Norme per il trattamento dei dati personali nell INFN

Documenti analoghi
Norme per il trattamento dei dati personali nell INFN

Chiunque ha diritto alla protezione dei dati personali che lo riguardano

Corso di formazione per incaricati del trattamento dei dati personali Anno Eleonora Bovo

Allegato C Questionario informativo per la redazione / aggiornamento del D.P.S.

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA E DISPOSIZIONI IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI

Decreto Legislativo 30giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Allegato E Segnalazioni Appendice E. 1

STUDIO MURER COMMERCIALISTI

Trattamenti con strumenti elettronici

Azienda Servizi alla Persona A.S.P. Carlo Pezzani. Provincia di Pavia. Documento di Adozione delle Misure Minime di Sicurezza ALLEGATO A

REGOLE PER IL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO IN MATERIA DI TRATTAMENTO, COMUNICAZIONE E DIFFUSIONE

LA NORMATIVA SULLA PRIVACY

Presentazione Prof. Avv. Camillo Sacchetto (Foro di Alessandria - Università di Torino) 2 Marzo 2017

DLgs 196/2003 (e successive integrazioni e modificazioni) Il codice in materia di protezione dati personali

LINEE GUIDA IN MATERIA DI PRIVACY

Profili di Responsabilità degli operatori di sistemi telematici

DOMANDA DI PARTECIPAZIONE

Le misure di sicurezza nel trattamento di dati personali

Regolamento per il trattamento dei dati personali delle persone fisiche e di altri soggetti in attuazione del D.lgs. 30 giugno 2003 n.

Oggetto: Adempimenti in materia di protezione dei dati personali - Rilevazione dei trattamenti

SCOPRI COME TUTELARTI DA UN USO IMPROPRIO DEI DISPOSITIVI INFORMATICI DA PARTE DEI TUOI DIPENDENTI

LA NORMATIVA SULLA PRIVACY

REGOLAMENTO PER L UTILIZZO DELL IMPIANTO DI VIDEOSORVEGLIANZA AL PENSIONATO PIAGGI

La tematica della privacy negli istituti penitenziari: criticità e prospettive

REGOLAMENTO PER LA TUTELA E LA RISERVATEZZA DEI DATI PERSONALI E SENSIBILI

Articolo 1 Oggetto e finalità

Informativa ex art. 13 D. LGS. 196/2003 Gentile Utente, in applicazione della normativa in materia di trattamento dei dati personali di cui al D.

Regolamento per il trattamento dei dati personali delle persone fisiche e di altri soggetti

Il Codice della Privacy

Oggetto: Incarichi ed istruzioni per il trattamento dei dati personali ai sensi del Codice della privacy

Procedure in materia di Privacy

Regolamento per il trattamento dei dati personali delle persone fisiche e di altri soggetti in attuazione del Dlgs. 30 giugno 2003 n.

Principali adempimenti privacy

AREA FUNZIONI STAFF DIREZIONE GENERALE U.O.S.D. AFFARI GENERALI Via Casal Bernocchi, Roma Tel06/

Allegato DPS n. 5 Provincia di Latina

INFORMAZIONE IN MATERIA DEI DATI PERSONALI Art. 13 D.Lgs 30 giugno 2003 n.196. * * *

STUDIO LEGALE AVV. GIUSEPPE COLUCCI & PARTNERS SPECIALIZZAZIONE IN DIRITTO DEL LAVORO E PUBBLICO IMPIEGO

SEGRETERIA CENTRALE DEL SISTEMA STATISTICO NAZIONALE

Comune di Assago. Provincia di MI. DOCUMENTO PROGRAMMATICO sulla SICUREZZA

ISTRUZIONI AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI COMUNI, SENSIBILI E/O GIUDIZIARI

LA PROTEZIONE DEI DATI PERSONALI

Giugno-Luglio 2010 Dott.ssa Bazzano Rossana

Il nuovo Codice sulla protezione dei dati personali

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

Fac-simile DICHIARAZIONE DI AUTORIZZAZIONE AL TRATTAMENTO DEI DATI PERSONALI, IDENTIFICATIVI, SENSIBILI e GIUDIZIARI ex D.LGS. 30 giugno 2003 n.

Codice in materia di protezione dei dati personali.

