Privacy e protezione dei dati

Transcript

Privacy e protezione
dei dati
Gruppo di studio Sicurezza sul lavoro
e Privacy
La “nuova privacy” ci porta ad
identificare una:
Componente informatica
Componente legale
Componente organizzativa
e Privacy
La Privacy
e Privacy
La privacy
Il Codice in materia di protezione
dei dati personali
(D.Lgs 30/06/2003 n. 196)
e Privacy
La privacy
“Chiunque ha diritto alla protezione
dei dati personali che lo
riguardano”
(art. 1 del Codice)
e Privacy
La privacy
Razionalizzare le numerose
disposizioni, eliminarle dove
ridondanti, semplificarle e
aggiornarle
=
Obiettivo del Codice sulla Privacy
e Privacy
L’evoluzione normativa
L. 675/96
(tutela delle persone
e altri soggetti rispetto
al trattamento dei
dati personali)
DPR 318/99
(regolamento recante
norme per l’individuazione
delle misure minime di
sicurezza per il trattamento
dei dati personali)
Codice in materia
di protezione dei
dati personali
D.Lgs 196/2003 s.m.i.
e Privacy
Altre norme
La struttura del Codice
PARTE I
PARTE II
Norme di
Carattere
generale
relative a
qualsiasi
tipo di
trattamento
dati
Norme riferite
a trattamenti
effettuati in
ambiti
particolari:
-Pubb.Amm.
-Giudiziario
-Sanitario
- Lavoro
- ecc.
PARTE III
ALLEGATI
Norme riferite
alla tutela
dell’interessato
e sanzioni
A) Codici
deontologici
B) Disciplinare
tecnico
in materia di
misure minime
di sicurezza
C) Trattamenti
non occasionali
in ambito
Giudiziario o
per fini di Polizia
e Privacy
Alcune definizioni …
Qualunque operazione, o complesso di operazioni, effettuati anche senza
l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione,
l’organizzazione, la conservazione, la consultazione, l’elaborazione,
la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, la
TRATTAMENTO
interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione
e la distruzione dei dati, anche se non registrati in una banca dati
DATO
PERSONALE
DATI
IDENTIFICATIVI
DATI SENSIBILI
Qualunque informazione relativa a persona fisica, persona
giuridica, ente o associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale
I dati personali che permettono l’identificazione dell’interessato
I dati personali idonei a rivelare l’origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato
salutesul
e lavoro
la vita sessuale
Gruppo di studio di
Sicurezza
e Privacy
Ruoli coinvolti
SOGGETTI CHE EFFETTUANO
IL TRATTAMENTO
SOGGETTI CHE “SUBISCONO”
IL TRATTAMENTO
RESPONSABILE
INTERESSATO
TITOLARE
Persona fisica,
giuridica,pubb.
amm.ne, ente,
associazione
od organismo
cui competono
le decisioni in
ordine alle
finalità e
modalità del
trattamento
INCARICATO
Persona fisica,
giuridica,pubb. Persona fisica
amm.ne, ente, autorizzata a
compiere
associazione
od organismo operazioni di
trattamento
preposti dal
dal titolare
titolare al
o dal
trattamento
dei dati
responsabile
personali
e Privacy
Persona fisica
o giuridica, ente
o associazione cui
si riferiscono i dati
… alcuni dei caratteri principali
REGOLE GENERALI E PARTICOLARI PER ALCUNI SETTORI SPECIFICI
L’aspetto Organizzativo
Le indicazioni nella
informativa
Il titolare del trattamento deve organizzarsi anche sotto
l’aspetto tecnologico per consentire l’adeguata
applicazione della norma
Il titolare del trattamento deve indicare nell’informativa
da rilasciare all’interessato le categorie di soggetti,
responsabili e/o incaricati, che possono trattare i dati
Le nuove misure
minime di sicurezza
Previsione nel Disciplinare tecnico in materia di misure
Minime di sicurezza (allegato B)
La notifica al Garante
La notificazione dei trattamenti va effettuata solo nei
casi indicati espressamente dal codice. Cade pertanto
l’obbligo di notifica generalizzato
La trasmissione della
notifica
Esclusivamente per via telematica e con firma digitale
e Privacy
… alcuni dei caratteri principali (2)
