Misure Minime di sicurezza

Seminario sulla privacy – Anno 2008
Roberto Bernardinello
Misure Minime di sicurezza
L’articolo 4 comma 3 e l’articolo 31 della legge 196/2003 definiscono cosa sono
le misure minime:
Articolo 4
3. Ai fini del presente codice si intende, altresì, per:
a) "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che
configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
…
Articolo 31
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di
accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Innanzitutto è necessario definire chi deve adottare, ed in quali ambiti,
queste misure. Infatti a seconda del tipo di trattamento cambiano le misure
minime obbligatorie:
-
chi tratta dei dati con strumenti elettronici (punti 1-18 D.T. ed il D.P.S.)
chi tratta dati senza l’uso di strumenti elettronici (punti 27-29 D.T.)
chi tratta dati sensibili o giudiziari (punti 19-24 D.T.)
E’ importante notare che non è l’uso di un computer ad implicare
l’adozione delle misure minime, ma il
fatto di utilizzare questi
strumenti per il trattamento dei dati. Se per esempio il computer
dell’associazione è usato solo per la navigazione web o attività “ricreative”, e
non per scrivere e salvare documenti relativi all’associazione, allora si rientra
nel caso del trattamento “senza l’ausilio di strumenti elettronici”. D’altra parte
però, il solo fatto di usare il PC per lo scambio di e-mail o per creare locandine
o lettere potrebbe implicare la presenza di un “trattamento”.
Esempi di dati da proteggere presenti su un PC sono:
- rubrica ed e-mail del programma di posta
- lettere dirette a volontari o altri (se hanno una intestazione) e relative
etichette
- fogli di calcolo (o altre banche dati) usati per memorizzare i soci o i
servizi prestati agli utenti
- programmi dedicati alla raccolta e manipolazione di dati
- rubriche telefoniche dei cellulari…
Non esistono esenzioni all’obbligo di adottare le misure minime per gli enti di
piccole dimensioni o per le Associazioni, e devono pertanto essere adottate da
tutti. Ad ogni modo il livello di complessità delle stesse va rapportato, di caso
in caso, alle dimensioni dell’Associazione ed ai rischi effettivi che i dati corrono.
Bisogna inoltre tenere a mente che la maggior parte delle misure imposte
dovrebbero essere già in uso all’interno di ogni ambiente lavorativo o
associativo, in quanto sono per lo più norme di buon senso e di buon utilizzo
dei computer.
1
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
Tempi e scadenze
Il termine ultimo entro cui Le misure minime dovevano essere adottate era il
31 marzo 2006.
Misure minime ed idonee
Le misure minime sono definite come l’insieme di procedure che vanno
adottate seguendo le disposizioni della legge e del Disciplinare Tecnico allegato
al codice stesso. La loro attuazione cancella i rischi di responsabilità
penali a carico delle Associazioni, e quindi è consigliato mettersi a norma al
più presto se non si è provveduto precedentemente.
Il Disciplinare Tecnico è un allegato al Codice della privacy. Esso è un
regolamento che definisce in maniera precisa quali sono le misure da adottare
ed in quali casi. Trattandosi di un regolamento, non ha valore di legge come
invece lo ha il Codice; questo permette di rendere molto più rapido e semplice
l’aggiornamento delle misure da adottare, in funzione dell’evoluzione
tecnologica. Di conseguenza le misure minime possono cambiare nel tempo.
Sarà cura del CSV di Rovigo comunicare, tramite i suoi canali (sito e
newsletter), cambiamenti significativi all’interno del Disciplinare Tecnico.
Infine, le misure idonee sono ulteriori procedure e misure tecniche che un
ente deve adottare in funzione dei rischi effettivi che i dati possono correre.
Questi vanno valutati di caso in caso. In altre parole, le misure minime
rappresentano un livello di sicurezza base le quali offrono di per sé un buon
livello di sicurezza. In ambienti più complessi con molti PC però potrebbero
essere misure non sufficienti.
Di conseguenza il codice impone di valutare se sono necessarie “ulteriori”
misure oltre quelle minime. La non adozione delle misure idonee può esporre
l’Associazione alla responsabilità civile verso terzi ed un conseguente
risarcimento dei danni.
