02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

Documenti analoghi
Trattamenti con strumenti elettronici

TITOLO V Sicurezza dei dati e dei sistemi. CAPO I Misure di sicurezza

Privacy e Misure di Sicurezza. Giulia M. Lugoboni

Capo II - Misure minime di sicurezza

Azienda Servizi alla Persona A.S.P. Carlo Pezzani. Provincia di Pavia. Documento di Adozione delle Misure Minime di Sicurezza ALLEGATO A

Codice in materia di protezione dei dati personali.

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2018

PRIVACY e SICUREZZA Dr. Antonio Piva

Corso di formazione per incaricati del trattamento dei dati personali Anno Eleonora Bovo

Nome modulo: MISURE DI SICUREZZA ADOTTATE DALL AMMINISTRAZIONE NOME LEZIONE: INTRODUZIONE

Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza - (artt. da 33 a 36 del codice)

FPf per Windows 3.1. Guida all uso

CORSO: PRIVACY E SICUREZZA NEL TRATTAMENTO DEI DATI (VERS. 1.1) Unità didattica: Sicurezza nel trattamento dei dati

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

Le misure di sicurezza relative al trattamento dei dati personali e responsabilità connesse.

ALLEGATO ALLA LETTERA DI NOMINA AD INCARICATO DEL TRATTAMENTO

Documento Programmatico Per La Sicurezza. Avv. Luca Maria De Grazia

IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003

ASPETTI PRINCIPALI CODICE SULLA PRIVACY (D. Lgs. 196/2003)

Allegato DPS n. 5 Provincia di Latina

STUDIO MURER COMMERCIALISTI

S.E.F. s.r.l. Servizi Etici Finanziari. Documento Programmatico sulla Sicurezza

PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI

In dettaglio il Documento Programmatico Sulla Sicurezza fornisce informazioni relative a:

REGOLAMENTO INTERNO Privacy e riservatezza

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

Circolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

Decreto Legislativo 30giugno 2003, n. 196 Codice in materia di protezione dei dati personali

DELIBERAZIONE DELLA GIUNTA COMUNALE

AFFIDAMENTO DI INCARICO AL TRATTAMENTO DEI DATI PERSONALI

Seminario sul suo recepimento in ISS

Comune di Piscina. D.Lgs. 30/06/2003 n 196. Documento Programmatico Sulla Sicurezza

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) D.Lgs. n. 196 del 30/06/2003 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Circolare per i Clienti del 22 febbraio 2012

REGOLAMENTO RECANTE NORME PER L INDIVIDUAZIONE DELLE MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI

DPR 318 e sua entrata in vigore

Trento, 8 febbraio Privacy (d.lgs 196/03) e internet. Obblighi ed opportunità per il datore di lavoro

La privacy Valdo Flori

Il Codice della Privacy

N O T I Z I A R I O S I C U R E Z Z A Q U A L I T A A M B I E N T E LAVORARE INFORMATI CON LE NEWS DI WORKY

REGOLAMENTO IN MATERIA DI TRATTAMENTO, COMUNICAZIONE E DIFFUSIONE

Il "Custode delle password": dalla definizione alla nomina

Chiunque ha diritto alla protezione dei dati personali che lo riguardano

ISTRUZIONI AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI COMUNI, SENSIBILI E/O GIUDIZIARI

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Regolamento per il trattamento dei dati personali delle persone fisiche e di altri soggetti in attuazione del Dlgs. 30 giugno 2003 n.

Decreto Legislativo nr. 196 del 30 Giugno (Codice in materia di protezione dei dati personali) e successive integrazioni e modificazioni.

I. DEFINIZIONI contenute nell art 4 del Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali"

Cambiamenti Normativi

LEGGE N. 675 REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA PER LA SICUREZZA DEGLI EDIFICI COMUNALI

TOVO SAN GIACOMO Provincia di Savona

D.P.R. 28 luglio 1999, n. 318

Privacy. Natale Prampolini 196/03. ing. Natale Prampolini Business & Technology Adviser

PROTEZIONE DEI DATI PERSONALI GRUPPO 4

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL REGOLAMENTO EU N. 679/16

Comune di Pertusio. Regolamento per la disciplina della videosorveglianza sul territorio comunale di Pertusio

Nuove responsabilità organizzative del titolare e azioni da intraprendere

Legge 31 dicembre 1996 n Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali

Codice della Privacy. Diritti, Doveri e Implicazioni organizzative. Maurizio Gatti