SCHEDA ISCRIZIONE AL PORSCHE CLUB EMILIA ROMAGNA

Introduzione al diritto alla protezione dei dati personali

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2018

Associazione Davide il Drago Informativa ai soci/volontari e donatori

Codice della Privacy. Diritti, Doveri e Implicazioni organizzative. Maurizio Gatti

Introduzione al diritto alla protezione dei dati personali

COMUNE DI INZAGO CORPO DI POLIZIA LOCALE

Incaricati del trattamento dei dati personali: linee guida e istruzioni operative ai sensi del decreto legislativo n.196/2003.

Trattamento dei dati personali Decreto Legislativo 30/06/2003, n.196 COSA SONO I DATI PERSONALI

agli utenti quando questi si collegano a pagine web, indipendentemente dagli scopi del collegamento.

REGOLAMENTO INTERNO Privacy e riservatezza

IL DIRITTO ALLA PRIVACY

1.2 Responsabile del progetto preposto a responsabile del trattamento

Legge 31 dicembre 1996 n Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali

Art. 1 Ambito di applicazione

STRUTTURA (Denominazione). COMPETENZE della Struttura...

PROVINCIA DI BRESCIA - SETTORE AGRICOLTURA CACCIA E PESCA - Via Milano BRESCIA INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

ASPETTI PRINCIPALI CODICE SULLA PRIVACY (D. Lgs. 196/2003)

Regolamento Privacy G.D.P.R. 679/2016. Cosa cambia? Daniele Maggiolo senior management consultant

TRATTAMENTO DEI DATI PERSONALI Informativa ex art. 13 d. lgs. 30 giugno 2003 n. 196

Manuale per la Gestione in Sicurezza dei dati. Ad uso degli incaricati COLLABORATORI SCOLASTICI

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY

PRIVACY IN PRATICA. Umberto Rapetto, Barbara Rapetto Freddi

PER IL TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI dell ARPA Molise.

ISTITUTO PROFESSIONALE SASSETTI-PERUZZI Sede coordinata di Scandicci A.S Classe IIIA1 Attività di codocenza nell ambito dei percorsi di IeFP

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

INDICE. Art.1. Ambito di applicazione

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Privacy. Natale Prampolini 196/03. ing. Natale Prampolini Business & Technology Adviser

IL DIRITTO ALLA PRIVACY

CONSENSO INFORMATO DEL TRATTAMENTO DEI DATI PERSONALI, IDENTIFICATIVI E SENSIBILI EX D.Lgs. 196/2003

MINISTERO DELLA PUBBLICA ISTRUZIONE

IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003

RILEVATO che il presente atto non comporta impegno di spesa a carico del bilancio comunale

TED seminario robotica e reti. Genova - Ottobre Linda Giannini e Carlo Nati -

Tribunale di Bologna

INFORMATIVA AL TRATTAMENTO DI DATI PERSONALI

COMUNE DI CALCINAIA. Regolamento per la disciplina del trattamento dei dati personali

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI INDICE

REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI (legge , n. 675 e D.Lgs , n. 467)

DPS e Protezione dei dati Sonia Volpe Lessicom srl

QUESTIONARIO PER LA PREDISPOSIZIONE DEL PRIMO DPS SENZA STRUMENTI INFORMATICI

imprese individuali, società;

C O M U N E D I C O D O G N O. ( Provincia di Lodi ) REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Capo II - Trattamento di dati personali...3 Articolo 3 - Ambito di applicazione...3 Articolo 4 - Titolare e responsabile dei dati...

LINEE GUIDA PER L APPLICAZIONE DELLA NORMATIVA SULLA PRIVACY

1. Oggetto del trattamento

COMUNE DI SPILAMBERTO

STUDIO DOTT. FABIO FADA

Transcript:

