Il Documento Programmatico
sulla Sicurezza:
cos’è e come si aggiorna
a cura dell’USR Lombardia
Giornata di formazione
26 gennaio 2012
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
1
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Introduzione
Questo corso ha un contenuto operativo e spiega cos’è e come si aggiorna il
Documento Programmatico sulla Sicurezza (DPS).
L’incontro ha una durata di 120 minuti circa.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
2
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Contenuti del corso
Tratteremo questi argomenti:
1.
il documento programmatico sulla sicurezza: funzioni, struttura e contenuti
2.
come verificare il grado di aggiornamento del DPS
3.
le risposte alle domande classiche

l’aggiornamento è sempre necessario?

quali notizie fornire nell’aggiornamento?

l’aggiornamento deve avere data certa?
4.
come redigere l’aggiornamento del DPS
5.
come comunicare l’avvenuto aggiornamento del DPS
6.
a chi comunicare l’avvenuto aggiornamento
7.
cosa fare e cosa non fare dopo l’aggiornamento
8.
consigli per pianificare i futuri aggiornamenti
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
3
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Cosa è il documento programmatico
sulla sicurezza
Il documento programmatico è una delle misure minime di sicurezza prescritte dalla normativa per
gestire correttamente i rischi connessi al trattamento dei dati personali.
Le misure di sicurezza hanno lo scopo di prevenire i rischi di distruzione, intrusione o uso improprio
dei dati personali. Alle precauzioni già previste nella normativa fin dal 1999 (password, codici
identificativi, utilizzo di antivirus aggiornati) con l’adozione del Codice in materia di protezione dei dati
personali, dopo il 31 marzo 2006, sono state aggiunte anche forme di autenticazione informatica,
sistemi di cifratura, procedure per il ripristino dei dati da adottare a seconda della sensibilità e del
livello di rischio legato al trattamento dei dati.
“Nel caso in cui il titolare ometta l’adozione delle misure minime è prevista la pena dell’arresto sino a
due anni o, alternativamente, l’ammenda da euro 10.000 a 50.000.”
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
4
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
L’aggiornamento annuale del DPS
Il 31 marzo di ogni anno scade il termine per l’aggiornamento obbligatorio del Documento
Programmatico sulla sicurezza. L’aggiornamento non è una mera formalità, ma deve dimostrare che
l’Ente ha tenuto costantemente sotto controllo le attività di trattamento dei dati.
In un quadro di evoluzione tecnologica costante, il DPS va aggiornato almeno una volta all’anno, entro
il 31 marzo, da parte del Titolare, anche avvalendosi dei responsabili eventualmente designati. In
pratica entro il 31 marzo di ogni anno il Titolare del trattamento è tenuto a verificare se nel corso
dell’anno appena trascorso sono intervenute variazioni rispetto a quanto indicato l’anno precedente.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
5
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Il DPS è obbligatorio per chiunque?
Secondo l’allegato B del D.Lgs. 196/2003 il documento è obbligatorio solo per i soggetti che trattano
dati sensibili e giudiziari, ma la sua adozione è essenziale per l’adeguata analisi e prevenzione dei
rischi legati all’illecito trattamento dei dati.
Non redigere il DPS determina l’automatico innalzamento dei rischi connessi al trattamento. Per
questo motivo la sua redazione, è da considerarsi una necessaria cautela da adottare per la corretta
organizzazione.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
6
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Il Documento Programmatico deve
avere data certa?
Non esiste nessuna disposizione che preveda un obbligo di data certa per il DPS. Questo vale anche
per l’aggiornamento annuale.
La diffusione di una “leggenda metropolitana” a questo proposito deriva da una frettolosa lettura della
normativa. L’unico riferimento alla data certa riguarda l’ipotesi (oggi superata) di usufruire di un
maggior termine per l’adozione delle misure di sicurezza.
Ai sensi dell’art. 180 del D.Lgs. 196/2003
“Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per
obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure
minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B, descrive le
medesime ragioni in un documento a data certa da conservare presso la propria struttura.”
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
7
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Qual è il contenuto del DPS?
Il DPS deve fornire idonee informazioni riguardo a :
a)
l’elenco dei trattamenti di dati personali
b)
la distribuzione dei compiti e delle responsabilità in relazione al trattamento dei dati
c)
l’analisi dei rischi
d)
le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché le disposizioni per
la protezione dei locali destinati alla custodia
e)
la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a
distruzione o danneggiamento
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
8
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Qual è il contenuto del DPS?
f)
la previsione di interventi formativi a favore degli incaricati del trattamento
g)
la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in
caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del
titolare
h)
l’individuazione dei criteri da adottare per la cifratura o per la separazione dei dati relativi alla
salute ed alla vita sessuale dagli altri dati personali dell’interessato.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
9
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Quali sono gli elementi da
aggiornare nel DPS?
Riesaminiamo nel dettaglio questi contenuti del Documento Programmatico sulla Sicurezza,
utilizzando come riferimento lo schema descritto dal punto 19 dell’allegato B.
Potremo così mettere in evidenza i punti che eventualmente richiedono un aggiornamento.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