REGOLAMENTO PER LA TUTELA E LA RISERVATEZZA DEI DATI PERSONALI E SENSIBILI

Comune di Assago. Provincia di MI. DOCUMENTO PROGRAMMATICO sulla SICUREZZA

BERSANETTI GIOVANNI VIALE NAVIGAZIONE INTERNA PADOVA (PD) Tel: P.IVA

Obiettivi di controllo Presidio Verifica effettuata Grado di conformità

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI. Approvato con deliberazione C.C. n. 23 del 29/05/2000

DEFINIZIONI contenute nell art 4 del Decreto Legislativo 30 giugno 2003, n.196 "Codice in materia di protezione dei dati personali"

1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI

IL RETTORE. il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;

Dati Personali riferiti al Tirocinante e raccolti a Norma del Regolamento Europeo 2016/679 e Dlgs 139/05

Comune di Castiglione Cosentino PROVINCIA DI COSENZA

Le misure di sicurezza nel trattamento di dati personali

La normativa sulla privacy è definita in Italia come normativa sulla PROTEZIONE DEI DATI PERSONALI


REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Decreto rettorale, 3 luglio 2006, n. 536 (prot. n )

Gestione credenziali di autenticazione p e r a c c e s s o a i s i s t e m i i n f o r m a t i c i d e l l a zi e n d a

Amministratori di Sistema: prorogati i termini per gli adempimenti al 30 Giugno 2009

Il Nuovo Codice Privacy in materia di protezione dei dati personali (D. Lgs. 196/2003)

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

IL DECRETO LEGGE 196/2003

Regolamento comunale sulla tutela dei dati personali

POLICY PER L UTILIZZO DEI SISTEMI INFORMATICI

Sistemi informativi in ambito sanitario e protezione dei dati personali

Oggetto: Incarichi ed istruzioni per il trattamento dei dati personali ai sensi del Codice della privacy

Norme per il trattamento dei dati personali nell INFN

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

PROGRAMMA: Docente Saitta Rosa Maria Samuela (eventuale sostituto Virdi Andrea Riccardo)

D. 2016/ /2018) FONDO PENSIONE COMPLEMENTARE INPS - FONDINPS

Comune di San Vito di Leguzzano Provincia di Vicenza REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI

Istituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

ASL di NUORO Documento Programmatico sulla Sicurezza FRONTESPIZIO. DPS Documento Programmatico sulla Sicurezza

C O M U N E D I C O D O G N O. ( Provincia di Lodi ) REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Il Testo Unico sulla Privacy

Documento Programmatico sulla Sicurezza

CONFERIMENTO INCARICO DI RESPONSABILE ESTERNO PREMESSO CHE

Transcript:

ABILITA INFORMATICHE E TELEMATICHE Protezione dei dati e Privacy A.A. 2010-11 1 Introduzione al problema Contestualmente al progresso tecnologico che consente la conoscibilità, la conservazione e la elaborazione dei dati, si è fatta pressante: la esigenza di proteggere la sfera privata dell individuo, tutelando il suo diritto alla riservatezza e riconoscendogli la titolarità esclusiva delle informazioni che lo riguardano La facilità di accesso e manipolazione delle informazioni resa possibile dall ICT ha portato a legiferare sulla tutela del trattamento dei dati personali. 2 Obiettivi Sussistono due esigenze contrastanti: Tutela della riservatezza, controllo dell interessato sull utilizzo delle informazioni che lo riguardano da parte di terzi; Necessità di rendere sempre disponibili i dati per ragioni di legalità e trasparenza. Inammissibilità dell anonimato per questioni di sicurezza. Il Garante per la protezione dei dati personali è l autorità istituita per tutelare i diritti e le libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. 3 1

Tutela della riservatezza Tutelare la riservatezza vuol dire: consentire all individuo di decidere in autonomia quale debba essere l ambito entro il quale i dati che rivelano la sua identità ed altri aspetti della sfera privata, possano essere portati a conoscenza di terzi; Mantenere il controllo sui trattamenti cui tali dati sono sottoposti. 4 Breve excursus normativo Direttiva Comunitaria n. 95/46/CEE del 24/10/1995; Legge n. 675 del 31/12/1996; D.Lgs. N. 196 del 30/06/2003 (Codice della Privacy); L.n. 48 del 18/03/2008; 5 Il Codice della Privacy Il Codice della Privacy è organizzato in tre parti Disposizioni generali: principi e regole generali per il trattamento dei dati, diritti dell interessato; Disposizioni di settore: disposizioni relative a settori specifici come Giustizia, Sanità, P.A., etc. Tutela dell interessato: modalità con cui l interessato può esercitare i propri diritti. L Allegato B al codice prescrive le misure minime di sicurezza; 6 2