REGOLE GENERALI E PARTICOLARI PER ALCUNI SETTORI SPECIFICI
Dati sulla salute
E’ prevista una particolare disciplina per il trattamento
dei dati sulla salute per finalità sanitarie; informativa e
consenso possono essere raccolte dai medici coi quali
normalmente si è più a contatto. Le ricette devono
evitare di rendere evidente il nome del paziente
Le informazioni
commerciali
E’ prevista la realizzazione di un codice di condotta per
i trattamenti di dati a fini di informazione commerciale,
soprattutto allo scopo di garantire l’aggiornamento
e l’esattezza dell’informazione trattata
I codici deontologici
Il codice prevede l’istituzione di regole di settore tramite
la realizzazione di appositi codici deontologici
e Privacy
Cosa fare in azienda
Creare tra le risorse aziendali una vera
e propria
“CULTURA SULLA PRIVACY”
Affinché la normativa sia applicata
correttamente e con continuità nel
tempo
e Privacy
L’organizzazione interna
Struttura delle Nomine
Aggiornamento e revisione degli adempimenti
-
Notifica
-
Informativa
-
Gestione del consenso
-
Adozione delle misure minime di sicurezza
Informazione e formazione del personale
e Privacy
La struttura delle nomine
Occorre procedere alla:
- Nomina del/i responsabile/i del trattamento
- Nomina degli incaricati del trattamento
• La nomina del Responsabile/i del trattamento non è
un adempimento obbligatorio
e Privacy
Il Responsabile
L’importanza della nomina di uno o più
Responsabili del Trattamento è direttamente
proporzionale alla complessità
dell’organizzazione aziendale
Tanto più l’azienda è articolata per Divisioni, Aree,
Funzioni, ecc., tanto più diventa necessario
distribuire le competenze tipiche del
Responsabile del Trattamento su più persone
e Privacy
Il Responsabile
Il Responsabile, se designato, è individuato tra
soggetti che per esperienza, capacità ed affidabilità
forniscono idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi
compreso il profilo della sicurezza
Il Responsabile può essere un soggetto (persona
fisica o giuridica) anche esterno all’azienda
e Privacy
Il Responsabile
La nomina di uno o più Responsabili non vuole
rappresentare un esonero di responsabilità del
Titolare, soprattutto in campo penale, ma
certamente come attenuazione della stessa
Il
Titolare deve fornire ai Responsabili chiara
identificazione dei compiti attribuiti, dell’ambito di
responsabilità e porre in essere periodica attività di
controllo
e Privacy
Gli Incaricati
Le operazioni di trattamento possono essere
effettuate solo da incaricati che operano sotto la
diretta autorità del Titolare o Responsabile,
attenendosi alle istruzioni impartite.
Non necessariamente l’incaricato è un dipendente
dell’Azienda, ma può trattarsi di un consulente o
collaboratore esterno
e Privacy
Gli Incaricati
Il Responsabile dovrebbe identificare i criteri da
seguire per l’individuazione degli incaricati in
modo tale da procedere alla nomina delle sole
persone preposte ad attività che comportano un
rilevante e non occasionale o marginale
trattamento di dati personali
Il Disciplinare tecnico (all. B), nel caso di trattamenti
con strumenti elettronici, individua la figura
dell’Incaricato alla custodia di copia delle
credenziali
e Privacy
La struttura delle nomine
Esempio di organigramma della privacy
centro di
Competenza
(uomo privacy)
TITOLARE
Responsabile
Esterno
Incaricato
Responsabile
Interno
Preposto alla
custodia di copia
delle credenziali
Incaricato
e Privacy
Rapp.Nazionale
Titolare Estero
Incaricato
Aggiornamento e revisione degli
adempimenti - La notificazione
Dal 01-01-2004
Esonero Generalizzato
tranne che per i trattamenti:
La notifica
- effettuati con l’ausilio di strumenti elettronici volti alla definizione del
profilo o personalità dell’interessato o all’analisi di abitudini o
scelte di consumo …
- che riguardano dati sensibili registrati in banche dati a fini di selezione
