vademecum - Mega Italia Media
Transcript
vademecum - Mega Italia Media
PROFESSIONI dalla a alla Z Michele Amatulli VADEMECUM del Responsabile della privacy Guida pratica per il titolare e per il responsabile del trattamento dei dati personali. Articolato con chiavi di lettura in ordine alfabetico L I B R I INDICE GENERALE Prefazione .................................................................................................11 A Abbonato ..................................................................................................13 Abitudini di vita e consumo ......................................................................14 Accertamenti e controlli da parte del Garante per la privacy .....................15 Accesso ai dati personali ...........................................................................17 Adempimenti ............................................................................................18 Albi professionali ......................................................................................19 Amministratore del sistema informatico ........................................................................20 di rete ..................................................................................................22 Analisi dei rischi nel trattamento dei dati personali ...................................23 Antivirus ...................................................................................................25 Archivi/archivista ......................................................................................26 Autenticazione degli accessi .........................................................................................29 informatica ...........................................................................................30 Autorizzazione ..........................................................................................31 Autorizzazioni generali del Garante ..........................................................32 3 INDICE GENERALE B Back-up e ripristino della disponibilità dei dati personali ......................................................................................33 Banche dati ...............................................................................................36 Biometria ..................................................................................................37 Blocco del trattamento di dati personali ....................................................38 C Carta dei doveri dei giornalisti italiani .......................................................39 Centrali rischi (SIC) ...................................................................................41 Cessazione del trattamento di dati personali .............................................42 Chiamata ..................................................................................................43 Chiamate di disturbo ...........................................................................................44 d’emergenza ........................................................................................45 Classificazione dei dati .............................................................................46 Clienti, informativa e consenso .................................................................48 Codice della privacy ........................................................................................49 d’accesso ai dati personali ...................................................................52 fiscale e/o altri numeri di identificazione personale ..............................53 Codici di deontologia e buona condotta ...................................................54 Commercializzazione di dati personali .....................................................55 Comportamenti sleali o fraudolenti ...........................................................56 Comunicazione di dati personali ...................................................................................57 al Garante ............................................................................................58 4 VADEMECUM del Responsabile della privacy Comunicazioni elettroniche ..........................................................................................59 indesiderate .........................................................................................60 Consenso ..................................................................................................61 Conservazione dei dati personali ..............................................................63 Consultazione di dati pubblici ..................................................................64 Cookies .....................................................................................................65 Credenziali d’autenticazione .....................................................................66 Criptatura dei dati personali ......................................................................68 Custode dei locali ove si trattano dati personali .................................................69 delle password .....................................................................................70 D Danni cagionati all’interessato da trattamento non conforme alle norme ..........................................................................71 Dati anonimi ...............................................................................................73 comuni (o ordinari) ..............................................................................74 genetici ................................................................................................75 giudiziari ..............................................................................................77 personali ..............................................................................................79 pubblici ...............................................................................................81 sanitari .................................................................................................82 semi-sensibili ........................................................................................84 sensibili ................................................................................................85 storici, statistici e scientifici ..................................................................87 Diffusione di dati personali .......................................................................88 Diritti dell’interessato ................................................................................89 Diritto di cronaca ......................................................................................91 Disciplinare tecnico ..................................................................................93 5 INDICE GENERALE Distribuzione dei compiti e delle responsabilità ........................................97 Distruzione controllata dei supporti informatici o cartacei contenenti dati personali ...........................................................98 Divieto di comunicazione e diffusione dei dati personali ......................................................................................99 Documento programmatico della sicurezza (DPS) ..................................100 E Elenco pubblico di dati personali ............................................................103 F Figure del sistema di sicurezza nel trattamento dei dati personali ....................................................................................105 Finalità del trattamento di dati personali .........................................................108 di rilevante interesse pubblico ............................................................112 Firewall ...................................................................................................116 Formazione sulla sicurezza nel trattamento dei dati personali ....................................................................................117 G Garante per la protezione dei dati personali (Garante della privacy) .......119 I Identificazione dei trattamenti effettuati ..................................................121 Illeciti penali ...........................................................................................122 6 VADEMECUM del Responsabile della privacy Incaricato del trattamento dei dati personali ............................................124 Informativa ..............................................................................................127 Ingressi non autorizzati ...........................................................................130 Interessato ...............................................................................................131 Internet ...................................................................................................133 Interpello preventivo ...............................................................................134 Istruzioni interne .....................................................................................135 L Lavoro .....................................................................................................137 M Manutentore del sistema informatico ......................................................139 Misure di sicurezza ........................................................................................142 minime di sicurezza ...........................................................................144 