Documento programmatico sulla sicurezza dell Azienda USL di Modena

Documento programmatico sulla sicurezza dell Azienda USL di Modena L Azienda Usl di Modena adotta il Documento Programmatico sulla Sicurezza nonostante l obbligo sia venuto meno con il d.l. 9 febbraio 2012, n. 5, convertito nella Legge n.35 del 4/04/2012; ritiene infatti opportuno sintetizzare in un unico documento le indicazioni e le strategie poste in essere dal titolare del trattamento in merito alle misure di sicurezza adottate e da adottare. Sommario Documento programmatico sulla sicurezza dell Azienda USL di Modena...1 Sommario...1 Riferimenti documentali...2 Principali riferimenti normativi e comunicazioni aziendali con riferimento alla sicurezza e al buon uso delle attrezzature informatiche e di comunicazione...2 Oggetto e scopo del documento...4 La valutazione del rischio...5 Analisi del rischio...5 Politiche di sicurezza e gestione del rischio...5 Nomina dei responsabili del trattamento e autorizzazione agli applicativi informatici...6 Nomina dei responsabili...6 Autorizzazione all accesso agli applicativi aziendali...6 Tutela fisica degli apparati...8 Sicurezza logica...11 Misure minime di sicurezza...11 Misure ulteriori di sicurezza...13 Misure di contenimento del rischio...15 Procedure di continuità ed emergenza e recupero da disastro...16 Regole di buon uso del sistema informatico aziendale...16 Crimine informatico e tutela del diritto d autore...16 Tutela del diritto d autore...16 I virus Informatici malicious code -...17 La gestione dei documenti informatizzati...17 Caratteristiche della PKI utilizzata e relative procedure organizzative...17 Caratteristiche di sicurezza delle stazioni di lavoro dalle quali operare la firma dei documenti informatici e/o la verifica e/o la marcatura temporale...18 Amministratori di sistema...18 Formazione e informazione sulla sicurezza informatica...19 Percorso formativo aziendale in materia di protezione dei dati personali...19 Sicurezza degli archivi cartacei - Analisi dei rischi che incombono sui dati trattati con mezzi non automatizzati e misure da adottare...21 Verifiche e Controlli...22 Criteri da adottare in caso di trattamenti affidati all esterno della struttura aziendale...23 Adempimenti relativi ai fornitori di servizi di manutenzione ad attrezzature ed applicativi informatici...24 1

Il nuovo sistema informativo ospedaliero dell Azienda...25 Appendice 1 Adempimenti delle varie articolazioni aziendali...25 Riferimenti documentali Titolo del Documento Documento programmatico sulla sicurezza Numero di versione 7.0 Data ultimo aggiornamento Marzo 2013 Stato del documento Pubblicato Estensori del documento Servizio Informativo Aziendale e Ufficio Privacy Riferimento per comunicazioni Per comunicazioni fare riferimento alle locali sedi del in merito al documento Servizio Informativo Aziendale Modalità di distribuzione del ON LINE intranet aziendale - presente documento e delle eventuali nuove versioni Principali riferimenti normativi e comunicazioni aziendali con riferimento alla sicurezza e al buon uso delle attrezzature informatiche e di comunicazione Visto il d.l. 196/2003 (si riporta il testo aggiornato con le modifiche introdotte dalla Legge n. 35/2012; le parti oggetto di modificazione/soppressione sono riportate in corsivo) in particolare: Titolo III Regole generali per il trattamento dati -, capo II regole ulteriori per i soggetti pubblici Art. 22, comma 6 I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. Titolo V Sicurezza dei dati e dei sistemi -, capo II misure minime di sicurezza -, Art. 31 (Obblighi di sicurezza) 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 33 (Misure minime) 1. Nel quadro dei più generali obblighi di sicurezza di cui all articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. 2

Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; (soppresso) h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1-bis. (1) Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell' articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.(soppresso) 1-ter. (1) Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. Visti anche il punto 19 e i relativi sottopunti dell allegato B del d.l. 196/2003 3

Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati; 19.3. l analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all esterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell interessato. (soppresso) Nella stesura del documento sono stati considerati i principali riferimenti normativi vigenti in materia relativamente a: Protezione dei dati personali Codice della Amministrazione Digitale relativamente a documenti informatici, misure di disaster recovery e business continuity Crimine informatico Tutela del diritto d autore Tenuta del protocollo informatizzato e gestione documentale Uso dei supporti ottici Oggetto e scopo del documento Come autorevolmente affermato dall AIPA (Autorità per l Informatica nella Pubblica Amministrazione, oggi Agenzia per l Italia digitale) la sicurezza del Sistema Informativo Automatizzato non dipende solo da aspetti tecnici, ma anche se non principalmente, da quelli organizzativi, sociali e legali 1. L Azienda coglie l occasione dell adozione del documento programmatico sulla sicurezza per: formalizzare, razionalizzare e finalizzare le strategie aziendali in materia di sicurezza; 1 AIPA, Linee guida per la definizione di un piano per la sicurezza dei sistemi informativi automatizzati nella pubblica amministrazione, gruppo di lavoro AIPA-ANASIN-ASSINFORM-ASSINTEL 4

