Gestione Privacy Zucchetti Il software ha l’obbiettivo di supportare aziende e professionisti, aziende sanitarie e enti pubblici nell’attività di adeguamento alle misure minime di sicurezza. Gestione Privacy Zucchetti Cosa fa Come e perché Normativa e definizioni Cosa fa Informative: redazione, gestione e storicizzazione delle comunicazioni richieste dall’art. 13. D.P.S.: redazione, gestione e storicizzazione del Documento programmatico sulla sicurezza in relazione alle linee guida del Garante per la protezione dei dati personali. Lettere di Incarico: gestione degli incarichi (normativamente previsti) attribuiti in relazione alle funzioni svolte nella struttura del Titolare e stampa delle relative lettere. Le misure minime di sicurezza previste dal Decreto legislativo e specificate dall’Allegato B riguardano: Per i dati trattati con strumenti elettronici: • un sistema di autenticazione informatica • un sistema di autorizzazione • il D.P.S. (documento programmatico sulla sicurezza) Per i dati trattati senza l’ausilio di strumenti elettronici: • un sistema di procedure finalizzate al controllo ed alla custodia dei dati da parte degli incaricati. • un sistema tecnologico idoneo a controllare gli accessi ai dati dopo l’orario di chiusura degli uffici. In relazione a ciò Gestione Privacy consente di sviluppare e redigere la documentazione richiesta dall’Allegato B e dal D.lgs. 196/2003. Consente la redazione delle Informative ex art. 13 D.lgs. 196/2003 per il quale è necessario che il Titolare, quando riceve dei dati da trattare da parte dell’interessato, gli comunichi, oralmente o per iscritto, le seguenti informazioni: • le finalità e modalità del trattamento cui sono destinati i dati • la natura obbligatoria o facoltativa del conferimento • le conseguenze di un eventuale rifiuto a rispondere • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l’ambito di diffusione dei dati medesimi • i diritti di cui all’art. 7 • gli estremi identificativi del Titolare e, se designato, del rappresentante nel territorio dello stato e del responsabile Consente la redazione del D.P.S. ex regola 19 Allegato B composto, in relazione a quanto suggerito dal Garante nelle linee guida, da: • • • • • • • • • • • • frontespizio guida operativa organigramma Aziendale elenco dei trattamenti di dati personali distribuzione dei compiti e delle responsabilità analisi dei rischi che incombono sui dati misure di sicurezza adottate o da adottare criteri e procedure per il ripristino e il salvataggio dei dati – salvataggio dati criteri e procedure per il ripristino e il salvataggio dei dati – ripristino dati pianificazione degli interventi formativi previsti trattamenti affidati all’esterno cifratura o separazione dei dati identificativi Consente di redigere le Lettere di Incarico in relazione alle autorizzazioni al trattamento ricevute. Gli incarichi previsti dal Decreto legislativo e proposti in Gestione Privacy, sono: • • • • • • • • • • responsabile al trattamento dati responsabile della sicurezza informatica amministratore di sistema manutentore di sistema incaricato al salvataggio dati incaricato al ripristino dei dati incaricato alla custodia delle password incaricato al controllo accesso ai locali responsabile del trattamento in caso di servizio svolto in esterno incarico per Unità Organizzativa Inoltre Gestione Privacy rappresenta un utile strumento che consente di tenere aggiornata tale documentazione in relazione ai cambiamenti strutturali, procedurali e di personale che nel corso del tempo possano verificarsi in azienda/studio. Ciò è possibile tramite la consultazione degli Elenchi (magari impostando i filtri che la procedura propone) e la stampa dei Reports. Come e perché Menù Titolare: Anagrafica, Sedi, Locali, Ubicazioni Menù Soggetti: Soggetti, Unità Organizzativa Menù Trattamenti: Applicazioni, Gruppo Gruppo Applicazioni, Strumenti, Strumenti, Archivi, Gruppo Archivi, Supporti Menù Funzioni: Incarichi, Autorizzazioni, Autorizzazioni Esterni Menù Formazione: Corsi di formazione Menù Analisi: Procedure per rischio, Tecnologie per rischio, Analisi dei rischi, Copie/Ripristino/Cifratura Menù Informative: Gestione informative, Menù Stampe: Stampa Menù Parametri DPS Stampa informative Per ottenere la suddetta documentazione è necessario inserire le informazioni richieste nei dialoghi dell’applicativo. In particolare dovranno essere inserite le informazioni relative: • al Titolare del trattamento e alla relativa ubicazione fisica • ai Soggetti di cui il Titolare tratta i dati o che vengono nominati dallo stesso Incaricati al trattamento e alla loro classificazione operativa • ai Trattamenti effettuati dal Titolare e con quale Strumenti gli stessi avvengono • alle Funzioni attribuite agli incaricati con i relativi compiti e responsabilità, e quindi alle autorizzazioni da effettuare per determinati tipi di trattamento • alla Formazione effettuata per rendere edotti gli incaricati dei rischi che i dati da essi trattati corrono • all’Analisi, e quindi alle procedure e tecnologie adottate per prevenire una determinata tipologia di rischio • alle Informative che l’art. 13 richiede siano fornite a coloro che forniscono i dati al Titolare Dialogo di inserimento Anagrafica Art. 28 D.lgs 196/03: “Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da qualsiasi altro ente, associazione o organismo, titolare del trattamento è l’entità nel suo complesso o l’unità o l’organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità o modalità del trattamento” Quindi potranno presentarsi i casi in cui: • titolare del trattamento è una persona fisica e altri in cui è una persona giuridica; • vi è una contitolarità tra soggetti nel qual caso si potranno gestire o due Titolari separatamente o un unico Titolare (in questo secondo caso l’analisi e quindi il DPS verrà effettuata unitariamente) Nel dialogo Anagrafica vi sarà anche la possibilità di associare un logo in formato jpg, bmp, gif che caratterizzerà tutte le stampe (Lettere, Informative, DPS, Elenchi) che verranno effettuate per il Titolare. Dialogo di inserimento Sedi Art. 19, Allegato B: “ Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o giudiziari redige …. un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.4) le misure da adottare per garantire l’integrità e disponibilità dei dati ………… nonchè la protezione delle aree ……. , rilevanti al fine della loro custodia e accessibilità”. Sarà necessario inserire le sedi in cui l’azienda svolge la sua attività in modo da identificare le misure tecnologiche poste a protezione dei dati Dialogo di inserimento Locali Sarà necessario inserire i locali in cui vengono trattati i dati in modo da identificare la tipologia di accesso allo stesso e le eventuali misure tecnologiche esistenti. Tipo accesso: art. 28, Allegato B, “Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per i relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in