Modalità di trattamento ...........................................................................146 N Nomina o designazione del responsabile e degli incaricati del trattamento ..............................................................149 Notificazione al Garante .........................................................................151 O Obblighi del titolare del trattamento dei dati personali ....................................................................................153 7 INDICE GENERALE P Parola chiave o password ........................................................................155 Pertinenza dei dati trattati .......................................................................157 Piano di disaster ricovery ........................................................................158 Prevenzione da trattamenti non conformi e protezione dei dati personali ................................................................160 Principio di necessità ..............................................................................163 Procedure / linee guida ...........................................................................164 Profilazione dell’interessato ....................................................................166 Profilo d’autorizzazione ..........................................................................167 Pubblicità ................................................................................................168 R Raccolta dei dati personali ......................................................................169 Reclami ...................................................................................................170 Responsabile del trattamento dei dati personali ....................................................................................173 Richiesta di consenso ..............................................................................175 S Salvataggio dei dati personali ..................................................................177 Sanzioni amministrative e penali .............................................................179 Sicurezza dei dati personali ....................................................................183 Sistema d’autorizzazione ................................................................................185 informatico e di sicurezza ..................................................................186 8 VADEMECUM del Responsabile della privacy Soggetti autorizzati al trattamento (incaricati) .................................................188 di cui si trattano i dati personali (interessati) ......................................189 Stato di salute ..........................................................................................190 Strumenti elettronici ................................................................................191 T Tecnologie informatiche .........................................................................193 Titolare del trattamento dei dati personali ...............................................195 Trasferimento di dati personali ................................................................197 Trattamento di dati personali ...................................................................199 in ambito pubblico .............................................................................201 da parte di soggetti pubblici ...............................................................202 da parte di soggetti pubblici economici ..............................................204 da parte delle forze di polizia .............................................................205 in ambito sanitario .............................................................................207 in ambito giudiziario/ per ragioni di giustizia ......................................208 nell’attività giornalistica ......................................................................210 per scopi storici, statistici o scientifici .................................................211 Tutela degli interessati .............................................................................212 V Valutazione dei rischi nel trattamento dei dati personali .........................213 Verifiche periodiche sui trattamenti non consentiti ..................................215 Videosorveglianza ...................................................................................218 Violazioni amministrative .......................................................................220 Vita sessuale ...........................................................................................221 9 PREFAZIONE Gente che non vuole dire come si chiama, in nome della