Privacy e protezione dei dati
Transcript
Privacy e protezione dei dati
Privacy e protezione dei dati Gruppo di studio Sicurezza sul lavoro e Privacy La “nuova privacy” ci porta ad identificare una: Componente informatica Componente legale Componente organizzativa Gruppo di studio Sicurezza sul lavoro e Privacy La Privacy Gruppo di studio Sicurezza sul lavoro e Privacy La privacy Il Codice in materia di protezione dei dati personali (D.Lgs 30/06/2003 n. 196) Gruppo di studio Sicurezza sul lavoro e Privacy La privacy “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (art. 1 del Codice) Gruppo di studio Sicurezza sul lavoro e Privacy La privacy Razionalizzare le numerose disposizioni, eliminarle dove ridondanti, semplificarle e aggiornarle = Obiettivo del Codice sulla Privacy Gruppo di studio Sicurezza sul lavoro e Privacy L’evoluzione normativa L. 675/96 (tutela delle persone e altri soggetti rispetto al trattamento dei dati personali) DPR 318/99 (regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali) Codice in materia di protezione dei dati personali D.Lgs 196/2003 s.m.i. Gruppo di studio Sicurezza sul lavoro e Privacy Altre norme La struttura del Codice PARTE I PARTE II Norme di Carattere generale relative a qualsiasi tipo di trattamento dati Norme riferite a trattamenti effettuati in ambiti particolari: -Pubb.Amm. -Giudiziario -Sanitario - Lavoro - ecc. PARTE III ALLEGATI Norme riferite alla tutela dell’interessato e sanzioni A) Codici deontologici B) Disciplinare tecnico in materia di misure minime di sicurezza C) Trattamenti non occasionali in ambito Giudiziario o per fini di Polizia Gruppo di studio Sicurezza sul lavoro e Privacy Alcune definizioni … Qualunque operazione, o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, la TRATTAMENTO interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati DATO PERSONALE DATI IDENTIFICATIVI DATI SENSIBILI Qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale I dati personali che permettono l’identificazione dell’interessato I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato salutesul e lavoro la vita sessuale Gruppo di studio di Sicurezza e Privacy Ruoli coinvolti SOGGETTI CHE EFFETTUANO IL TRATTAMENTO SOGGETTI CHE “SUBISCONO” IL TRATTAMENTO RESPONSABILE INTERESSATO TITOLARE Persona fisica, giuridica,pubb. amm.ne, ente, associazione od organismo cui competono le decisioni in ordine alle finalità e modalità del trattamento INCARICATO Persona fisica, giuridica,pubb. Persona fisica amm.ne, ente, autorizzata a compiere associazione od organismo operazioni di trattamento preposti dal dal titolare titolare al o dal trattamento dei dati responsabile personali Gruppo di studio Sicurezza sul lavoro e Privacy Persona fisica o giuridica, ente o associazione cui si riferiscono i dati … alcuni dei caratteri principali REGOLE GENERALI E PARTICOLARI PER ALCUNI SETTORI SPECIFICI L’aspetto Organizzativo Le indicazioni nella informativa Il titolare del trattamento deve organizzarsi anche sotto l’aspetto tecnologico per consentire l’adeguata applicazione della norma Il titolare del trattamento deve indicare nell’informativa da rilasciare all’interessato le categorie di soggetti, responsabili e/o incaricati, che possono trattare i dati Le nuove misure minime di sicurezza Previsione nel Disciplinare tecnico in materia di misure Minime di sicurezza (allegato B) La notifica al Garante La notificazione dei trattamenti va effettuata solo nei casi indicati espressamente dal codice. Cade pertanto l’obbligo di notifica generalizzato La trasmissione della notifica Esclusivamente per via telematica e con firma digitale Gruppo di studio Sicurezza sul lavoro e Privacy … alcuni dei caratteri principali (2) REGOLE GENERALI E PARTICOLARI PER ALCUNI SETTORI SPECIFICI Dati sulla salute E’ prevista una particolare disciplina per il trattamento dei dati sulla salute per finalità sanitarie; informativa