del personale per conto terzi, nonché per sondaggi di opinione,
ricerche di mercato o altre ricerche campionarie
- che riguardano dati registrati in apposite banche di dati gestite con
strumenti elettronici e relative al rischio sulla solvibilità
economica, alla situazione patrimoniale, al corretto adempimento
di obbligazioni, a comportamenti illeciti o fraudolenti
- altri di cui all’art. 37 (dati genetici, idonei a rivelare lo stato di salute, ecc.)
e Privacy
adempimenti - La notificazione
Il 1° Gennaio 2004 rappresenta occasione per rifare:
- censimento di tutte le banche dati interne
- censimento delle tipologie di trattamenti effettuati
- opera di sensibilizzazione al personale dipendente sulla
necessità di segnalare ogni nuovo e diverso trattamento
rispetto a quelli già censiti
e Privacy
adempimenti - I tempi della notificazione
Nei casi di trattamento previsti dall’art. 37…
Per le attività di trattamento dei dati che non esistevano prima del 0101-2004, la notificazione va effettuata prima che inizi il trattamento
medesimo
Per i trattamenti già in essere prima del 01-01-2004, la notificazione si
può effettuare entro il 30-04-2004
L’obbligo di notificazione va ripetuto anteriormente alla cessazione
del trattamento o al mutamento di taluno degli elementi da
indicare nella notificazione medesima
e Privacy
adempimenti – L’informativa
L’Interessato o la persona presso la quale sono raccolti i dati
personali devono essere PREVIAMENTE INFORMATI
oralmente o per iscritto circa:
- Le finalità e le modalità del trattamento cui sono destinati i dati
- La natura obbligatoria o facoltativa del conferimento dei dati
- Le conseguenze di un eventuale rifiuto di rispondere
- I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati
o che possono venirne a conoscenza in qualità di responsabili o incaricati, e
l’ambito di diffusione dei dati medesimi
- I suoi diritti
- Gli estremi identificativi del titolare e (se designati) del Rappresentante nel
territorio dello Stato e del Responsabile
- Gli estremi di un Responsabile qualora designati più di uno, indicando il sito
della rete di comunicazione o le modalità attraverso le quali è conoscibile in
modo agevole l’elenco aggiornato dei Responsabili
e Privacy
adempimenti – L’informativa
In questo adempimento si scontrano due esigenze:
- la necessità di fornire un’informativa che risponda ai
requisiti di dettaglio e di completezza richiesti dalla
normativa
- disporre di uno spazio sufficiente nella normale
modulistica amministrativo contrattuale normalmente
utilizzata per comprendere tutte le informazioni
previste dalla normativa
e Privacy
adempimenti – Le misure di sicurezza
Il codice mantiene la distinzione tra:
Misure di sicurezza
Misure di sicurezza
MINIME
IDONEE
e Privacy
Le misure minime di sicurezza
Il Codice - a differenza della Legge 675/96 –
distingue le misure di sicurezza in relazione
Trattamenti con
strumenti elettronici
Trattamenti con
Strumenti non elettronici
Le Modalità tecniche di attuazione delle Misure Minime di
Sicurezza sono previste nel Disciplinare Tecnico (allegato B)
Il Disciplinare Tecnico individua ulteriori misure minime per
il trattamento di dati sensibili e giudiziari
e Privacy
Trattamenti con strumenti elettronici
Identificazione delle misure minime di sicurezza
Autenticazione Informatica
Procedure di gestione delle credenziali di autenticazione
Utilizzazione di un sistema di autorizzazione
Aggiornamento periodico dell’ambito di trattamento consentito
agli incaricati e addetti alla gestione e manutenzione sistemi
e Privacy
Trattamenti con strumenti elettronici
Identificazione delle misure minime di sicurezza
Protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti, accessi non consentiti
Procedure per la custodia di copie di back-up,
