Infotel

mercoledì 20 gennaio 2010

DPS

Per rispondere occorre visionare nella sua globalità sia il codice in materia di protezione dei dati personali (D.Lgs. 196/03), sia l’allegato B) al codice, recante il disciplinare tecnico in materia di misure minime di sicurezza. Infatti, dalla lettura del codice emerge chiaramente che alcune misure di sicurezza “minime” (tra le quali rientra la redazione del D.P.S.) debbono essere adottate per i dati personali trattati in formato elettronico, e per i dati sensibili, sia trattati in formato elettronico sia in formato cartaceo. In particolare, sembra eliminare qualsiasi tipo di dubbio l’art. 34 del codice, il quale al punto g) dice espressamente e univocamente: “… il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: …g) tenuta di un aggiornato documento programmatico sulla sicurezza…”

L’articolo, quindi, non fa assolutamente riferimento in modo esclusivo ai dati sensibili o giudiziari, ma al contrario cita le misure di sicurezza minime riferibili ai dati personali in generale (e diversamente si è comportato il legislatore nel punto h) dello stesso articolo dove ha specificato che solo per alcuni dati inerenti la salute trattati da organismi sanitari occorre procedere al trattamento utilizzando tecniche di cifratura). Taluni sono stati indotti in errore nella lettura interpretativa di tali norme dal disciplinare tecnico allegato al codice, il quale alla voce documento programmatico sulla sicurezza, ha espressamente stabilito: “Entro il 31 marzo di ogni anno, il titolare del trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile se designato, un documento programmatico sulla sicurezza contenente idonee informazioni…”

Ma basta leggere con attenzione la norma per sostenere che l'allegato tecnico, eventualmente, prevede soltanto che il DPS vada redatto per il trattamento elettronico di dati sensibili e/o giudiziari entro una certa data e, cioè, il 31 marzo di ogni anno, ma di certo tale asserzione non esclude l’obbligo generale di redazione del DPS in caso di trattamento elettronico di dati comuni (come indicato, si ripete, nelll'art. 34 lett. g)!  

Altrimenti l’allegato tecnico comporterebbe una sorta di “abrogazione implicita” di un principio generale fornito nell’art. 34 e ciò costituirebbe veramente un curioso precedente nella tecnica normativa usualmente utilizzata dal nostro legislatore! Inoltre, dalla stessa voce del disciplinare tecnico emerge chiaramente al punto 19.1, ovvero in relazione all’obbligo di inserire nel documento programmatico determinati elementi, quello di inserire l’elenco dei trattamenti di dati personali: ed ecco perdersi nuovamente la distinzione tra dato sensibile o meno! Infine, a favore della ovvia lettura della norma che preveda un obbligo generale di redazione del documento programmatico in capo a tutte quelle società, enti pubblici o studi professionali che gestiscano sia anagrafiche relative a clienti e fornitori, sia dati dei dipendenti, vi è la stessa ratio sottesa dal Codice per gli adempimenti inerenti alle misure di sicurezza: far evolvere la sicurezza nelle strutture aziendali o professionali attraverso l’imposizione di misure che siano concretamente capaci di ridurre la vulnerabilità della perdita o del danneggiamento di tutti i dati (comuni o sensibili che siano). Tanto che è logico prospettare che ogni società abbia il preciso obbligo di verificare la sussistenza delle misure minime di sicurezza all’interno della propria realtà, divenendo così il documento programmatico semplicemente una fotografia della sicurezza vigente nell’azienda con uno sguardo proiettato verso le misure che in un futuro prossimo appariranno adeguate non solo a livello normativo, ma soprattutto alla luce della necessità della struttura aziendale stessa di preservare il proprio patrimonio fatto sostanzialmente di dati (e, infatti, si parla di documento programmatico sulla sicurezza).  

Per concludere, poniamo a tutti una domanda provocatoria: chi può con tranquillità sostenere di essere totalmente sicuro di trattare nel proprio sistema informatico solo e soltanto dati comuni e non anche sensibili ? E nell’incertezza è giusto forse rischiare le pesanti sanzioni previste dal legislatore in caso di violazione dell’obbligo di adozione di misure minime di sicurezza (arresto sino a due anni o ammenda da diecimila euro a cinquantamila euro ex art. 169 del Codice)??

fonte http://www.consulentelegaleinformatico.it/approfondimentidett.asp?id=81

trattamento dei dati personali senza l'ausilio di strumenti elettronici

Per il trattamento dei dati personali senza l'ausilio di strumenti elettronici le misure minime da adottare sono:
• aggiornare periodicamente l'ambito del trattamento consentito ai singoli incaricati;
• adottare procedure atte ad un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
• adottare procedure per la conservazione di atti e documenti in archivi ad accesso selezionato e disciplinare le modalità di accesso a detti archivi, con identificazione di coloro che vi accedono.
La redazione del DPS - Documento Programmatico sulla Sicurezza è obbligatoria per tutti coloro che trattano dati sensibili in formato elettronico.