Norme per il trattamento dei dati personali nell INFN Decreto Legislativo 30 giugno 2003 n. 196 Codice in materia di trattamento dei dati personali 1 DEFINIZIONI 1.1 IL TRATTAMENTO DEI DATI PERSONALI Per trattamento dei dati personali si intende qualunque operazione o complesso di operazioni effettuati anche senza l ausilio di strumenti elettronici concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati anche se non registrati in una banca dati. 1.2 TIPOLOGIE DI DATI I dati personali si distinguono in dati personali, dati sensibili e dati giudiziari. Sono dati personali (cosiddetti comuni) le informazioni relative a persone fisiche, giuridiche, enti od associazioni, identificati o identificabili anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Sono dati sensibili i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Sono dati giudiziari quelli idonei a rivelare provvedimenti di iscrizione nel casellario giudiziale o nell anagrafe delle sanzioni amministrative dipendenti da reato e i relativi carichi pendenti o la qualità di indagato o di imputato. 1.3 I SOGGETTI I soggetti rilevanti nella disciplina dettata in materia di trattamento dei dati personali sono il Titolare, i Responsabili e gli Incaricati del trattamento, nonché gli Interessati al trattamento. Titolare del trattamento dei dati personali è l Istituto Nazionale di Fisica Nucleare inteso nel suo complesso. Responsabili del trattamento dei dati personali sono i soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle norme in materia di trattamento, ivi compreso il profilo della sicurezza. L INFN, con deliberazione del Consiglio Direttivo n. 6389/89, successivamente aggiornata con deliberazione C.D. n. 8335/03, ha individuato quali Responsabili del trattamento dei dati personali i Direttori delle Strutture, nonché i Direttori di Direzioni e Servizi dell Amministrazione Centrale ed il Responsabile del Servizio di Presidenza INFN. Sono Incaricati del trattamento le persone autorizzate a compiere operazioni di trattamento dei dati; tra gli Incaricati, coloro che provvedono alla gestione e/o manutenzione di impianti di elaborazione sono incaricati alla funzione di Amministratore di sistema. 1

Si definiscono Interessati al trattamento i soggetti (persone fisiche o giuridiche) cui si riferiscono i dati personali. 2 PRINCIPI GENERALI PER IL TRATTAMENTO DEI DATI PERSONALI Il trattamento dei dati personali deve essere effettuato nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dei soggetti cui i dati si riferiscono, con particolare riferimento alla riservatezza, all identità personale ed alla protezione dei dati personali. L Istituto Nazionale di Fisica Nucleare consente il trattamento dei dati personali soltanto per lo svolgimento di attività istituzionali. Ciascuna operazione di trattamento deve essere effettuata riducendo al minimo l utilizzazione di dati personali, in modo da escluderne il trattamento quando le finalità perseguite possono essere raggiunte mediante dati anonimi o modalità che consentano il trattamento solo in caso di necessità; tale principio deve essere osservato - in caso di trattamenti effettuati mediante strumenti elettronici - anche nella configurazione di sistemi informativi e programmi informatici. In ogni caso i dati personali devono essere: trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono trattati; conservati in forma che consenta l identificazione dell interessato soltanto per il tempo necessario agli scopi per i quali i dati sono stati raccolti o trattati. I Responsabili del trattamento individuano per iscritto gli Incaricati e gli amministratori di sistema ed indicano l ambito di trattamento consentito a ciascuno. Gli stessi Responsabili provvedono alla revoca dell autorizzazione in tutti i casi in cui vengano meno le condizioni che avevano determinato l autorizzazione al trattamento, quali il trasferimento ad altro ufficio, l assegnazione di altre attività o la cessazione del rapporto di lavoro o collaborazione con l INFN. 3 INFORMATIVA Conformemente a quanto previsto dal Decreto Legislativo n. 196/2003, l INFN ha predisposto apposite informative per il trattamento dei dati di personale dipendente e associato, distribuite ai singoli interessati al momento dell associazione o dell assunzione. Sono state altresì predisposte informative per le attività di selezione del personale e per l espletamento delle procedure contrattuali. In ogni altra circostanza i Responsabili provvedono a fornire, oralmente o per iscritto, agli interessati informazione preventiva circa: le finalità e modalità del trattamento; la natura obbligatoria o facoltativa del conferimento dei dati, con indicazione delle conseguenze di un eventuale rifiuto a rispondere; l indicazione del Titolare e del Responsabile del trattamento, nonché dei soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza anche in qualità di Incaricati; la garanzia di poter esercitare i diritti di cui all art. 7 del D.Lgs. n. 196/03 2

