PRIVACY
La sicurezza dei dati e la loro
gestione.
[email protected]
1
Quali dati proteggere?



Dati personali
dati personali (art. 4 c. 1 lett b) del D.lgs. 196/03)
identificano le informazioni relative alla persona
fisica, giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante
riferimento a qualsiasi altro dato, ivi compreso un
numero di riconoscimento personale.
Esempio: nome e cognome della persona, la
ragione sociale della ditta, l’indirizzo o i numeri di
telefono o di cellulare, codice fiscale e partita IVA,

l'indirizzo e-mail.

Dati giudiziari
dati giudiziari sono quei dati personali in materia di
casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi
pendenti. Inoltre possono essere quei dati personali
indicanti la qualità di imputato o di indagato.



Dati sensibili
Secondo il Codice sulla protezione dei dati
personali (d.lgs. 196/2003), art.4, sono
considerati dati sensibili, e dunque la loro
raccolta e trattamento sono soggetti sia al
consenso dell'interessato che
all'autorizzazione preventiva del Garante
per la protezione dei dati personali (art. 26),
i dati personali, idonei a rivelare:
l'origine razziale ed etnica,
le convinzioni religiose, filosofiche o di
altro genere,
le opinioni politiche,
l'adesione a partiti, sindacati, associazioni
od organizzazioni a carattere religioso,
filosofico, politico o sindacale,
lo stato di salute e la vita sessuale
[email protected]
2
informazione







Cos'è il D.P.S.
Chi deve adeguarsi
Adempimenti
Sanzioni
L'ufficio del garante
Legge 196/2003
Norme e Leggi
[email protected]
3
Cos'è il D.P.S.

Documento programmatico sulla Sicurezza
Il D.P.S. è l'unico documento in grado di attestare
l'adeguamento alla normativa sulla tutela dei dati
personali (privacy) e deve essere redatto entro il 30
GIUGNO 2005 ed alla scadenza fissata al 31 di marzo di
ogni anno.
[email protected]
4
Chi deve adeguarsi

Tutti coloro che trattano dati personali e/o sensibili* sia
tramite strumenti informatici che in forma cartacea.
* Es. buste paga/certificati medici

Tutti coloro che trattano dati sensibili e/o giudiziari
tramite strumenti informatici e rientrano nelle casistiche
definite dal Garante

Tutti coloro che rientrano nelle casistiche definite dal
Garante e trattano dati personali in modo informatico o
manuale
[email protected]
5
Adempimenti




Adempimenti Organizzativi
Adempimenti tecnici
Trattamento con elaboratori elettronici
Trattamento cartaceo
[email protected]
6
Adempimenti Organizzativi








La società deve redigere il Documento Programmatico della
Sicurezza (DPS) contenente:
L'elenco dei trattamenti dei dati personali
Attribuzione di compiti e responsabilità
Analisi del rischio dei dati
L'elenco delle misure adottate atte a garantire integrità, disponibilità e
riservatezza dei dati
Formazione del personale sui temi della sicurezza
Descrizione delle misure minime di sicurezza adottate in conformità
al codice
Descrizione delle misure adottate per la cifratura dei dati
sensibili/giudiziari
[email protected]
7
Adempimenti tecnici

La società deve adottare una serie di misure
minime di sicurezza o idonee, sia per il
trattamento dei dati con strumenti
elettronici, che per il trattamento di dati su
supporto cartaceo.
[email protected]
8
Trattamento con elaboratori
elettronici






Dotare il sistema di strumenti di autenticazione
Redigere delle procedure per la gestione delle credenziali di
autenticazione
Provvedere all'aggiornamento periodico del personale preposto al
trattamento dei dati e di quello addetto ai sistemi informativi
Mettere in atto misure di protezione degli elaboratori rispetto al
trattamento illecito dei dati e ad accessi non consentiti
Effettuare procedure per il backup dei dati ed il loro ripristino
Adottare tecniche di cifratura per i dati sensibili/giudiziari
[email protected]
9
Trattamento cartaceo




Procedure per la gestione e la custodia di atti e
documenti
Analisi del rischio
Formazione del personale sui temi della sicurezza
Descrizione delle misure minime di sicurezza
adottate in conformità al codice
[email protected]
10
Sanzioni
SANZIONE
AMMINISTRATIVA
SANZIONE PENALE
INADEGUATEZZA
DELLE MISURE DI
SICUREZZA
DA € 10.000 A €
50.000
RECLUSIONE FINO
A DUE ANNI
OMESSA O INIDONEA
INFORMATIVA
DA € 3.000 A € 18.000 per
violazione dei dati ex art. 13
DA € 5.000 A € 30.000 per
violazione dei dati sensibili o
…………..
ILLECITO
ALL'INTERESSATO
giudiziari
In caso di violazione accertata, sono previste sanzioni di tipo
amministrativo fino a 50.000 Euro e la reclusione fino a 3
anni, esclusione dalle gare di appalto e risarcimento di danni
ai sensi dell'art. 2050 C.C.
[email protected]
11
L'ufficio del garante