definire opportune strategie per l informazione e la formazione degli utenti aziendali sugli aspetti di sicurezza. La valutazione del rischio Analisi del rischio Relativamente alla analisi del rischio si rimanda ai documenti aziendali in materia di LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del comma 3, lettera b) dell art. 50-bis del DLgs. N. 82/2005 e s.m.i.. Politiche di sicurezza e gestione del rischio Obiettivi della politica di sicurezza della Azienda Gli obiettivi di sicurezza che l Azienda si pone con la redazione del seguente documento e con l attuazione delle misure di sicurezza previste sono: 1. per tutti i dati assoggettati al Decreto Legislativo 196 del 2003, dare attuazione a quanto previsto dall art. 31 laddove dice che I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 1. dare attuazione a quanto previsto dall allegato B del D.L. 196/2003; 2. dare attuazione a misure di sicurezza ulteriori rispetto a quelle previste dal D.L. 196/2003 che l azienda ritenga opportune e necessarie nell ottica del perseguimento degli obiettivi istituzionalmente attribuiti; 3. ridurre a livelli ritenuti accettabili i principali rischi di sicurezza a cui il sistema informativo aziendale è sottoposto; 4. mantenere, compatibilmente con i vincoli di sicurezza sopra enunciati, il massimo livello di usabilità del sistema. Misure per il perseguimento degli obiettivi di sicurezza individuati Gli obiettivi di sicurezza sono raggiungibili mediante la predisposizione delle seguenti misure: nomina dei responsabili del trattamento e degli incaricati del trattamento; attuazione delle misure di tutela fisica degli apparati; attuazione delle misure di sicurezza logica degli apparati; definizione delle procedure di continuità ed emergenza; definizione delle misure di recupero da disastro; definizione di regole di buon uso del sistema informativo aziendale; attuazione delle misure di contenimento dei virus informatici; attuazione delle misure organizzative e tecniche per la gestione dei documenti informatici; attuazione delle misure di informazione e formazione del personale aziendale sugli aspetti di sicurezza informatica; attuazione delle misure di informazione e formazione del personale aziendale sugli aspetti generali della normativa in materia di protezione dei dati personali; 5

misure di sicurezza relative alla salvaguardia delle informazioni detenute su supporto cartaceo; che di seguito vengono dettagliate. Nomina dei responsabili del trattamento e autorizzazione agli applicativi informatici Nomina dei responsabili L art. 4 del D.L. 196/2003 definisce f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; h) incaricati, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) "interessato", la persona fisica cui si riferiscono i dati personali; Al titolare e ai responsabili qualora nominati, compete la definizione del profilo di sicurezza del sistema informativo aziendale e la messa in atto delle idonee misure di attuazione - ai sensi di quanto previsto dagli artt. 28 e 29, comma 2, D. L.vo 196/2003 -. Si richiamano qui gli atti aziendali che il titolare ha adottato per la nomina formale dei responsabili del trattamento: deliberazione n. 19 del 11/02/2003 Adozione del regolamento aziendale per l applicazione della normativa di cui alla Legge 675/96 e successive modificazioni e integrazioni e nomina dei responsabili del trattamento dei dati personali ; deliberazione n. 242 del 13/12/2005 Nomina dei responsabili del trattamento dei dati personali ; nota prot. n. 2/P10 del 13/01/2006 del Servizio Coordinamento Attività Amministrative avente ad oggetto Comunicazione di nomina a Responsabile del trattamento di dati personali ; deliberazione n. 52 del 31/03/2009 Nomina dei responsabili del trattamento dei dati Nuova procedura nota prot. 44734/PG del 13.06.2011 del Direttore Generale Nomina dei responsabili del trattamento dei dati nota prot. 63793/PG del 29.08.2011 del Direttore Generale Istruzioni ai Responsabili del trattamento dei dati nota prot. 12765/ PG del 18.02.2013 del Direttore Generale Nomina dei responsabili del trattamento dei dati conferma nomine con atti individuali/collettivi Autorizzazione all accesso agli applicativi aziendali Secondo quanto prescritto dall allegato B del D.L. 196/2003 6

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all inizio del trattamento, in modo da limitare l accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Allo scopo di dare attuazione a quanto sopra richiamato occorre che i responsabili del trattamento per tutti quei trattamenti per i quali un responsabile sia stato individuato o il titolare per tutti quei trattamenti per i quali un responsabile non sia stato nominato richiedano al Servizio Informativo Aziendale l assegnazione di autorizzazioni di utilizzo delle procedure informatiche aziendali, affinché il SIA Servizio Informativo Aziendale - possa attuare le dovute configurazioni tecniche sui sistemi, tali da dare attuazione e cogenza alle dette disposizioni. Allo scopo di rendere possibile ciò: il SIA Servizio Informativo Aziendale - mette a disposizione l opportuna modulistica per la CONCESSIONE/REVOCA/MODIFICA delle abilitazioni applicative sulla intranet aziendale; il Servizio Informativo Aziendale conserva con la dovuta cura tali richieste nel caso le dichiarazioni siano cartacee; nel caso invece la dichiarazioni siano rese informaticamente i sistemi attraverso i quali avviene la detta dichiarazione sono tutelati da opportune misure di sicurezza -. In ragione annuale viene consegnato al responsabile del trattamento un riepilogo delle abilitazioni facenti capo agli incaricati di propria pertinenza. Il responsabile del trattamento, nel caso verifichi incongruenze fra le abilitazioni assegnate e le condizioni che determinano la concessione delle abilitazioni applicative vigenti, dovrà prontamente segnalarlo al SIA, Servizio Informativo Aziendale per le rettifiche del caso. Gli elenchi delle richieste di abilitazioni e le vigenti abilitazioni applicative potranno essere comunque sempre confrontati, dagli aventi diritto, nella seguente modalità: inoltro di una richiesta in tal senso ad uno qualsiasi degli uffici SIA competenti per ambito territoriale. Al fine di gestire la concessione e revoca delle abilitazioni applicative è opportuno suddividere gli incaricati in tre diverse tipologie: 1. dipendenti a tempo indeterminato; 2. dipendenti a tempo determinato e/o frequentatori, collaboratori, dipendenti di altre aziende che hanno accesso al sistema informativo dell azienda USL per un tempo definito, ecc 3. altri incaricati che hanno accesso al sistema informativo dell azienda USL per fini manutentivi o di gestione tecnica. Le differenze fra le tre categorie di incaricati sono: i dipendenti a tempo indeterminato sono gestiti dal servizio personale all interno della procedura di gestione personale; il SIA mutua gli estremi identificativi della persona, la data di entrata in servizio e la data di fine servizio dai dati inseriti nella procedura di gestione del personale; nel caso di mancato utilizzo del sistema per periodi superiori ai 6 mesi verrà disabilitato l accesso; i dipendenti a tempo determinato e le categorie di incaricati a questi assimilati, vengono inseriti nella procedura di gestione del personale ed è nota a priori la data di 7

