VERSO LA REDAZIONE DEL DOCUMENTO PROGRAMMATICO DI SICUREZZA



Похожие документы
COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Azienda Pubblica di Servizi alla Persona Opere Sociali di N.S. di Misericordia Savona

Ci si riferisce, in particolare, all'abuso della qualità di operatore di

Regolamento GESTIONE E AGGIORNAMENTO SITO WEB ISTITUZIONALE

Comune di Bracciano. Regolamento per la pubblicazione di atti e documenti amministrativi sul sito Internet Istituzionale

MANUALE DELLA QUALITÀ Pag. 1 di 6

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Comune di San Martino Buon Albergo Provincia di Verona

COMUNE DI MORNICO AL SERIO. (Provincia di Bergamo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA (art. 10 del D.Lgs. n.

Documento Programmatico sulla sicurezza

Politica per la Sicurezza

Noi ti aiutiamo a trovarlo.

Il nuovo codice in materia di protezione dei dati personali

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

AVIS COMUNALE MILAZZO

PROGRAMMA TRIENNALE PER LA TRASPARENZA E INTEGRITA ANNO

REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI

PROCEDURA DI GESTIONE DELLE PRESCRIZIONI LEGALI

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

PRIVACY E GUIDA SISTEMI INFORMATICI LINEE GUIDA PER L UTILIZZO DEI SISTEMI INFORMATICI AZIENDALI

CODICE ETICO Approvato dai membri del CDA a ottobre 2011

L amministratore di sistema. di Michele Iaselli

UNIONE BASSA REGGIANA. Programma triennale per la trasparenza e l integrità

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

La normativa italiana

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

CARTA INTESTATA PREMESSA

Regolamento sulla tenuta dell Albo aziendale telematico

TPER SPA PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITÀ

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

Comune di San Martino Buon Albergo

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO

Circolare N.24 del 07 Febbraio Sicurezza sul lavoro. Obblighi e scadenze

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

SETA SPA PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITÀ Approvato dal Consiglio di Amministrazione del

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

Sicurezza sul lavoro: le domande più frequenti! dvrinregola.it è un progetto

Introduzione: scopo del documento, organizzazione e funzioni dell amministrazione

REGOLAMENTO PER LA GESTIONE DELLE SEGNALAZIONI E DEI RECLAMI

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Privacy vs Trasparenza

Corso RSPP Modulo C. Ing. Vincenzo Staltieri

FORMAZIONE PRIVACY 2015

TAURUS INFORMATICA S.R.L. Area Consulenza

L adempimento della notificazione al Garante per la Privacy

I SISTEMI DI GESTIONE DELLA SICUREZZA

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

ATTI AMMINISTRATIVI. Prefettura di Firenze - Protezione dei dati personali

2 aprile 2010 Sicurezza: Rappresentante dei Lavoratori per la Sicurezza

PRINCIPI FONDAMENTALI...

STUDIO BD e ASSOCIATI Associazione Professionale Cod. Fisc. e Partita Iva web: info@bdassociati.

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

COMUNE DI CAVERNAGO REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

Nome modulo: ANALISI ED ILLUSTRAZIONE DEI RUOLI PREVISTI NELL ORGANIZZAZIONE

COMUNE DI BOSCO MARENGO

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

Roma, ottobre Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore

SISTEMA DI GESTIONE INTEGRATO. Audit

1. ORGANIZZAZIONE E FUNZIONI DELLA SOCIETÀ AMBITO NORMATIVO... IL PROGRAMMA TRIENNALE PER LA TRASPARENZA E LA PUBBLICITA

Regolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare

S I C U R E Z Z A I C U R E Z Z A C U R E Z Z A U R E Z Z A R E Z Z A E Z Z A Z Z A Z A A

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Posta elettronica, Internet e controlli sui dipendenti Relatore Avv. Giampiero Falasca

AREA LEGALE. RAPPRESENTANTI DEI LAVORATORI PER LA SICUREZZA (RLS) (Cod. 01LEG)

4. Essere informati sui rischi e le misure necessarie per ridurli o eliminarli;

REGOLAMENTO PER L'UTILIZZO DEGLI IMPIANTI DI VIDEO SORVEGLIANZA NELLE STRUTTURE DELL A.S.L. DI NUORO PREMESSA

CARTA DEI SERVIZI. Premessa:

Informativa sulla privacy

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

STATUTO PER IL SITO INTERNET DELL ENCJ

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

La tutela della Privacy. Annoiatore: Stefano Pelacchi

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy

Atto Dirigenziale n del 15/12/2009

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Circolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA

RACCOLTA FIRMA PER L INTRODUZIONE DEL REGISTRO DEI TESTAMENTI BIOLOGICI DEL COMUNE DI VERONA

Attività federale di marketing

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

COMUNE DI CASAVATORE. Provincia di Napoli REGOLAMENTO DEL PORTALE INTERNET COMUNALE