modo che ad essi non accedano persone prive di autorizzazione”. In relazione a quanto sopra sono stati identificati tre tipi di accesso: “Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o giudiziari redige …. un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.4) le misure da adottare per garantire l’integrità e disponibilità dei dati ………… nonchè la protezione dei locali ……. , rilevanti al fine della loro custodia e accessibilità”. • libero, qualora non vi sia alcuna protezione del locale e quindi non vi sia alcun controllo sui trattamenti effettuati su supporti cartacei; • selezionato, qualora il soggetto incaricato possa limitare l’accesso alle sole persone autorizzate; • controllato, qualora l’ingresso al locale oltre ad essere selezionato consenta anche la registrazione delle persone che vi accedono. Dialogo di inserimento Ubicazioni Nel dialogo di inserimento Ubicazioni andranno inseriti tutti i contenitori o i luoghi in cui i dati personali si trovano. Ad esempio in caso di archivio cartaceo o di supporti di memorizzazione, le ubicazioni potranno essere scaffali, armadi, cassetti; nel caso di archivi elettronici (se l’utente lo desidera) potrà essere inserita l’ubicazione degli strumenti che contengono tali archivi. Dialogo di inserimento Soggetti Nel dialogo Soggetti l’applicativo consente di inserire: • tutti i soggetti a cui il Titolare deve rilasciare l’informativa; per facilitare siffatta gestione è stata introdotta la possibilità di importare i dati anagrafici di clienti/fornitori da altri programmi gestionali o di organizzazione creando una connessione ODBC (dal menù Sistema/Import – Import da Sicur318) • tutti gli utenti che dovranno essere incaricati del trattamento dati o di svolgere delle specifiche funzioni in relazione al trattamento dati effettuato. Gli utenti incaricati potranno essere associati alle sedi e ai locali in cui operano abitualmente ed in cui sono contenuti gli archivi dei quali sono autorizzati a trattare i dati. L’inserimento di questa informazione sarà necessaria anche per la stampa del DPS ed in particolare per la costituzione dell’organigramma aziendale e per l’identificazione dei compiti e responsabilità (scheda 19.3). Inoltre sarà necessario per la stampa delle lettere di incarico. • tutti i soggetti esterni che dovranno essere autorizzati a trattare determinati archivi. L’inserimento di queste informazioni sarà necessaria per la stampa del DPS, regola 19.8, e per la stampa delle lettere di autorizzazione a trattare determinati dati contenuti in archivi. Dialogo di inserimento Soggetti Nel dialogo Soggetti/Sheet l’applicativo consente: Allegati • di visualizzare: tutte le Lettere di incarico e le informative stampate per un utente o soggetto esterno. • di allegare ogni tipo di documentazione già esistente in relazione al rapporto contrattuale con quel cliente. Dialogo di inserimento Unità Organizzativa Nel dialogo di inserimento Unità Organizzative l’applicativo consente di aggregare in gruppi omogenei i soggetti incaricati, autorizzati o interessati al trattamento. Peculiare è la funzione Unità Organizzativa per gli Incaricati al trattamento perché, se gestita, consente di stampare delle lettere di incarico impersonali che definiscono gli adempimenti che l’intera Unità dovrà compiere in relazione ai trattamenti effettuati. In Gestione dovrà essere inserito un responsabile che sarà colui che assume l’incarico di far conoscere il contenuto di tali lettere a coloro che entrano a far parte dell’Unità. Il Dlgs 196/2003 all’art. 30 secondo comma stabilisce: “…La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima”. Anche nel dialogo Unità Organizzativa ci sarà la possibilità di visualizzare le Informative e le lettere di incarico stampate per una determinata Unità o di allegare altri file importanti per la gestione della medesima. Dialogo di inserimento Applicazioni Come si evince dal Decreto gli strumenti elettronici possono essere anche Applicazioni informatiche che consentono la lettura e il coordinamento dei dati personali esistenti nei data base. Questa informazione sarà rilevante nel momento in cui ci si effettuati chiederà sugli quali strumenti Trattamenti elettronici vengono (hardware) esistenti nella struttura del Titolare, in quanto in quel contesto verrà chiesta una associazione tra strumento hardware e software in esso installato. L’art. 4 numero 3 lett. b definisce strumento elettronico: “… gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento” Dialogo di inserimento Gruppo Applicazioni Gestione privacy consente di associare applicazioni che abbiano finalità di utilizzo comuni in Gruppi, in modo da facilitarne la gestione nel tempo. Sarà possibile infatti associare ad esempio ad un archivio un gruppo applicazioni con cui quella base dati viene letta. Qualunque applicazione verrà aggiunta in futuro l’associazione sarà fatta comunque per gruppi e quindi non dovrà essere manutenuta. Dialogo di inserimento Strumenti Nel dialogo è necessario inserire anche le informazioni relative al Tipo strumento e all’accessibilità: • Tipo strumento: il programma richiede di individuare di quale tipo di strumento trattasi, ad esempio Client, Server, Stand alone, Palmare, etc. • Accessibilità: anche se la norma non prevede più la distinzione tra elaboratori accessibili da rete pubblica, non accessibili e stand alone, l’applicativo richiede comunque di identificare il tipo di elaboratore usato perché ciò è rilevante in sede di analisi dei rischi per identificare la probabilità che un danno si verifichi. Ad esempio sarà meno probabile che un elaboratore stand alone venga infettato da virus rispetto ad un elaboratore connesso a rete pubblica; quindi il rischio che il danno si verifichi sarà meno elevato nel primo caso rispetto al secondo. Il combinato disposto degli artt. 31 che recita: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. E dell’art. 34: “Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate , nei modi previsti dal disciplinare tecnico…. , le seguenti misure minime: Lett. E) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici”, obbliga gli utenti a censire gli elaboratori e ad identificare le caratteristiche degli stessi. Dialogo di inserimento Strumenti - Applicazioni Nello sheet Applicazioni del dialogo Strumenti viene data la possibilità di associare una o più applicazioni installate e quindi i cui dati possono essere trattati con quello strumento. Per le applicazioni configurate in modalità Client/Server sarà necessario abbinarle al solo Server anche se i trattamenti avverranno dai singoli client, in quanto il trattamento relativo verrà identificato con il Gruppo strumenti. Ad esempio il Server A è collegato ai Client B e C. L’applicativo “Gestionale 1” installato sul server dovrà essere associato al solo Server A. I trattamenti effettuati dai Client B e C verranno identificati con la creazione dei gruppi strumenti