Occorre ancora considerare che i dati sensibili sono, con una certa frequenza, oggetto di trattamento senza che se ne abbia la percezione (es.: il pagamento di quote sindacali in buste paga, il devoluto a istituzioni religiose tramite CUD di dipendenti, ecc ecc.).

Pur non essendo la redazione del DPS un obbligo per coloro che non trattano dati sensibili, occorre considerare che l'articolo 15 della legge prevede, per gli eventuali danni cagionati ad altri, il risarcimento ai sensi dell'articolo 2050 del codice civile che comporta l'inversione dell'onere della prova a carico di colui che ha cagionato il danno. 


In queste circostanze il DPS può essere considerato documento probatorio utilizzabile in caso di contenzioso o di ricorso al Garante.

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)
(Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196)
Premessa

La presente guida mira a facilitare l’adempimento dell’obbligo di redazione del documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche 1.
La guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio utilizzarla per adempiere all’obbligo.
La guida è strutturata in due parti: la prima contiene istruzioni per sviluppare il DPS negli aspetti descrittivi oppure nella compilazione di alcune tabelle riportate nella seconda parte.
Nella guida sono anche evidenziati altri elementi utilizzabili facoltativamente -comprese alcune tabelle-, che si ritengono utili per una più approfondita definizione del DPS.
1 Nelle strutture di piccole dimensioni dove possono mancare specifiche competenze, si può anche chiedere consultare per alcuni profili tecnici il fornitore/installatore degli strumenti elettronici e del relativo software.
Parte I
Istruzioni
Per ciascuna regola dell’Allegato B al Codice sono riportati i contenuti, le informazioni essenziali e gli ulteriori elementi da inserire nel DPS
Elenco dei trattamenti di dati personali (regola 19.1)
Contenuti
In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati.
Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato.
Informazioni essenziali (v. anche tab. 1.1)
Per ciascun trattamento vanno indicate le seguenti informazioni secondo il livello di sintesi determinato dal titolare:
Descrizione sintetica: menzionare il trattamento dei dati personali attraverso l’indicazione della finalità perseguita o dell’attività svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.).
Natura dei dati trattati: indicare se, tra i dati personali, sono presenti dati sensibili o giudiziari.
Struttura di riferimento: indicare la struttura (ufficio, funzione, ecc.) all’interno della quale viene effettuato il trattamento. In caso di strutture complesse, è possibile indicare la macro-struttura (direzione, dipartimento o servizio del personale), oppure gli uffici specifici all’interno della stessa (ufficio contratti, sviluppo risorse, controversie sindacali, amministrazione-contabilità.)
Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere completato, comporta l’attività di diverse strutture è opportuno indicare, oltre quella che cura primariamente l’attività, le altre principali strutture che concorrono al trattamento anche dall’esterno.
Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale, geografica o Internet; sistemi informativi più complessi).
Ulteriori elementi per descrivere gli strumenti (v. anche tab. 1.2) ∗
Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere associato un codice, facoltativo, per favorire un’identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle.
Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate.
Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di aggiornamenti.
∗ Da indicare facoltativamente.
Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino, ecc.
Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi d’accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc.
Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di architettura del sistema informativo o da altri documenti aziendali già compilati e idonei a fornire in altro modo le informazioni medesime.
Distribuzione dei compiti e delle responsabilità (regola 19.2)
Contenuti
In questa sezione occorre descrivere sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), indicando le precise modalità per reperirli.
Informazioni essenziali (v. anche tab. 2)
Struttura: riportare le indicazioni delle strutture già menzionate nella precedente sezione.
Trattamenti effettuati dalla struttura: indicare i trattamenti di competenza di ciascuna struttura.
Compiti e responsabilità della struttura: descrivere sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Anche in questo caso è possibile utilizzare, nei termini predetti, altri documenti già predisposti.
Analisi dei rischi che incombono sui dati (regola 19.3)
Contenuti
Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico–ambientale di riferimento e agli strumenti elettronici utilizzati.
Informazioni essenziali (v. anche tab. 3)
Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi:
1) comportamenti degli operatori:
􀂃 sottrazione di credenziali di autenticazione
􀂃 carenza di consapevolezza, disattenzione o incuria
􀂃 comportamenti sleali o fraudolenti
􀂃 errore materiale
2) eventi relativi agli strumenti:
􀂃 azione di virus informatici o di programmi suscettibili di recare danno