L'organo collegiale del Garante per la protezione dei
dati personali, designato dalle Camere, è costituito
da quattro membri (art. 153 D.L.gs. 196/2003 )
Prof. Francesco Pizzetti (Presidente)
Dott. Giuseppe Chiaravalloti (Vice Presidente)
Dott. Giuseppe Fortunato
Dott. Mauro Paissan
Segretario Generale: Dott. Giovanni Buttarelli
I recapiti dell'Autorità Garante per la protezione dei
dati personali sono:
Piazza Monte Citorio, n. 121 - 00186 Roma
Telefono: +39.06.696771 - Fax: +39.06.69677715
E.mail: [email protected]
[email protected]
12
Legge 196/2003





Materiale utile
La legge 196/2003
Bozza documento programmatico
sulla Sicurezza
Link
Garante della Privacy
[email protected]
13
Utilizzo della posta elettronica e internet

Linee guida del Garante e Privacy DPS

Il Garante con un provvedimento generale (documento web 1387522) definisce le linee
guida per l'utilizzo della posta elettronica e internet in azienda, ribadendo l'impossibilità del
datore di lavoro, di controllare l'operato dei propri dipendenti, controllandone la posta
elettronica e la navigazione in internet.
Questa impossibilità è gia stabilita nell'art. 4 dello statuto dei lavoratori ed in questo
caso il garante ha messo "i puntini sulle i".
Sul documento Programmatico sulla Sicurezza compaiono i seguenti documenti:

ALLEGATO 4 - Regolamento per l'utilizzo della rete

ALLEGATO 5 - Regole del proxy
Questo documento va adattato secondo le proprie esigenze
Il provvedimento tuttavia introduce la liceità sull'utilizzo di internet e della posta elettronica
a livello personale da parte del dipendente durante l'orario lavorativo e quindi è necessario
aggiungere questo apsetto all'interno del D.P.S., nelle seguenti sezioni:

Elenco dei trattamenti dei dati
Specificando la finalità la natura dei dati coinvolti e la struttura interessata

Misure di carattere elettronico/informatiche
Specificando la presenza di server proxy e di posta elettronica, l'eventuale presenza di file di
log e conservazione della posta elettronica

Regole per la gestione di strumenti elettronico / informatico
Specificando le regole di gestione degli strumenti citati e dei programmi utilizzati per
leggere e archiviare la posta elettronica e la navigazione internet, con un riferimento
importante alla cancellazione dei file di posta elettronica personale, della cronologia di
navigazione e dei files di cache






[email protected]
14
Protezione dei dati elettronici

Backup dei dati

È un’importante operazione che serve a duplicare su differenti supporti di memoria i dati
presenti sull’Hard Disk.
5.
Normale: esegue il backup dei file selezionati
Copia: esegue il backup dei dati selezionati ma non li contrassegna.
Incrementale: esegue backup dei dati selezionati solamente se sono stati modificati dall’ultimo
backup.
Differenziale: esegue il backup dei dati selezionati solamente se sono stati modificati dall’ultimo
backup senza contrassegnarli.
Giornaliero: esegue il backup dei dati modificati oggi.

START PROGRAMMI ACCESSORI UTILITA’ DI SISTEMA BACKUP
1.
2.
3.
4.

PROSEGUIRE CON AVANTI………
[email protected]
15
CRIPTARE I DATI:

vuol dire proteggere gli stessi da visualizzazioni o modifiche non autorizzate
Si possono criptare mediante algoritmi specifici dopodicchè possono essere archiviati o trasmessi,
per esempio via mail come allegato. Il destinatario deve avere (solo lui) la possibilità di decriptarli.

Esistono molti software in grado di fare il criptaggio dei dati.


AxCrypt scaricabile sul sito http://www.ilsoftware.it/querydl.asp?ID=751
[email protected]
16
antivirus

Antivirus freeware: AVG

L’antivirus basa il suo funzionamento sulla ricerca nella RAM o nei
files di uno schema tipico di ogni virus, quindi il programma cerca se
questa sequenza è presente all’interno dei files o in memoria.
[email protected]
17