corrispondenti. Dialogo di inserimento Gruppo Strumenti Il Gruppo strumenti serve per evidenziare la configurazione delle reti informatiche del Titolare oppure per creare dei gruppi omogenei di strumenti dedicati ad una determinata funzione. In relazione a ciò sarà possibile da un lato inserire nel Gruppo il Server con i Client ad esso collegati, oppure inserire il gruppo di strumenti dedicato ad una determinata funzione, ad esempio gli strumenti utilizzati per la contabilità, per il servizio clienti, ecc. Configurando il dialogo in uno di questi due modi sarà possibile rendere agevole la manutenzione in quanto le lettere di incarico verranno stampate per Gruppi, quindi se verrà introdotto nella struttura un nuovo strumento non ci sarà bisogno di ristampare la lettera relativa ma basterà aggiungerlo alla lista degli strumenti facenti parti del Gruppo. Dialogo di inserimento Archivi I dati trattati potranno essere: • ordinari, art. 4 lett. b-c D.lgs. 196/2003, che comprendono “il dato personale che è qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” ed “i dati identificativi che sono i dati personali che consentono l’identificazione diretta dell’interessato” • sensibili, art. 4 lett.d che sono “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute o la vita sessuale” Gli archivi possono essere: • informatici (artt. 1 ss, Allegato B) e quindi il relativo trattamento avverrà con strumenti elettronici, • cartacei (artt. 27 ss, Allegato B) e quindi il relativo trattamento avverrà senza l’ausilio di strumenti elettronici. • giudiziari, art. 4 lett. e che sono “i dati personali idonei a rilevare provvedimenti di cui all’art. 3, comma 1, lett. da a) a o) e da r) a u), del DPR 14/11/2002, n. 313, in materia di casellario giudiziale, di anagrafe di sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato ai sensi degli artt. 60 e 61 c.p.p.” • sanitari, regola 24 Allegato B che sono “i dati idonei a rivelare lo stato di salute trattati da esercenti le professioni sanitarie”. Dialogo di inserimento Archivi Un campo che può dare problemi di interpretazione è il Tipo archivio: v 1. Archivio corrente, art. 28 Allegato B: “Quando gli atti e documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in modo che ad essi non accedano persone prive di autorizzazione e sono restituite al termine delle operazioni affidate”. Si tratta quindi di archivi creati dal personale per un più efficiente espletamento delle funzioni affidate. Al termine del trattamento la documentazione dovrà comunque essere riposta negli archivi permanenti. L’accesso a tali archivi dovrà essere selezionato in modo che non vi accedano persone prive di autorizzazione. 2. Archivio permanente, art. 29 Allegato B: “L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate”. In questi archivi l’accesso deve essere controllato e quindi deve esserci una misura organizzativa o tecnologica che consenta l’identificazione dei soggetti che accedono ai dati. Dialogo di inserimento Gruppo Archivi Anche per gli archivi c’è la possibilità di associare gli stessi ad un Gruppo al fine di facilitarne la gestione nel tempo. Infatti gestendo il Gruppo sarà possibile “Autorizzare” gli utenti interni ed esterni a trattare determinati Gruppi Archivi. Ciò comporta che nel momento in cui il Titolare autorizza il trattamento su un Gruppo archivi, nel caso in cui venisse introdotto un nuovo archivio, non dovrà ristampare le lettere di incarico ma basterà unire il nuovo archivio al gruppo. L’applicativo GP in automatico assocerà il nuovo archivio all’autorizzazione assegnata. Il Gruppo archivi dovrà essere omogeneo, cioè dovrà comprendere solo archivi di formato elettronico o cartaceo. Altro vantaggio nella gestione dei Gruppi archivi è che nell’Analisi dei rischi si effettuerà la stessa in riferimento ad una macroaggregazione consentendo di creare un documento meno corposo e quindi più leggibile. Nel DPS, scheda 19.1, il Gruppo archivi identifica il trattamento e il singolo Archivio il relativo oggetto. Dialogo di inserimento Supporti di memorizzazione Supporto rimovibile: regola. 21, Allegato B: “sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti”; regola. 22: “i supporti rimovibili contenenti dati sensibili e giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili”. E’ necessario quindi indicare la presenza o meno di tali supporti ed il luogo in cui sono custoditi. Dialogo di inserimento Incarichi In questo dialogo si dovranno assegnare gli incarichi ai soggetti che sono chiamati dal Titolare al trattamento dei dati. Gli incaricati saranno selezionabili solo tra i soggetti di tipo parametrico: interni. Chi avesse gestito gli incarichi per Unità Organizzativa dovrà inserire in questo dialogo solo i soggetti che hanno un incarico specifico diverso da Incaricato al trattamento dati generico. Art. 30. Incaricati del trattamento 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima. Si potranno abbinare ad un medesimo soggetto anche incarichi differenti. Ad esempio un dipendente potrebbe essere nominato sia manutentore di sistema, che incaricato al ripristino e al salvataggio dati. Abbinato l’incarico al Soggetto si dovranno associare allo stesso le relative autorizzazioni. Ad esempio un dipendente potrà essere incaricato di eseguire il salvataggio dei dati degli archivi del settore contabilità ma non del settore personale (per l’abbinamento con le autorizzazioni si rinvia al relativo dialogo). L’attribuzione degli incarichi consentirà di creare un Organigramma aziendale Privacy da far precedere al DPS. Dialogo di inserimento Incarichi Incaricato al salvataggio dati: La reg. 18 dell’Allegato B dispone che “sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dati con frequenza almeno settimanale”. Al fine di adeguarsi al meglio a questa disposizione è necessario che il Titolare individui dei soggetti specifici che assumano la responsabilità di questa procedura in relazione a determinati archivi. Incaricato alla custodia delle PWD: La reg. 10 dell’Allegato B dispone che: “Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte ad individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità dei dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile o indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato”. Dialogo di inserimento Incarichi Amministratore di sistema: La reg. 15 dell’Allegato B dispone che devono essere individuati con aggiornamento almeno annuale gli addetti alla gestione degli strumenti elettronici. Tali addetti alla gestione vengono individuati come amministratori di sistema. Manutentore di sistema: La reg. 15 prevede lo stesso adempimento anche per gli addetti alla manutenzione. Incaricato al ripristino dei dati: La regola 23 dell’Allegato B dispone che sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Controllore di accesso ai locali: La regola 29 dell’Allegato B dispone che “…. se gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati alla vigilanza, le persone che vi accedono devono essere previamente autorizzate”. Quindi è necessario nominare i soggetti che svolgono la funzione di controllori degli accessi. Dialogo di inserimento Incarichi Responsabile del trattamento: L’art. 29 del Dlgs 196/2003 dispone che: 1) Il responsabile è designato dal Titolare facoltativamente. 2) Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento………. Responsabile della sicurezza informatica: L’art. 29 del Dlgs 196/2003 dispone al punto 2 che: “Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. Nel caso in cui l’azienda/studio abbia nel suo organico personale esperto in informatica, la normativa non esclude la possibilità di nominare un responsabile che si occupi specificatamente del trattamento su supporto elettronico e che ne garantisca quindi la sicurezza 3) Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione dei compiti. 4) I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5) Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni”. Dialogo di inserimento Autorizzazioni Nel dialogo di inserimento Autorizzazioni vengono associati gli incarichi attribuiti agli archivi che si desidera autorizzare. Le autorizzazioni richiedono quindi l’associazione: A un soggetto determinato o ad un’Unità organizzativa qualora si scelga di attribuire gli incarichi in relazione all’opportunità data dall’art. 30. A un Tipo incarico filtrato in relazione al Soggetto selezionato (se invece è selezionata l’Unità organizzativa di default verrà proposto l’Incarico per Unità organizzativa). A un Codice incarico cioè all’incarico specifico attribuito che consente di abbinare l’incarico più volte allo stesso soggetto; ciò può essere utile quando si desidera differenziare l’incarico in relazione all’area di conferimento. Ad esempio l’utente A può essere nominato incaricato al ripristino dei dati da B, responsabile dell’area Personale e da C, responsabile dell’area Contabile. La regola 13, Allegato B dispone: “I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento”. A un Archivio o Gruppo archivi perché l’autorizzazione dovrà riguardare trattamenti determinati o determinabili Nel caso in cui si selezioni un Archivio a uno strumento o gruppo strumenti o a un applicazione o gruppo applicazioni. A una tipologia di credenziale di accesso ai dati che è la misura di sicurezza applicata a protezione dell’archivio in relazione all’autorizzazione generata. Dialogo di inserimento Autorizzazioni – Compiti/Responsabilità Per ogni autorizzazione inserita si potranno inserire i compiti e responsabilità attribuiti in relazione alla tipologia di trattamento effettuato. Dialogo di inserimento Autorizzazioni Esterni Nel dialogo Autorizzazioni esterni vengono inseriti quei Soggetti a cui il Titolare fornisce i dati per effettuare un servizio che lui non sarebbe in grado di svolgere. Si supponga un consulente del lavoro che fa le paghe per un’azienda. Il fatto di acquisire i dati da analizzare per la costituzione della busta paghe è di per se stesso un trattamento che il Titolare dovrà autorizzare. La regola 19.7, Allegato B, dispone che nel DPS dovrà esserci anche “la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare” In relazione alle autorizzazioni attribuite il Titolare potrà scegliere se stampare una lettera di incarico per servizi in esterno che attribuirà all’esterno la responsabilità specifica del trattamento in relazione alle misure di sicurezza dallo stesso Titolare configurate, oppure di autorizzare l’esterno a trattare i dati senza stampare una lettera di incarico a ciò deputata ma inserendo l’informazione nel DPS; ciò nel presupposto che anche il soggetto esterno è Titolare del trattamento e come tale tenuto all’adozione delle misure di sicurezza e quindi l’attribuzione dell’incarico specifico non servirebbe. Dialogo di inserimento Corsi di formazione - Dettaglio La regola 19.6 dell’Allegato B dispone che nel DPS debba essere inserita “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” In relazione a ciò il dialogo Corsi di formazione si propone di memorizzare le informazioni relative al corso, a chi vi partecipa e ai motivi della relativa partecipazione, al contenuto del corso e ai rischi analizzati. Dialogo di inserimento Corsi di formazione - Contenuti In particolare: Informazioni relative al corso: • quando il corso viene svolto; • il motivo per cui viene effettuato in relazione a quanto previsto dalla regola 19.6; • la tipologia di corso, ad esempio relatore in aula, via internet o altro. con Inoltre viene data la possibilità di inserire il contenuto del corso di formazione (informazione che viene riportata direttamente dai Parametri – Tipo/Contenuto corsi per standardizzarne e facilitarne l’inserimento) Dialogo di inserimento Corsi di formazione – Rischi analizzati La regola 19.6 dell’Allegato B dispone che nel DPS debba essere inserita “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare…” Quindi è necessario associare i tipi rischio analizzati al corso di formazione. Nulla vieta che il Titolare effettui un unico corso di formazione esaustivo di tutti i rischi a cui la struttura di cui ha la responsabilità è sottoposta. Menù Analisi Il menù analisi consente di verificare le informazioni inserite e ragionarle in funzione della tipologia di rischi incombenti sulla struttura del Titolare. L’analisi viene divisa in Procedure, Tecnologie e Risorse umane in funzione di quanto richiesto dal Dlgs 196; in particolare il Decreto prevede, in relazione al tipo di rischio delle misure fisiche e tecnologiche di protezione (impianti d’allarme, antincendio, barre antintrusione), delle misure procedurali (aggiornamenti software, autenticazione accessi, autorizzazioni), delle misure organizzative (identificare chi fa che cosa in relazione ai compiti e responsabilità attribuiti) e quindi formative nei confronti di coloro che sono chiamati a trattare i dati personali direttamente (corsi di formazione). Per questo nell’Analisi dei rischi effettuata in GP verranno analizzate le misure di sicurezza adottate in relazione alle Tecnologie, alle Procedure e ai Corsi di formazione al fine di poterle valutare e da poter dichiarare ciò che c’è ancora da introdurre nella stessa struttura per aumentare la sicurezza interna. Dialogo di inserimento Procedure per rischio in essere Nel dialogo Procedure per rischio andranno associate le procedure esistenti nella struttura per fronteggiare o contenere gli effetti di un determinato tipo di rischio qualora diventi reale e quindi sia idoneo a produrre dei danni. Ad esempio l’Autenticazione degli utenti potrà essere idonea per prevenire il danno da Rischio accesso non consentito, sottrazione di credenziali di autenticazione, ecc. La valutazione di quale procedura è idonea per fronteggiare un determinato tipo di rischio dovrà essere fatta di volta in volta in relazione al Tipo rischio selezionato. Una procedura