Misure Minime di sicurezza
Transcript
Misure Minime di sicurezza
Seminario sulla privacy – Anno 2008 Roberto Bernardinello Misure Minime di sicurezza L’articolo 4 comma 3 e l’articolo 31 della legge 196/2003 definiscono cosa sono le misure minime: Articolo 4 3. Ai fini del presente codice si intende, altresì, per: a) "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31; … Articolo 31 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Innanzitutto è necessario definire chi deve adottare, ed in quali ambiti, queste misure. Infatti a seconda del tipo di trattamento cambiano le misure minime obbligatorie: - chi tratta dei dati con strumenti elettronici (punti 1-18 D.T. ed il D.P.S.) chi tratta dati senza l’uso di strumenti elettronici (punti 27-29 D.T.) chi tratta dati sensibili o giudiziari (punti 19-24 D.T.) E’ importante notare che non è l’uso di un computer ad implicare l’adozione delle misure minime, ma il fatto di utilizzare questi strumenti per il trattamento dei dati. Se per esempio il computer dell’associazione è usato solo per la navigazione web o attività “ricreative”, e non per scrivere e salvare documenti relativi all’associazione, allora si rientra nel caso del trattamento “senza l’ausilio di strumenti elettronici”. D’altra parte però, il solo fatto di usare il PC per lo scambio di e-mail o per creare locandine o lettere potrebbe implicare la presenza di un “trattamento”. Esempi di dati da proteggere presenti su un PC sono: - rubrica ed e-mail del programma di posta - lettere dirette a volontari o altri (se hanno una intestazione) e relative etichette - fogli di calcolo (o altre banche dati) usati per memorizzare i soci o i servizi prestati agli utenti - programmi dedicati alla raccolta e manipolazione di dati - rubriche telefoniche dei cellulari… Non esistono esenzioni all’obbligo di adottare le misure minime per gli enti di piccole dimensioni o per le Associazioni, e devono pertanto essere adottate da tutti. Ad ogni modo il livello di complessità delle stesse va rapportato, di caso in caso, alle dimensioni dell’Associazione ed ai rischi effettivi che i dati corrono. Bisogna inoltre tenere a mente che la maggior parte delle misure imposte dovrebbero essere già in uso all’interno di ogni ambiente lavorativo o associativo, in quanto sono per lo più norme di buon senso e di buon utilizzo dei computer. 1 Seminario sulla privacy – Anno 2008 Roberto Bernardinello Tempi e scadenze Il termine ultimo entro cui Le misure minime dovevano essere adottate era il 31 marzo 2006. Misure minime ed idonee Le misure minime sono definite come l’insieme di procedure che vanno adottate seguendo le disposizioni della legge e del Disciplinare Tecnico allegato al codice stesso. La loro attuazione cancella i rischi di responsabilità penali a carico delle Associazioni, e quindi è consigliato mettersi a norma al più presto se non si è provveduto precedentemente. Il Disciplinare Tecnico è un allegato al Codice della privacy. Esso è un regolamento che definisce in maniera precisa quali sono le misure da adottare ed in quali casi. Trattandosi di un regolamento, non ha valore di legge come invece lo ha il Codice; questo permette di rendere molto più rapido e semplice l’aggiornamento delle misure da adottare, in funzione dell’evoluzione tecnologica. Di conseguenza le misure minime possono cambiare nel tempo. Sarà cura del CSV di Rovigo comunicare, tramite i suoi canali (sito e newsletter), cambiamenti significativi all’interno del Disciplinare Tecnico. Infine, le misure idonee sono ulteriori procedure e misure tecniche che un ente deve adottare in funzione dei rischi effettivi che i dati possono correre. Questi vanno valutati di caso in caso. In altre parole, le misure minime rappresentano un livello di sicurezza base le quali offrono di per sé un buon livello di sicurezza. In ambienti più complessi con molti PC però potrebbero essere misure non sufficienti. Di conseguenza il codice impone di valutare se sono necessarie “ulteriori” misure oltre quelle minime. La non adozione delle misure idonee