􀂃 spamming o tecniche di sabotaggio
􀂃 malfunzionamento, indisponibilità o degrado degli strumenti
􀂃 accessi esterni non autorizzati
􀂃 intercettazione di informazioni in rete
3) eventi relativi al contesto fisico-ambientale:
􀂃 ingressi non autorizzati a locali/aree ad accesso ristretto
􀂃 sottrazione di strumenti contenenti dati
􀂃 eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
􀂃 guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
􀂃 errori umani nella gestione della sicurezza fisica
E’ possibile, per ulteriori dettagli, rinviare a documenti analoghi già redatti in tema di piani di sicurezza e gestione del rischio, come ad es.: Business Continuity Plan, Disaster Recovery Plan, ecc. (si tenga però presente che le analisi alla base di questi altri documenti possono avere una natura ben diversa).
Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell’evento (anche in termini sintetici: es., alta/media/bassa). In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare.
L’analisi dei rischi può essere condotta utilizzando metodi di complessità diversa: l’approccio qui descritto è volto solo a consentire una prima riflessione in contesti che per dimensioni ridotte o per altre analoghe ragioni, non ritengano di dover procedere ad una analisi più strutturata.
Misure in essere e da adottare (regola 19.4)
Contenuti
In questa sezione vanno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia.
Le misure da adottare possono essere inserite in una sezione dedicata ai programmi per migliorare la sicurezza.
Informazioni essenziali
Misure: descrivere sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole dell’Allegato B del Codice).
Descrizione dei rischi: per ciascuna misura indicare sinteticamente i rischi che si intende contrastare (anche qui, si possono utilizzare le indicazioni fornite dall’Allegato B).
Trattamenti interessati: indicare i trattamenti interessati per ciascuna delle misure adottate.
Determinate misure possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio, con riferimento alle misure per la protezione delle aree e dei locali).
Occorre specificare se la misura è già in essere o da adottare, con eventuale indicazione, in tale ultimo caso, dei tempi previsti per la sua messa in opera.
Struttura o persone addette all’adozione: indicare la struttura o la persona responsabili o preposte all’adozione delle misure indicate.
Ulteriori elementi per la descrizione analitica delle misure di sicurezza (v. anche tab. 4.2)∗
Oltre alle informazioni sopra riportate può essere opportuno compilare, per ciascuna misura, una scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza e, in particolare, nelle attività di verifica e controllo.
Queste schede sono a formato libero e le informazioni utili devono essere individuate in funzione della specifica misura. A puro titolo di esempio, possono essere inserite informazioni relative a:
• la minaccia che si intende contrastare
• la tipologia della misura (preventiva, di contrasto, di contenimento degli effetti ecc.)
• le informazioni relative alla responsabilità dell’attuazione e della gestione della misura
• i tempi di validità delle scelte (contratti esterni, aggiornamento di prodotti, ecc.)
• gli ambiti cui si applica (ambiti fisici -un reparto, un edificio, ecc.– o logici - una procedura, un’applicazione, ecc.-)
Può essere opportuno indicare chi ha compilato la scheda e la data in cui la compilazione è terminata.
∗ Da indicare facoltativamente.
Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)
Contenuti
In questa sezione sono descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. L’importanza di queste attività deriva dall’ eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
Informazioni essenziali (v. anche tab. 5.1)
Per quanto riguarda il ripristino, le informazioni essenziali sono:
Banca dati/Data base/Archivio: indicare la banca dati, il data base o l’archivio interessati.
Criteri e procedure per il salvataggio e il ripristino dei dati: descrivere sinteticamente le procedure e i criteri individuati per il salvataggio e il ripristino dei dati, con eventuale rinvio ad un’ulteriore scheda operativa o a documentazioni analoghe.
Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia delle procedure di salvataggio/ripristino dei dati adottate.
Ulteriori elementi per specificare i criteri e le procedure per il salvataggio e il ripristino dei dati (v. anche tab. 5.2) ∗
Data base: identificare la banca, la base o l’archivio elettronico di dati interessati.
Criteri e procedure per il salvataggio dei dati: descrivere sinteticamente la tipologia di salvataggio e la frequenza con cui viene effettuato.
Modalità di custodia delle copie: indicare il luogo fisico in cui sono custodite le copie dei dati salvate.
Struttura o persona incaricata del salvataggio: indicare la struttura o le persone incaricate di effettuare il salvataggio e/o di controllarne l’esito.
Pianificazione degli interventi formativi previsti (regola 19.6)
Contenuti
In questa sezione sono riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere.
∗ Da indicare facoltativamente.
Informazioni essenziali
Descrizione sintetica degli interventi formativi: descrivere sinteticamente gli obiettivi e le modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc) .