Quali sono le misure minime
Le misure minime da adottare in caso di trattamento dei dati con mezzi
informatici sono:
- sistema di autenticazione
- sistema di autorizzazione
- sistema di protezione (antivirus e firewall)
- salvataggio dei dati almeno settimanale
- Documento Programmatico sulla Sicurezza (DPS)
Il sistema di autenticazione consiste nel fornire ad ogni incaricato un codice
di autenticazione personale che gli permetta di accedere ad un PC. La sua
implementazione consiste nell’assegnazione di una o più coppie di username e
password. Le credenziali di autenticazione sono strettamente personali e non
devono essere diffuse ad altre persone. Una soluzione spesso consigliata è
quella di conservarle all’interno di una busta chiusa. Il codice stabilisce inoltre
2
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
alcuni criteri che devono essere rispettati nello scegliere e gestire queste
credenziali:
- la password deve essere di almeno 8 caratteri, o il massimo consentito
dal sistema in uso;
- la password non deve contenere riferimenti facilmente riconducibili alla
persona (come per esempio il proprio nome o quello di un parente
prossimo);
- la password deve essere sostituita almeno ogni 6 mesi;
- se non utilizzate per almeno 6 mesi oppure se l’incaricato non è più tale
oppure ancora se i suoi compiti sono cambiati e non comportano più il
trattamento dei dati con mezzi elettronici, le credenziali devono essere
revocate;
- bisogna evitare che le postazioni rimangano incustodite e quindi
utilizzabili da persone non incaricate.
In pratica queste regole impongono la creazione di un account utente per ogni
incaricato con una propria password, l’impostazione dello screensaver con
password che si attivi in breve tempo (5-10 minuti) e l’impostazione di una
password sul BIOS. Le tre password possono essere uguali se il computer è
usato da un solo incaricato, altrimenti è necessario impostare una password sul
BIOS comune (in quanto i computer permettono di inserirne una sola) ed ogni
incaricato avrà una password per accedere al sistema e una per disattivare il
salvaschermo/screensaver.
Il sistema di autorizzazione è un sistema che permette di suddividere gli
incaricati in classi o gruppi, ognuno dei quali ha permessi differenti nel
trattamento dei dati. Per esempio un gruppo di incaricati ha il permesso di
accedere solo ad alcuni dati, un altro gruppo può consultarli e modificarli ed un
altro ancora può accedere ad alcuni dati che nessun altro gruppo/classe può
disporre.
Il sistema di autorizzazione è separato ed indipendente da quello di
autenticazione, e la sua implementazione viene fatta usufruendo di funzioni
avanzate di alcuni sistemi operativi moderni (Windows 2000/2003 o Linux) o a
carico di programmi proprietari. In questa maniera si può limitare (o
permettere) ad alcuni utenti l’accesso a determinati programmi o cartelle.
Per l’implementazione del sistema di protezione è spesso necessario disporre di
un server e di competenze tecniche avanzate che richiedono l’intervento di
persone competenti e preparate.
In caso di ambienti a bassa complessità si può, per semplicità, anche decidere
di creare un solo profilo valido per tutti gli incaricati, che li autorizza ad agire
per tutti i trattamenti.
Il sistema di protezione consiste nell’adozione degli strumenti tecnologici per
preservare gli strumenti elettronici da programmi malevoli (virus, spyware o
altro) e da intrusioni non autorizzate. Questo comporta l’obbligo di adottare
l’antivirus ed un firewall e di tenerli aggiornati assieme al resto del sistema.
L’aggiornamento del sistema (Windows e Office praticamente) deve essere
eseguito con cadenza almeno annuale, mentre per l’antivirus/firewall deve
3
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
essere fatta almeno ogni 6 mesi. Dal punto di vista pratico è consigliato
controllare la presenza di aggiornamenti almeno settimanalmente o di
automatizzare il tutto.
Il salvataggio dei dati (e solo quelli, non dell’intero sistema) deve essere
effettuato almeno una volta alla settimana. A seconda di quanti dati si devono
salvare può essere sufficiente un floppy, oppure con l’aumento della quantità
potrebbe rendersi necessario un CD/DVD. A livello teorico se non si trattano
dati sensibili o giudiziari non è necessario far ricorso a supporti esterni e
rimovibili, anche se dal punto di vista pratico ci sentiamo di consigliare sempre
l’uso di supporti rimuovibili (floppy, CD/DVD, penne o hard disk usb, ecc…) e di
conservarli in un luogo sicuro.
