipendono dalla tipologia di evento: eventi di tipo distruttivo (da virus informatici, incendi, etc.) sono contrastati dalle procedure per il ripristino dei dati, così come eventi dovuti a malfunzionamenti di strumenti elettronici. E invece molto difficile azzerare le probabilità di eventi fraudolenti da parte di dipendenti dell Università o esterni, specialmente nel caso di modifiche non distruttive dei dati o di semplici consultazioni non autorizzate. In questi casi le misure di contrasto sono di tipo preventivo ed affidate soprattutto all azione deterrente delle procedure che registrano gli accessi alle banche dati (log). In tal caso infatti la scoperta di trattamenti non autorizzati potrebbe con buona probabilità essere seguita dall individuazione dell autore dell accesso illegale ai dati. Per alcune strutture dell UNICAL alcuni rischi sono ritenuti più probabili e sono quindi descritti in modo più approfondito nelle corrispondenti schede allegate al presente DPS, insieme alle misure specifiche previste per ridurli, con i relativi tempi di attuazione. In particolare, l Area Informatica e Telematica ha effettuato un approfondita analisi dei rischi da attacchi informatici alla rete d ateneo ed ha previsto una serie di contromisure per ridurre efficacemente tali rischi. Il documento prodotto è disponibile insieme al DPS presso l Amministrazione dell UNICAL.
6. Trattamenti effettuati all esterno dell UNICAL Nel caso di trattamenti delegati a soggetti esterni all università, l UNICAL vigila che le misure di sicurezza previste dal presente DPS siano adottate anche da tali soggetti e che essi operino solo i trattamenti per i quali sono stati autorizzati. L UNICAL nomina questi soggetti responsabili di tali trattamenti e contestualmente nomina un responsabile che si occupi specificamente di tale attività di controllo. Attualmente i soggetti esterni che trattano dati di cui è titolare l UNICAL sono i seguenti: A. La C.M.D. Sud s.r.l. per i dati relativi alla sorveglianza sanitaria dei lavoratori dell UNICAL. B. Il consorzio universitario CINECA, per i dati relativi alla gestione degli stipendi dei dipendenti UNICAL. C. L Istituto di Vigilanza La Torpedine per il trattamento dei dati acquisiti attraverso il sistema di Videosorveglianza, meglio descritto nell apposito regolamento. Vi sono poi alcuni trattamenti di dati per i quali il compito dei soggetti esterni non può essere considerato subordinato a quello dell UNICAL, perché essi hanno pari diritto dell UNICAL a decidere in merito alle finalità e modalità con cui tali trattamenti sono effettuati. Tali soggetti esterni sono co-titolari di quei trattamenti di dati. E il caso del Ministero dell'istruzione, dell'università e della Ricerca, che tratta dati relativi agli studenti ed ai docenti dell UNICAL. 7. Interventi Formativi Previsti L UNICAL prevede una serie di interventi formativi per sensibilizzare il personale alle problematiche relative al trattamento dei dati personali. In particolare il portale dell UNICAL contiene due sezioni dedicate alla Privacy, una accessibile a tutti e l altra riservata ai dipendenti. Nel primo sono disponibili le Informative sul trattamento dei dati personali ed i regolamenti per i trattamenti di dati sensibili e giudiziari e per la videosorveglianza. Nel secondo è disponibile la parte generale del DPS, i modelli per le lettere di nomina per responsabili ed incaricati dei trattamenti ed un vademecum che aiuta gli incaricati a verificare se si è in regola con tutte le misure di sicurezza previste dall UNICAL. Sono inoltre previsti degli incontri periodici con i responsabili dei trattamenti per verificare l applicazione del DPS e in generale monitorare le modalità di trattamento dei dati. E compito dei responsabili effettuare degli incontri con gli incaricati prima o subito dopo averne effettuato la nomina, in modo da istruirli su limiti, finalità, modalità e misure di sicurezza dei trattamenti a loro affidati e sul materiale informativo da consultare prima di iniziare i trattamenti. Ad esempio, in sede di prima applicazione del presente DPS, un direttore di dipartimento può svolgere tale funzione nell ambito di un consiglio di dipartimento, ponendo all ordine del giorno il trattamento dei dati personali e presentando il DPS, i trattamenti da affidare nell ambito delle attività del dipartimento ed il relativo materiale informativo.