scadenza del rapporto dell incaricato con l Azienda USL; saranno assimilabili a questa categoria anche quegli incaricati per il quali non sia possibile determinare a priori una data di scadenza del diritto a fruire del sistema informativo e ai quali il SIA abbia assegnato una data presunta di cessazione dell abilitazione ad un anno; nel caso non venga data conferma del mantenimento del diritto a fruire del sistema informativo, alla scadenza dell anno le abilitazioni saranno automaticamente sospese; nel caso di mancato utilizzo del sistema per periodi superiori ai 6 mesi verrà disabilitato l accesso; la terza tipologia di utenti è assimilabile alla seconda dipendenti a tempo determinato eccezione fatta per il fatto che NON saranno disattivati gli utenti anche se essi non faranno accesso al sistema per un tempo superiore ai sei mesi; tale misura è giustificata dal fatto che tipicamente gli incaricati appartenenti a questa categoria accedono al sistema per fini manutentivi o di gestione tecnica dei sistemi, per cui possono non accedere anche per lunghi periodi nel caso non sia richiesto il loro intervento. Per quanto attiene alla tipologia (1) e (2) di incaricati la concessione delle prime credenziali di accesso sarà a cura del servizio personale. Per quanto attiene alla tipologia (3) di incaricati la concessione delle prime credenziali di accesso sarà a cura del SIA - Servizio Informativo Aziendale. Tutela fisica degli apparati Relativamente alla tutela fisica degli apparati e alle politiche di backup valgono le considerazioni di seguito riportate in attesa che queste tematiche vengano sostituite da quanto previsto dalle LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del comma 3, lettera b) dell art. 50-bis del DLgs. N. 82/2005 e s.m.i.. Collocazione dei server e degli apparati di rete Tutti gli apparati di categoria server apparati di elaborazione multiutente - sono collocati in locali che presentano le seguenti caratteristiche di tutela: locali chiusi ad accesso controllato: l accesso ai locali nei quali siano ospitati i sistemi di elaborazione o i sistemi di comunicazione è interdetto a chiunque, fatta eccezione per il personale autorizzato. Se eventualmente si rendesse necessario l accesso a detti locali da parte di personale non autorizzato - per es. da parte di tecnici della manutenzione di ditte fornitrici, ecc -, i visitatori saranno opportunamente identificati e accompagnati durante tutta la loro permanenza in detti locali da personale autorizzato. Deroghe a tale regola potranno essere concesse solo dietro precisa motivazione e andranno comunque segnalate ai responsabili della gestione dei server. Una deroga che qualche volta è indispensabile adottare consiste nel fatto che il locale può essere ad accesso non esclusivo da parte del personale SIA, ma può essere condiviso con altri servizi tecnici, ad esempio Ingegneria Clinica, Servizio Attività Tecniche, o altri. locali dotati di alimentazione elettrica tutelata: viene garantita la presenza di gruppo di continuità in grado di fungere da backup per brevi interruzioni di energia elettrica. Nel caso non sia possibile porre sotto gruppo di continuità l alimentazione dell intero locale, potranno essere utilizzati gruppi di continuità singoli per singole macchine; NOTA BENE: il gruppo di continuità o UPS dovrà essere predisposto anche nel caso il locale o l intero 8

fabbricato sia servito da un gruppo elettrogeno è infatti noto che il gruppo elettrogeno ha dei tempi di attivazione dell ordine dei 10/15 secondi che non sono compatibili con le esigenze dei sistemi di elaborazione dati e di comunicazione -; la presenza del gruppo elettrogeno potrà comunque essere tenuta presenta nel dimensionamento del gruppo di continuità che potrà essere pensato per tamponare solo il breve intervallo di tempo intercorrente fra la caduta della alimentazione di rete e l entrata in funzione del gruppo elettrogeno; locali dotati di opportuno condizionamento: i locali devono possedere condizioni idonee di microclima - in termini di temperatura, polverosità, umidità - e nel caso questo non sia garantibile attraverso misure passive, andranno predisposte le adeguate misure attive di condizionamento; Tutti gli apparati attivi di rete andranno collocati in armadi chiusi e, ove ciò sia possibile, che siano garantiti valori corretti di temperatura, di polverosità e di umidità. È responsabile di una adeguata collocazione degli apparati il Servizio Informativo Aziendale. In quei casi in cui non siano rispettati i suddetti requisiti, il SIA dovrà notificare la cosa alla direzione aziendale per attivare gli opportuni percorsi di adeguamento compatibilmente con i vincoli e le priorità aziendali. Caratteristiche hardware dei server Tutti i sistemi di elaborazione di categoria server in uso in azienda non importa se di proprietà, o a qualsiasi altro titolo detenuti e di cui si abbia la responsabilità devono avere almeno le seguenti caratteristiche: per quanto possibile vengono privilegiate configurazioni hardware dei server ridondanti che garantiscano la continuità di servizio - per es. doppio alimentatore in configurazione ridondante, configurazione di server in cluster con funzionalità di Mutual Take Over o similari, doppia scheda di rete al fine di creare macchine Multi Homed in grado di poter resistere a guasti singoli sulla scheda di rete, ecc -. tutte le aree di memoria su disco magnetico destinate a contenere i dati devono essere tutelate da misure di ridondanza - con tecniche almeno di mirroring, preferibilmente RAID - ; ogni server dovrà possedere un dispositivo di backup di adeguate dimensioni e velocità - unità di backup -, nel caso l azienda disponga di sistemi di backup centralizzato, tale informazione andrà dettagliata nella scheda che accompagna i server aziendali di ogni server viene conservata USERID e PASSWORD del super utente per manovre di emergenza sull elaboratore nella cassaforte del servizio Provveditorato. Le indicazioni sopra riportate rappresentano una situazione ottimale da perseguire nel minor lasso di tempo possibile rispetto alla situazione attuale che prevede ancora alcune situazioni in condizioni di minore tutela -, compatibilmente con le risorse a disposizione e compatibilmente con gli obiettivi prioritari dell azienda. È responsabile della messa in atto e della gestione delle opportune tutele hardware dei server il Servizio Informativo Aziendale. Politiche di gestione dei Backup 9

