Tecnologie per un territorio
La Privacy
Formazione del personale interno
Autore
TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY
Materiale riservato. Proprietà di Tecnochora spa. Vietata la riproduzione e l’utilizzo non autorizzato.
Privacy: che significa ?
“Conciliare le esigenze di riservatezza del singolo
individuo con quelle di una società che, senza
circolazione delle informazioni, sarebbe destinata a
regredire in modo inesorabile”
Tecnologie per un territorio
2
La legislazione Comunitaria e nazionale
•Direttiva del Consiglio dell’Unione Europea del 24 ottobre 1995 n . 95/46
"tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati".
•Legge 31 dicembre 1996 n. 675,
"Tutela delle persone e di altri soggetti rispetto al trattamento dei dati
personali”
entrata in vigore in data 8 maggio 1997, seguita da numerosi
provvedimenti di modifica ed integrazione
•Decreto Legislativo 30 giugno 2003, n°196
“Codice in materia di protezione dei dati personali”
entrato in vigore il 1°gennaio 2004 abrogando la precedente normativa
Tecnologie per un territorio
3
I dati personali
• Il D.Lgs196/2003 disciplina il trattamento di dati personali, anche
detenuti all’estero, effettuato da chiunque è stabilito in Italia o in un
paese non della Comunità Europea ma utilizza strumenti situati in
Italia
• L’articolo 4 del Nuovo Testo Unico definisce i dati personali come
"qualunque informazione relativa a persona fisica, giuridica, ente od
associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale”
Tecnologie per un territorio
4
La gestione della Privacy in azienda
Gestione della privacy
attività sistematica messa in atto da
un’organizzazione al fine di offrire al suo interno o
a terzi evidenze sul suo grado di affidabilità nel
rispetto dei requisiti cogenti.
Tecnologie per un territorio
5
Obblighi legislativi minimi
Notifica al Garante
Rispetto la L675/1996 sono state ridotte le categorie di titolari di dati che
hanno l’obbligo di notifica al Garante !
Esistenza del modello e veridicità del contenuto:
• titolarità e responsabilità del trattamento
• finalità e modalità del trattamento
• natura e luoghi di custodia dei dati trattati
• ambito di comunicazione e diffusione dei dati
• trasferimento dei dati all’estero
• misure di sicurezza
Tecnologie per un territorio
6
Obblighi legislativi minimi
Le nomine
Effettuazione e correttezza delle lettere di nomina:
•
Istruzioni dettagliate
•
Linee guida sulla sicurezza
•
Competenze
•
Delimitazione accesso ai dati
Tecnologie per un territorio
7
Obblighi legislativi minimi
Informative
Effettuazione e correttezza delle informative:
•
•
•
•
•
•
•
•
•
Finalità e modalità del trattamento
Natura obbligatoria o facoltativa del conferimento dei dati
Conseguenze di un eventuale rifiuto di rispondere
Soggetti ai quali i dati possono venire comunicati o che possono venirne a
conoscenza in qualità di responsabili o incaricati e l’ambito di diffusione dei
dati medesimi
I diritti previsti dall’art. 7
Il titolare del trattamento
Il responsabile del trattamento
Il rappresentante in Italia ai sensi dell’art. 5
Il responsabile per il riscontro all’interessato
Tecnologie per un territorio
8
Obblighi legislativi minimi
Dati raccolti
I dati devono essere:
•
Trattati in modo lecito e secondo correttezza
•
Raccolti e registrati per scopi determinati, espliciti e legittimi
•
Esatti ed aggiornati
•
Pertinenti, completi e non eccedenti le finalità
•
Conservati non oltre il periodo di tempo necessario agli scopi
Tecnologie per un territorio
9
Obblighi legislativi minimi
Consenso
Esistenza di trattamenti che necessitano di consenso
Acquisizione e correttezza del consenso:
•
Espresso
•
Totale o parziale
•
Manifestato liberamente
•
Scritto o documentato per iscritto nel caso di dati sensibili
•
Specifico
•
Informato
Tecnologie per un territorio
10
Obblighi legislativi minimi
Misure idonee di sicurezza
Adozione di misure di sicurezza per la custodia ed il controllo dei dati
personali per ridurre al minimo i rischi di:
•
distruzione e perdita dei dati;
•
accesso non autorizzato;