Strutture Tabella 1 Rettorato - Segreteria Amministrazione Centrale Direzione Amministrativa - Segreteria - Ufficio Controllo di Gestione - Ufficio Nucleo di Valutazione - Ufficio Formazione - Ufficio Prevenzione e Protezione - Ufficio Energy Manager Aree o Area Didattica - Segreteria - Ufficio Attività connesse all Orientamento degli Studenti (Supporto al delegato) - Settore Segreterie Studenti - Settore Ammissione Studente - Poli didattici distaccati - Ufficio Modifiche di Statuto, Corsi di perfezionamento, Scuole di specializzazione, Regolamento didattico - Ufficio Relazioni con il Pubblico - Ufficio Informatico per base dati Studenti - Ufficio Esami di Stato o Area Finanziaria - Segreteria - Settore Ragioneria - Settore Fiscale - Ufficio intersettoriale spese fisse e oneri riflessi - Ufficio intersettoriale per le entrate diverse e coordinamento centri di Spesa o Area Informatica e Telematica - Segreteria - Settore Integrazione Sistemi ed Applicazioni - Settore Telematica ed Infrastrutture o Area Organi Collegiali e Coordinamento - Segreteria - Ufficio Stampa - Ufficio Statistico - Ufficio di supporto ai delegati - Automazione delle Biblioteche - Ufficio Gestione sistema telefonico generale d Ateneo - Settore Affari Generali - Settore Servizi di Coordinamento e di Promozione - Ufficio Servizio per Studenti con Disabilità - Servizio Comunicazione, Orientamento e Promozione dell Immagine
o Area Ricerca Scientifica e Rapporti Comunitari - Segreteria - Settore Ricerca - Settore Relazioni Estere - Ufficio ERASMUS - Ufficio Orientamento Laureati o Area Risorse Umane - Segreteria - Ufficio per le attività connesse allo sviluppo degli organici (Supporto al delegato) - Settore Personale - Settore Stipendi - Ufficio intersettoriale Concorsi - Ufficio intersettoriale Pensioni o Area Attività Negoziali - Segreteria - Ufficio Legale - Ufficio per le attrezzature didattiche e scientifiche (Supporto al delegato) - Settore Appalti e Contratti - Settore Economato e Patrimonio o Area Risorse Mobiliari ed Immobiliari - Segreteria - Ufficio per le attività connesse allo sviluppo delle strutture edilizie e urbanistiche (Supporto al delegato) - Ufficio servizi generali - Ufficio Energy Manager - Settore Nuove Opere - Settore Manutenzione - Settore Progetti e Direzione Lavori Facoltà Facoltà di Economia Facoltà di Farmacia Facoltà di Ingegneria Facoltà di Lettere e Filosofia Facoltà di Scienze Matematiche, Fisiche e Naturali Facoltà di Scienze Politiche a cui fanno capo I Corsi di Laurea I Corsi di Laurea specialistica
Scuole Scuola di Specializzazione per la Formazione degli insegnanti della scuola secondaria (SSIS) Dipartimenti Archeologia e Storia delle Arti Biologia Cellulare Chimica Difesa del Suolo V. Marone Ecologia Economia e Statistica Elettronica Informatica e Sistemistica Farmaco-biologico Filologia Filosofia Fisica Ingegneria Chimica e dei Materiali Linguistica Matematica Meccanica Pianificazione Territoriale Scienze Aziendali Scienze dell Educazione Scienze della Terra Scienze Farmaceutiche Scienze Giuridiche Sociologia e Scienza Politica Storia Strutture a cui fanno capo I Corsi di Dottorato di Ricerca Centri Centri di Servizio Interdipartimentali o Centro Editoriale e Librario o Centro Radio Televisivo o Centro dei servizi linguistici d Ateneo o Laboratorio Statistico-informatico Centri Comuni di servizio o Centro Sportivo o Centro Arti Musica e Spettacolo o Centro Sanitario Centri di sperimentazione e/o documentazione scientifica o Museo di Storia Naturale della Calabria ed Orto Botanico o Women s Studies o C.I.R.D. (Centro interdipartimentale per la ricerca didattica) o C.I.D.D. (Centro interdipartimentale di Documentazione Demoantropologica) o C.I.S.R. (Centro interdipartimentale di Scienze Religiose) o C.S.D.I.M. (Centro servizi didattici informatici e multimediali)