il ripristino della disponibilità dei dati e dei sistemi
Redazione e aggiornamento del documento
Programmatico sulla sicurezza (DPS)
Adozione di tecniche di cifratura o codici identificativi per determinati
trattamenti di dati sensibili effettuati da organismi sanitari
e Privacy
La sfida organizzativa
Procedure
Di aggiornamento
Di gestione
Di controllo
e Privacy
La costruzione del Sistema DataPrivacy (esemplificazione)
Identificazione dei ruoli e gestione delle nomine (organigramma
privacy) - Titolare, Responsabile/i, incaricati, custode di copia delle
credenziali, altri eventuali (responsabile gestione strumenti elettronici,
incaricato copie di sicurezza…)
Identificazione delle sedi ed uffici ove avvengono i trattamenti
Censimento di tutte le banche dati presenti in azienda (descrizione
banca dati, tipi di dati trattati (dati comuni, sensibili, giudiziari), categorie di
interessati, finalità del trattamento, tipo di trattamento (con o senza strumenti
elettronici), ecc.)
Identificazione degli strumenti di elaborazione e dei software usati
per il trattamento (descrizione strumento, sistema operativo, modalità di utilizzo
(stand alone / rete), gestione antivirus, ecc.)
e Privacy
Impostazione della modulistica
(informativa, lettere di incarico,
istruzioni agli incaricati, ecc.)
(notifica,
informativa, gestione del consenso)
Adeguamento alle misure minime di sicurezza
(sistema di
autenticazione informatica, sistema di autorizzazione, altre misure di
sicurezza (antivirus con controlli semestrali, aggiornamento sw con
controlli annuali …), gestione salvataggi, ecc.)
e Privacy
Redazione del Documento Programmatico della Sicurezza (entro il 31
marzo di ogni anno) che contenga idonee informazioni al riguardo:
- elenco dei trattamenti
- distribuzione compiti e responsabilità
- analisi dei rischi che incombono sui dati
- le misure da adottare per garantire l’integrità e disponibilità dei dati
- criteri e modalità di ripristino dati
- previsione degli interventi formativi agli incaricati al trattamento
- criteri da adottare per garantire l’adozione delle misure minime di
sicurezza in caso di dati affidati all’esterno della struttura del
Titolare
- criteri da adottare per la cifratura o separazione dagli altri dati nel caso
di
dati idonei a rivelare lo stato di salute e la vita sessuale
Formazione periodica del personale a seconda delle funzioni ricoperte
e Privacy
Le violazioni(I danni cagionati con il
trattamento)
“Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai
sensi dell’art. 2050 del codice civile se non prova di avere
adottato tutte le misure IDONEE ad evitare il danno”
(Resp.civile)
L’interessato leso non dovrà provare la colpa del Titolare
ma solo il nesso di casualità,
ovvero:
- Che il danno si sia realizzato
- Che il danno dipenda dall’attività di trattamento
e Privacy
rav
I ne
ità
co
ntr ffica
av i s
v. e
ric
co
gio
re
g
ità
Ma
g
rav
re
g
Mi
no
Violazioni amministrative
Art.
Tipologia
Importo Codice
161
Omessa, inidonea informativa
€ 6.000 - 36.000
x
2/5
x2
x4
162com.1
Cessione dati in violazione
disposizioni Codice
€ 10.000 - 60.000
x
2/5
x2
x4
162com.2bis
Violazione delle misure minime
di sicurezza
€ 20.000 - 120.000
x
2/5
x2
x4
162com.2bis
Trattamento illecito di dati
€ 20.000 - 120.000
x
2/5
x2
x4
162com.2ter
Inosservanza dei provvedimenti
di prescrizione di misure
necessarie o di divieto
€ 30.000 -180.000
x
2/5
x2
x4
163
Omessa, incompleta
Notificazione
€ 20.000 - 120.000
x
2/5
x2
x4
164
Omessa informazione
esibizione Garante
€ 10.000 - 60.000
x
2/5
x2
x4
e Privacy
SANZIONE ACCESSORIA (art.165): Pubblicazione ordinanza-ingiunzione
Illeciti Penali
Art.
Tipologia
Sanzione Codice
167
Trattamento Illecito dei dati
DC Recl 6-18 mesi
DS Recl 12-36 mesi
168
Falsità in dichiarazioni e notificazioni al Garante
Reclusione 6-36 mesi
169