10
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Elenco dei trattamenti di dati
personali
regola 19.1
Contenuti
In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso
collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.)
interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati.
Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni
eventualmente inviate al Garante anche in passato.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
11
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Elenco dei trattamenti di dati
personali
regola 19.1
Informazioni essenziali
Per ciascun trattamento vanno indicate le seguenti informazioni:
Descrizione sintetica: menzionare il trattamento dei dati personali attraverso l’indicazione della
finalità perseguita o dell’attività svolta (fornitura di beni o servizi, gestione del personale, ecc.) e delle
categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.).
Natura dei dati trattati: indicare se, tra i dati personali, sono presenti dati sensibili o giudiziari.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
12
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Elenco dei trattamenti di dati
personali
regola 19.1
Struttura di riferimento: indicare la struttura (ufficio, funzione, ecc.) all’interno della quale viene
effettuato il trattamento. In caso di strutture complesse, è possibile indicare la macro-struttura
(direzione, dipartimento o servizio del personale), oppure gli uffici specifici all’interno della stessa
(ufficio contratti, sviluppo risorse, controversie sindacali, amministrazione-contabilità).
Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere
completato, comporta l’attività di diverse strutture è opportuno indicare, oltre quella che cura
primariamente l’attività, le altre principali strutture che concorrono al trattamento anche dall’esterno.
Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici
impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale, geografica o Internet,
sistemi informativi più complessi).
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
13
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Elenco dei trattamenti di dati
personali
regola 19.1
Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio informatico), con le
relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo di dati
che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate.
Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i
dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi,
ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti
magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
14
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Elenco dei trattamenti di dati
personali
regola 19.1
Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli
incaricati per effettuare il trattamento (pc, terminale non intelligente, palmare, telefonino, ecc.).
Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi
d’accesso ai dati utilizzati dagli incaricati (rete locale, geografica, Internet, ecc.).
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
15
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Distribuzione dei compiti e delle
responsabilità
regola 19.2
Contenuti
In questa sezione occorre descrivere sinteticamente l’organizzazione della struttura di riferimento, i
compiti e le relative responsabilità, in relazione ai trattamenti effettuati.
Si possono utilizzare anche documenti già predisposti (provvedimenti, ordini di servizio, regolamenti
interni, circolari), indicando le precise modalità per reperirli.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
16
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Distribuzione dei compiti e delle
responsabilità
regola 19.2
Informazioni essenziali
Struttura: riportare le indicazioni delle strutture già menzionate nella precedente sezione.
Trattamenti effettuati dalla struttura: indicare i trattamenti di competenza di ciascuna struttura.
Compiti e responsabilità della struttura: descrivere sinteticamente i compiti e le responsabilità della
struttura rispetto ai trattamenti di competenza.
Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione
tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Anche in
questo caso è possibile utilizzare, nei termini predetti, altri documenti già predisposti.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
17
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Analisi dei rischi che incombono
sui dati
regola 19.3
Contenuti
In questa sezione occorre descrivere i principali eventi potenzialmente dannosi per la sicurezza dei
dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico – ambientale di
riferimento e agli strumenti elettronici utilizzati.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
18
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Analisi dei rischi che incombono
sui dati
regola 19.3
Informazioni essenziali
Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che
comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in
considerazione la lista esemplificativa dei seguenti eventi:
1. comportamenti degli operatori:
 sottrazione di credenziali di autenticazione
 carenza di consapevolezza, disattenzione o incuria
 comportamenti sleali o fraudolenti
 errore materiale
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
19
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Analisi dei rischi che incombono
sui dati
regola 19.3
2.
eventi relativi agli strumenti:

azione di virus informatici o di programmi suscettibili di recare danno

spamming o tecniche di sabotaggio

malfunzionamento, indisponibilità o degrado degli strumenti

accessi esterni non autorizzati

intercettazione di informazioni in rete
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
20
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Analisi dei rischi che incombono
sui dati
regola 19.3
3.
eventi relativi al contesto fisico – ambientale:

ingressi non autorizzati a locali/aree ad accesso ristretto

sottrazione di strumenti contenenti dati

eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi,
allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria

guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)

errori umani nella gestione della sicurezza fisica
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
21
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Analisi dei rischi che incombono
sui dati
regola 19.3
Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la sicurezza dei dati, in
relazione a ciascun evento, e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità
stimata dell’evento (anche in termini sintetici: ad es. alta/media/bassa).
In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare.
L’analisi dei rischi può essere condotta utilizzando metodi di complessità diversa: l’approccio qui
descritto è volto solo a consentire una prima riflessione in contesti che per dimensioni ridotte o per
altre analoghe ragioni, non ritengano di dover procedere ad una analisi più strutturata.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
22
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Misure in essere e da adottare
regola 19.4
Contenuti
In questa sezione vanno riportate, in forma sintetica, le misure in essere e da adottare per contrastare
i rischi individuati.
Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire,
contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e
controllo nel tempo, essenziali per assicurarne l’efficacia.
Le misure da adottare possono essere inserite in una sezione dedicata ai programmi per migliorare la
sicurezza.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
23
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Misure in essere e da adottare
regola 19.4
Informazioni essenziali
Misure: descrivere sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle
altre regole dell’allegato B del Codice).
Descrizione dei rischi: per ciascuna misura indicare sinteticamente i rischi che si intende contrastare
(anche qui, si possono utilizzare le indicazioni fornite dall’allegato B).
Trattamenti interessati: indicare i trattamenti interessati per ciascuna delle misure adottate.
Struttura o persone addette all’adozione: indicare la struttura o la/e persona/e responsabile/i o
preposte all’adozione delle misure indicate.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
24
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Misure in essere e da adottare
regola 19.4
Determinate misure possono non essere riconducibili a specifici trattamenti o banche dati (ad
esempio, con riferimento alle misure per la protezione delle aree e dei locali).
Occorre specificare se la misura è già in essere o da adottare, con eventuale indicazione, in tale
ultimo caso, dei tempi previsti per la sua messa in opera.
Oltre alle informazioni sopra riportate può essere opportuno compilare, per ciascuna misura, una
scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della
sicurezza e, in particolare, nelle attività di verifica e controllo.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
25
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Misure in essere e da adottare
regola 19.4
A puro titolo di esempio, possono essere inserite informazioni relative a:
 la minaccia che si intende contrastare
 la tipologia della misura (preventiva, di contrasto, di contenimento degli effetti ecc.)
 le informazioni relative alla responsabilità dell’attuazione e della gestione della misura
 i tempi di validità delle scelte (contratti esterni, aggiornamento di prodotti, ecc.)
 gli ambiti cui si applica (ambiti fisici: un reparto, un edificio, ecc.– o logici: una procedura,
un’applicazione, ecc.)
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
26
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Criteri e modalità di ripristino della
disponibilità dei dati
regola 19.5
Contenuti
In questa sezione sono descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro
danneggiamento o di inaffidabilità della base dati.
L’importanza di queste attività deriva dall’eccezionalità delle situazioni in cui il ripristino ha luogo: è
essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di
reinstallazione siano efficaci.
Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il
salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
27
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Criteri e modalità di ripristino della
disponibilità dei dati
regola 19.5
Informazioni essenziali
Per quanto riguarda il ripristino, le informazioni essenziali sono:
Banca dati/Data base/Archivio: indicare la banca dati, il data base o l’archivio interessati.
Criteri e procedure per il salvataggio e il ripristino dei dati: descrivere sinteticamente le procedure
e i criteri individuati per il salvataggio e il ripristino dei dati, con eventuale rinvio ad un’ulteriore scheda
operativa o a documentazioni analoghe.
Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia delle
procedure adottate per il salvataggio/ripristino dei dati.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
28
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Criteri e modalità di ripristino della
disponibilità dei dati
regola 19.5
Ecco ulteriori elementi per specificare i criteri e le procedure per il salvataggio e il ripristino dei dati.
Data base: identificare la banca, la base o l’archivio elettronico di dati interessati.
Criteri e procedure per il salvataggio dei dati: descrivere sinteticamente la tipologia di salvataggio e
la frequenza con cui viene effettuato.
Modalità di custodia delle copie: indicare il luogo fisico in cui sono custodite le copie dei dati salvate.