Al fine di tutelare adeguatamente i dati gestiti nei vari sistemi di elaborazione viene tenuto aggiornato un piano di backup dei dati gestiti e delle configurazioni delle apparecchiature al fine di rendere attuale una efficace politica di disaster recovery. A tal fine si dispone quanto segue: la politica di backup viene conservata per iscritto presso l ufficio reti del SIA di Modena, su tale documento dovrà anche essere precisato dove vengono conservati i supporti magnetici contenenti i salvataggi; nel documento illustrante la politica di backup vengono indicate le modalità con cui viene tenuta traccia informatica o cartacea - dei risultati delle procedure di salvataggio; nel documento illustrante la politica di backup vengono indicati i luoghi dove sono conservati i supporti fisici contenenti i backup. È responsabile della formulazione di adeguate politiche di backup il Servizio Informativo Aziendale. Sono responsabili della attuazione dei passi previsti dalle politiche di backup i vari incaricati di tali mansioni. Politiche di gestione dei guasti Per tutti i trattamenti che occorre tutelare da minacce alla disponibilità si veda a questo proposito l elenco di cui all Allegato Elenco delle funzionalità applicative suddivise per ambito si adottano le seguenti misure. Trattamenti per i quali il guasto bloccante è altamente probabile: server: predisposizione di contratti di manutenzione che garantiscano tempi di intervento compatibili con la velocità di ripristino necessaria, o server muletto; client: predisposizione a priori di stazioni di lavoro alternative e di stazioni muletto da usare al bisogno; rete di comunicazione locale e geografica: tutte le linee che sono funzionali all utilizzo di trattamenti che occorre tutelare da guasti bloccanti devono avere un adeguato backup, gli apparati di rete locale devono essere coperti da contratti di manutenzione che garantiscano un tempo di ripristino adeguato; Trattamenti per i quali il guasto bloccante è mediamente probabile o poco probabile: server: predisposizione di contratti di manutenzione che garantiscano tempi di intervento compatibili con la velocità di ripristino necessaria; client: ripristino nei due giorni lavorativi successivi; rete di comunicazione locale e geografica: gli apparati di rete locale devono essere coperti da contratti di manutenzione che garantiscano un tempo di ripristino adeguato, in ogni caso saranno garantiti tempi di ripristino maggiori rispetto al caso precedente; È responsabile della formulazione di adeguate politiche di gestione dei guasti il Servizio Informativo Aziendale. Sono responsabili della attuazione dei passi previsti dalle politiche di gestione dei guasti i vari incaricati di tali mansioni. 10

Sicurezza logica Misure minime di sicurezza Il trattamento di dati personali è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Le credenziali di autenticazione consistono in un codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo. Con l introduzione del nuovo Sistema Informativo Ospedaliero SIO si è inaugurata una modalità aggiuntiva di autenticazione dell utente basata su SMARTCARD: secondo questa modalità un utente inserisce la propria SMARTCARD nella stazione di lavoro e si autentica digitando il PIN di autenticazione. Tale modalità di connessione al dominio windows non è sostitutiva, ma aggiuntiva rispetto alla modalità tradizionale basata su nome di utente e password. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l autenticazione. Agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato. (D.L. 196/2003 Allegato B, punti 1, 2,3,4) Il codice per l identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Pertanto si dispone che ogni utente definito non venga più cancellato, ma disabilitato nel caso cessi di essere in uso, in maniera tale da evitarne il riutilizzo (D.L. 196/2003 Allegato B, punti 6) La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all incaricato ed è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Qualora il sistema operativo dell elaboratore su cui risiede l applicativo lo consenta, è abilitato il cambio password, che l incaricato potrà autonomamente effettuare in un qualsiasi momento successivo al primo accesso, e in ogni altro momento successivo; per quei sistemi operativi per i quali non sia disponibile tale modalità di cambio password, o non sia comunque abilitabile per ragioni tecniche l incaricato potrà avvalersi della consulenza del personale del Servizio Informativo Aziendale per individuare la modalità tecnico/organizzativa più idonea allo scopo (D.L. 196/2003 Allegato B, punti 5). Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all incaricato l accesso ai dati personali. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Quando l accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti 11