Prevenzione e protezione incendi nelle attività industriali

PROCEDURE - GENERALITA

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L'INTEGRITA' Triennio

Транскрипт:

LE MISURE MINIME DI SICUREZZA INFORMATICA VERSO LA REDAZIONE DEL DOCUMENTO PROGRAMMATICO DI SICUREZZA di Marco Maglio Marketing e vendite >> Privacy

Le nuove misure sono molto più stringenti di quelle previste dalla vecchia normativa, in particolare nei confronti dei profili di autorizzazione, dei sistemi di autenticazione, delle procedure di ripristino dell'accesso ai dati in caso di danneggiamento degli stessi e delle regole organizzative e della formazione degli Incaricati. Un ruolo centrale nella gestione delle questioni inerenti la sicurezza informatica aziendale è svolto dal Documento Programmatico per la Sicurezza (di seguito indicato sinteticamente con l acronimo DPS). Con le nuova norme, il DPS diventa un obbligo per tutte le organizzazioni, pubbliche e private, che trattano dati sensibili con l'uso di strumenti elettronici, anche se questi ultimi non sono collegati a una rete pubblica. Il che significa che è sufficiente che dei dati sensibili risiedano su un singolo PC, anche se questo non è collegato ad alcuna rete, perché il DPS diventi obbligatorio. IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA L'obbligo di redigere il Documento Programmatico sulla Sicurezza viene esteso a tutti in casi in cui si trattino dati sensibili o giudiziari con l'utilizzo di strumenti elettronici, anche nell'ipotesi in cui tali strumenti non siano in rete. È quindi sufficiente che tali dati siano trattati anche con un singolo elaboratore, perché si debba procedere alla redazione del documento. Viene inoltre fissato una scadenza per la redazione e l'aggiornamento, che devono essere effettuati entro il 31 marzo di ogni anno. Il punto 19 del Disciplinare tecnico prescrive che il DPS debba contenere idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare; la formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Oltre ad essere un obbligo di legge, il DPS ha anche una importante funzione interna di guida alla adozione ed al miglioramento delle misure di sicurezza: è quindi opportuno concepirlo come un vero e proprio piano per la sicurezza, estendendo il suo contenuto a tutti gli aspetti legati a tale problematica, che vanno anche oltre gli elementi obbligatori prescritti dal disciplinare tecnico. Il DPS costituisce inoltre il punto di partenza per definire interventi e strategie per la sicurezza dei dati, perché permette di verificare il livello della sicurezza informatica e quindi di identificare subito le aree maggiormente a rischio. La specificità delle strutture nei diversi soggetti fanno sì che il DPS non sia un documento uguale per tutti, ma il frutto di una valutazione specifica da parte delle singole aziende, congiuntamente ai propri consulenti. Certo la stesura del Documento Programmatico sulla Sicurezza è un'attività che richiede esperienza e competenze specifiche, senza le quali si corre il rischio di ridurre l'operazione ad un'inutile attività burocratica. Pagina 1 di 4