4 COMUNICAZIONE E DIFFUSIONE DEI DATI La comunicazione dei dati personali ad un altro soggetto pubblico può essere effettuata quando è prevista da una norma di legge o di regolamento; in mancanza di tale norma può essere effettuata quando è comunque necessaria per lo svolgimento di funzioni istituzionali, previa comunicazione di tale trattamento al Garante, decorsi quarantacinque giorni dalla stessa senza che il Garante abbia adottato una diversa determinazione. La comunicazione a privati o ad enti pubblici economici e la diffusione sono ammessi esclusivamente quando sono previste da una norma di legge o di regolamento. In ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi. 5 MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI Le misure minime di sicurezza sono costituite dall insieme delle misure tecniche ed organizzative che l INFN è tenuto ad adottare al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. I Responsabili del trattamento sono pertanto tenuti ad adottare tutte le misure idonee a ridurre al minimo i rischi sopra indicati e gli Incaricati del trattamento sono tenuti ad evitare condotte che possano pregiudicare la riservatezza. 5.1 TRATTAMENTO DI DATI EFFETTUATO CON STRUMENTI ELETTRONICI Le risorse informatiche nella disponibilità dei Responsabili ed Incaricati del trattamento devono essere accessibili tramite modalità che consentano, in modo univoco, l individuazione dell utente (Responsabile o Incaricato): individuazione che deve avvenire attraverso l adozione di un meccanismo di autenticazione che si concretizza, quanto meno, nell uso di un codice identificativo personale (user-id) e di una parola chiave (password). 5.1.1 MODALITÀ DI SCELTA E GESTIONE DELLE PASSWORD Una corretta individuazione delle password costituisce un elemento essenziale per la sicurezza e tutela dei dati personali trattati attraverso l ausilio di strumenti elettronici, dal momento che uno dei metodi più utilizzati per l accesso illecito ad un sistema o ad una applicazione consiste nell ottenere ed utilizzare il codice utente e la parola chiave di un utente autorizzato. Al fine di ridurre al minimo tale rischio è necessario pertanto tenere presente che: la password è personale e l utente è responsabile della corretta conservazione e gestione della stessa; la password deve avere una lunghezza non inferiore ad 8 (otto) caratteri o al numero massimo di caratteri consentiti dal sistema o applicazione; la password deve essere modificata almeno ogni sei mesi ed almeno ogni tre mesi se diretta a concedere l accesso ad elaboratori, sistemi, applicazioni (data base, cartelle o documenti) che contengano dati personali sensibili; nella scelta della password devono essere evitati riferimenti personali (nome o cognome proprio o di familiari, indirizzo, ecc ) o parole di senso compiuto in qualsiasi lingua; l utente è tenuto a prendere tutte le misure necessarie ed idonee al fine di evitare che terzi abbiano accesso al suo computer, anche ove si allontanasse durante una sessione di lavoro: in tali circostanze provvederà, ad esempio, ad uscire dall applicazione in uso e ad attivare un salvaschermo protetto da password; 3

l utente deve aver cura di non comunicare ad altri le proprie password e non scriverle su supporti facilmente disponibili a terzi (ad es. collocati in prossimità dell elaboratore cui si riferiscono); l utente deve aver cura, nel caso siano presenti più sistemi di autenticazione, di non utilizzare la stessa password e di non rendere conoscibili quelle vecchie, anche se non più in uso, poiché da esse potrebbe essere possibile individuare le regole usate per la loro generazione. La corretta individuazione, custodia e gestione delle password consente all utente di tutelarsi rispetto ad eventuali attività non corrette, o addirittura illecite, effettuate da altri soggetti tramite il computer a lui assegnato. 5.1.2 IL CUSTODE DELLE PASSWORD Il Responsabile del trattamento dei dati personali provvede all individuazione per iscritto di uno o più Custodi delle password, in relazione alla complessità organizzativa della Struttura, Direzione o Servizio che dirige. Il ruolo di questa figura è quello di garantire la disponibilità dei dati in caso di prolungata assenza o impedimento dell incaricato, laddove sia indispensabile e indifferibile intervenire per necessità operative e di sicurezza del sistema. Il custode delle chiavi è in grado di modificare la password dell incaricato del trattamento poiché è in possesso delle password privilegiate di tutti i sistemi interessati. Laddove si rendesse necessario intervenire nel computer dell incaricato assente, il Custode modifica la password e permette la realizzazione dell intervento necessario. Provvede poi ad informare l incaricato che, una volta rientrato in servizio, ripristina una nuova password personale da lui solo conosciuta. Modalità ulteriori, anche informatizzate, di gestione delle password potranno essere individuate da ciascun Responsabile del trattamento purché idonee a garantire la disponibilità dei dati solo nel caso in cui, in assenza dell Incaricato, si renda necessario intervenire immediatamente per garantire la operatività e sicurezza del sistema, con l obbligo di tempestiva informazione allo stesso incaricato dell intervento effettuato e ripristino delle nuove password. 5.1.3 MISURE DI PROTEZIONE HARDWARE E SOFTWARE I Responsabili del trattamento curano che i server disponibili nella propria Struttura, Direzione o Servizio siano ancorati a pareti o pavimenti, localizzati in ambienti caratterizzati da accesso controllato (locali chiusi a chiave) e dotati di sistemi di condizionamento, antincendio ed antiallagamento. Le risorse ritenute critiche devono inoltre essere protette mediante l installazione di sistemi che garantiscano la continuità dell energia elettrica. I Responsabili del trattamento provvedono inoltre, anche mediante i Servizi di Calcolo e Reti, affinché siano installati sistemi anti intrusione informatica, facendo in modo che il loro aggiornamento sia effettuato con cadenza almeno semestrale. I Responsabili del trattamento curano e verificano, tramite i Servizi di Calcolo e Reti, o le ditte che effettuano l assistenza informatica, che su tutti gli elaboratori siano installati programmi antivirus in grado di fornire anche una protezione in tempo reale. I programmi devono essere configurati in modo da aggiornarsi automaticamente almeno una volta alla settimana. Al fine di proteggere gli elaboratori da minacce informatiche gli Incaricati del trattamento sono tenuti in ogni caso ad osservare il Disciplinare per l uso delle risorse informatiche dell INFN disponibile all'indirizzo... 4