Biblioteche o Biblioteca Area Umanistica E. Fagiani o Biblioteca Area Tecnico-scientifica o Biblioteca Interdipartimentale di Scienze Economiche e Sociali E. Tarantelli Centro Residenziale Direzione Amministrativa - Segreteria Aree o Area Servizi Amministrativi e Assistenziali o Area Servizi Residenziali e Socio-Culturali o Area Finanziaria o Area Servizi Tecnici
Allegato 1 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS): Modello di scheda dettagliata per strutture che trattano dati sensibili o giudiziari <Struttura> UNITA ORGANIZZATIVA RESPONSABILE: <Area, Settore, Ufficio> RESPONSABILE DEL TRATTAMENTO: <Il Preside, Il Direttore, Il Dirigente, Il Responsabile> <Nome Cognome>
ELENCO DEI TRATTAMENTI DI DATI PERSONALI (regola 19.1) Contenuti In questa sezione deve essere inserito l elenco dei trattamenti effettuati dal titolare (Università della Calabria), direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati trattati dalla struttura (facoltà, dipartimento, centro, amministrazione, area, settore, ufficio, funzione, ecc.) interna o esterna che operativamente effettua il trattamento. Nella redazione della lista può essere utile fare riferimento alle informazioni contenute nelle eventuali notificazioni inviate al Garante. Descrizione dei campi (Tabella 1) Identificativo del trattamento (IDT): ogni trattamento è identificato con un numero associato alla sua descrizione per favorire un identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle. Descrizione sintetica del trattamento: citare il trattamento dei dati personali attraverso l indicazione della finalità perseguita o dell attività svolta (es.: fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone interessate, precisamente a cui i dati si riferiscono, (clienti, utenti, dipendenti, collaboratori, fornitori, ecc.) (Vedi anche Tabelle in Allegati). Natura dei dati trattati: indicare se, tra i dati personali, sono presenti dati sensibili o giudiziari. Struttura di riferimento: indicare la organizzazione interna (settore, ufficio, laboratorio, servizio, funzione, ecc.) nella quale viene effettuato il trattamento (es.: settore stipendi, ufficio contratti, sviluppo risorse, controversie sindacali, amministrazione-contabilità, servizio legale). Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere completato, comporta l attività di diverse strutture è opportuno indicare, oltre quella che cura primariamente l attività, le altre principali strutture che concorrono al trattamento anche dall esterno. Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici impiegati (elaboratori o PC anche portatili, collegati o meno in una rete locale, di campo, geografica o Internet; sistemi informatici più complessi).
Tabella 1 - Elenco dei trattamenti: informazioni di base (regola 19.1) (1) IDT n. 1 (2) Descrizione sintetica del trattamento 2 Finalità perseguita o attività svolta Categorie di persone interessate (3) Natura dei dati trattati 3 S G (4) Struttura di riferimento: organizzazione interna (settore, ufficio, laboratorio, ecc.) ove viene realizzato il trattamento 4 (5) Altre Strutture (anche esterne) che concorrono al trattamento 5 (6) Descrizione degli strumenti utilizzati 6 Rende,... Firma Responsabile del trattamento 1 Numero da utilizzare per identificare ciascun trattamento anche nella compilazione delle altre tabelle. 2 Descrivere il trattamento dei dati personali attraverso l indicazione della finalità perseguita ( fornitura di beni e servizi, gestione del personale ) o dell attività svolta e delle categorie di persone interessate (clienti, utenti, dipendenti, fornitori, ecc.). 3 Natura dei dati: S = sensibili (dati personali idonei a rilevare l origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, organizzazioni a carattere religioso, filosofico, politico, stato di salute e vita sessuale); G = giudiziari. 4 Indicare la organizzazione interna di riferimento (settore, ufficio, funzione, servizio, ecc.). 5 Indicare le altre principali strutture che concorrono al trattamento anche dall esterno. 6 Elaboratori, PC, portatili, sistemi informatici più complessi collegati o meno in una rete dati.