Struttura o persona incaricata del salvataggio: indicare la struttura o le persone incaricate di
effettuare il salvataggio e/o di controllarne l’esito.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
29
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Pianificazione degli interventi
formativi previsti
regola 19.6
Contenuti
In questa sezione sono riportate le informazioni necessarie per individuare il quadro sintetico degli
interventi formativi che si prevede di svolgere.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
30
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Pianificazione degli interventi
formativi previsti
regola 19.6
Informazioni essenziali
Descrizione sintetica degli interventi formativi: descrivere sinteticamente gli obiettivi e le modalità
dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o
cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi
informatici, ecc.).
Classi di incarico o tipologie di incaricati interessati: individuare le classi omogenee di incarico a
cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di
appartenenza.
Tempi previsti: indicare i tempi previsti per lo svolgimento degli interventi formativi.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
31
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Trattamenti affidati all’esterno
regola 19.7
Contenuti
Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con
l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale
trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la
protezione dei dati stessi.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
32
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Trattamenti affidati all’esterno
regola 19.7
Informazioni essenziali
Descrizione dell’attività “esternalizzata”: indicare sinteticamente l’attività affidata all’esterno.
Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell’ambito
della predetta attività.
Soggetto esterno: indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo
ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del
trattamento).
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
33
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Trattamenti affidati all’esterno
regola 19.7
Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la
società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma
alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a:
1.il trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto
2.l’adempimento degli obblighi previsti dal Codice per la protezione dei dati personali
3.il rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o
integrazione delle procedure già in essere
4.l’impegno a relazionare periodicamente sulle misure di sicurezza adottate, anche mediante eventuali
questionari e liste di controllo, e ad informare immediatamente il titolare del trattamento in caso di
situazioni anomale o di emergenze.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
34
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Cifratura dei dati o separazione dei
dati identificativi
regola 19.8
Contenuti
In questa sezione vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è
richiesta la cifratura – o la separazione fra dati identificativi e dati sensibili – nonché i criteri e le
modalità con cui viene assicurata la sicurezza di tali trattamenti.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
35
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
I cambiamenti più comuni
I cambiamenti più frequenti sono quelli che riguardano questi aspetti:
i cambiamenti di sedi dove avviene il trattamento dei dati
la variazione nei permessi di accesso ai dati da parte degli incaricati
la variazione della struttura del sito Internet
la creazione di nuove banche dati
le modifiche dei responsabili e degli incaricati del trattamento
l’adozione di nuovi fornitori nominati responsabili esterni del trattamento dei dati
i cambiamenti alla rete, acquisto o dismissione di nuovi computers, nuovi sistemi di elaborazione,
ecc.
l’installazione di dotazioni (armadi, scaffali o altri arredi dove vengono conservati i dati)
l’analisi dei rischi (adozione di nuove misure di sicurezza tecnico-informatiche, organizzative e
logistico-procedurali)
il trasferimento di dati all’estero.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
36
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Alcuni suggerimenti pratici
Prima di tutto va tenuto presente che per aggiornare il DPS, non sarà necessario adottarne uno
completamente diverso rispetto al precedente, ma basterà integrarlo in alcune parti, secondo le
proprie necessità.
Quanto alla struttura del DPS:
sul piano pratico un buon suggerimento può essere quello di adottare un modello di DPS composto di
una parte descrittiva (da lasciare generalmente immutata) e da una serie di allegati, costituenti la parte
dinamica, che riporterà le modifiche, le revisioni, gli aggiornamenti e le integrazioni ritenute
necessarie.
A chi comunicare il DPS: il DPS è un atto interno del Titolare. Va tenuto agli Atti ed esibito a richiesta
delle autorità. Quindi il DPS non deve in nessun modo essere inviato a uffici pubblici o autorità.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
37
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Alcuni suggerimenti pratici
A proposito della data certa: la legge non la impone ma se volete potete fare ricorso alla cosiddetta
«autoprestazione», presso gli uffici postali con apposizione del timbro direttamente sul documento,
anziché sull’involucro che lo contiene.
La tecnologia aiuta:
ricordate che sul documento informatico può essere apposta la cosiddetta «marca temporale».
“La marcatura temporale consiste nell'associare una data e un'ora certe ad un documento