Omissione di Misure minime di sicurezza
Arresto sino 2 anni
+art.162,com.2-bis
170
Inosservanza di provvedimenti del Garante
Reclusione 3-24 mesi
+art.162,com.2-ter
e Privacy
PENA ACCESSORIA (art.172): Pubblicazione sentenza
Illeciti Penali
Omessa adozione delle misure di sicurezza
Il Codice consente alle imprese pubbliche o
private che abbiano compiuto il reato la
possibilità di regolarizzare la propria
posizione anche ai fini penali
RAVVEDIMENTO OPEROSO
(art. 169 D.Lgs 196/03)
Regolarizzazione in ottemperanza a una
prescrizione del Garante ed entro un
termine non superiore a sei mesi
Versamento di una somma pari al
quarto del massimo dell’ammenda
prevista (ovvero 12.500 euro)
e Privacy
Le principali scadenze
31 Marzo di
ogni anno
Redazione del Documento
Programmatico sulla Sicurezza così
come previsto dall’art.34 del D.Lgs
196/03 e con le modalità identificate
dal Disciplinare Tecnico (All.B).
Il Titolare riferisce nella relazione
accompagnatoria al Bilancio della
redazione/aggiornam. del DPS
e Privacy
Le principali scadenze (2)
Dal 15 dicembre 2009
Provvedimento per gli amministratori di sistema
del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) inerente “Misure e
accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di amministratore di sistema” prevede:
Registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di
elaborazione e agli archivi elettronici;
Verifica della attività almeno annuale dell'operato degli amministratori di sistema
Elenco degli amministratori di sistema e loro caratteristiche
Valutazione dell’esperienza, capacità, e affidabilità degli amministratori di sistema
e Privacy
La privacy richiede…
Trattamento di dati personali
-Credenziali di autenticazione (ad es.
parola chiave e codice identificativo dispositivo - biometria)
-Adozione Documento programmatico
sulla sicurezza (DPS)
Trattamento di dati sensibili e giudiziari
-Le misure previste per i dati comuni
-Utilizzo di idonei strumenti per gli accessi
abusivi (firewall)
-Gestione supporti di memorizzazione
rimovibili, previsione di istruzioni per
custodia e uso, istruzioni per il loro
riutilizzo ed eventuale distruzione
-Profili di autorizzazione
(chi fa che cosa)
-Installazione di programmi antivirus
-Ripristino accesso ai dati e strumenti
(piani di disaster recovery)
-Aggiornamento periodico di programmi
per prevenire vulnerabilità e correggerne
gli errori
-Il back-up dei dati(ossia la copia degli
stessi)
e Privacy
DPS e verifica
Adempimenti
On-line
Semplificazioni
La legge 6 agosto 2008 n. 133 di conversione, con modificazioni, del
decreto-legge 25 giugno 2008, n. 112 e il Provvedimento del Garante
del 27 novembre 2008 (G.U. n. 287 del 9 dicembre 2008) hanno
apportato introdotto alcune semplificazioni per quanto concerne le
misure minime di sicurezza previste dall’art.34 distinguendo 2 distinti
profili di titolari ammessi all’adozione di misure semplificate
Il profilo di rischio sanzionatorio si aggrava per chi si avvale delle
semplificazioni senza averne titolo: ci si espone oltre all’art.169 anche
all’art. 168.
e Privacy
Destinatari delle semplificazioni (1)
Soggetti pubblici o privati che:
utilizzano dati personali non sensibili o che trattano come unici
dati sensibili riferiti ai propri dipendenti e collaboratori anche a
progetto quelli costituiti dallo stato di salute o malattia senza
indicazione della relativa diagnosi, ovvero dall'adesione a
organizzazioni sindacali o a carattere sindacale;
trattano dati personali unicamente per correnti finalità
amministrative e contabili, in particolare presso liberi
professionisti, artigiani e piccole e medie imprese (cfr. art. 2083
cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla
disciplina comunitaria dei criteri di individuazione di piccole e
medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre
2005, n. 238).