Ulteriori elementi per descrivere gli strumenti Descrizione dei campi (Tabella 2) Identificativo del trattamento (IDT): numero identificativo del trattamento inserito nella Tabella 1. Eventuale Banca dati: indicare l eventuale banca dati (ovvero il data base o l archivio informatico), in cui sono contenuti i dati con le relative applicazioni. Uno stesso trattamento può richiedere l utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate. Ubicazione fisica dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente gli strumenti e i supporti di memorizzazione dei dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori su i cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri magnetici, floppy disk, dischi ottici, CD, DVD, DAT, ecc.) ed ogni altro supporto rimovibile. Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: PC, portatili, console di sistema, video terminale, palmare, telefonino Tipologia interconnessione: descrizione sintetica e qualitativa della rete dati che collega i dispositivi d acceso ai dati utilizzati dagli incaricati: rete (cablata o wireless) locale (LAN), rete di campo, rete geografica (WAN) con o senza accesso ai servizi Internet; con architettura Client/Server o Peer to Peer File sharing.
Tabella 2. - Elenco dei trattamenti: descrizione degli strumenti utilizzati (regola 19.1) (1) (2) (3) (4) (5) IDT n. 7 Eventuale banca dati 8 Ubicazione fisica dei supporti di memorizzazione 9 Tipologia di dispositivi di accesso 10 Tipologia di interconnessione 11 Rende,... Firma Responsabile del trattamento 7 Numero identificativo del singolo trattamento, indicato nella Tabella 1 8 Il nome o l identificativo della eventuale banca dati, ovvero del database (es. PROTOCOLLO, FATTURE, ISOIVA, ANAGRAFE, ecc) o dell archivio informatico (documenti Word, fogli elettronici, ecc) in cui sono contenuti i dati che sono trattati. 9 Indicazione del luogo in cui risiedono fisicamente i dati; ovvero il luogo dove si trovano (sede centrale o periferica, terzo fornitore di servizi) gli elaboratori sui cui dischi sono memorizzati i dati; luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) 10 Strumenti utilizzati dagli incaricati: PC, portatili, console di sistema, video terminale, palmare, telefonino, ecc. 11 Rete (cablata o wireless) locale (LAN), rete di campo, rete geografica (WAN) con o senza accesso ai servizi Internet; con architettura Client/Server o Peer to Peer File sharing.
ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (regola 19.3) Contenuti Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico ambientale di riferimento e agli strumenti software ed elettronici utilizzati. Descrizione dei campi (Tabella 3) Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. Indicazione In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi: 1) comportamenti degli operatori: Sottrazione di credenziali di autenticazione Carenza di consapevolezza Disattenzione o incuria Comportamenti sleali o fraudolenti Errore materiale <altro evento> 2) eventi relativi agli strumenti: Azione di virus informatici o di programmi suscettibili di recare danno (trojan horse, worm, backdoor, spyware, ecc) Strumenti sw peer-to-peer (come vettori di virus o altro) Spamming; (in ricezione: vettore di virus o altro; in trasmissione: violazione della privacy altrui) Tecniche di sabotaggio (DOS, DDOS, spoofing, brute force, ecc.) Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Intercettazione di informazioni in rete (sniffing interno ed esterno, port scanning, ecc.) <altro evento> 3) eventi relativi al contesto fisico-ambientale: Ingressi non autorizzati a locali/aree ad accesso ristretto Sottrazione di strumenti o supporti di memorizzazione contenenti dati Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.) Eventi distruttivi dolosi, accidentali o dovuti ad incuria Guasto a sistemi complementari (impianto elettrico, impianto di climatizzazione, impianto anti-incendio, impianto anti-furto, ecc.) <altro evento> Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell evento (anche in termini sintetici: alta/media/bassa).