L ORGANIZZAZIONE DELLA PRIVACY La prima e più urgente misura di sicurezza è legata all organizzazione dell impresa. Il processo della sicurezza richiede infatti che, prima ancora di pensare all'adozione delle misure concrete, vengano definite una serie di compiti e procedure che regolino gli aspetti organizzativi del trattamento dei dati personali effettuato dall'azienda. È quindi necessario procedere preventivamente alla definizione di ruoli, compiti e responsabilità per la gestione di tutte le fasi del trattamento dei dati personali, con particolare riferimento alla necessità di garantire la loro sicurezza e alla adozione di specifiche procedure, che vadano a completare e rafforzare le contromisure tecnologiche adottate. LA FORMAZIONE Il nuovo Codice sulla Privacy sancisce ancora una volta l'obbligatorietà di interventi formativi per gli incaricati del trattamento dei dati personali, già prevista dalla legge n.675/96, dal D.P.R. n.318/99 e dalle altre disposizioni in materia di privacy. La legge prescrive di effettuare corsi per: informare gli incaricati del trattamento sui rischi che possono compromettere la sicurezza e la privacy dei dati; descrivere le misure di sicurezza disponibili per prevenire eventi dannosi; rendere edotti gli incaricati dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività; approfondire le responsabilità che ne derivano e le modalità per aggiornarsi sulle misure minime adottate dal titolare. Questa formazione dovrebbe essere programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti rilevanti rispetto al trattamento di dati personali. A questo scopo è opportuno mettere a disposizione del personale dipendente e dei collaboratori dell azienda che trattano dati personali, uno specifico programma di formazione per gli Incaricati del Trattamento dei dati personali che illustri le responsabilità legate alle proprie funzioni, i rischi che minacciano i dati, le misure di sicurezza necessarie e i provvedimenti che tutte le aziende devono adottare. Gli interventi formativi, sempre personalizzati per essere realmente coerenti con le prassi specifiche adottate in azienda, aiuteranno le diverse figure a conoscere meglio i rischi tipici nella gestione di dati personali e sensibili e le misure da adottare per ridurre i rischi e per ottenere un ragionevole livello di sicurezza e di privacy. Oltre che per gli incaricati, infatti, la formazione sui temi della sicurezza e della privacy è utile anche per i Responsabili del trattamento dei dati, per i Dirigenti e gli Amministratori dell'azienda. Per queste figure sono a disposizione sessioni formative personalizzate che si focalizzano maggiormente sulle responsabilità specifiche dei ruoli dirigenziali. IL COLLEGAMENTO TRA SICUREZZA INFORMATICA E LINEE GUIDA PER L USO DEGLI STRUMENTI INFORMATICI AZIENDALI Peraltro il tema delle misure minime di sicurezza informatica per poter essere correttamente gestito dall azienda richiede di definire preventivamente i limiti di utilizzo degli strumenti informatici da parte dei dipendenti. Da questo punto di vista gli imprenditori dovrebbero porsi una serie di domande la cui soluzione è fondamentale per una corretta gestione di questi problemi: Prima di tutto, è possibile per l azienda controllare il corretto uso da parte dei propri dipendenti del personal computer e dei relativi programmi utilizzando i sistemi di controllo a distanza che le attuali tecnologie dell informazione e comunicazione mettono a disposizione? E poi quali regole e quali tecnologie possono essere studiate per garantire al lavoratore il rispetto della sua riservatezza ed all azienda il diritto di esercitare il suo potere di controllo nell ambito della gestione del rapporto di lavoro? Pagina 2 di 4

Di fronte alla memoria del server, che immancabilmente registra le «tracce» lasciate dagli utenti quali dati possono essere veramente sottratti al controllo dell azienda? E che succede se tali dati non possono essere tenuti separati, da un punto di vista tecnico, da quelli che non sono necessari ai fini del controllo? Quali interessi prevalgono? Non si tratta di questioni di poco conto anche perché le risposte da fornire devono bilanciarsi con i limiti imposti dalla normativa in materia di diritti alla riservatezza e di divieto dei controlli a distanza sull attività dei dipendenti. Il rischio che tali controlli possano essere considerati illegittimi ai sensi dello statuto dei lavoratori, è alto. Ed anche di fronte all obbligo di conservare tali dati a fini di ordine pubblico, la potenzialità di tali sistemi di controllo a distanza espone ugualmente l azienda alle pesanti sanzioni penali poste dalla legge n.300/70. Una legge, questa che in quanto scritta in un periodo in cui non esisteva una situazione confrontabile con le attuali reti telematiche, rischia, soprattutto con il suo articolo 4, di frenare l accesso e lo sviluppo in azienda di ogni tecnologia dell informazione e comunicazione, oggi indispensabile anche all accrescimento professionale delle risorse umane. Appare evidente che, proprio in questo momento, in cui la legislazione non riesce a tenere il passo rispetto agli sviluppi della tecnologia, l azienda dovrà, intanto, adottare una politica aziendale trasparente, capace di comunicare con estrema chiarezza al lavoratore i limiti di utilizzo degli strumenti informatici assegnatigli per lo svolgimento delle mansioni attribuite (Internet, e-mail aziendale, ecc.). E per questo che molte aziende di grandi e medie dimensioni hanno elaborato un ipotesi di regolamento aziendale il cui scopo è, appunto di mettere a disposizione del sistema uno strumento che, opportunamente modellato sulle singole realtà aziendali, possa limitare l uso improprio di tali strumenti di lavoro, così contribuendo all abbattimento dei relativi costi aziendali. L argomento merita un approfondimento pratico al quale sarà dedicata un prossimo intervento. Pagina 3 di 4

GLOSSARIO Sistemi di autenticazione L'autenticazione è un processo di riconoscimento di un computer nei confronti di un server ovvero di un indirizzo di posta elettronica abbinato ai dati del titolare di questo indirizzo. Privacy Leggi e norme che regolano il trattamento dei dati personali del dipendente sul luogo di lavoro. La legge 31 dicembre 1996, n. 675 garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e alla identità personale.. Documento reperibile, assieme ad altre monografie, nella sezione Dossier del sito http://www.sanpaoloimprese.com/ Documento pubblicato su licenza di Ipsoa Editore S.r.l. Copyright Ipsoa Editore S.r.l. Fonte: PMI - Il mensile della piccola e media impresa, Ipsoa Editore Pagina 4 di 4

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back