può esporre l’Associazione alla responsabilità civile verso terzi ed un conseguente risarcimento dei danni. Quali sono le misure minime Le misure minime da adottare in caso di trattamento dei dati con mezzi informatici sono: - sistema di autenticazione - sistema di autorizzazione - sistema di protezione (antivirus e firewall) - salvataggio dei dati almeno settimanale - Documento Programmatico sulla Sicurezza (DPS) Il sistema di autenticazione consiste nel fornire ad ogni incaricato un codice di autenticazione personale che gli permetta di accedere ad un PC. La sua implementazione consiste nell’assegnazione di una o più coppie di username e password. Le credenziali di autenticazione sono strettamente personali e non devono essere diffuse ad altre persone. Una soluzione spesso consigliata è quella di conservarle all’interno di una busta chiusa. Il codice stabilisce inoltre 2 Seminario sulla privacy – Anno 2008 Roberto Bernardinello alcuni criteri che devono essere rispettati nello scegliere e gestire queste credenziali: - la password deve essere di almeno 8 caratteri, o il massimo consentito dal sistema in uso; - la password non deve contenere riferimenti facilmente riconducibili alla persona (come per esempio il proprio nome o quello di un parente prossimo); - la password deve essere sostituita almeno ogni 6 mesi; - se non utilizzate per almeno 6 mesi oppure se l’incaricato non è più tale oppure ancora se i suoi compiti sono cambiati e non comportano più il trattamento dei dati con mezzi elettronici, le credenziali devono essere revocate; - bisogna evitare che le postazioni rimangano incustodite e quindi utilizzabili da persone non incaricate. In pratica queste regole impongono la creazione di un account utente per ogni incaricato con una propria password, l’impostazione dello screensaver con password che si attivi in breve tempo (5-10 minuti) e l’impostazione di una password sul BIOS. Le tre password possono essere uguali se il computer è usato da un solo incaricato, altrimenti è necessario impostare una password sul BIOS comune (in quanto i computer permettono di inserirne una sola) ed ogni incaricato avrà una password per accedere al sistema e una per disattivare il salvaschermo/screensaver. Il sistema di autorizzazione è un sistema che permette di suddividere gli incaricati in classi o gruppi, ognuno dei quali ha permessi differenti nel trattamento dei dati. Per esempio un gruppo di incaricati ha il permesso di accedere solo ad alcuni dati, un altro gruppo può consultarli e modificarli ed un altro ancora può accedere ad alcuni dati che nessun altro gruppo/classe può disporre. Il sistema di autorizzazione è separato ed indipendente da quello di autenticazione, e la sua implementazione viene fatta usufruendo di funzioni avanzate di alcuni sistemi operativi moderni (Windows 2000/2003 o Linux) o a carico di programmi proprietari. In questa maniera si può limitare (o permettere) ad alcuni utenti l’accesso a determinati programmi o cartelle. Per l’implementazione del sistema di protezione è spesso necessario disporre di un server e di competenze tecniche avanzate che richiedono l’intervento di persone competenti e preparate. In caso di ambienti a bassa complessità si può, per semplicità, anche decidere di creare un solo profilo valido per tutti gli incaricati, che li autorizza ad agire per tutti i trattamenti. Il sistema di protezione consiste nell’adozione degli strumenti tecnologici per preservare gli strumenti elettronici da programmi malevoli (virus, spyware o altro) e da intrusioni non autorizzate. Questo comporta l’obbligo di adottare l’antivirus ed un firewall e di tenerli aggiornati assieme al resto del sistema. L’aggiornamento del sistema (Windows e Office praticamente) deve essere eseguito con cadenza almeno annuale, mentre per l’antivirus/firewall deve 3 Seminario sulla privacy – Anno 2008 Roberto Bernardinello essere fatta almeno ogni 6 mesi. Dal punto di vista pratico è consigliato controllare la presenza di aggiornamenti almeno settimanalmente o di automatizzare il