Il documento programmatico sulla sicurezza (DPS) descrive al suo interno
i trattamenti effettuati, l’elenco degli incaricati e i loro ruoli e responsabilità,
l’analisi dei rischi che incombono sui dati, le misure di sicurezza adottate (non
solo software), le procedure di back-up e ripristino dei dati e gli interventi
formativi del personale. In pratica riepiloga tutte le misure minime adottate. Il
DPS deve essere conservato presso la sede dell’Associazione.
Per la sua compilazione si può ricorrere ai modelli messi a disposizione dal
garante sulla privacy nel suo sito (www.garanteprivacy.it) o a quello fornito dal
CSV (www.csvrovigo.it).
Il DPS va aggiornato entro il 31 marzo di ogni anno, annotando eventuali
cambiamenti di procedure, incaricati o gestione delle misure minime.
Il DPS non è obbligatorio nel caso in cui si trattino i dati senza strumenti
elettronici, ma consigliamo alle Associazioni di prepararne comunque uno
molto semplice. In questo modo il documento “dimostra” che sono state
adottate le misure previste dalla legge.
Misure in caso di trattamento di dati giudiziari o sensibili
Nel caso in cui l’Associazione tratti dati sensibili o giudiziari alcune delle misure
precedenti subiscono alcune modifiche:
- la sostituzione delle password di autenticazione deve avvenire ogni 3
mesi anziché 6
- l’aggiornamento del sistema deve avere cadenza almeno semestrale
invece che annuale
- i back-up devono essere mantenuti su supporti rimovibili e nel DPS
devono essere descritte le procedure di conservazione e ripristino dei
dati
- i supporti esterni devono essere distrutti quando non sono più utilizzati o
devono essere cancellati definitivamente per essere riutilizzati per altri
scopi
Amministratore di sistema interno o esterno
Per la gestione delle misure minime può essere nominata, tramite una lettera
di incarico, una persona interna od esterna all’Associazione, detta
4
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
Amministratore di sistema, che si occuperà di predisporre i computer in modo
che siano in regola con le misure minime definite dal codice (autenticazione,
autorizzazione, protezione, ecc…). In caso si faccia ricorso ad un tecnico
esterno all’Associazione, questo sarà tenuto a rilasciare un attestato/certificato
di conformità dichiarando quali interventi sono stati effettuati e attestando la
conformità alle disposizioni del presente disciplinare tecnico.
Questa certificazione non libera completamente l’Associazione dalle
responsabilità e dagli altri obblighi (per esempio il costante aggiornamento di
antivirus/firewall e sistema) che il codice prevede. Ad ogni modo consigliamo di
esigere questo attestato anche solo per “responsabilizzare” il tecnico.
Trattamento senza mezzi elettronici
Il DPS non è obbligatorio ma lo consigliamo comunque per rappresentare in
forma scritta come sono state adottate le seguenti misure, previste nel caso di
trattamento dei dati senza strumenti elettronici (punti dal 27 al 29 del D.T.):
- agli incaricati sono fornite le disposizioni riguardanti il controllo e la
custodia dei documenti contenenti i dati (definibili nella lettera di
incarico, si veda il fac-simile fornito dal CSV)
- il trattamento di dati sensibili o giudiziari sia effettuato solo dagli
incaricati preposti e non da terze persone
- gli accessi di dati sensibili e giudiziari fuori dagli orari d’ufficio sono
controllati e registrati (su un registro per esempio).
Misure minime in pratica
Abbiamo visto finora in cosa consistono le misure minime di sicurezza, ma cosa
bisogna fare in pratica? Come abbiamo detto in precedenza, tali misure devono
essere adottate da tutti gli enti che fanno uso di strumenti elettronici per
trattare dati, senza deroghe legate alla dimensione dell’Associazione.
Ripetiamo inoltre che il livello di complessità delle misure da adottare varia in
proporzione alle dimensioni dell’Associazione e dei rischi effettivi corsi dai dati
trattati.