potrà essere associata anche a più Tipi rischio differenti. Dialogo di inserimento Tecnologie per rischio in essere Nel dialogo Tecnologie per rischio in essere sarà possibile associare alle sedi, ai locali, alle ubicazioni e agli strumenti le tecnologie idonee per fronteggiare l’eventuale danno causato da una determinata tipologia di rischio. Selezionando geografica dal della combo l’indicazione tecnologia, sarà possibile caricarne diverse in relazione alla tipologia di rischio selezionata. Dialogo di inserimento Analisi dei rischi: Misure in essere La parte compilativa dell’applicativo è finalizzata ad avere le informazioni necessarie per poter compilare le lettere di incarico, per avere una situazione reale della struttura in cui vengono trattati i dati e soprattutto per poter valutare l’entità del rischio di trattamento illecito che si corre in relazione alle misure minime adottate in ogni singolo locale o archivio. Quest’ultima parte è importante non solo in quanto la normativa la richiede (art. 34, Dlgs 196/03) in caso di trattamento effettuato con elaboratori elettronici, ma soprattutto perché consente di verificare se le misure minime richieste dal titolare ai suoi responsabili sono state adottate in ogni locale della struttura analizzata e in che modo. L’analisi dei rischi, quale proposta dall’applicativo, è strutturata in tre parti: Nel dialogo c’è anche la possibilità di identificare un Soggetto o un’Unità Organizzativa a cui viene attribuita la responsabilità di fronteggiare una determinata tipologia di rischio. Si pensi ai rischi di accesso non consentito a sistemi informativi; ci potrebbe essere una Unità operativa appositamente creata per tutelare il Titolare da siffatti pericoli. 1) Misure in Essere: ha lo scopo di analizzare ogni archivio/gruppo archivi in relazione al tipo di rischio selezionato in relazione alle tecnologie adottate e poste a tutela della sede, locale, ubicazione, strumento in cui i dati vengono trattati, alle procedure in essere e agli interventi formativi effettuati. Dialogo di inserimento Analisi dei rischi: Valutazione 2) Valutazione: ha lo scopo di valutare se le tecnologie adottate, le procedure in essere e i corsi di formazione sono idonei e sufficienti per fronteggiare un determinato tipo di rischio e consente quindi di esprimere tale conformità/non conformità in valori numerici. Il dialogo è diviso in due parti: • una prima parte in cui l’utente è chiamato ad esprimere un valore in termini di idoneità/non idoneità in relazione alle misure di sicurezza adottate; tale valutazione viene specificatamente espressa in relazione ad ogni singola categoria di misure adottate: tecnologie, procedure e formazione risorse umane • una seconda parte in cui l’utente viene chiamato a valutare la probabilità che il rischio diventi danno e, qualora ciò si verificasse, l’entità del danno prodotto dall’evento considerato. I valori numerici indicano infatti la gravità del rischio qualora un evento illecito si verifichi. Il valore della magnitudo del rischio verrà riportato nel DPS scheda 19.3 in modo descrittivo. Dialogo di inserimento Analisi dei rischi: Misure da adottare 3) Consigli: ha lo scopo dare evidenza ai motivi dell’inidoneità delle Procedure, Tecnologie, e formazione risorse umane adottate su un archivio/gruppo archivi in relazione al tipo rischio considerato. Anche questa parte mantiene la distinzione procedure, tecnologie, risorse umane: • procedure mancanti: con F9 è possibile aprire la tabella Tipi procedure dei parametri ed inserire quelle che si desidera applicare. • tecnologie mancanti: con F9 è possibile aprire la tabella Tipi tecnologie dei parametri ed inserire quelle che si desidera applicare. • corsi mancanti per risorse umane: vengono riportati i corsi di formazione con lo stato pianificati o da pianificare già inseriti in Corsi di formazione con l’elenco dei Soggetti che dovrebbero parteciparvi. Dialogo di inserimento Analisi dei rischi: Analisi stampate Nell’Analisi dei rischi stampate sarà possibile visualizzare le analisi stampate con il flag “stampa diretta su…”. Questa funzione consente di verificare le analisi effettuate e quindi di tenere monitorato lo stato avanzamento lavori in all’abbassamento della probabilità relazione che un rischio diventi danno. Dall’apposito pulsante sarà possibile aprire direttamente dal menù. le analisi stampate Dialogo di inserimento Copie di sicurezza Nel dialogo di inserimento Copie di sicurezza è possibile inserire le procedure, i tempi ed i soggetti incaricati ad eseguire il back-up in relazione ad un Archivio/Gruppo Archivi. Questa informazione verrà riportata nel DPS scheda 19.5_1. Nel campo Incaricato saranno selezionabili i Soggetti che come Tipo incarico hanno attribuito Incaricato al salvataggio dati. Dialogo di inserimento Ripristino dei dati Nel dialogo di inserimento Ripristino dei dati è possibile inserire le procedure, i tempi, i soggetti incaricati ad eseguire il back-up in relazione ad un Archivio/Gruppo Archivi. Sarà inoltre possibile inserire la descrizione e i luoghi di custodia dei supporti di memorizzazione per favorirne la rintracciabilità. Questa informazione verrà riportata nel DPS scheda 19.5_2. Nel campo Incaricato saranno selezionabili i Soggetti che come Tipo incarico hanno attribuito Incaricato al ripristino dei dati. Dialogo di inserimento Crittografia/Separazione Nel dialogo di inserimento Crittografia/Separazione è possibile inserire il tipo di protezione adottato e le procedure di esecuzione della stessa. La regola 19.8 dell’Allegato B dispone che “per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24” debba essere inserito nel DPS “l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato”. Dialogo di inserimento Informative ex art. 13 Dlgs 196/2003 L’art. 13 del DPS 196/2003 dispone: “L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; Nel dialogo di inserimento Informative è possibile diverse generare per ogni delle Informative Soggetto, oppure generare delle informative standard per Tipologia di soggetti. e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. Dialogo di inserimento Informative ex art. 13 Dlgs 196/2003 In relazione al disposto dell’art. 13 riportato nella scheda precedente, nel dialogo di gestione andranno riportate le informazioni in relazione: • al formato dell’archivio (cartaceo, informatico) e al tipo di dati trattati (ordinari, sensibili, ecc.); • alle finalità per le quali il trattamento da parte del Titolare viene effettuato; • alla categoria di soggetti interessati a conoscere tali dati e ai quali vengono comunicati o a cui si rivolge la diffusione; • alla tipologia di conferimento, e quindi l’obbligatorietà o la facoltatività dello stesso; si ricorda che il conferimento è obbligatorio quando una norma cogente lo impone; è facoltativo quando non è necessario per la costituzione di un rapporto giuridico oppure quando al soggetto viene