privacy. Giornalisti che spiattellano sui giornali gli affari più intimi di personaggi pubblici e vi riportano i minimi particolari di verbali di interrogatorio, a dispetto della privacy. Chiamate telefoniche, come aperitivo o digestivo, ma sempre all’ora di pranzo o cena, da parte di infaticabili signorine di call-center lontani, in evidente disprezzo della privacy. La privacy (pronunciato con la “ai”, all’inglese o più spesso con la “i”, all’italiana) è una specie di elastico che si usa e di cui, soprattutto, si abusa. Unico baluardo (legale) a questa diluvio di cosiddetti “trattamenti di dati personali”, il Garante per la privacy, che tutti crediamo di sapere chi è e cosa dovrebbe fare, ma che ci chiediamo in effetti cosa faccia, forse perché lo percepiamo come un’entità remota, lontana dal mondo reale, almeno finché non commina sanzioni (addirittura penali!) a chi non sta alle regole del gioco, a tutela degli indifesi cittadini, di cui tutti i titolari trattano i dati personali. Ma l’unico vero baluardo del cittadino è, tanto per cominciare, la conoscenza dei propri diritti: è chiaro o no che il vero proprietario dei dati personali è solo e soltanto lui e che tutti gli altri debbono rispettare le regole, se li vogliono trattare? Lo dice il buon senso, lo dicono le norme sulla privacy, la cui conoscenza non è però cosa tanto facile da acquisire, nonostante gli sforzi fatti dal legislatore per renderle comprensibili. Il Vademecum del Responsabile della Privacy (a rigore è il Responsabile del trattamento dei dati personali, come lo definisce il Codice della privacy, cioè il D.Lgs. 196/2003), ha questo primo obiettivo e fornisce questo primo messaggio: è possibile affrontare i ben centottantasei articoli di cui è composto il decreto citato, qui illustrati e spiegati in modo semplice, ma corretto e completo a chi, per obbligo o per interesse personale, vuole imparare a tutelarsi da solo dalla disinformazione dilagante fra clienti, fornitori, consulenti e chi più ne ha, più ne metta. E perché no? anche apprezzare lo sforzo congiunto di tutti quelli che dedicano le proprie energie a creare quella cultura di base necessaria per avvicinare il cittadino al legislatore e trasformare questo concetto vago e confuso che è ancora la privacy in qualcosa di semplice e molto concreto, che non è altro che il rispetto degli altri e si realizza con poche elementari regole. Il Vademecum vuole anche sfatare la leggenda che titolari e responsabili, spaventati dalle pesanti sanzioni amministrative e penali previste (ma anche dai consigli e suggerimenti 11 PREFAZIONE non graditi di presunti esperti e consulenti), debbano rivoluzionare il loro modo di lavorare ed appesantire in modo insostenibile la propria organizzazione aziendale. Facciamo un esempio: ritirereste tutti i vestiti della vostra famiglia nella stessa cassapanca? Crediamo di no. Un po’ d’ordine non fa male, anzi, è necessario: non a caso hanno inventato gli armadi 4 stagioni che ci costringono forse ad un po’ di lavoro, ma poi tutti trovano ciò che cercano in fretta e bene. È la stessa cosa per i dati personali, che non sono altro che una delle mille categorie di dati che girano in azienda: l’obbligo normativo di trattarli in un certo modo è, in realtà, una formidabile occasione per mettere ordine, lavoro forse ingrato e pesante subito, ma utilissimo a far pulizia, eliminare il vecchio, catalogare le cose e, da quel momento, lavorare meglio, presentarsi in modo pulito ed affidabile al mercato, valorizzare la propria azienda. Questo è il secondo messaggio che il Vademecum vuol dare a tutti i Responsabile della Privacy: si possono trattare tutti i dati personali che si vogliono, purché con proprietà, senza grandi difficoltà, senza grandi investimenti ed in tutta serenità. 12 VADEMECUM del Responsabile della privacy A ABBONATO DEFINIZIONE È la persona fisica o giuridica, l’ente o l’associazione, parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico (o in ogni modo destinatario di questi ultimi tramite schede pre-pagate). APPROFONDIMENTO Abbonato ed utente possono essere soggetti diversi: p.es. in una famiglia l’abbonato può essere il capo famiglia, gli utenti possono essere tutti i suoi familiari. È importante far notare che il fornitore è potenzialmente in grado di fare trattamenti anche non leciti, p.es. accedere ad informazioni archiviate nell’apparecchio dell’abbonato, monitorare le sue telefonate, fare comunicazioni indesiderate, mentre può solo utilizzare i dati personali necessari la pubblicazione sulle guide telefoniche, per la fatturazione e per un periodo limitato, per commercializzare suoi servizi/prodotti, a patto che l’abbonato ne abbia dato il consenso, in conformità ad un’informativa preventivamente fornita. Di conseguenza il Garante promuove l’elaborazione di un codice di deontologia e buona condotta al quale le società di comunicazione elettronica dovranno adeguarsi (al momento non vigente). LEGISLAZIONE ● Parte I, Titolo I; Titolo X, D.Lgs. 30 giugno 2003, n. 196, Codice in materia dei dati personali. VOCI CORRELATE - Comunicazioni elettroniche (vedi pag. 59). 