Per Associazioni dotate di un solo computer su cui svolgere il proprio lavoro,
per essere in regola è sufficiente adottare le seguenti azioni:
- definire le password per l’accensione del PC (tramite BIOS), per l’utente
e per il salvaschermo di almeno 8 caratteri
- se il PC è usato da più persone definire altrettanti utenti con password
diverse
- installare un software antivirus e tenerlo aggiornato (in genere
l’aggiornamento avviene in maniera automatica attraverso la
connessione ad internet)
- se il computer è collegato ad internet installare un firewall; se si usa
Windows XP/Vista tale firewall è già incluso se il sistema è aggiornato,
altrimenti è necessario installarlo. In quest’ultimo caso consigliamo di
acquistare uno dei pacchetti, tra quelli disponibili in commercio, che
comprendono firewall ed antivirus insieme
5
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
-
aggiornare il sistema (Windows ed Office in primis) almeno una volta alla
settimana. Anche questa operazione è automatizzabile se si dispone di
Windows XP/Vista
evitare di installare ed usare software che mettono a rischio la sicurezza
del PC (software di scambio file P2P per esempio)
salvare settimanalmente su un CD o su una penna/hard disk usb le
cartelle contenenti i dati su cui lavora l’Associazione
preparare e tenere aggiornato il DPS
L’adozione di queste misure ha come presupposto che l’Associazione possieda
computer e software recenti (e legalmente posseduto), da Windows
NT/2000/XP/Vista o Linux, che permette di adottare in pieno le misure minime
previste con costi contenuti: a parte l’eventuale intervento di un tecnico l’unico
costo è rappresentato dall’acquisto/rinnovo annuale di un antivirus/firewall.
In caso l’Associazione disponga di computer datati con un sistema operativo
non recente (Windows 98/ME in particolare) sorgono alcuni problemi. I limiti di
queste versioni del sistema operativo comportano che un solo incaricato può
usare il PC, in quanto l’unico modo per gestire l’autenticazione è tramite la
password di accensione del BIOS che può essere una sola. Inoltre gli
aggiornamenti per Windows 98 sono garantiti dal produttore solo fino al 30
giugno 2006 (a meno di deroghe), per cui non permetterà più di rispettare
l’obbligo dell’aggiornamento annuale (o semestrale in caso di trattamento di
dati sensibili o giudiziari – vedi sezione “Misure in caso di trattamento di dati
giudiziari o sensibili”).
Per questo motivo entro giugno 2007 (o gennaio in caso di dati giudiziari o
sensibili) sarebbe stato necessario passare ad un sistema operativo più recente
e supportato, cosa che spesso comporta il dover sostituire il PC.
Impostare la password per l’utente
Le istruzioni seguenti sono applicabili con poche variazioni anche a sistemi
diversi da Windows XP/Vista:
1. Aprire
il
controllo
pannello
di
2. Selezionare la voce “Account utente”
6
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
3. Selezionare il nome utente
che interessa modificare
4. Scegliere
“Crea
Password” o “Modifica
password” (nel caso
l’utente abbia già una
password e bisogna
cambiarla/rinnovarla)
5. Inserire due volte la
password nuova di almeno
8 caratteri
Impostare la password dello screen saver
1. Aprite il Pannello di Controllo seguendo le istruzioni
precedenti
2. Selezionare la voce “Schermo” (nel caso non sia visibile
selezionare “Aspetto e temi” e poi “Schermo”)
7
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
3. Selezionare la linguetta Screen Saver
e attivare la voce “Al ripristino,
proteggi con password”
4. Impostare su “Attesa” 5 o 10 minuti
In questo modo, una volta attivato il
salvaschermo per tornare a lavorare
bisogna digitare di nuovo la password di
accesso dell’utente.
Aggiornare il sistema
Per aggiornare il sistema (ed Office) è necessario essere collegati ad internet.
Chi usa delle connessioni lente (56kb o ISDN) deve prestare attenzione al fatto
che il primo aggiornamento potrebbe richiedere molto tempo per essere
effettuato, anche alcune ore. Per Windows XP e Vista il servizio funziona solo
se si è dotati di software originale dotato di licenza.