e consenso possono essere raccolte dai medici coi quali normalmente si è più a contatto. Le ricette devono evitare di rendere evidente il nome del paziente Le informazioni commerciali E’ prevista la realizzazione di un codice di condotta per i trattamenti di dati a fini di informazione commerciale, soprattutto allo scopo di garantire l’aggiornamento e l’esattezza dell’informazione trattata I codici deontologici Il codice prevede l’istituzione di regole di settore tramite la realizzazione di appositi codici deontologici Gruppo di studio Sicurezza sul lavoro e Privacy Cosa fare in azienda Creare tra le risorse aziendali una vera e propria “CULTURA SULLA PRIVACY” Affinché la normativa sia applicata correttamente e con continuità nel tempo Gruppo di studio Sicurezza sul lavoro e Privacy L’organizzazione interna Struttura delle Nomine Aggiornamento e revisione degli adempimenti - Notifica - Informativa - Gestione del consenso - Adozione delle misure minime di sicurezza Informazione e formazione del personale Gruppo di studio Sicurezza sul lavoro e Privacy La struttura delle nomine Occorre procedere alla: - Nomina del/i responsabile/i del trattamento - Nomina degli incaricati del trattamento • La nomina del Responsabile/i del trattamento non è un adempimento obbligatorio Gruppo di studio Sicurezza sul lavoro e Privacy Il Responsabile L’importanza della nomina di uno o più Responsabili del Trattamento è direttamente proporzionale alla complessità dell’organizzazione aziendale Tanto più l’azienda è articolata per Divisioni, Aree, Funzioni, ecc., tanto più diventa necessario distribuire le competenze tipiche del Responsabile del Trattamento su più persone Gruppo di studio Sicurezza sul lavoro e Privacy Il Responsabile Il Responsabile, se designato, è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza Il Responsabile può essere un soggetto (persona fisica o giuridica) anche esterno all’azienda Gruppo di studio Sicurezza sul lavoro e Privacy Il Responsabile La nomina di uno o più Responsabili non vuole rappresentare un esonero di responsabilità del Titolare, soprattutto in campo penale, ma certamente come attenuazione della stessa Il Titolare deve fornire ai Responsabili chiara identificazione dei compiti attribuiti, dell’ambito di responsabilità e porre in essere periodica attività di controllo Gruppo di studio Sicurezza sul lavoro e Privacy Gli Incaricati Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del Titolare o Responsabile, attenendosi alle istruzioni impartite. Non necessariamente l’incaricato è un dipendente dell’Azienda, ma può trattarsi di un consulente o collaboratore esterno Gruppo di studio Sicurezza sul lavoro e Privacy Gli Incaricati Il Responsabile dovrebbe identificare i criteri da seguire per l’individuazione degli incaricati in modo tale da procedere alla nomina delle sole persone preposte ad attività che comportano un rilevante e non occasionale o marginale trattamento di dati personali Il Disciplinare tecnico (all. B), nel caso di trattamenti con strumenti elettronici, individua la figura dell’Incaricato alla custodia di copia delle credenziali Gruppo di studio Sicurezza sul lavoro e Privacy La struttura delle nomine Esempio di organigramma della privacy centro di Competenza (uomo privacy) TITOLARE Responsabile Esterno Incaricato Responsabile Interno Preposto alla custodia di copia delle credenziali Incaricato Gruppo di studio Sicurezza sul lavoro e Privacy Rapp.Nazionale Titolare Estero Incaricato Aggiornamento e revisione degli adempimenti - La notificazione Dal 01-01-2004 Esonero Generalizzato tranne che per i trattamenti: Aggiornamento e revisione degli adempimenti La notifica - effettuati con l’ausilio di strumenti elettronici volti alla definizione del profilo o personalità dell’interessato o all’analisi di abitudini o scelte di consumo … - che riguardano dati sensibili registrati in banche