13 ABITUDINI DI VITA E CONSUMO ABITUDINI DI VITA E CONSUMO DEFINIZIONE Sono così definibili le inclinazione acquisite con la ripetizione degli stessi atti, le consuetudini, l’assuefazione. APPROFONDIMENTO Le abitudini di vita e consumo del maggior numero possibile di soggetti sono informazioni molto appetite da chi svolge un’attività commerciale. Il procurarsele ha un costo più o meno rilevante (basso, se ottenute con mailing, volantinaggi o telefonate celate dietro innocue indagini di mercato, più costoso se si utilizzano interviste personali), ma consente alle aziende di impostare azioni commerciali “mirate” sui potenziali clienti, quindi con alta probabilità di successo: di qui il valore di queste informazioni, che consentono un profilazione dell’interessato. Tutto ciò costituisce uno dei fini dell’azienda e quindi è lecito; ma non lo è il raccoglierle senza precisarne la finalità ed ottenere il consenso dai vari soggetti. LEGISLAZIONE ● Parte I, Titolo VI, D.Lgs. 30 giugno 2003, n. 196, Codice in materia dei dati personali. VOCI CORRELATE 14 - Profilazione dell’interessato (vedi pag. 166). - Trattamento di dati personali (vedi pag. 199). VADEMECUM del Responsabile della privacy A ACCERTAMENTI E CONTROLLI DA PARTE DEL GARANTE PER LA PRIVACY DEFINIZIONE Sono quelli fatti dal Garante e consistono nell’accesso a banche di dati ed archivi, in ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre fare rilevazioni in ogni caso utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali. APPROFONDIMENTO Gli accertamenti sono fatti concretamente dal braccio operativo del Garante, costituito da personale proprio o incaricato che opera come ufficiale di polizia giudiziaria, o da forze dell’ordine (p.es. Polizia postale, Guardia di Finanza). Gli accertamenti, se svolti in luoghi considerati “privati”, sono effettuati con l’assenso informato del titolare o del responsabile o previa autorizzazione del presidente del tribunale competente per territorio. I soggetti destinatari dell’accertamento non possono rifiutare e devono prestare la loro collaborazione. In caso di rifiuto, gli accertamenti sono comunque eseguiti; possono esser fatti accertamenti anche in forma telematica; infine, se emergono indizi di reato, si osservano le disposizioni di legge. Il personale deve seguire particolari modalità, ma in ogni caso gli accertamenti sono effettuati presso il titolare o il responsabile, dando informazione a questo ultimo o agli incaricati, consentendo anche a chi indicato dal titolare o dal responsabile di assistere allo stesso. Tutto il personale addetto all’ufficio del Garante ed i consulenti sono tenuti al segreto su ciò che hanno appreso nell’esercizio delle proprie funzioni, riguardo a notizie che devono rimanere segrete. Se emergono indizi di reato, si osservano la disposizione previste dalle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con D.Lgs. n. 271/89. Per i trattamenti di dati personali in ambito giudiziario, da parte di forze di polizia o finalizzate alla difesa e sicurezza dello stato, gli accertamenti sono effettuati tramite un componente designato dal Garante. Se il trattamento non è conforme alle disposizioni di legge o di regolamento, ma anche non conforme alle indicazioni di cui alle misure minime di sicurezza, il Garante indica al titolare o al responsabile le necessarie modifiche ed integrazioni e ne verifica l’attuazione. 15 ACCERTAMENTI E CONTROLLI DA PARTE DEL GARANTE PER LA PRIVACY LEGISLAZIONE ● Parte III, Titolo II, D.Lgs. 30 giugno 2003, n. 196, Codice in materia dei dati personali. ● Codice di procedura penale. VOCI CORRELATE 16 - Garante per la protezione dei dati personali (o della Privacy) (vedi pag. 119). - Misure minime di sicurezza (vedi pag. 144). - Trattamento di dati personali effettuati da parte di forze di polizia (vedi pag. 205). - Trattamento di dati personali in ambito giudiziario/per ragioni di giustizia (vedi pag. 208). VADEMECUM del Responsabile della privacy A ACCESSO AI DATI PERSONALI DEFINIZIONE È un trattamento di dati personali e consiste, in senso lato, nel consentire ad un “interessato” di “entrare” in una banca dati, cartacea o informatica. L’accesso può essere autorizzato o no: nel primo caso chi detiene i dati consente a chi accede di fare un qualche tipo di trattamento (semplice lettura, copia, modifica, etc.), a titolo gratuito od oneroso; nel secondo caso l’accesso è invece fatto in modo fraudolento, senza alcun