1. Aprire o cercare (per Vista), dal menù Start, Windows Update (una delle
prime voci in alto) e si aprirà la pagina web dedicata all’aggiornamento
dei prodotti Microsoft
2. Seguire le istruzioni a video, dato che la procedura varia a seconda della
versione di Windows installata
3. Per aggiornare Office selezionare, nella parte superiore della pagina
principale di Windows Update, Office Update/Famiglia di prodotti Office;
arrivati nella sezione dedicata ad Office selezionare “Esegui rilevamento
automatico aggiornamenti” e seguire le istruzioni.
Fonti:
Garante Privacy - http://www.garanteprivacy.it
Marco Quiroz Vitale, Enti Non Profit – Privacy: a Marzo l’ultima chance per
adeguarsi
Davide Cester – La Privacy nelle Associazioni di Volontariato
8
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
SICUREZZA
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e
dell'incaricato,
in caso di trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento di una procedura di autenticazione
relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un
dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure in una caratteristica
biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola
chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per
l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per
assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei
dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno
otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di
caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili
all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni
sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata
almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,
neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo
quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente
all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante
uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e
preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare
può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o
impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive
necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle
credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per
iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente
l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema
di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è
utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso
ai soli dati necessari per effettuare le operazioni di trattamento.
9
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per
classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui
all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici
da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità
di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con
frequenza almeno settimanale.
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati
giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico
sulla sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al
trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei
rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività,
delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime
adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio,
nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi
strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno
della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,
l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri
dati personali dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del
codice penale, mediante l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti
rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti
non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o
resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al
trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono
intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti
degli interessati e non superiori a sette giorni.
10
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei
dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche
di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il
trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare
direttamente gli interessati. I dati relativi
all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto
dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di
serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria
struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta
dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare
tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta,
dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e
dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati,
la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi
profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e
documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad
essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni
affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando
gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
11
Seminario sulla privacy – Anno 2008
Roberto Bernardinello
Atto di nomina dell’amministratore di sistema 1
L’Associazione “………………………………”, con sede in ……………………, in qualità di Titolare del trattamento dei dati personali
[oppure]
Il Responsabile del Trattamento dei dati dell’Asssociazione “……………………………”
affida
al signor/alla signora/alla ditta ……………………………, …………………………………………, l’incarico di amministratore di sistema
per tutti gli elaboratori elettronici utilizzati presso l’Associazione.
E’ compito dell’amministratore di sistema:
‰ presiedere al buon funzionamento del sistema informatico dell’Associazione
‰ adottare le misure di sicurezza elettroniche indicate e predisposte dal Titolare/Responsabile e vigilare sul loro
buon funzionamento, aggiornamento e corretta applicazione
‰ attribuire ad ogni incaricato le credenziali di autenticazione, e verificarne il corretto uso, la sostituzione e la
disattivazione nei casi previsti dalla legge
‰ adottare nei computer programmi antivirus e altri strumenti idonei a garantire la sicurezza nel trattamento dei
dati, secondo quanto stabilito dal Codice della privacy e dal Disciplinare Tecnico, assicurando il loro aggiornamento
o verificandone l’aggiornamento da parte degli incaricati
‰ predisporre con frequenza almeno settimanale le copie di back-up e conservarle in luogo sicuro
‰ attivare la procedura di ripristino dei dati in caso di perdita dei dati o distruzione/malfunzionamento degli
strumenti elettronici
‰ partecipare agli incontri formativi sulla privacy per gli incaricati nella veste di relatore
‰ assistere il Titolare/Responsabile nella stesura e nell’aggiornamento del Documento Programmatico per la
Sicurezza
‰ ………………………………………………………………
‰ ………………………………………………………………
All’amministratore di sistema è consentito l’accesso ai dati personali contenuti nelle banche dati esclusivamente e solo
per il tempo necessario per garantirne il buon funzionamento.
Il titolare
L’amministratore di sistema
………………………………………………
…………………………………
N.B. Cancellare le note a piè di pagina prima di stampare
1
Con riferimento alla nomina (facoltativa) dell’Amministratore di sistema, si vedano principalmente le D/R n. 18. 19 e
21.
12