attribuito un onere (cioè se il soggetto sceglie di comunicare i dati può costituire un rapporto giuridico, se non li fornisce non lo costituisce). • alle conseguenze nel caso di negato conferimento del dato che essenzialmente consisteranno in una modifica del rapporto contrattuale o nell’impossibilità di proseguirlo o costituirlo. • al riferimento all’Autorizzazione generale del Garante che consente al Titolare di effettuare il trattamento senza dover notificare lo stesso al Garante Dialogo di inserimento Informative ex art. 13 Dlgs 196/2003 Procedendo in questo modo verrà generato un record nel Data base che potrà essere modificato e stampato a discrezionalità dell’utente. Compilando le informazioni di questo dialogo è come essere nel report e compilare le informazioni direttamente da lì. Il vantaggio è che si creerà una volta per Tipologia di Soggetto interessato al trattamento. Quando l’Informativa verrà dialogo Soggetti si stamperà allegata in in record automatico corrispondenza appartenenti alla tipologia selezionata. Il riferimento al Rappresentante in Italia del Titolare qualora lo stesso sia Extracomunitario e tratti i dati nel territorio dello stato per fini diversi dal semplice passaggio dello stesso dato in paesi comunitari (art. 5 Dlgs 196/2003). il di nel quelli Dialogo di Stampa Informative ex art. 13 Dlgs 196/2003 Altro modo per stampare le informative ex art. 13 è quello di inviare in stampa i modelli inseriti dall’utente o preconfigurati dal produttore, presenti in Tipo Report. In questo caso possibile dai filtri sarà selezionare i soggetti per i quali si desidera fare la stampa scegliendo dell’informativa un modello e sarà possibile abbinare i dati anagrafici di quei soggetti alla stampa. Dialogo di Stampa Lettere di incarico Il dialogo di stampa lettere di incarico serve per poter associare a determinati soggetti i report presenti in Tipo report a cui è abbinata la caratteristica “Lettere di incarico”; questa operazione deve avvenire solo dopo aver associato ai soggetti almeno un incarico e che all’incarico del soggetto in questo modo determinato venga associata una Autorizzazione a svolgere lo stesso su determinati archivi. In relazione al tipo di incarico selezionato si potranno avere le seguenti ipotesi: • se fleggato Interno verranno proposti in Descrizione tutti i report che hanno associato Incarichi che in Tipo incarichi sono caratterizzati dal flag interno. • se fleggato Esterno verranno proposti tutti i report associati ad un incarico caratterizzato dal flag esterno. In questo caso la finalità è quella di stampare la lettera di autorizzazione a trattare dei dati esternamente alla struttura del titolare. Un esterno infatti che tratta dati solo internamente alla struttura del Titolare dovrà essere trattato come interno e gli dovrà essere attribuito l’Incarico al trattamento dei dati. • se fleggato Unità organizzativa verranno stampate le lettere di incarico per Unità (struttura) in relazione a quanto disposto nell’art. 30, II comma, Dlgs 196/2003. Le lettere di incarico così stampate verranno allegate in automatico ai soggetti selezionati nel dialogo Soggetti/Allegati. Dialogo di Stampa D.P.S. Il dialogo di stampa D.P.S. serve per poter stampare i report presenti in Tipo report a cui è abbinata la caratteristica “DPS” riportando in automatico le informazioni inserite a programma. Il dialogo di stampa è composto da tre sezioni: • descrizione: nel quale vengono visualizzate le schede che dovrebbero costituire il DPS in relazione a quanto disposto nella regola 19 Allegato B. • ordine: dal quale è possibile stabilire in quale ordine stampare le schede. Ciò è rilevante per gli utenti che volessero effettuare delle personalizzazioni; ad esempio inserire dopo il Frontespizio e prima della Guida operativa la presentazione azienda. • sezione di stampa: dalla quale è possibile decidere se stampare direttamente o su stampante o Pdf, Rtf oppure aprire l’anteprima. Selezionando Stampa diretta su e selezionando tutti i flag si attiva anche il flag Stampa definitiva che consente di archiviare il DPS in Storico stampe Dps. La struttura del DPS è quella proposta dal Garante e segue pedissequamente le indicazioni della regola 19 del DPS Dialogo di Stampa D.P.S. Il D.P.S. risulta quindi composto da: • Frontespizio: con la data di stampa e di revisione in modo da sapere la data di aggiornamento dello stesso e i dati identificativi del Titolare per il quale si esegue l’analisi. • Guida operativa: spiega quali informazioni inserite nelle schede. E’ l’indice descrittivo del DPS. verranno • Organigramma aziendale: individua i compiti e responsabilità in relazione a quanto richiesto dal “Codice”. • Regola 19.1: elenco dei trattamenti effettuati dal Titolare con le indicazioni identificative degli stessi; • Regola 19.2: distribuzione dei compiti e delle responsabilità in relazione agli incarichi e autorizzazioni attribuite ad ogni soggetto; • Regola 19.3: analisi dei rischi che incombono sui dati con la descrizione dell’impatto del rischio analizzato sulla sicurezza; • Regola 19.4: misure di sicurezza adottate o da adottare con l’indicazione delle Procedure, Tecnologie, Corsi di formazione esistenti o effettuati e quelli che invece costituiscono la dichiarazione di intenti del Titolare e che quindi saranno oggetto di implementazione futura; • Regola 19.5_1: criteri e procedure per il salvataggio dei dati con indicazioni temporali dei back-up eseguiti dal responsabile; • Regola 19.5_2: criteri e procedure per il ripristino dei dati con le indicazioni temporali in cui il responsabile esegue le prove di ripristino. Dialogo di Stampa D.P.S. • Regola 19.6: pianificazione degli interventi formativi previsti con l’indicazione temporale ed il riferimento al rischio a cui ci si desidera opporre effettuando quel tipo di corso; • Regola 19.7: elenco dei trattamenti affidati all’esterno con l’indicazione dell’attività svolta dal soggetto esterno sugli archivi oggetto del trattamento; • Regola 19.8: cifratura o separazione dei dati identificativi idonei a rivelare o stato di salute o la vita sessuale di un soggetto con l’indicazione della procedura adottata e del responsabile a cui è stata affidata una tale responsabilità; Dialogo Storico D.P.S. Il dialogo Storico DPS serve per visualizzare e quindi consentire una rapida rintracciabilità dei DPS stampati in modo definitivo dal Titolare. In dettagli è possibile verificare la data di stampa e aprire il file generato contenente il DPS stesso. In questo modo si consentirà al Titolare in ogni momento di controllare la situazione pregressa con quella attuale. Menù Parametri Il menù parametri serve per gestire specifiche di ogni Titolare in relazione alla realtà in cui opera. Tutte le informazioni caratterizzanti i singoli dialoghi sono contenute nei Parametri e quindi possono essere modificate o aggiunte da parte degli utenti. In particolare sarà possibile dal