permesso da parte di chi detiene i dati, in altre parole utilizzando un qualche tipo di “permesso” (p.es. una smart-card rubata o una password rubata o indovinata). L’accesso può anche essere selezionato o no; il primo è consentito solo a chi, identificatosi, ha un’autorizzazione a farlo, il secondo a chiunque. APPROFONDIMENTO Tra i vari tipi, vi è l’accesso ai propri dati personali: questo è un diritto che si esercita chiedendolo al titolare o al responsabile senza nessuna formalità; questi ultimi devono fornire indicazione su tutti i dati tenuti, senza che l’interessato debba indicare specificamente in quali atti o documenti essi siano contenuti. Chi gestisce la banca dati deve comunicare tutte le informazioni in suo possesso ed anche, ai sensi dell’art. 10 del codice, agevolare l’accesso ai dati da parte dell’interessato, ed a renderli noti, in forma chiaramente intelligibile. Vi è però anche l’accesso ai documenti amministrativi, che è quello richiesto da un qualsiasi soggetto al titolare dei dati in ambito pubblico. In tal caso, le attività finalizzate all’applicazione di tale disciplina si considerano di rilevante interesse pubblico e modalità e limiti per l’esercizio di questo diritto sono disciplinati dalla L. 241/90. È salvo quanto previsto dall’art. 60 del codice, relativo a dati idonei a rivelare lo stato di salute e la vita sessuale, il cui trattamento è consentito solo se la situazione giuridicamente rilevante che s’intende tutelare con la richiesta d’accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato. LEGISLAZIONE ● ● ● ● ● Parte I, Titolo II; Parte II, Titolo IV, D.Lgs. 30 giugno 2003, n. 196, Codice in materia dei dati personali. Legge n. 241/1990; Newsletter del Garante 8/5/2005; Newsletter 24 - 30/11/2003; Newsletter 29/1- 4/2/2001. 17 ADEMPIMENTI ADEMPIMENTI DEFINIZIONE Sono quelli richiesti dal codice per garantire il rispetto dei principi di corretto trattamento dei dati personali da parte dei vari soggetti autorizzati a farlo. Sono sostanzialmente costituiti dalla notificazione del trattamento, dall’obbligo di comunicazione al Garante (salvo il caso esistano già autorizzazioni generali) e dalle richieste di autorizzazione. LEGISLAZIONE ● Parte I, Titolo VI, D.Lgs. 30 giugno 2003, n. 196, Codice in materia dei dati personali. VOCI CORRELATE 18 - Autorizzazione (vedi pag. 31). - Autorizzazioni generali (vedi pag. 32). - Comunicazione al Garante (vedi pag. 58). - Notificazione al Garante (vedi pag. 151). VADEMECUM del Responsabile della privacy A ALBI PROFESSIONALI DEFINIZIONE Sono elenchi di soggetti, esercitanti una determinata professione, che identificano chi è abilitato a svolgerla perché possiede particolari qualifiche riconosciute dallo Stato. APPROFONDIMENTO Gli albi professionali devono rispettare il proprio codice di deontologia e di buona condotta per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, promosso dal Garante per diverse categorie professionali. I dati personali diversi da quelli sensibili o giudiziari, inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono essere comunicati a soggetti pubblici e privati o diffusi anche mediante reti di comunicazione elettronica. Gli Ordini ed i Collegi professionali possono, a richiesta della persona iscritta, integrare i dati presenti con altri dati aggiuntivi, purché pertinenti e non eccedenti in relazione all’attività professionale. A richiesta dell’interessato, gli ordini o i collegi professionali possono fornire a terzi le notizie o le informazioni relative a speciali qualifiche professionali non citate dall’albo ed anche la disponibilità ad assumere incarichi o ricevere materiale informativo. LEGISLAZIONE ● Parte II, Titolo IV, D.Lgs. 30 giugno 2003, n. 196, Codice in materia dei dati personali. ● Newsletter Garante n. 6 - 12/9/2004; ● Codice di deontologia e buona condotta. VOCI CORRELATE - Codici di deontologia e buona condotta (vedi pag. 54). 19 AMMINISTRATORE DEL SISTEMA INFORMATICO AMMINISTRATORE DEL SISTEMA INFORMATICO DEFINIZIONE È il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema informatico nel suo complesso e di consentirne l'utilizzo, definendo modalità e limiti, autorizzazioni ecc. APPROFONDIMENTO La sua nomina non è obbligatoria, ma è opportuna nelle strutture più grandi, dove i sistemi informatici sono più complessi, per garantire che si rispettino regole uniche e sia presente un’effettiva attività di controllo dei trattamenti effettuati tramite strumenti elettronici. DOCUMENTAZIONE Fig. 1 TITOLARE DEL TRATTAMENTO AMMINISTRATORE DEL SISTEMA INFORMATICO CUSTODE DEI LOCALI MANUTENTORE DEL SISTEMA INFORMATICO CUSTODE DELLE PASSWORD RESPONSABILE DEL TRATTAMENTO INCARICATI DEI TRATTAMENTI DI TIPO A SOGGETTI xxx TITOLARI ESTERNI DI TRATTAMENTO INCARICATI DEI TRATTAMENTI DI TIPO B SOGGETTI ZZZ Figure del sistema di sicurezza nel trattamento dei dati personali/amministratore del sistema informatico. 