dati a fini di selezione del personale per conto terzi, nonché per sondaggi di opinione, ricerche di mercato o altre ricerche campionarie - che riguardano dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti - altri di cui all’art. 37 (dati genetici, idonei a rivelare lo stato di salute, ecc.) Gruppo di studio Sicurezza sul lavoro e Privacy Aggiornamento e revisione degli adempimenti - La notificazione Il 1° Gennaio 2004 rappresenta occasione per rifare: - censimento di tutte le banche dati interne - censimento delle tipologie di trattamenti effettuati - opera di sensibilizzazione al personale dipendente sulla necessità di segnalare ogni nuovo e diverso trattamento rispetto a quelli già censiti Gruppo di studio Sicurezza sul lavoro e Privacy Aggiornamento e revisione degli adempimenti - I tempi della notificazione Nei casi di trattamento previsti dall’art. 37… Per le attività di trattamento dei dati che non esistevano prima del 0101-2004, la notificazione va effettuata prima che inizi il trattamento medesimo Per i trattamenti già in essere prima del 01-01-2004, la notificazione si può effettuare entro il 30-04-2004 L’obbligo di notificazione va ripetuto anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima Gruppo di studio Sicurezza sul lavoro e Privacy Aggiornamento e revisione degli adempimenti – L’informativa L’Interessato o la persona presso la quale sono raccolti i dati personali devono essere PREVIAMENTE INFORMATI oralmente o per iscritto circa: - Le finalità e le modalità del trattamento cui sono destinati i dati - La natura obbligatoria o facoltativa del conferimento dei dati - Le conseguenze di un eventuale rifiuto di rispondere - I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi - I suoi diritti - Gli estremi identificativi del titolare e (se designati) del Rappresentante nel territorio dello Stato e del Responsabile - Gli estremi di un Responsabile qualora designati più di uno, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei Responsabili Gruppo di studio Sicurezza sul lavoro e Privacy Aggiornamento e revisione degli adempimenti – L’informativa In questo adempimento si scontrano due esigenze: - la necessità di fornire un’informativa che risponda ai requisiti di dettaglio e di completezza richiesti dalla normativa - disporre di uno spazio sufficiente nella normale modulistica amministrativo contrattuale normalmente utilizzata per comprendere tutte le informazioni previste dalla normativa Gruppo di studio Sicurezza sul lavoro e Privacy Aggiornamento e revisione degli adempimenti – Le misure di sicurezza Il codice mantiene la distinzione tra: Misure di sicurezza Misure di sicurezza MINIME IDONEE Gruppo di studio Sicurezza sul lavoro e Privacy Le misure minime di sicurezza Il Codice - a differenza della Legge 675/96 – distingue le misure di sicurezza in relazione Trattamenti con strumenti elettronici Trattamenti con Strumenti non elettronici Le Modalità tecniche di attuazione delle Misure Minime di Sicurezza sono previste nel Disciplinare Tecnico (allegato B) Il Disciplinare Tecnico individua ulteriori misure minime per il trattamento di dati sensibili e giudiziari Gruppo di studio Sicurezza sul lavoro e Privacy Le misure minime di sicurezza Trattamenti con strumenti elettronici Identificazione delle misure minime di sicurezza Autenticazione Informatica Procedure di gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione Aggiornamento periodico dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione sistemi Gruppo di studio Sicurezza sul lavoro e Privacy Le misure minime di sicurezza Trattamenti con strumenti elettronici Identificazione delle misure minime di sicurezza Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti Procedure per la custodia di copie di back-up, il ripristino della disponibilità dei dati e dei sistemi Redazione e aggiornamento del documento Programmatico sulla sicurezza (DPS) Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari Gruppo di studio Sicurezza sul lavoro e Privacy La sfida organizzativa Procedure Di aggiornamento Di gestione Di controllo Gruppo di studio Sicurezza sul lavoro e Privacy La costruzione del Sistema DataPrivacy (esemplificazione) Identificazione dei ruoli e gestione delle nomine (organigramma privacy) - Titolare, Responsabile/i, incaricati, custode di copia delle credenziali, altri eventuali (responsabile gestione strumenti elettronici, incaricato copie di sicurezza…) Identificazione delle sedi ed uffici ove avvengono i trattamenti Censimento di tutte le banche dati presenti in azienda (descrizione banca dati, tipi di dati trattati (dati comuni, sensibili, giudiziari), categorie di interessati, finalità del trattamento, tipo di trattamento (con o senza strumenti elettronici), ecc.) Identificazione degli strumenti di elaborazione e dei software usati per il trattamento (descrizione strumento, sistema operativo, modalità di utilizzo (stand alone / rete), gestione antivirus, ecc.) Gruppo di studio Sicurezza sul lavoro e Privacy La costruzione del Sistema DataPrivacy (esemplificazione) Impostazione della modulistica (informativa, lettere di incarico, istruzioni agli incaricati, ecc.) Aggiornamento e revisione degli adempimenti (notifica, informativa, gestione del consenso) Adeguamento alle misure minime di sicurezza (sistema di autenticazione informatica, sistema di autorizzazione, altre misure di sicurezza (antivirus con controlli semestrali, aggiornamento sw con controlli annuali …), gestione salvataggi, ecc.) Gruppo di studio Sicurezza sul lavoro e Privacy La costruzione del Sistema DataPrivacy (esemplificazione) Redazione del Documento Programmatico della Sicurezza (entro il 31 marzo di ogni anno) che contenga idonee informazioni al riguardo: - elenco dei trattamenti - distribuzione compiti e responsabilità - analisi dei rischi che incombono sui dati - le misure da adottare per garantire l’integrità e disponibilità dei dati - criteri e modalità di ripristino dati - previsione degli interventi formativi agli incaricati al trattamento - criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di dati affidati all’esterno della struttura del Titolare - criteri da adottare per la cifratura o separazione dagli altri dati nel caso di dati idonei a rivelare lo stato di salute e la vita sessuale Formazione periodica del personale a seconda delle funzioni ricoperte Gruppo di studio Sicurezza sul lavoro e Privacy Le violazioni(I danni cagionati con il trattamento) “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile se non prova di avere adottato tutte le misure IDONEE ad evitare il danno” (Resp.civile) L’interessato leso non dovrà provare la colpa del Titolare ma solo il nesso di casualità, ovvero: - Che il danno si sia realizzato - Che il danno dipenda dall’attività di trattamento Gruppo di studio Sicurezza sul lavoro e Privacy rav I ne ità co ntr ffica av i s v. e ric co gio re g ità Ma g rav re g Mi no Violazioni amministrative Art. Tipologia Importo Codice 161 Omessa, inidonea informativa € 6.000 - 36.000 x 2/5 x2 x4 162com.1 Cessione dati in violazione disposizioni Codice € 10.000 - 60.000 x 2/5 x2 x4 162com.2bis Violazione delle misure minime di sicurezza € 20.000 - 120.000 x 2/5 x2 x4 162com.2bis Trattamento illecito di dati € 20.000 - 120.000 x 2/5 x2 x4 162com.2ter Inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto € 30.000 -180.000 x 2/5 x2 x4 163 Omessa, incompleta Notificazione € 20.000 - 120.000 x 2/5 x2 x4 164 Omessa informazione esibizione Garante € 10.000 - 60.000 x 2/5 x2 x4 Gruppo di studio Sicurezza sul lavoro e Privacy SANZIONE ACCESSORIA (art.165): Pubblicazione ordinanza-ingiunzione Illeciti Penali Art. Tipologia Sanzione Codice 167 Trattamento Illecito dei dati DC Recl 6-18 mesi DS Recl 12-36 mesi 168 Falsità in dichiarazioni e notificazioni