menù parametri: • personalizzare il tipo di accesso ai locali in cui i dati sono custoditi • personalizzare la tipologia di soggetti con cui il Titolare entra in contatto per il trattamento a lui affidato; ad esempio il Titolare nel trattamento dei dati potrebbe avere contatto con Clienti, Fornitori, Dipendenti, Consulenti esterni, ecc. • personalizzare la tipologia di software utilizzati dal Titolare per effettuare i trattamenti (ad esempio antivirus, gestionali, organizzazione ecc.). • personalizzare la tipologia di strumenti utilizzati: palmari, controlli accessi, pcdesktop, ecc. • personalizzare le informazioni relative agli archivi oggetto del trattamento, inserendo nuove finalità del trattamento, nuove categorie di soggetti interessati o tipi di formato, ecc. • personalizzare la tipologia di supporti di memorizzazione utilizzati (es: DVD, Hardisk ecc.) • personalizzare i Report e gli Incarichi attribuibili • personalizzare i profili di autorizzazione al trattamento (ad esempio inserendo particolari attività svolte da esterni o nuovi compiti e responsabilità) • personalizzare la tipologia ed il contenuto dei corsi di formazione • personalizzare la tipologia di Rischi, le Procedure e le Tecnologie esistenti o che dovrebbero esistere nella struttura del Titolare. • personalizzare le informazioni da riportare nell’Informativa ex art. 13 Normativa e definizioni I dati personali Trattamento Soggetti e Incarichi Misure minime di Sicurezza Informativa Consenso Il Decreto Legislativo 30 giugno 2003, n. 196, meglio noto come Codice Unico, è stato emanato per garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale e per garantire i diritti delle persone giuridiche e di ogni altro ente/associazione (Art. 2, comma 1). I Dati personali La Legge identifica cinque tipi differenti di dati personali: - Dato ordinario (Cod. Unico - art. 4, comma 1 lett. b) - Dato semisensibile (Cod. Unico – art. 17) - Dato sensibile (Cod. Unico - art. 4, comma 1 lett. d) - Dato sanitario (Cod. Unico - art. 22, comma 1 n. 7/8) - Dato giudiziario (Cod. Unico - art. 4, comma 1 lett. e) Per dati ordinari (art. 4 lett b) si intendono: I Dati personali non qualificabili come sensibili [comprendono quindi anche i dati identificativi (art. 4 lett. c)] ESEMPIO: - Dato anagrafico di un Cliente/Fornitore - Dato di reddito - Dato contabile Per dati semisensibili (art. 17, Codice Unico) si intendono: “Il dato diverso da quello sensibile e giudiziario che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare”. Per dati sensibili (art. 4 lett. d) si intendono: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. ESEMPIO: - Indicazione sulla denuncia dei redditi della destinazione dell‘8 per mille - Certificati medici - Permessi sindacali Per dati sanitari (art. 22 n. 7/8) si intendono: I dati idonei a rivelare lo stato di salute e la vita sessuale. Trattasi quindi di una categoria dei dati sensibili per i quali il legislatore richiede l’adozione di ulteriori misure di sicurezza. ESEMPIO: - I certificati medici dovranno essere conservati separatamente dagli altri dati personali del paziente (ad esempio dati identificativi) Per dati giudiziari, (art. 4, lett. e) si intendono: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; ESEMPIO: - Comunicazione giudiziaria In seguito, quando si farà riferimento ai dati sensibili il concetto sarà riferito ai dati sensibili in senso ampio comprendendo sia quelli di cui all’Art. 4, lett. d, che quelli di cui all’Art. 4, lett. e. Cosa si intende per Trattamento dei dati ? Art 4 lett. a, Codice Unico: qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati,concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Nella pratica si hanno i seguenti tipi di trattamento: - Non automatizzato (cartaceo) - Automatizzato (mediante elaboratori ) Trattamento eseguito senza l’utilizzo di strumenti elettronici o comunque automatizzati E’ qualsiasi operazione svolta su documenti, contenenti dati personali, senza l’ausilio di elaboratori. Esempio: • Tenuta di registri manuali • Compilazione di schede manuali • Tenuta di fogli manuali di conteggio e riepilogo • Annotazioni ed informazioni riportate su tabulati cartacei prodotti da elaboratori Trattamento eseguito con l’utilizzo di strumenti elettronici o comunque automatizzati (Elaboratori) E’ qualsiasi operazione svolta utilizzando programmi, su archivi contenenti i dati personali, presenti su elaboratori. Esempio: • Foglio elettronico • Compilazione di schede mediante Documento di testo • Gestione Clienti, Fornitori e Personale mediante programma I tipi di Elaboratori Si identificano tre diverse tipologie di elaboratori: • Stand alone: L’elaboratore non è connesso ad altri elaboratori ovvero lo stesso non deve possedere schede di rete o altro dispositivo di connessione ad esempio mediante cavo seriale. • Connesso in rete privata: L’elaboratore è connesso ad altri elaboratori mediante cavo e scheda di rete. Sulla rete e sull’elaboratore non sono presenti dispositivi di telecomunicazione quali modem, router, apparecchiature di accesso remoto, ecc. • Connesso in rete ed accessibile da rete pubblica: : L’elaboratore è connesso ad altri elaboratori mediante cavo e scheda di rete. Sulla rete e/o sull’elaboratore sono presenti dispositivi di telecomunicazioni quali modem, router, apparecchiature di accesso remoto, ecc. Se sulla rete anche un solo Elaboratore è connesso a rete pubblica, automaticamente tutti gli elaboratori della rete vengono considerati accessibili da rete pubblica. Per rete pubblica si intende un qualsiasi collegamento effettuato utilizzando un carrier telefonico (es. Telecom Italia) a prescindere dal tipo di collegamento (CDN, X.25, ADSL, ISDN, Analogica, ecc.) I Soggetti Preposti all’attuazione delle misure di sicurezza • Interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali (art. 4 lett. I, Codice Unico) • Titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza (art. 28, Codice Unico) • Responsabile: è il soggetto preposto dal titolare al trattamento di dati personali. L’art 29 del Codice Unico dispone che il responsabile, se designato, deve essere nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile procede al trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni predette e delle proprie istruzioni. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. • Incaricati del trattamento: sono le persone incaricate per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile, e che operano sotto la loro diretta autorità (Art. 30 Codice Unico). Il Codice Unico dispone che gli incaricati del trattamento devono elaborare i dati personali ai quali hanno accesso attenendosi alle istruzioni del titolare o del responsabile. • Amministratori di sistema: sono i soggetti cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione (Figura non prevista dal Codice Unico ma riconducibile al responsabile del trattamento dei dati, Art. 29 e richiamati in modo indiretto dall’Art. 34, lett d). • Custodi delle Password: Sono i soggetti preposti alla custodia delle parole chiave o che hanno accesso ad informazioni che concernono le medesime (regola 10 Allegato B). Devono essere nominati (ed individuati per iscritto) nel caso di trattamento dei dati personali effettuato con strumenti elettronici o comunque automatizzati quando vi è più di un incaricato del trattamento e sono in uso più parole chiave. • Manutentori di sistema: sono i soggetti cui è conferito il compito di effettuare operazioni di gestione operativa, manutenzione ai sistemi, ai dati ed ai programmi (Art. 34, lett. d). Se presenti devono essere nominati ed individuati per iscritto. Le misure minime di sicurezza Le misure minime da adottare sono in relazione ai seguenti fattori: • Tipo di dato personale da trattare Ordinario, Sensibile/Giudiziario, Sanitario • Modalità di trattamento Non automatizzato Automatizzato con Elaboratore Elettronico Trattamento non automatizzato – Dati Ordinari (Allegato B art. 27) • Bisogna designare gli incaricati del trattamento per iscritto e fornire loro le istruzioni finalizzate al controllo e alla custodia degli atti e dei documenti contenenti dati personali. Nell'impartire le istruzioni il titolare o, se designato, il responsabile devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati. • Gli atti e i documenti contenenti i dati devono essere conservati in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, devono essere da questi ultimi conservati e restituiti al termine delle operazioni affidate. Trattamento non automatizzato – Dati Sensibili/Sanitari (Allegato B artt. 28 e 29) Oltre quanto previsto per i dati ordinari si consideri quanto segue: • se affidati agli incaricati del trattamento, gli atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione, in modo tale che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. • l'accesso agli archivi deve essere controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. Trattamento Automatizzato effettuato con Elaboratori Elettronici Misure comuni a tutti gli Elaboratori A prescindere dal tipo di dato trattato, vi sono alcune misure che sono comuni a tutti i trattamenti con elaboratori: • in presenza di più incaricati e se sono in uso più parole chiave deve essere individuato ed incaricato per iscritto il Custode delle Password • deve essere individuato ed incaricato per iscritto l’Amministratore di Sistema • se presente deve essere incaricato per iscritto il Manutentore di Sistema Sistema di autenticazione informatica (Allegato B, art. 1 ss) • L’accesso ai dati deve avvenire con l’utilizzo di una “User id” e di Password • La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. • Dove tecnologicamente possibile la password può essere cambiata dall’incaricato autonomamente, previa comunicazione di tale evento, al custode delle password • Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. • Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. • Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali. • Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. • Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato. Sistema di autorizzazione (allegato B, art. 12 ss) • Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. • I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. • Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Protezione contro software pericolosi • Gli elaboratori devono possedere adeguati programmi di protezione da virus e software pericolosi (Active/x, applet Java, Trojan Horse). • L’efficacia dei programmi di protezione contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale deve essere verificata almeno semestralmente. • L’aggiornamento delle versioni dei programmi di protezione dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. D.P.S. (art. 34 lett. g Dlgs 196/2003) “ Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: lett. g) tenuta di un aggiornato documento programmatico sulla sicurezza”; L’art. 19 dell’Allegato B, dispone: Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: • l’elenco dei trattamenti di dati personali; • la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; • l’analisi dei rischi che incombono sui dati; • le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; • la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare; Trattamento Automatizzato effettuato con Elaboratori Elettronici – Dati Sensibili/Giudiziari Per i trattamenti effettuati su dati sensibili e giudiziari il legislatore richiede ulteriori misure minime di sicurezza: reg.20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. reg.21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. reg.22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. reg.23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. reg.24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Trattamento Automatizzato effettuato con Elaboratori Elettronici – Dati Sanitari Per i trattamenti effettuati su dati sanitari il legislatore oltre alle misure minime richieste per i trattamenti effettuati su dati sensibili/giudiziari richiede ulteriori misure minime di sicurezza: reg.24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22,comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Inoltre, nella redazione del D.P.S., la regola 19 dell’Allegato B richiede espressamente che: “per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24” dovranno essere individuati “… i criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato”. Informative ex art. 13 D.lgs 196/2003 Il D.lgs 196/2003 oltre a prevedere gli adempimenti minimi necessari per la tutela dei dati personali, stabilisce il contenuto della comunicazione che deve essere data agli interessati nel momento in cui conferiscono i dati che saranno oggetto di trattamento da parte del Titolare. L’art. 13, n. 1 dispone: L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. Eccezioni L’art. 13, n. 5 dispone che l’informativa può essere non comunicata all’interessato nel momento della registrazione del dato o della prima comunicazione se: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile. Consenso dell’interessato al trattamento L’Art. 23 dispone che oltre all’informativa che deve obbligatoriamente precedere il trattamento o la prima comunicazione che del dato viene effettuata da parte del Titolare, debba essere manifestato il consenso dell’interessato al trattamento: “Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato”. Al numero 4 dispone anche: “Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili”. Eccezioni al necessario reperimento del consenso dell’interessato Il consenso non è richiesto, oltre che nei casi previsti nella Parte II (trattamento effettuato da Soggetti pubblici non economici), quando il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato; h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.