•
trattamento non consentito;
•
trattamento non conforme alle finalità della raccolta;
Tecnologie per un territorio
11
Obblighi legislativi minimi
Formazione ed informazione
Effettuazione corsi per:
•
i responsabili e gli incaricati;
•
aggiornamenti periodici;
•
formare gli incaricati sulle risultanze dei rischi individuati e dei modi per
prevenirli
Tecnologie per un territorio
12
Obblighi legislativi minimi
Auditing annuale
Effettuazione auditing per verificare efficacia delle misure di sicurezza in
merito ai:
•
criteri tecnici ed organizzativi per protezione aree e locali dove avviene il
trattamento
•
criteri e procedure per integrità dati
•
criteri e procedure per sicurezza trasmissione dati anche TLC
Tecnologie per un territorio
13
Misure minime di sicurezza
trattamenti manuali o non automatizzati
• Aggiornamento
periodico
dell’individuazione
dell’ambito
del
trattamento consentito ai singoli incaricati o alle unità organizzative
• Previsione di procedure per un’idonea custodia di atti e documenti
affidati agli incaricati per lo svolgimento dei relativi compiti
• Previsione di procedure per la conservazione di determinati atti in
archivi ad accesso selezionato e disciplina delle modalità di accesso
finalizzata all’identificazione degli incaricati
Tecnologie per un territorio
14
Misure minime di sicurezza
Elaboratori stand-alone (trattamento dati comuni,
sensibili e di natura giudiziaria)
• prevedere una parola chiave per l’accesso ai dati
• assegnarla agli incaricati di sistema
Tecnologie per un territorio
15
Misure minime di sicurezza
Elaboratori in rete disponibile e non al pubblico
(trattamento di dati comuni)
• prevedere una parola chiave per l’accesso ai dati
• assegnarla agli incaricati
• individuare per iscritto il custode delle password
• assegnare agli utenti un codice identificativo personale non
riutilizzabile da altri
• disattivare tale codice in caso di perdita del diritto di accesso o per
l’inutilizzo dello stesso per più di sei mesi
• adottare programmi antivirus e aggiornarli almeno ogni sei mesi
Tecnologie per un territorio
16
Misure minime di sicurezza
Elaboratori in rete non disponibile al pubblico
(trattamento di dati sensibili o di natura giudiziaria)
SONO VALIDI GLI STESSI PUNTI SOPRAELENCATI E IN AGGIUNTA:
•
riutilizzare i supporti per altri trattamenti solo se le informazioni in essi
contenuti non siano tecnicamente in alcun modo recuperabili
•
autorizzare gli incaricati (del trattamento e della manutenzione) ad accedere ai
soli dati necessari e verificare annualmente la validità dell’autorizzazione
•
impedire l’accesso contemporaneo di uno stesso utente ad una applicazione
da postazioni diverse
Tecnologie per un territorio
17
Misure minime di sicurezza
Elaboratori in rete disponibile al pubblico (trattamento di
dati sensibili o di natura giudiziaria)
Oltre ai punti sopraelencati, si aggiungono:
•
impedire l’accesso contemporaneo di uno stesso utente ad una applicazione da
postazioni diverse
•
autorizzare gli strumenti utilizzati per l’interconnessione
•
individuare gli elaboratori da cui è possibile effettuare il trattamento
•
predisporre il documento programmatico sulla sicurezza e aggiornarlo annualmente
•
effettuare formazione per formare gli incaricati sulle risultanze dei rischi individuati e dei
modi per prevenirli
•
verificare annualmente le misure di sicurezza adottate
Tecnologie per un territorio
18
INTERNET
• Internet rappresenta un bacino d’utenza stimato
sopra i 300
milioni di utenti (dati del 2000)
• PROBLEMA: Il mondo digitale (Internet) si
rispecchia nel mondo reale e viceversa:
anche i malintenzionati usano Internet
Nel mondo reale, lascereste la vostra azienda
con porte e
finestre socchiuse? Senza vigilanza?
Senza un sistema d’allarme?
Tecnologie per un territorio
19
LE SOLUZIONI ESISTENTI
• Le soluzioni software e hardware esistenti sul
mercato sono indispensabili
• Tali soluzioni vanno integrate in maniera adeguata
per coprire eventuali fattori di rischio
umano/ organizzativo
Tecnologie per un territorio
20