e Privacy
Per capire se un soggetto rientra in una delle due categorie, si
devono innanzitutto elencare ed analizzare tutti i trattamenti di dati
che esso effettua in qualità di titolare (o contitolare); dall’analisi
risulterà che ciascun trattamento è connotato almeno dalle seguenti
informazioni:
tipi di dati trattati (personali, identificativi, sensibili, giudiziari,
ecc.)
categoria di interessati;
modalità di trattamento;
finalità;
Da queste informazioni si può desumere se il trattamento consente al
titolare di rientrare in una delle due categorie (a) o (b)
e Privacy
Se a causa anche di uno solo dei trattamenti effettuati, il titolare non
rientrasse in nessuna delle due categorie e quindi appartenesse alla
categoria (c), dovrebbe rinunciare all’adozione delle misure
semplificate e ricorrere a quelle “rigorose”, stabilite nell’Allegato B del
Codice.
e Privacy
Procedura pratica (1)
Attribuire a ciascun trattamento una classe di appartenenza:
A. dati personali (né sensibili, né giudiziari) trattati unicamente per
correnti finalità amministrative e contabili
B. dati personali trattati per altre finalità rispetto ad A)
C. dati sensibili riferiti ai propri dipendenti e collaboratori anche a
progetto inerenti solo allo stato di salute o malattia senza
indicazione della relativa diagnosi, ovvero all'adesione a
organizzazioni sindacali o a carattere sindacale
D. dati giudiziari ovvero dati sensibili di altra natura (stato di salute
con indicazione della diagnosi, vita sessuale, convinzioni
religiose, politiche o filosofiche, etnia o razza) e/o riferiti ad altri
soggetti rispetto a C)
e Privacy
Procedura pratica (2)
Insieme di tutti i trattamenti di classe
A,B,C,D = Soggetti di categoria (c)
Insieme di tutti i trattamenti di
classe A,B,C =
Soggetti di categoria (a)
Insieme di tutti i
trattamenti di classe A
Soggetti di categoria
Gruppo (b):
di studio Sicurezza sul lavoro
artigiani, professionisti, piccoli imprenditori, PMI
e Privacy
Misure differenziate (1)
Trattamenti effettuati senza l’ausilio di strumenti elettronici
Soggetti di gruppo b)
Trattamenti solo di classe A
Lettere di incarico scritte
Soggetti di gruppo a)
Soggetti di gruppo c)
Trattamenti di classe A,B,C Trattamenti di classe A,B,C,D
Controllo uso e accesso
semplificato a dati sensibili
Controllo uso e accesso
rigoroso a dati sensibili e
giudiziari
Istruzioni anche orali
Istruzioni scritte
DPS semplificato oppure
Autocertificazione
Autocertificazione
Regolamento trattamento
dati
e Privacy
Misure differenziate (2)
Trattamenti effettuati con l’ausilio di strumenti elettronici
Soggetti di gruppo b)
Trattamenti solo di classe A
Autenticazione informatica
semplificata
Autorizzazione informatica
semplificata
Altre misure di sicurezza semplificate
DPS semplificato oppure
Autocertificazione
Soggetti di gruppo a)
Trattamenti di classe A,B,C
Autenticazione informatica
semplificata
Autorizzazione informatica
semplificata
Altre misure di sicurezza semplificate
Soggetti di gruppo c)
Trattamenti di classe A,B,C,D
Autenticazione informatica rigorosa
Autorizzazione informatica rigorosa
Controllo uso e accesso semplificato
a dati sensibili
Autocertificazione
Altre misure di sicurezza rigorose
Ulteriori misure per dati sensibili e
giudiziari
Misure di tutela (nota integrativa di
bilancio)
Controllo uso e accesso rigoroso a
dati sensibili e giudiziari
Istruzioni scritte
DPS rigoroso
Provvedimento per amministratori di
sistema
Provvedimento per amministratori di
sistema
e Privacy
La Sicurezza
e Privacy
Gestionale
Aziendale
Navigazione
Consultazione
Sito Web
Postazioni di
Lavoro Mobili
VPN
Telelavoro
Posta Elettronica
Computer
Ricerca di
Informazioni
Utilizzatori
della rete interna
e Privacy
Cos’è la Sicurezza
Essere sicuri, non avere timori
Sicurezza dei propri dati
Salvaguardia hardware
Reputazione