tutto. Il salvataggio dei dati (e solo quelli, non dell’intero sistema) deve essere effettuato almeno una volta alla settimana. A seconda di quanti dati si devono salvare può essere sufficiente un floppy, oppure con l’aumento della quantità potrebbe rendersi necessario un CD/DVD. A livello teorico se non si trattano dati sensibili o giudiziari non è necessario far ricorso a supporti esterni e rimovibili, anche se dal punto di vista pratico ci sentiamo di consigliare sempre l’uso di supporti rimuovibili (floppy, CD/DVD, penne o hard disk usb, ecc…) e di conservarli in un luogo sicuro. Il documento programmatico sulla sicurezza (DPS) descrive al suo interno i trattamenti effettuati, l’elenco degli incaricati e i loro ruoli e responsabilità, l’analisi dei rischi che incombono sui dati, le misure di sicurezza adottate (non solo software), le procedure di back-up e ripristino dei dati e gli interventi formativi del personale. In pratica riepiloga tutte le misure minime adottate. Il DPS deve essere conservato presso la sede dell’Associazione. Per la sua compilazione si può ricorrere ai modelli messi a disposizione dal garante sulla privacy nel suo sito (www.garanteprivacy.it) o a quello fornito dal CSV (www.csvrovigo.it). Il DPS va aggiornato entro il 31 marzo di ogni anno, annotando eventuali cambiamenti di procedure, incaricati o gestione delle misure minime. Il DPS non è obbligatorio nel caso in cui si trattino i dati senza strumenti elettronici, ma consigliamo alle Associazioni di prepararne comunque uno molto semplice. In questo modo il documento “dimostra” che sono state adottate le misure previste dalla legge. Misure in caso di trattamento di dati giudiziari o sensibili Nel caso in cui l’Associazione tratti dati sensibili o giudiziari alcune delle misure precedenti subiscono alcune modifiche: - la sostituzione delle password di autenticazione deve avvenire ogni 3 mesi anziché 6 - l’aggiornamento del sistema deve avere cadenza almeno semestrale invece che annuale - i back-up devono essere mantenuti su supporti rimovibili e nel DPS devono essere descritte le procedure di conservazione e ripristino dei dati - i supporti esterni devono essere distrutti quando non sono più utilizzati o devono essere cancellati definitivamente per essere riutilizzati per altri scopi Amministratore di sistema interno o esterno Per la gestione delle misure minime può essere nominata, tramite una lettera di incarico, una persona interna od esterna all’Associazione, detta 4 Seminario sulla privacy – Anno 2008 Roberto Bernardinello Amministratore di sistema, che si occuperà di predisporre i computer in modo che siano in regola con le misure minime definite dal codice (autenticazione, autorizzazione, protezione, ecc…). In caso si faccia ricorso ad un tecnico esterno all’Associazione, questo sarà tenuto a rilasciare un attestato/certificato di conformità dichiarando quali interventi sono stati effettuati e attestando la conformità alle disposizioni del presente disciplinare tecnico. Questa certificazione non libera completamente l’Associazione dalle responsabilità e dagli altri obblighi (per esempio il costante aggiornamento di antivirus/firewall e sistema) che il codice prevede. Ad ogni modo consigliamo di esigere questo attestato anche solo per “responsabilizzare” il tecnico. Trattamento senza mezzi elettronici Il DPS non è obbligatorio ma lo consigliamo comunque per rappresentare in forma scritta come sono state adottate le seguenti misure, previste nel caso di trattamento dei dati senza strumenti elettronici (punti dal 27 al 29 del D.T.): - agli incaricati sono fornite le disposizioni riguardanti il controllo e la custodia dei documenti contenenti i dati (definibili nella lettera di incarico, si veda il fac-simile fornito dal CSV) - il trattamento di dati sensibili o giudiziari sia effettuato solo dagli incaricati preposti e non da terze persone - gli accessi di dati sensibili e giudiziari fuori dagli orari d’ufficio sono controllati e registrati (su un registro per esempio). Misure minime in pratica Abbiamo