20 VADEMECUM del Responsabile della privacy A VOCI CORRELATE - Amministratore di rete (vedi pag. 22). - Figure del sistema di sicurezza nel trattamento di dati personali (vedi pag. 105). - Misure di sicurezza (vedi pag. 142). - Sistema informatico e di sicurezza (vedi pag. 186). 21 AMMINISTRATORE DI RETE AMMINISTRATORE DI RETE DEFINIZIONE È il responsabile della gestione di una rete di computer. APPROFONDIMENTO Tra i suoi compiti c’è la scelta ed installazione di nuovi dispositivi periferici, l’aggiunta o la rimozione di utenti autorizzati, l’assegnazione delle password la scelta dei sistemi di protezione, la risoluzione di problemi tecnici, il controllo delle prestazioni del sistema ecc. VOCI CORRELATE 22 - Amministratore di rete (vedi pag. 22). - Figure del sistema di sicurezza nel trattamento dei dati personali (vedi pag. 105). - Misure di sicurezza (vedi pag. 142). - Sistema informatico e di sicurezza (vedi pag. 186). VADEMECUM del Responsabile della privacy A ANALISI DEI RISCHI NEL TRATTAMENTO DEI DATI PERSONALI DEFINIZIONE È l’attività con la quale il titolare o il responsabile di un ente, azienda e simili individua i pericoli che i dati personali possono correre durante un qualsiasi trattamento, ne valuta il livello di rischio, identifica le misure idonee per eliminarli/ridurli ed attua un programma d’adeguamento delle misure di sicurezza. APPROFONDIMENTO L’analisi rappresenta una delle misure minime di cui al disciplinare tecnico, allegato b che il Garante richiede di adottare per garantire un corretto trattamento ed è sintetizzata nel documento programmatico sulla sicurezza (DPS). Una buon’analisi classifica i dati personali trattati, individua le finalità e le modalità di trattamento, individua i pericoli nel trattamento dei dati, rileva le misure di sicurezza adottate dall’impresa, soggetto pubblico o privato, etc. Valuta tutti gli aspetti relativi alla sicurezza fisica, al contesto nel quale l’azienda opera, all’organizzazione aziendale adottata, alla sicurezza logica degli strumenti e programmi adottati e ne definisce il livello di rischio per capire cos’altro fare per eliminarlo o ridurlo. L’analisi fornisce una “fotografia” completa sul livello di sicurezza presente ed identifica le priorità negli interventi d’adeguamento necessari in termini temporali, ma anche per l’impatto che questi avranno sull’organizzazione complessiva dell’azienda in modo da impostare le eventuali azioni correttive senza creare problemi. LEGISLAZIONE ● Allegato B, Disciplinare tecnico, D.Lgs. 30 giugno 2003, n. 196, Codice in materia dei dati personali. 23 ANALISI DEI RISCHI NEL TRATTAMENTO DEI DATI PERSONALI DOCUMENTAZIONE Fig. 2 Eventi relativi agli strumenti ANALISI DEI RISCHI Comportamento del personale Eventi relativi al contesto Schema logico analisi dei rischi VOCI CORRELATE 24 - Classificazione dei dati (vedi pag. 46). - Disciplinare tecnico (vedi pag. 93). - Documento programmatico della Sicurezza (DPS) (vedi pag. 100). - Identificazione dei trattamenti effettuati (vedi pag. 121). - Misure di sicurezza (vedi pag. 142). - Misure minime di sicurezza (vedi pag. 144). - Modalità di trattamento (vedi pag. 146). - Prevenzione da trattamenti non conformi/protezione dei dati personali (vedi pag. 160). - Sicurezza dei dati personali (vedi pag. 183). - Valutazione dei rischi nel trattamento dei dati personali (vedi pag. 213). VADEMECUM del Responsabile della privacy A ANTIVIRUS DEFINIZIONE È un programma per elaboratore che consente di individuare e neutralizzare altri programmi che possono modificare, danneggiare o distruggere i dati elaborati ed archiviati nella memoria di un sistema informativo. APPROFONDIMENTO L’adozione di un antivirus costituisce una delle misure minime di sicurezza richieste dal Garante, ma non l’unica, né la più importante. Un programma antivirus consente di proteggere il sistema informatico dai software dannosi, purché tenuto costantemente aggiornato, ma garantisce solo un certo livello di protezione: infatti, non impedisce od ostacola gli eventuali accessi indesiderati al proprio strumento elettronico tramite una qualsiasi delle porte tenute aperte durante una sessione internet. Inoltre non esaurisce affatto le misure di sicurezza da adottare, perché i dati personali corrono una moltitudine di rischi che l’antivirus non è in grado di affrontare (p.es. i dati o i supporti di memorizzazione possono essere rubati o danneggiati in altro modo). LEGISLAZIONE ● Allegato B, Disciplinare tecnico, D.Lgs. 30 giugno 2003, n. 196, Codice in materia dei dati personali. VOCI CORRELATE - Misure minime di sicurezza (vedi pag. 144). - Disciplinare tecnico (vedi pag. 93). 25