5.1.4 COPIE DI SALVATAGGIO Gli Incaricati del trattamento sono tenuti ad effettuare il salvataggio (backup) dei propri file, creando copie di sicurezza al fine di permettere il ripristino, in caso di perdita dei dati, della situazione precedente l evento dannoso. Il backup può essere effettuato, secondo le indicazioni fornite dai Servizi di Calcolo e Reti, su specifici server oppure su dischi, nastri o altri supporti rimovibili. I supporti rimovibili contenenti le copie di salvataggio devono essere custoditi in armadi chiusi a chiave. Gli stessi supporti non possono essere riutilizzati da altri incaricati, se non dopo che le informazioni in essi contenute siano state rese inintelligibili e comunque non ricostruibili. Periodicamente, e con frequenza almeno mensile, gli Incaricati sono tenuti ad effettuare prove di ripristino, per verificare la costante adeguatezza delle metodologie adottate e dei supporti di backup utilizzati. 5.2 TRATTAMENTO DI DATI EFFETTUATO SENZA STRUMENTI ELETTRONICI Nel caso in cui i dati personali siano contenuti in atti o documenti cartacei, gli Incaricati dovranno aver cura di custodire tali atti e documenti in modo che non vi abbiano accesso soggetti non autorizzate. A tal fine gli Incaricati sono tenuti a: 1. utilizzare i documenti contenenti dati personali soltanto per il tempo necessario allo svolgimento della propria attività lavorativa, avendo cura di riporre negli archivi i documenti successivamente al compimento delle operazioni di propria competenza; 2. non lasciare i documenti incustoditi su scrivanie od altro mobilio quando ci si allontana dall ufficio, provvedendo a chiudere la stanza, in caso di assenza prolungata; 3. conservare i documenti contenenti dati sensibili o giudiziari in armadi chiusi a chiave o comunque in archivi ad accesso controllato; 4. conservare, in particolare, i documenti contenenti dati attinenti la salute e la vita sessuale separatamente dagli altri. 6 RESPONSABILITÀ E SANZIONI Il Decreto Legislativo 30 giugno 2003 - Codice in materia di protezione dei dati personali - dispone che chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell art. 2050 del codice civile se non prova di aver adottato tutte le misure tecniche ed organizzative idonee ad evitare il danno: al fine di fornire tale prova è pertanto assolutamente necessaria la scrupolosa osservanza di tutte le misure di sicurezza dettate in attuazione della disciplina in materia di tutela dei dati personali. Lo stesso D. Lgs. n. 196/03 prevede inoltre sanzioni penali per il caso di mancata adozione delle misure minime di sicurezza, per il trattamento illecito dei dati personali, nonché sanzioni amministrative per il caso di omessa o inidonea informativa agli interessati. Si ricorda, da ultimo, che la mancata adozione delle misure indicate, costituendo inosservanza di disposizioni di servizio, può determinare l assoggettamento a sanzioni disciplinari. 5

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back