visto finora in cosa consistono le misure minime di sicurezza, ma cosa bisogna fare in pratica? Come abbiamo detto in precedenza, tali misure devono essere adottate da tutti gli enti che fanno uso di strumenti elettronici per trattare dati, senza deroghe legate alla dimensione dell’Associazione. Ripetiamo inoltre che il livello di complessità delle misure da adottare varia in proporzione alle dimensioni dell’Associazione e dei rischi effettivi corsi dai dati trattati. Per Associazioni dotate di un solo computer su cui svolgere il proprio lavoro, per essere in regola è sufficiente adottare le seguenti azioni: - definire le password per l’accensione del PC (tramite BIOS), per l’utente e per il salvaschermo di almeno 8 caratteri - se il PC è usato da più persone definire altrettanti utenti con password diverse - installare un software antivirus e tenerlo aggiornato (in genere l’aggiornamento avviene in maniera automatica attraverso la connessione ad internet) - se il computer è collegato ad internet installare un firewall; se si usa Windows XP/Vista tale firewall è già incluso se il sistema è aggiornato, altrimenti è necessario installarlo. In quest’ultimo caso consigliamo di acquistare uno dei pacchetti, tra quelli disponibili in commercio, che comprendono firewall ed antivirus insieme 5 Seminario sulla privacy – Anno 2008 Roberto Bernardinello - aggiornare il sistema (Windows ed Office in primis) almeno una volta alla settimana. Anche questa operazione è automatizzabile se si dispone di Windows XP/Vista evitare di installare ed usare software che mettono a rischio la sicurezza del PC (software di scambio file P2P per esempio) salvare settimanalmente su un CD o su una penna/hard disk usb le cartelle contenenti i dati su cui lavora l’Associazione preparare e tenere aggiornato il DPS L’adozione di queste misure ha come presupposto che l’Associazione possieda computer e software recenti (e legalmente posseduto), da Windows NT/2000/XP/Vista o Linux, che permette di adottare in pieno le misure minime previste con costi contenuti: a parte l’eventuale intervento di un tecnico l’unico costo è rappresentato dall’acquisto/rinnovo annuale di un antivirus/firewall. In caso l’Associazione disponga di computer datati con un sistema operativo non recente (Windows 98/ME in particolare) sorgono alcuni problemi. I limiti di queste versioni del sistema operativo comportano che un solo incaricato può usare il PC, in quanto l’unico modo per gestire l’autenticazione è tramite la password di accensione del BIOS che può essere una sola. Inoltre gli aggiornamenti per Windows 98 sono garantiti dal produttore solo fino al 30 giugno 2006 (a meno di deroghe), per cui non permetterà più di rispettare l’obbligo dell’aggiornamento annuale (o semestrale in caso di trattamento di dati sensibili o giudiziari – vedi sezione “Misure in caso di trattamento di dati giudiziari o sensibili”). Per questo motivo entro giugno 2007 (o gennaio in caso di dati giudiziari o sensibili) sarebbe stato necessario passare ad un sistema operativo più recente e supportato, cosa che spesso comporta il dover sostituire il PC. Impostare la password per l’utente Le istruzioni seguenti sono applicabili con poche variazioni anche a sistemi diversi da Windows XP/Vista: 1. Aprire il controllo pannello di 2. Selezionare la voce “Account utente” 6 Seminario sulla privacy – Anno 2008 Roberto Bernardinello 3. Selezionare il nome utente che interessa modificare 4. Scegliere “Crea Password” o “Modifica password” (nel caso l’utente abbia già una password e bisogna cambiarla/rinnovarla) 5. Inserire due volte la password nuova di almeno 8 caratteri Impostare la password dello screen saver 1. Aprite il Pannello di Controllo seguendo le istruzioni precedenti 2. Selezionare la voce “Schermo” (nel caso non sia visibile selezionare “Aspetto e temi” e poi “Schermo”) 7 Seminario sulla privacy – Anno 2008 Roberto Bernardinello 3. Selezionare la linguetta Screen Saver e attivare la voce “Al ripristino, proteggi con password” 4. Impostare su “Attesa” 5 o 10 minuti In questo modo, una volta attivato il salvaschermo per tornare a lavorare bisogna digitare di nuovo la password di accesso dell’utente. Aggiornare il sistema Per aggiornare il sistema (ed Office) è necessario essere collegati ad internet. Chi usa delle connessioni lente (56kb o ISDN) deve prestare attenzione al fatto che il primo aggiornamento potrebbe richiedere molto tempo per essere effettuato, anche alcune ore. Per Windows XP e Vista il servizio funziona solo se si è dotati di software originale dotato di licenza. 