al Garante Reclusione 6-36 mesi 169 Omissione di Misure minime di sicurezza Arresto sino 2 anni +art.162,com.2-bis 170 Inosservanza di provvedimenti del Garante Reclusione 3-24 mesi +art.162,com.2-ter Gruppo di studio Sicurezza sul lavoro e Privacy PENA ACCESSORIA (art.172): Pubblicazione sentenza Illeciti Penali Omessa adozione delle misure di sicurezza Il Codice consente alle imprese pubbliche o private che abbiano compiuto il reato la possibilità di regolarizzare la propria posizione anche ai fini penali RAVVEDIMENTO OPEROSO (art. 169 D.Lgs 196/03) Regolarizzazione in ottemperanza a una prescrizione del Garante ed entro un termine non superiore a sei mesi Versamento di una somma pari al quarto del massimo dell’ammenda prevista (ovvero 12.500 euro) Gruppo di studio Sicurezza sul lavoro e Privacy Le principali scadenze 31 Marzo di ogni anno Redazione del Documento Programmatico sulla Sicurezza così come previsto dall’art.34 del D.Lgs 196/03 e con le modalità identificate dal Disciplinare Tecnico (All.B). Il Titolare riferisce nella relazione accompagnatoria al Bilancio della redazione/aggiornam. del DPS Gruppo di studio Sicurezza sul lavoro e Privacy Le principali scadenze (2) Dal 15 dicembre 2009 Provvedimento per gli amministratori di sistema del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) inerente “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” prevede: Registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici; Verifica della attività almeno annuale dell'operato degli amministratori di sistema Elenco degli amministratori di sistema e loro caratteristiche Valutazione dell’esperienza, capacità, e affidabilità degli amministratori di sistema Gruppo di studio Sicurezza sul lavoro e Privacy La privacy richiede… Trattamento di dati personali -Credenziali di autenticazione (ad es. parola chiave e codice identificativo dispositivo - biometria) -Adozione Documento programmatico sulla sicurezza (DPS) Trattamento di dati sensibili e giudiziari -Le misure previste per i dati comuni -Utilizzo di idonei strumenti per gli accessi abusivi (firewall) -Gestione supporti di memorizzazione rimovibili, previsione di istruzioni per custodia e uso, istruzioni per il loro riutilizzo ed eventuale distruzione -Profili di autorizzazione (chi fa che cosa) -Installazione di programmi antivirus -Ripristino accesso ai dati e strumenti (piani di disaster recovery) -Aggiornamento periodico di programmi per prevenire vulnerabilità e correggerne gli errori -Il back-up dei dati(ossia la copia degli stessi) Gruppo di studio Sicurezza sul lavoro e Privacy DPS e verifica Adempimenti On-line Semplificazioni La legge 6 agosto 2008 n. 133 di conversione, con modificazioni, del decreto-legge 25 giugno 2008, n. 112 e il Provvedimento del Garante del 27 novembre 2008 (G.U. n. 287 del 9 dicembre 2008) hanno apportato introdotto alcune semplificazioni per quanto concerne le misure minime di sicurezza previste dall’art.34 distinguendo 2 distinti profili di titolari ammessi all’adozione di misure semplificate Il profilo di rischio sanzionatorio si aggrava per chi si avvale delle semplificazioni senza averne titolo: ci si espone oltre all’art.169 anche all’art. 168. Gruppo di studio Sicurezza sul lavoro e Privacy Destinatari delle semplificazioni (1) Soggetti pubblici o privati che: utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale; trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238). Gruppo di studio Sicurezza sul lavoro e Privacy Destinatari delle semplificazioni (2) Per capire se un soggetto rientra in una delle due categorie, si devono innanzitutto elencare ed analizzare tutti i trattamenti di dati che esso effettua in qualità di titolare (o contitolare); dall’analisi risulterà che ciascun trattamento è connotato almeno dalle seguenti informazioni: tipi di dati trattati (personali, identificativi, sensibili, giudiziari, ecc.) categoria