incaricati della loro custodia, i quali devono informare tempestivamente l incaricato dell intervento effettuato. (D.L. 196/2003 Allegato B, punti 7,8,9,10) Sistema di autorizzazione Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all inizio del trattamento, in modo da limitare l accesso ai soli dati necessari per effettuare le operazioni di trattamento. NOTA BENE: per dettagli al riguardo si veda la Sezione dedicata alla individuazione degli incaricati del trattamento. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. (D.L. 196/2003 Allegato B, punti 12, 13, 14) Altre misure di sicurezza. Nell ambito dell aggiornamento periodico con cadenza almeno annuale dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. I dati personali sono protetti contro il rischio di intrusione da programmi di cui all art. 615- quinquies del codice penale, mediante l attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. I dati sensibili o giudiziari sono protetti contro l accesso abusivo, di cui all art. 615-ter del codice penale, mediante l utilizzo di idonei strumenti elettronici. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. (D.L. 196/2003 Allegato B, punti 15, 16, 20, 17, 18) Il reimpiego dei supporti di memorizzazione è vietato qualora siano serviti per la memorizzazione di dati personali o sensibili; si veda a questo proposito la Sezione relativa al buon uso del sistema informativo e di comunicazione. È inoltre genericamente vietato l utilizzo di supporti di memorizzazione rimovibili per lo scambio di dati sensibili (D.L. 196/2003 Allegato B, punti 21 e 22) Fanno eccezione a questa politica i supporti di memorizzazione impiegati per i backup dei server, che vengono ciclicamente reimpiegati, fino al momenti in cui diventano inservibili e vengono fisicamente distrutti. Per quanto attiene agli adempimenti relativi a quanto prescritto nell art. 22 comma 6: tutti i nuovi applicativi che vengono acquisiti dall Azienda destinati a trattare dati sensibili devono essere conformi almeno ai requisiti minimi; così come tutte le installazioni che vengono effettuate devono essere condotte nel rispetto della vigente normativa; il meccanismo di sicurezza che di norma viene utilizzato dai fornitori di soluzioni applicative è la separazione fra dati anagrafici e dati sensibili, in tutti quei casi in cui ciò sia materialmente e tecnicamente possibile; si rimanda comunque alle dichiarazioni dei fornitori al riguardo; l architettura del sistema informativo aziendale viene progettata e realizzata per far sì che un utente del sistema informativo aziendale non possa, con le proprie credenziali applicative, accedere direttamente ai dati contenuti nelle banche dati aggirando i vincoli applicativi; esistono eccezioni a questa regola generale, ad esempio gli amministratori delle banche dati comunemente chiamati Data Base Administrator o DBA possono accedere, al bisogno, alle banche dati in chiaro essendo propria della loro mansione la ricerca dei guasti e il controllo a basso livello delle funzionalità applicative; 12

comunque sui database server sono attivate le funzionalità di tracciatura degli accessi, pertanto chiunque acceda alla banca dati deve poter giustificare il prorio operato in base a logiche di necessità ed essenzialità; per quanto tecnicamente possibile i percorsi dei dati in rete sono mantenuti localizzati su tratti di rete ad accesso controllato, in maniera tale da minimizzare i pericoli di intercettazione delle informazioni; per poter gestire l erogazione delle prestazioni sanitarie ai vari pazienti si è realizzato un sistema di gestione dei precedenti sanitari chiamato repository; essendo di fatto impossibile limitare a priori l accesso alle informazioni del repository da parte dei professionisti, potendo essere molto vari i tipi di contatti del paziente con le strutture sanitarie e quindi molto vario il bisogno informativo dei professionisti rispetto allo stato di salute dei pazienti in cura, si ritiene che l unica modalità per garantire il buon uso delle informazioni in esso contenute sia sensibilizzare tutti gli utenti aziendali ad un utilizzo corretto e in linea con la vigente normativa di tali informazioni. È responsabile della formulazione di opportune politiche di gestione dei sistemi di elaborazione che garantiscano il rispetto delle misure minime di sicurezza e della attuazione delle misure attuative, per la parte di competenza il Servizio Informativo Aziendale. Misure ulteriori di sicurezza Architettura di sicurezza In questa Sezione vengono illustrate le misure di sicurezza che esulano da quelle minime richieste cioè dal D.L. 196/2003 Allegato B -. In particolare dall analisi delle funzionalità maggiormente a rischio si evince che: la maggior parte delle utenze è collocata entro il confine aziendale e fruisce di servizi applicativi localizzati entro il confine aziendale; esistono alcune utenze collocate fuori dal confine aziendale che accedono a funzionalità applicative gestite all interno del confine o comunque fornite da server che rientrano fra quelli di competenza dell azienda - : o alcuni di questi utenti utilizzano internet per accedere ai servizi aziendali; o altri utenti non hanno possibilità di utilizzare internet e devono pertanto utilizzare la rete telefonica pubblica commutata per accedere ai servizi aziendali; L architettura che offre il miglior rapporto fra minimizzazione dei i rischi complessivi del sistema e costi di realizzazione e gestione è del tipo seguente: 13

aggiungendo anche una breve descrizione dei più importanti blocchi funzionali: Firewall; RAS Server e VPN gateway: sono dispositivi che permettono l accesso controllato alla rete interna dall esterno; Rete esterna o Internet con la doppia veste di mezzo di comunicazione per gli utenti aziendali che accedono in VPN e insieme di risorse accedute dai client posti nella intranet aziendale -; Rete interna o Intranet sede della maggior parte dei client aziendale e dei server che erogano la maggior parte delle funzionalità applicative -; DMZ sede di alcuni sistemi che devono essere visibili in internet, ma svolgono anche servizi applicativi aziendali-; L architettura individuata si basa sui seguenti criteri: avere un confine aziendale ben definito con pochi, e molto ben individuati, punti di attraversamento presidiati da dispositivi facilmente controllabili, gestibili e monitorabili; avere una zona la DMZ con caratteristiche di sicurezza intermedia fra l esterno e l interno in cui porre tutti quegli elaboratori che pur facendo parte dei server che svolgono servizi applicativi per i client della intranet debbano in qualche modo essere visibili dalla rete internet; avere un piano di numerazione di rete interno non pubblico, ma convertito con tecniche NAT Network Address Translation per aumentare il livello complessivo di sicurezza; L attuazione delle misure tecniche che conducono alla realizzazione di una tale infrastruttura è di competenza del Servizio Informativo Aziendale. Così come la successiva gestione di tale infrastruttura. Dato che all interno della rete aziendale vengono gestite anche diverse 14