1. Aprire o cercare (per Vista), dal menù Start, Windows Update (una delle prime voci in alto) e si aprirà la pagina web dedicata all’aggiornamento dei prodotti Microsoft 2. Seguire le istruzioni a video, dato che la procedura varia a seconda della versione di Windows installata 3. Per aggiornare Office selezionare, nella parte superiore della pagina principale di Windows Update, Office Update/Famiglia di prodotti Office; arrivati nella sezione dedicata ad Office selezionare “Esegui rilevamento automatico aggiornamenti” e seguire le istruzioni. Fonti: Garante Privacy - http://www.garanteprivacy.it Marco Quiroz Vitale, Enti Non Profit – Privacy: a Marzo l’ultima chance per adeguarsi Davide Cester – La Privacy nelle Associazioni di Volontariato 8 Seminario sulla privacy – Anno 2008 Roberto Bernardinello ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Artt. da 33 a 36 del codice) Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 9 Seminario sulla privacy – Anno 2008 Roberto Bernardinello 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l'elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 19.3. l'analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 10 Seminario sulla privacy – Anno 2008 Roberto Bernardinello 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Trattamenti senza l'ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. 11 Seminario sulla privacy – Anno 2008 Roberto Bernardinello Atto di nomina dell’amministratore di sistema 1 L’Associazione “………………………………”, con sede in ……………………, in qualità di Titolare del trattamento dei dati personali [oppure] Il Responsabile del Trattamento dei dati dell’Asssociazione “……………………………” affida al signor/alla signora/alla ditta ……………………………, …………………………………………, l’incarico di amministratore di sistema per tutti gli elaboratori elettronici utilizzati presso l’Associazione. E’ compito dell’amministratore di sistema: presiedere al buon funzionamento del sistema informatico dell’Associazione adottare le misure di sicurezza elettroniche indicate e predisposte dal Titolare/Responsabile e vigilare sul loro buon funzionamento, aggiornamento e corretta applicazione attribuire ad ogni incaricato le credenziali di autenticazione, e verificarne il corretto uso, la sostituzione e la disattivazione nei casi previsti dalla legge adottare nei computer programmi antivirus e altri strumenti idonei a garantire la sicurezza nel trattamento dei dati, secondo quanto stabilito dal Codice della privacy e dal Disciplinare Tecnico, assicurando il loro aggiornamento o verificandone l’aggiornamento da parte degli incaricati predisporre con frequenza almeno settimanale le copie di back-up e conservarle in luogo sicuro attivare la procedura di ripristino dei dati in caso di perdita dei dati o distruzione/malfunzionamento degli strumenti elettronici partecipare agli incontri formativi sulla privacy per gli incaricati nella veste di relatore assistere il Titolare/Responsabile nella stesura e nell’aggiornamento del Documento Programmatico per la Sicurezza ……………………………………………………………… ……………………………………………………………… All’amministratore di sistema è consentito l’accesso ai dati personali contenuti nelle banche dati esclusivamente e solo per il tempo necessario per garantirne il buon funzionamento. Il titolare L’amministratore di sistema ……………………………………………… ………………………………… N.B. Cancellare le note a piè di pagina prima di stampare 1 Con riferimento alla nomina (facoltativa) dell’Amministratore di sistema, si vedano principalmente le D/R n. 18. 19 e 21. 12