Principi di base Principio di necessità Principio di finalità Principio di trasparenza Principio di legittimità Principio di proporzionalità Principio di conservazione Principio di sicurezza 7 Principio di necessità Le azioni di raccolta dati e monitoraggio devono essere giustificate dalla loro necessità ai fini della attività della organizzazione o della azienda; i sistemi informativi e i programmi informatici devono essere configurati in modo da ridurre al minimo l'utilizzo di dati personali e di dati identificativi escludendone il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi; in pratica, la azione di raccolta dati deve essere giustificata dalla effettiva necessità legata al perseguimento del proprio fine istituzionale. 8 Principio di finalità Non è consentito il trattamento dei dati per finalità che vanno oltre quelle per le quali i dati sono stati raccolti (art. 6, comma 1, par. b Direttiva 95/46/CE; art 11 comma 1, par. b, D.Lgs. 30 giugno 2006, n. 196 La raccolta dei dato deve avvenire per uno scopo determinato, esplicito e legittimo; Non è possibile utilizzare successivamente tali dati per scopi diversi da quelli per cui sono stati raccolti. 9 3

Principio di trasparenza La attività di raccolta dati deve essere manifesta e dichiarata; Devono essere descritti i motivi e le finalità; Devono essere dichiarate le procedure adottate per il rispetto delle regole; Devono essere comunicate le modalità di contestazione. 10 Principio di legittimità La raccolta ed il trattamento possono essere consentiti solo se: perseguono fini legittimi non violano i diritti dell interessato 11 Principio di proporzionalità i dati personali raccolti devono essere adeguati, pertinenti e non eccedenti le finalità per cui sono raccolti; Essi devono essere accurati ed mantenuti aggiornati (articolo 6(1)(c) Direttiva 95/46/CE; articolo 11(1)(d) d.lgs. 30 giugno 2006, n. 196); Ad esempio non è consentito ad un datore di lavoro il controllo sistematico dei messaggi di posta elettronica dei dipendenti (finalizzato al controllo della attività lavorativa). 12 4

Principio di conservazione I dati raccolti devono essere accurati, aggiornati e conservati per un tempo non superiore al necessario per gli scopi per i quali sono raccolti (art. 6, comma 1, par. e, Direttiva 95/46/CE; art.11 comma 1, par. e, D.Lgs. 30 giugno 2006, n. 196). 13 Principio di sicurezza I dati devono essere conservati in modo sicuro e al riparo da intrusioni esterne; Sono obbligatorie misure di sicurezza come: Protezioni fisiche; Protezioni procedurali; Protezioni tecniche : Protezione da intrusioni Protezione da infezioni Protezione da perdite di dati 14 Allegato B Definisce le misure minime di sicurezza che le organizzazioni devono adottare nel trattamento dei dati personali attraverso strumenti elettronici; Prescrive l uso di un sistema di autenticazione un sistema di autorizzazione Richiede la predisposizione annuale di un Documento Programmatico della Sicurezza (DPS). 15 5

Sistema di autenticazione l autenticazione è il processo attraverso il quale si prova la propria identità; l allegato B specifica regole per la scelta e la gestione delle password: lunghezza minima: 8 caratteri; deve rimanere sempre riservata e ben conservata; non deve essere riconducibile al proprietario; deve essere modificata ogni 6 mesi; conseguenza diretta di una procedura di autenticazione è la possibilità di essere sempre a conoscenza delle risorse cui ha fatto accesso l'utente, quanto tempo è rimasto collegato ad un sistema e quali operazioni ha eseguito. 16 Autenticazione Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 17 Password La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 18 6

Sistema di autorizzazione Si tratta di un meccanismo per abilitare gli utenti a compiere azioni o visualizzare dati in relazione al proprio ruolo e alle autorizzazioni che ne derivano; Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso viene utilizzato un sistema di autorizzazione; Ad ogni credenziale di accesso è associato l insieme di dati visualizzabile e di operazioni eseguibili. 19 Aggiornamento software I dati personali devono essere tutelati dalle possibili minacce alla riservatezza e, di conseguenza devono essere protetti contro malware e intrusioni; L allegato B prescrive la adozione di idonei strumenti elettronici quali possono essere antivirus, antispyware e firewall; Si richiede, inoltre, l aggiornamento di tali strumenti con cadenza almeno annuale (semestrale nel caso di trattamento di dati sensibili e/o giudiziari). 20 DPS Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. 21 7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back