attrezzature che appartengono alla categoria dei dispositivi medici è stata creata una cosiddetta unità organizzativa Organizational Unit all interno del Dominio i cui pieni diritti amministrativi sono stati concessi al Servizio Ingegneria Clinica. Il servizio Ingegneria Clinica ha la piena responsabilità della gestione di tale Organizational Unit e delle attrezzature in essa contenute. Le politiche di sicurezza descritte per le attrezzature informatiche possono essere anche diverse dalle politiche di sicurezza a cui soggiacciono i dispositivi medici che sono assoggettati ad una specifica normativa. La sicurezza dei servizi dell azienda affacciati in internet è verificata con periodici test da parte di terze parti servizi di penetration test e vulnerability assessment -, le cui relazioni conclusive vengono tenute agli atti. Misure di contenimento del rischio Salvaguardia delle funzionalità di sicurezza Si sceglie innanzitutto di mettere in atto tutte quelle misure che tendono a salvaguardare l impianto di sicurezza del sistema quindi si adottano le seguenti misure: vengono adottate le migliori tecniche di tutela del Firewall, del RAS server e del VPNgateway che devono essere configurati e gestiti da personale professionalmente competente; si configurano nella maniera più sicura possibile tutti i server che hanno un ruolo nel processo di autenticazione dell utente; vengono adottate analoghe tutele anche per i sistemi di elaborazione dedicati al backup dei dati; tutte le sessioni di amministrazione di sistema e di concessione/revoca/modifica di abilitazioni applicative che non si svolgano in locale sul server devono essere rese immuni da azioni di intercettazione sulla rete e di fraudolenta impersonificazione. le password di amministrazione, devono avere almeno una lunghezza di 8 caratteri, con possibilità di inserire sia maiuscole che minuscole e segni di punteggiatura. L insieme di misure sopra descritte tende a minimizzare le minacce di: disponibilità di servizio relativamente alle funzionalità di sicurezza -; intercettazione sulla rete e modifica relativamente alle funzionalità di sicurezza -; fraudolenta impersonificazione relativamente alle funzionalità di sicurezza -; Salvaguardia delle funzionalità applicative Si adottano le seguenti misure di salvaguardia: le autenticazioni sono effettuate in maniera sicura senza che la password viaggi in chiaro sulla rete o che in rete viaggino informazioni che possano essere utilizzate per una fraudolenta impersonificazione -; si configurano nella maniera più sicura possibile tutti i server che forniscono funzionalità applicative, minimizzando il numero di funzionalità in uso su di essi e adottando tutte le opportune tecniche di irrobustimento; vengono adottate le necessarie misure di irrobustimento applicativo; le password applicative, devono avere almeno una lunghezza di otto caratteri, con possibilità di inserire sia maiuscole che minuscole e segni di punteggiatura, hanno una scadenza imposta massima di 3 mesi e non possono essere ripetute uguali alle ultime tre precedenti. 15

L insieme di misure sopra descritte tende a minimizzare le minacce di: disponibilità di servizio relativamente alle funzionalità applicative -; fraudolenta impersonificazione relativamente alle funzionalità applicative -. Non vengono sistematicamente gestite almeno all interno del confine aziendale misure tese a prevenire l intercettazione e la modifica delle comunicazioni applicative considerando tali minacce poco rilevanti. Invece nel caso di comunicazioni che attraversano il confine aziendale sono adeguatamente tutelate anche questi aspetti adottando opportune tecniche di crittografia di canale. L attuazione delle misure tecniche sopra descritte sono di competenza del Servizio Informativo Aziendale. Procedure di continuità ed emergenza e recupero da disastro Relativamente alle procedure di continuità ed emergenza e recupero da disastro si rimanda ai documenti aziendali in materia di LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del comma 3, lettera b) dell art. 50-bis del DLgs. N. 82/2005 e s.m.i.. Regole di buon uso del sistema informatico aziendale Nei paragrafi seguenti vengono richiamate alcune indicazioni di buona gestione del sistema informativo aziendale e delle attrezzature aziendali. Le indicazioni riportate devono essere integrate da quanto riportato nell allegato denominato Disciplinare sull utilizzo degli strumenti informatici e di comunicazione aziendali. Quanto riportato in appendice informa gli incaricati e fornisce indicazioni cogenti in ottemperanza a quanto prescritto dal Garante per la Protezione dei Dati Personali con deliberazione n.13 del 01/03/2007 Lavoro: le linee guida del Garante per posta elettronica ed Internet. Il suddetto disciplinare viene emanato ai sensi di quanto previsto al punto 3.2 del detto provvedimento. Crimine informatico e tutela del diritto d autore È compito del SIA informare il personale aziendale al buon uso del sistema informatico e telematico aziendale, al fine di prevenire il crimine informatico ad ogni corso di formazione sull utilizzo di applicativi in uso in azienda il discente viene sistematicamente informato sulla normativa relativa al crimine informatico. Gli appartenenti al SIA sono informati su quanto prevede la vigente normativa in materia di crimine informatico legge n. 547 del 23/12/1993 -. Tutela del diritto d autore Il Servizio Informativo Aziendale, qualora tecnicamente possibile predispone copie di riserva dei programmi dotati di regolare licenza allo scopo di prevenire accidentali perdite dell'originale e quindi danni patrimoniali all'azienda. Tale copia di riserva potrà essere usata soltanto per ripristinare le funzionalità del programma, quando non sia possibile utilizzare il programma originale. 16