di interessati; modalità di trattamento; finalità; Da queste informazioni si può desumere se il trattamento consente al titolare di rientrare in una delle due categorie (a) o (b) Gruppo di studio Sicurezza sul lavoro e Privacy Destinatari delle semplificazioni (3) Se a causa anche di uno solo dei trattamenti effettuati, il titolare non rientrasse in nessuna delle due categorie e quindi appartenesse alla categoria (c), dovrebbe rinunciare all’adozione delle misure semplificate e ricorrere a quelle “rigorose”, stabilite nell’Allegato B del Codice. Gruppo di studio Sicurezza sul lavoro e Privacy Procedura pratica (1) Attribuire a ciascun trattamento una classe di appartenenza: A. dati personali (né sensibili, né giudiziari) trattati unicamente per correnti finalità amministrative e contabili B. dati personali trattati per altre finalità rispetto ad A) C. dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto inerenti solo allo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale D. dati giudiziari ovvero dati sensibili di altra natura (stato di salute con indicazione della diagnosi, vita sessuale, convinzioni religiose, politiche o filosofiche, etnia o razza) e/o riferiti ad altri soggetti rispetto a C) Gruppo di studio Sicurezza sul lavoro e Privacy Procedura pratica (2) Insieme di tutti i trattamenti di classe A,B,C,D = Soggetti di categoria (c) Insieme di tutti i trattamenti di classe A,B,C = Soggetti di categoria (a) Insieme di tutti i trattamenti di classe A Soggetti di categoria Gruppo (b): di studio Sicurezza sul lavoro artigiani, professionisti, piccoli imprenditori, PMI e Privacy Misure differenziate (1) Trattamenti effettuati senza l’ausilio di strumenti elettronici Soggetti di gruppo b) Trattamenti solo di classe A Lettere di incarico scritte Soggetti di gruppo a) Soggetti di gruppo c) Trattamenti di classe A,B,C Trattamenti di classe A,B,C,D Lettere di incarico scritte Lettere di incarico scritte Controllo uso e accesso semplificato a dati sensibili Controllo uso e accesso rigoroso a dati sensibili e giudiziari Istruzioni anche orali Istruzioni anche orali Istruzioni scritte DPS semplificato oppure Autocertificazione Autocertificazione Regolamento trattamento dati Gruppo di studio Sicurezza sul lavoro e Privacy Misure differenziate (2) Trattamenti effettuati con l’ausilio di strumenti elettronici Soggetti di gruppo b) Trattamenti solo di classe A Lettere di incarico scritte Autenticazione informatica semplificata Autorizzazione informatica semplificata Altre misure di sicurezza semplificate Istruzioni anche orali DPS semplificato oppure Autocertificazione Soggetti di gruppo a) Trattamenti di classe A,B,C Lettere di incarico scritte Autenticazione informatica semplificata Autorizzazione informatica semplificata Altre misure di sicurezza semplificate Soggetti di gruppo c) Trattamenti di classe A,B,C,D Lettere di incarico scritte Autenticazione informatica rigorosa Autorizzazione informatica rigorosa Controllo uso e accesso semplificato a dati sensibili Istruzioni anche orali Autocertificazione Altre misure di sicurezza rigorose Ulteriori misure per dati sensibili e giudiziari Misure di tutela (nota integrativa di bilancio) Controllo uso e accesso rigoroso a dati sensibili e giudiziari Istruzioni scritte DPS rigoroso Provvedimento per amministratori di sistema Provvedimento per amministratori di sistema Gruppo di studio Sicurezza sul lavoro e Privacy La Sicurezza Gruppo di studio Sicurezza sul lavoro e Privacy Gestionale Aziendale Navigazione Consultazione Sito Web Postazioni di Lavoro Mobili VPN Telelavoro Posta Elettronica Computer Ricerca di Informazioni Utilizzatori della rete interna Gruppo di studio Sicurezza sul lavoro e Privacy Cos’è la Sicurezza Essere sicuri, non avere timori Sicurezza dei propri dati Salvaguardia hardware Reputazione Valutazione dei rischi Principi: difese multiple, ..., semplicità, ... E' un