PRIVACY La sicurezza dei dati e la loro gestione. [email protected] 1 Quali dati proteggere? Dati personali dati personali (art. 4 c. 1 lett b) del D.lgs. 196/03) identificano le informazioni relative alla persona fisica, giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altro dato, ivi compreso un numero di riconoscimento personale. Esempio: nome e cognome della persona, la ragione sociale della ditta, l’indirizzo o i numeri di telefono o di cellulare, codice fiscale e partita IVA, l'indirizzo e-mail. Dati giudiziari dati giudiziari sono quei dati personali in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti. Inoltre possono essere quei dati personali indicanti la qualità di imputato o di indagato. Dati sensibili Secondo il Codice sulla protezione dei dati personali (d.lgs. 196/2003), art.4, sono considerati dati sensibili, e dunque la loro raccolta e trattamento sono soggetti sia al consenso dell'interessato che all'autorizzazione preventiva del Garante per la protezione dei dati personali (art. 26), i dati personali, idonei a rivelare: l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale [email protected] 2 informazione Cos'è il D.P.S. Chi deve adeguarsi Adempimenti Sanzioni L'ufficio del garante Legge 196/2003 Norme e Leggi [email protected] 3 Cos'è il D.P.S. Documento programmatico sulla Sicurezza Il D.P.S. è l'unico documento in grado di attestare l'adeguamento alla normativa sulla tutela dei dati personali (privacy) e deve essere redatto entro il 30 GIUGNO 2005 ed alla scadenza fissata al 31 di marzo di ogni anno. [email protected] 4 Chi deve adeguarsi Tutti coloro che trattano dati personali e/o sensibili* sia tramite strumenti informatici che in forma cartacea. * Es. buste paga/certificati medici Tutti coloro che trattano dati sensibili e/o giudiziari tramite strumenti informatici e rientrano nelle casistiche definite dal Garante Tutti coloro che rientrano nelle casistiche definite dal Garante e trattano dati personali in modo informatico o manuale [email protected] 5 Adempimenti Adempimenti Organizzativi Adempimenti tecnici Trattamento con elaboratori elettronici Trattamento cartaceo [email protected] 6 Adempimenti Organizzativi La società deve redigere il Documento Programmatico della Sicurezza (DPS) contenente: L'elenco dei trattamenti dei dati personali Attribuzione di compiti e responsabilità Analisi del rischio dei dati L'elenco delle misure adottate atte a garantire integrità, disponibilità e riservatezza dei dati Formazione del personale sui temi della sicurezza Descrizione delle misure minime di sicurezza adottate in conformità al codice Descrizione delle misure adottate per la cifratura dei dati sensibili/giudiziari [email protected] 7 Adempimenti tecnici La società deve adottare una serie di misure minime di sicurezza o idonee, sia per il trattamento dei dati con strumenti elettronici, che per il trattamento di dati su supporto cartaceo. [email protected] 8 Trattamento con elaboratori elettronici Dotare il sistema di strumenti di autenticazione Redigere delle procedure per la gestione delle credenziali di autenticazione Provvedere all'aggiornamento periodico del personale preposto al trattamento dei dati e di quello addetto ai sistemi informativi Mettere in atto misure di protezione degli elaboratori rispetto al trattamento illecito dei dati e ad accessi non consentiti Effettuare procedure per il backup dei dati ed il loro ripristino Adottare tecniche di cifratura per i dati sensibili/giudiziari [email protected] 9 Trattamento cartaceo Procedure per la gestione e la custodia di atti e documenti Analisi del rischio Formazione del personale sui temi della sicurezza Descrizione delle misure minime di sicurezza adottate in conformità al codice [email protected] 10 Sanzioni SANZIONE AMMINISTRATIVA SANZIONE PENALE INADEGUATEZZA DELLE MISURE DI SICUREZZA DA € 10.000 A € 50.000 RECLUSIONE FINO A DUE ANNI OMESSA O INIDONEA INFORMATIVA DA € 3.000 A € 18.000 per violazione dei dati ex art. 13 DA € 5.000 A € 30.000 per violazione dei dati sensibili o ………….. ILLECITO