I virus Informatici malicious code - Al fine di prevenire le infezioni virali si adottano le seguenti misure: 1. si dotano tutte le attrezzature di confine di un adeguato software antivirale e si stabilisce l aggiornamento delle firme almeno in ragione giornaliera. 2. si dota di software antivirale ogni nuovo client acquistato - e si predispongono adeguati meccanismi per mantenere tale software aggiornato. 3. ogni stazione di lavoro personale dotata di memorie di massa removibili lettore di floppy disk e similari che abbia strumenti di produttività personale e che mantenga documenti in locale, o che abbia configurato un client di posta elettronica deve essere dotata di software antivirale; 4. per quanto possibile si dovranno configurare i profili abilitativi di tutti gli utenti aziendali con privilegi che non consentano l installazione o l esecuzione di programmi non autorizzati sia sulle macchine client che sui server 5. per quanto organizzativamente possibile ed appropriato, dovranno essere disabilitate sui server le funzionalità di editor e di file transfer. Almeno in ragione mensile si effettua una ricognizione sul livello di aggiornamento del software presente sulle attrezzature di confine e sui server al fine di verificare se sia necessaria l installazione di eventuali FIX e/o effettuare modifiche di configurazione al fine di aumentare il grado di sicurezza delle stesse: la valutazione se operare o meno delle modifiche alle configurazioni o degli aggiornamenti software andrà fatta ogni volta valutando costi e benefici di dette operazioni. La gestione dei documenti informatizzati Si intende per documento informatico la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (DLgs. N. 82/2005 e s.m.i.). Ai sensi dell art. 8 del DPR 28 dicembre 2000, n.445, Testo unico delle disposizioni legislative e regolamenti in materia di documentazione amministrativa i documenti informatici sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del DPR stesso. Tutti i documenti informatici gestiti in azienda, in particolare le tipologie di documenti di seguito elencate: o documenti firmati con firma elettronica a valore legale con certificato emesso da InfoCamere sono conformi alle disposizioni del DPR 445 del 28 dicembre 2000. Di seguito vengono fornite alcune informazioni sulla architettura di sicurezza a supporto delle gestioni dei documenti informatici. Caratteristiche della PKI utilizzata e relative procedure organizzative Le CA utilizzate in Azienda sono InfoCamere; Actalis per quanto riguarda le smartcard fornite dal CUP2000 in relazione a progetti regionali. 17

Per quanto attiene alle procedure organizzative per il rilascio/la rettifica/il ritiro di un dispositivo di firma si fa riferimento alle procedure delle CA. Effettuazione della firma dei documenti informatici L effettuazione della firma dei documenti informatici avviene avvalendosi delle funzionalità di firma messe a disposizione dalle CA, oppure di funzionalità applicative messe a disposizione dai fornitori degli applicativi in uso nell azienda sanitaria. Modalità di effettuazione della verifica delle firme L effettuazione della verifica dei documenti informatici firmati con dispositivo di firma e certificato emesso da InfoCamere può avvenire con il software distribuito da Infocamere presente su tutte le stazioni di lavoro dei nuovi ospedali della provincia o attraverso il software applicativo in uso in Azienda. Caratteristiche di sicurezza delle stazioni di lavoro dalle quali operare la firma dei documenti informatici e/o la verifica e/o la marcatura temporale Caratteristiche di sicurezza delle stazioni di lavoro utilizzate per la firma dei documenti informatici Le stazioni di lavoro su cui viene effettuata la firma sono collegate al dominio di sicurezza aziendale e rispondenti a criteri di sicurezza ritenuti adeguati. Caratteristiche di sicurezza delle stazioni di lavoro utilizzate per la verifica della firma dei documenti informatici: 1. la verifica dei documenti firmati nell ambito del SIO Sistema Informativo Ospedaliero avviene su stazioni dell azienda che soggiacciano a precise politiche di sicurezza; Caratteristiche del servizio di marcatura temporale Non si utilizza la marcatura temporale. Amministratori di sistema In ottemperanza a quanto previsto dal provvedimento del Garante per la Protezione dei Dati Personali denominato Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) nell allegato denominato Amministratori di sistema si elencano tutti coloro che vengono incaricati di questo ruolo dal titolare. Nell anno 2011 il Titolare ha delegato il controllo dell operato degli amministratori di sistema al responsabile del Servizio Informativo Aziendale. Il Responsabile del Servizio Informativo Aziendale attesta, mediante la presente dichiarazione, che l operato degli amministratori di sistema nell anno appena trascorso, si è svolto secondo buone prassi tecniche, secondo criteri di diligenza e attenendosi ai mandati impartiti dalla direzione aziendale. 18