Valutazione dei rischi
Principi: difese multiple, ..., semplicità, ...
E' un processo, non un prodotto
e Privacy
Da Chi Difendersi
Cracker (hacker, script kiddies)
Malware (virus, spyware)
DoS (Denial of Service)
Web (siti pericolosi e non appropriati)
Furto (identità e dati)
Bounce attack
Esempi:
SQL Slammer (virus su SQL)
Hacker cattura audio e video di un giornalista
e Privacy
Difese
Security through obscurity
“non mi faccio vedere”
Aggiornamenti
Antivirus
Filtro su Siti Web
Crittografia
VPN
Firewall
e Privacy
Autenticazione
Sistema di Autenticazione
Gestione del Dominio Aziendale
HUB
Server
Work-Station
e Privacy
Autenticazione
HUB
Richiesta
Autorizzazione
e Privacy
Server
Work-Station
Autenticazione
HUB
Autorizzazione
Concessa
e Privacy
Server
Work-Station
Autenticazione
Ogni incaricato deve avere una credenziale di
identificazione (user+password, biometria…)
Sostituzione delle credenziali ogni 6 mesi
Diversi profili di autorizzazione
e Privacy
Autenticazione
sistemi operativi “Home”
Non possono gestire accessi sicuri con password
Accessibilità diretta ai dati locali
Installazioni incontrollate di software
Windows 95/98/ME
Windows XP HOME
Windows Vista Home
e Privacy
Autenticazione
sistemi operativi “Server/Professional”
Gestiscono accessi sicuri con password
Accessibilità autenticata ai dati locali
Installazioni controllate di software
Unix, Linux
Windows NT Server/Workstation
Windows 2k Server/Professional
Windows 2k3 Server
Windows XP Professional
Windows Vista Business Premium
e Privacy
Sistemi anti-intrusione
Firewall e Antivirus
e Privacy
Firewall: anti-intrusione
Antivirus: analisi contenuti
Firewall = Muro tagliafuoco. Protezione volta ad
evitare che utenti non autorizzati (o programmi)
penetrino nel nostro computer via internet.
Antivirus = Applicativo che analizzando i contenuti
di file, email…, cerca di individuare e rimuovere
possibili virus.
e Privacy
co
c
a
t
At
Router
er
k
c
ha
Internet
Em
a il C
on V
e Privacy
irus
FIREWALL
+ ANTIVIRUS
ac
Att
HUB
co
ker
c
a
h
Internet
Em
a il C
on V
e Privacy
irus
Aggiornamenti Richiesti dalla Legge
Aggiornamenti annuali dei sistemi e software
installati
Definizione delle tabelle attacchi del Firewall
Definizione delle liste Antivirus
Aggiornamenti semestrali per dati sensibili e
giudiziari
e Privacy
Protezione dati
Cifratura dei Dati
Per i dati idonei a rivelare lo stato di salute e la vita sessuale, è
prevista l’individuazione di criteri da adottare per la cifratura o per la
separazione di tali dati dagli altri dati personali dell’interessato
Trasporto dei dati
I dati relativi all’identità genetica sono trattati esclusivamente
all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed
ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei
dati all’esterno dei locali riservati al loro trattamento deve avvenire in
contenitori muniti di serratura o dispositivi equipollenti; il trasferimento
dei dati in formato elettronico è cifrato
e Privacy
Protezione dati
Gruppo di continuità
Evita “brusche cadute” di
alimentazione che
potrebbero causare danni ai
database
Sistemi di Disaster
Recovery e ripristino dati
entro 7 giorni (dati
sensibili)
Back-up settimanali
Server secondari o remoti
Uffici remoti
Hard-disk esterni
Unità nastro (DAT)
Supporti CD-Rom o DVD
Back-up via Rete
e Privacy

Privacy e protezione dei dati

Transcript

Documenti analoghi

about:blank

Associazione KI NO KENKYUKAI Italia

ADOPTED RESOLUTIONS • International

Il segreto professionale e la tutela della privacy (ed - corsi-ecm

LEMALO S.r.l. Largo Guido Buzzelli, 10 00127 Roma P.I. e C.F.

Non siamo contrari a tracciare i passeggeri in Europa, privacy e

MICHELE CORRADINO LA DIFFICILE CONVIVENZA FRA LIBERTA

Il nuovo software per la tutela dei dati personali

Richiesta Volontario

INTERNET origine, evoluzione, aspetti chiave