informatico tramite la firma digitale.”
Questa dovrebbe essere coincidente con la versione stampata che andrà in ogni caso firmata.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
38
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Alcuni suggerimenti pratici
A proposito dei tempi di revisione: al di là dell'obbligo di legge di procedere ad un aggiornamento
del documento entro il 31 marzo di ogni anno, è opportuno stampare una nuova revisione del
documento ogni volta che qualche elemento contenuto nel DPS varia, ossia, quando vi siano
innovazioni tecnologiche o modificazioni di processi organizzativi.
Ricordate che il documento deve mirare a programmare interventi futuri per la protezione dei dati e dei
sistemi informatici e fisici adottati per la protezione delle informazioni.
Proprio per questo si deve verificare se nel corso dell'anno sono stati evidenziati rischi o minacce
(ripetendo l'analisi dei rischi), in modo da prevedere interventi e protezioni.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
39
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Alcuni suggerimenti pratici
Cosa fare per impostare correttamente l’aggiornamento:
la scelta operativa migliore consiste nel programmare per tempo gli interventi: a gennaio si può
iniziare a lavorare al documento preventivo e a marzo, sulla base delle previsioni, si può aggiornare il
DPS.
Cosa non fare:
ristampare il DPS, anno dopo anno, cambiando solo la data di redazione. L’aggiornamento non è
formale. Ricordate che la sicurezza non è un dato di fatto statico; è un processo dinamico che deve
evolversi. Possibile che in anno non sia cambiato nulla? Neanche un allegato?
E comunque tenete presente che non basta dare un nome diverso a una cosa vecchia, per poter
sostenere di aver creato qualcosa di nuovo!
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
40
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Adempimenti
Nomina del responsabile e degli incaricati
La nomina del responsabile è facoltativa e compete al titolare del trattamento. La nomina degli
incaricati, invece, è sempre necessaria ove ci siano altri soggetti che abbiano accesso ai dati trattati
(es. dipendenti e collaboratori), anche in via soltanto occasionale.
Informativa all'interessato
Sempre obbligatoria prima dell'inizio del trattamento.
Consenso Informato
Non sempre necessario nel caso di trattamento di dati non sensibili. In caso contrario il consenso è
sempre obbligatorio e deve essere fornito per iscritto. Deve essere libero, informato e specifico.
Misure di Sicurezza
Da adottare - Redazione del Documento Programmatico della Sicurezza (DPS)
Da predisporre - Il DPS dovrà essere aggiornato entro il 31 marzo di ogni anno.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
41
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Terminologia
Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la
selezione l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione dati, anche se non registrati in una banca dati
Dato personale: qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso il numero di identificazione personale
Dato anonimo: il dato che in origine o a seguito di trattamento, non può essere associato a un interessato identificato o
identificabile
Dati identificabili: i dati personali che permettono l'identificazione diretta dell'interessato
Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale lo
stato di salute e la vita sessuale
Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a9 a o) e da r) a u) del
Dpr 14/11/2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dai
relativi carichi pendenti o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale
Titolare: la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono
anche unitamente ad altro titolare, le decisioni in ordine alle finalità e alle modalità del trattamento di dati personali e agli strumenti
utilizzati, compreso il profilo della sicurezza
Responsabile: la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui
competono anche unitamente ad altro titolare, le decisioni in ordine alle finalità e alle modalità del trattamento di dati personali e
agli strumenti utilizzati, compreso il profilo della sicurezza
Incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento del titolare o dal responsabile
Interessato: la persona fisica, giuridica, l'ente o l'associazione cui si riferiscono i dati personali
Strumenti elettronici: gli elaboratori, i software e qualunque dispositivo elettronico o automatizzato con cui si effettua il
trattamento
Notifica: dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali
l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento.
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
42
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Conclusioni
Grazie e buon lavoro.
Per informazioni potete scrivere a:
Ufficio IX – Comunicazione
Silvana Massobrio
[email protected]
Aldo Russo
[email protected]
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
43
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo
Bibliografia
• Garante per la Protezione dei dati personali
- http://www.garanteprivacy.it/garante/navig/jsp/index.jsp
• Esempio DPS per una Pubblica Amministrazione
- http://www2.cnipa.gov.it/site/_contentfiles/01379900/1379925_Documento%20programmatico.
pdf
• Garante per la protezione dei dati: linee guida in materia di trattamento di dati personali
contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità
di pubblicazione e diffusione sul web - 2 marzo 2011
- http://www.garanteprivacy.it/garante/doc.jsp?ID=1793203
USR Lombardia – Formazione personale
Milano, 26 Gennaio 2012
44
Il DPS: cos’è e come si aggiorna
Relatori: Silvana Massobrio e Aldo Russo