Formazione e informazione sulla sicurezza informatica L informazione e la formazione in materia di sicurezza informatica sono, accanto alla predisposizione di opportune misure tecniche, i pilastri su cui si fonda la gestione in sicurezza del sistema. La strategia che l azienda adotta a fini informativi e formativi in materia di sicurezza si articola in: azioni generali di informazione e formazione sugli aspetti di sicurezza; azioni specifiche di informazione e formazione su specifici aspetti di sicurezza propri di specifici ambiti professionali; informazione e formazione sul piano di continuità ed emergenza per le procedure informatiche. In particolare, per quanto attiene alle azioni informative, si dispone che il presente piano sia pubblicato nella intranet aziendale e via posta elettronica sia data notizia della sua disponibilità a tutti gli utenti aziendali. La predisposizione di opportune azioni informative e formative è di competenza dei responsabili dei trattamenti che si possono avvalere per gli aspetti strettamente tecnici della collaborazione del Servizio Informativo Aziendale. Percorso formativo aziendale in materia di protezione dei dati personali L Azienda ha attivato dal 2003 un percorso formativo rivolto ai responsabili ed agli incaricati del trattamento che ha lo scopo di conferire agli operatori di tutte le strutture aziendali una cultura privacy per una reale e fattiva applicazione in ambito aziendale dei principi contenuti nella normativa. Il programma formativo, che ha coinvolto ad oggi un cospicuo numero di dipendenti, ha avuto risultati estremamente soddisfacenti in quanto a partecipazione e collaborazione. Gli interventi formativi, condotti dai componenti dell Ufficio Privacy, coadiuvati dai rappresentanti del Gruppo Privacy Aziendale (*), sono stati modulati in relazione alla tipologia di incarico/mansione, all ambito di appartenenza alle diverse strutture aziendali e, soprattutto, al grado di connessione tra problematiche in materia di protezione dei dati personali e attività lavorativa quotidiana. In tale ottica, dopo una prima formazione rivolta ai responsabili del trattamento, il progetto ha visto impegnato il personale del front office, per poi estendersi al personale sanitario ed amministrativo degli otto stabilimenti ospedalieri presenti in ambito provinciale. In un secondo momento sono stati interessati gli incaricati del trattamento afferenti ai Distretti ed al Dipartimento di Sanità Pubblica; particolare attenzione è stata poi riservata al Dipartimento di Salute Mentale, considerato il livello di sensibilità dei dati trattati. Sono stati altresì coinvolti gli incaricati del trattamento afferenti ai diversi uffici prettamente amministrativi, cui sono state dedicate specifiche giornate formative nel corso del 2006 e del 2007. La formazione del personale amministrativo è terminata nel 2008. La formazione si è poi rivolta agli incaricati del trattamento del Sistema Emergenza-Urgenza, agli specialisti ambulatoriali e ai nuovi responsabili del trattamento provenienti da altre aziende sanitarie del territorio provinciale. E stato altresì fatto un intervento formativo nei confronti di personale ausiliario a diretto contatto con gli utenti (es. portantini e barellieri). Nel 2008, come già avvenuto in anni precedenti, si è tenuto un seminario di aggiornamento specificamente dedicato ai responsabili del trattamento, in cui si è trattato in particolare degli illeciti in materia di privacy, delle responsabilità nel trattamento dei dati e di indagini ispettive. 19

In occasione di tali seminari sono stati invitati, in qualità di docenti, professionisti esperti della materia (magistrati, avvocati). Agli eventi formativi hanno partecipato, su invito, anche incaricati del trattamento afferenti ad organizzazioni/ditte esterne fornitrici di beni e/o servizi, nominate responsabili esterni del trattamento dei dati. Nel corso del 2009 il programma formativo è stato rivolto agli operatori sanitari, sia medici che infermieri, afferenti all Ospedale di Carpi. Tutti gli interventi formativi di cui sopra hanno mirato e mirano a fornire gli elementi conoscitivi della normativa, i profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività e le responsabilità che ne derivano in caso di mancata adozione delle misure di sicurezza. Nel corso del 2010 il programma formativo ha coinvolto gli operatori sanitari dello stabilimento ospedaliero afferente al Nuovo Ospedale Civile S. Agostino-Estense. Parallela all attività di formazione in senso stretto e ad essa estremamente connessa, è la continua emanazione di linee guida, circolari e disposizioni aziendali volte a richiamare costantemente l attenzione all osservanza degli obblighi in materia (nell anno 2010, particolare attenzione è stata rivolta alla predisposizione delle necessarie linee guida in materia di sanità elettronica: Progetto Sole e Referti on-line) E altresì continua l attività di consulenza interna dell Ufficio Privacy nei confronti delle strutture aziendali che ne facciano richiesta. Anche nel corso del 2010 l Ufficio Privacy ha svolto un intensa attività di analisi di questioni puntuali in materia di privacy sia su sollecitazione (quesiti) dei vari soggetti aziendali, sia di propria iniziativa a seguito dell emanazione di provvedimenti o direttive del Garante per la protezione dei dati personali, sia in occasione dell avvio di attività aziendali che hanno richiesto specifica valutazione. Ha inoltre svolto un intensa attività di consulenza, fornendo sia pareri legali, sia consulenze, anche telefoniche, a utenti, a MMG/PLS e alle strutture aziendali richiedenti. E stata inoltre curata la formazione personale dei componenti dell Ufficio Privacy, mediante la partecipazione a giornate di studio, convegni e corsi in materia di protezione dei dati personali. L attività di formazione svolta nell anno 2011 è stata differente rispetto a quella effettuata negli anni precedenti. Pur rivolta al personale sanitario degli stabilimenti ospedalieri, come da programmazione, è stata condotta secondo una logica dipartimentale: sono stati cioè coinvolti gli specialisti afferenti ai diversi dipartimenti ospedalieri (chirurgia, ortopedia, emergenza-urgenza, medicina interna, area critica, ostetricia-ginecologia, medicina riabilitativa, neuroscienze, patologia clinica, diagnostica per immagini) che hanno problematiche e trattamenti di dati in comune. La formazione è avvenuta in occasione delle nuove nomine a responsabile del trattamento dei dati. La formazione del 2012 ha subìto un arresto a causa dei noti eventi sismici che hanno interessato il territorio della provincia di Modena. Nel corso del 2013, in attesa del completamento della riorganizzazione dell assetto aziendale avvenuto nel mese di marzo 2014, con l approvazione del Nuovo Manuale Organizzativo (del. N. 42 del 04.03.2014), si è proseguito nella valutazione in ordine alla opportunità e alla convenienza anche economica di percorsi formativi a distanza (FAD) all interno dell Area Vasta, da avviare nel corso del 2014; tali percorsi dovranno dare conto anche della nuova normativa europea di prossima emanazione e la modalità della formazione a distanza dovrebbe consentire di coinvolgere un elevato numero di dipendenti delle Aziende interessate. Alla FAD, si prevede di affiancare successivamente corsi frontali. Sempre nel 2013, l arrivo all Ufficio Privacy di un nuovo collaboratore ha reso indispensabile prevederne una formazione in materia, mediante la partecipazione a giornate di studio (Privacy Day) e ad un Master di specializzazione Privacy Officer & consulente della privacy. 20