ALL'INTERESSATO giudiziari In caso di violazione accertata, sono previste sanzioni di tipo amministrativo fino a 50.000 Euro e la reclusione fino a 3 anni, esclusione dalle gare di appalto e risarcimento di danni ai sensi dell'art. 2050 C.C. [email protected] 11 L'ufficio del garante L'organo collegiale del Garante per la protezione dei dati personali, designato dalle Camere, è costituito da quattro membri (art. 153 D.L.gs. 196/2003 ) Prof. Francesco Pizzetti (Presidente) Dott. Giuseppe Chiaravalloti (Vice Presidente) Dott. Giuseppe Fortunato Dott. Mauro Paissan Segretario Generale: Dott. Giovanni Buttarelli I recapiti dell'Autorità Garante per la protezione dei dati personali sono: Piazza Monte Citorio, n. 121 - 00186 Roma Telefono: +39.06.696771 - Fax: +39.06.69677715 E.mail: [email protected] [email protected] 12 Legge 196/2003 Materiale utile La legge 196/2003 Bozza documento programmatico sulla Sicurezza Link Garante della Privacy [email protected] 13 Utilizzo della posta elettronica e internet Linee guida del Garante e Privacy DPS Il Garante con un provvedimento generale (documento web 1387522) definisce le linee guida per l'utilizzo della posta elettronica e internet in azienda, ribadendo l'impossibilità del datore di lavoro, di controllare l'operato dei propri dipendenti, controllandone la posta elettronica e la navigazione in internet. Questa impossibilità è gia stabilita nell'art. 4 dello statuto dei lavoratori ed in questo caso il garante ha messo "i puntini sulle i". Sul documento Programmatico sulla Sicurezza compaiono i seguenti documenti: ALLEGATO 4 - Regolamento per l'utilizzo della rete ALLEGATO 5 - Regole del proxy Questo documento va adattato secondo le proprie esigenze Il provvedimento tuttavia introduce la liceità sull'utilizzo di internet e della posta elettronica a livello personale da parte del dipendente durante l'orario lavorativo e quindi è necessario aggiungere questo apsetto all'interno del D.P.S., nelle seguenti sezioni: Elenco dei trattamenti dei dati Specificando la finalità la natura dei dati coinvolti e la struttura interessata Misure di carattere elettronico/informatiche Specificando la presenza di server proxy e di posta elettronica, l'eventuale presenza di file di log e conservazione della posta elettronica Regole per la gestione di strumenti elettronico / informatico Specificando le regole di gestione degli strumenti citati e dei programmi utilizzati per leggere e archiviare la posta elettronica e la navigazione internet, con un riferimento importante alla cancellazione dei file di posta elettronica personale, della cronologia di navigazione e dei files di cache [email protected] 14 Protezione dei dati elettronici Backup dei dati È un’importante operazione che serve a duplicare su differenti supporti di memoria i dati presenti sull’Hard Disk. 5. Normale: esegue il backup dei file selezionati Copia: esegue il backup dei dati selezionati ma non li contrassegna. Incrementale: esegue backup dei dati selezionati solamente se sono stati modificati dall’ultimo backup. Differenziale: esegue il backup dei dati selezionati solamente se sono stati modificati dall’ultimo backup senza contrassegnarli. Giornaliero: esegue il backup dei dati modificati oggi. START PROGRAMMI ACCESSORI UTILITA’ DI SISTEMA BACKUP 1. 2. 3. 4. PROSEGUIRE CON AVANTI……… [email protected] 15 CRIPTARE I DATI: vuol dire proteggere gli stessi da visualizzazioni o modifiche non autorizzate Si possono criptare mediante algoritmi specifici dopodicchè possono essere archiviati o trasmessi, per esempio via mail come allegato. Il destinatario deve avere (solo lui) la possibilità di decriptarli. Esistono molti software in grado di fare il criptaggio dei dati. AxCrypt scaricabile sul sito http://www.ilsoftware.it/querydl.asp?ID=751 [email protected] 16 antivirus Antivirus freeware: AVG L’antivirus basa il suo funzionamento sulla ricerca nella RAM o nei files di uno schema tipico di ogni virus, quindi il programma cerca se questa sequenza è presente all’interno dei files o in memoria. [email protected] 17