processo, non un prodotto Gruppo di studio Sicurezza sul lavoro e Privacy Da Chi Difendersi Cracker (hacker, script kiddies) Malware (virus, spyware) DoS (Denial of Service) Web (siti pericolosi e non appropriati) Furto (identità e dati) Bounce attack Esempi: SQL Slammer (virus su SQL) Hacker cattura audio e video di un giornalista Gruppo di studio Sicurezza sul lavoro e Privacy Difese Security through obscurity “non mi faccio vedere” Aggiornamenti Antivirus Filtro su Siti Web Crittografia VPN Firewall Gruppo di studio Sicurezza sul lavoro e Privacy Autenticazione Sistema di Autenticazione Gestione del Dominio Aziendale HUB Server Work-Station Gruppo di studio Sicurezza sul lavoro e Privacy Autenticazione Sistema di Autenticazione Gestione del Dominio Aziendale HUB Richiesta Autorizzazione Gruppo di studio Sicurezza sul lavoro e Privacy Server Work-Station Autenticazione Sistema di Autenticazione Gestione del Dominio Aziendale HUB Autorizzazione Concessa Gruppo di studio Sicurezza sul lavoro e Privacy Server Work-Station Autenticazione Sistema di Autenticazione Gestione del Dominio Aziendale Ogni incaricato deve avere una credenziale di identificazione (user+password, biometria…) Sostituzione delle credenziali ogni 6 mesi Diversi profili di autorizzazione Gruppo di studio Sicurezza sul lavoro e Privacy Autenticazione Sistema di Autenticazione sistemi operativi “Home” Non possono gestire accessi sicuri con password Accessibilità diretta ai dati locali Installazioni incontrollate di software Windows 95/98/ME Windows XP HOME Windows Vista Home Gruppo di studio Sicurezza sul lavoro e Privacy Autenticazione Sistema di Autenticazione sistemi operativi “Server/Professional” Gestiscono accessi sicuri con password Accessibilità autenticata ai dati locali Installazioni controllate di software Unix, Linux Windows NT Server/Workstation Windows 2k Server/Professional Windows 2k3 Server Windows XP Professional Windows Vista Business Premium Gruppo di studio Sicurezza sul lavoro e Privacy Sistemi anti-intrusione Firewall e Antivirus Gruppo di studio Sicurezza sul lavoro e Privacy Firewall e Antivirus Firewall: anti-intrusione Antivirus: analisi contenuti Firewall = Muro tagliafuoco. Protezione volta ad evitare che utenti non autorizzati (o programmi) penetrino nel nostro computer via internet. Antivirus = Applicativo che analizzando i contenuti di file, email…, cerca di individuare e rimuovere possibili virus. Gruppo di studio Sicurezza sul lavoro e Privacy Firewall e Antivirus Firewall: anti-intrusione Antivirus: analisi contenuti co c a t At Router er k c ha Internet Em a il C on V Gruppo di studio Sicurezza sul lavoro e Privacy irus Firewall e Antivirus Firewall: anti-intrusione Antivirus: analisi contenuti FIREWALL + ANTIVIRUS ac Att HUB co ker c a h Internet Em a il C on V Gruppo di studio Sicurezza sul lavoro e Privacy irus Firewall e Antivirus Aggiornamenti Richiesti dalla Legge Aggiornamenti annuali dei sistemi e software installati Definizione delle tabelle attacchi del Firewall Definizione delle liste Antivirus Aggiornamenti semestrali per dati sensibili e giudiziari Gruppo di studio Sicurezza sul lavoro e Privacy Protezione dati Cifratura dei Dati Per i dati idonei a rivelare lo stato di salute e la vita sessuale, è prevista l’individuazione di criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato Trasporto dei dati I dati relativi all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato Gruppo di studio Sicurezza sul lavoro e Privacy Protezione dati Gruppo di continuità Evita “brusche cadute” di alimentazione che potrebbero causare danni ai database Sistemi di Disaster Recovery e ripristino dati entro 7 giorni (dati sensibili) Back-up settimanali Server secondari o remoti Uffici remoti Hard-disk esterni Unità nastro (DAT) Supporti CD-Rom o DVD Back-up via Rete Gruppo di studio Sicurezza sul lavoro e Privacy