Classi di incarico o tipologie di incaricati interessati: individuare le classi omogenee di incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza.
Tempi previsti: indicare i tempi previsti per lo svolgimento degli interventi formativi.
Trattamenti affidati all’esterno (regola 19.7)
Contenuti
Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi.
Informazioni essenziali
Descrizione dell’attività “esternalizzata”: indicare sinteticamente l’attività affidata all’esterno.
Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell’ambito della predetta attività.
Soggetto esterno : indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento).
Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a:
1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;
2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;
3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere;
4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche mediante eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze.
Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
Contenuti
In questa sezione vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura -o la separazione fra dati identificativi e dati sensibili-, nonché i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti. Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie (regola 24).
Informazioni essenziali
Trattamenti di dati: descrivere i trattamenti (le banche o le basi di) dati oggetto della protezione
Protezione scelta: riportare la tipologia di protezione adottata, scelta fra quelle indicate dal Codice o in base a considerazioni specifiche del titolare.
Tecnica adottata: descrivere sinteticamente, in termini tecnici ed eventualmente organizzativi, la misura adottata. Ad esempio, in caso di utilizzo di cifratura, le modalità di conservazione delle chiavi e le procedure di utilizzo.
Parte II
Tabelle
Per ciascuna regola sono riportate, di seguito, una o più tabelle.
Le istruzioni per la compilazione dei campi che le compongono è contenuta nella Parte I.
Per ciascuna tabella può essere indicata facoltativamente anche la data di compilazione, che può rivelarsi utile qualora la tabella sia compilata in data significativamente diversa (antecedente) rispetto alla redazione finale del DPS.
Tabella 1.1 – Elenco dei trattamenti: informazioni essenziali
Descrizione sintetica del trattamento
Natura dei dati trattati
Finalità perseguita o attività svolta
Categorie di interessati
S
G
Struttura di riferimento
Altre
strutture (anche esterne) che concorrono al trattamento
Descrizione degli strumenti utilizzati
Tabella 1.2 – Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti 2
Identificativo del trattamento
Eventuale banca dati
Ubicazione fisica dei supporti di memorizzazione
Tipologia di dispositivi di accesso
Tipologia di interconnessione
2 Da compilare facoltativamente, collegandola alla tabella precedente, ad esempio attraverso l’identificativo.
Tabella 2 – Competenze e responsabilità delle strutture preposte ai trattamenti
Struttura
Trattamenti effettuati dalla struttura
Descrizione dei compiti e delle responsabilità della struttura
Tabella 3 - Analisi dei rischi
Rischi
Si/No
Descrizione dell’impatto sulla sicurezza
(gravità: alta/media/bassa)
sottrazione di credenziali di autenticazione
carenza di consapevolezza, disattenzione o incuria
comportamenti sleali o fraudolenti
errore materiale
Comportamenti degli operatori
altro evento
azione di virus informatici o di programmi suscettibili di recare danno
spamming o tecniche di sabotaggio
malfunzionamento, indisponibilità o degrado degli strumenti
accessi esterni non autorizzati
intercettazione di informazioni in rete
Eventi relativi agli strumenti
altro evento
accessi non autorizzati a locali/reparti ad accesso ristretto
sottrazione di strumenti contenenti dati
eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria
guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.)
errori umani nella gestione della sicurezza fisica
Eventi relativi al contesto
altro evento
Tab. 4.1 – Le misure di sicurezza adottate o da adottare
Misure
Descrizione dei rischi contrastati
Trattamenti interessati
Misura già in essere
Misura da adottare (*)
Struttura o persone addette all’adozione
(*) Indicare eventualmente i tempi previsti per l’adozione delle misure
Tab. 4.2 - Scheda descrittiva delle misure adottate 3
Scheda n.
Compilata da
Data di compilazione
Misura
Descrizione sintetica
Elementi descrittivi
Data aggiornamento
3 Da compilare facoltativamente.
Tab. 5.1 - Criteri e procedure per il ripristino della disponibilità dei dati
Ripristino
Banca /data base/archivio di dati
Criteri e procedure per il salvataggio e il ripristino dei dati
Pianificazione delle prove di ripristino
Tab. 5.2 - Criteri e procedure per il salvataggio dei dati 4
Salvataggio
Banca dati
Criteri e procedure per il salvataggio
Luogo di custodia delle copie
Struttura o persona incaricata del salvataggio
4 Da compilare facoltativamente.
Tab. 6 - Pianificazione degli interventi formativi previsti
Descrizione sintetica degli interventi formativi
Classi di incarico o tipologie di incaricati interessati
Tempi previsti
Tab. 7 - Trattamenti affidati all’esterno
Descrizione sintetica dell’attività esternalizzata
Trattamenti di dati interessati
Soggetto esterno
Descrizione dei criteri e degli impegni assunti per l’adozione delle misure
Tab. 8 - Cifratura dei dati o separazione dei dati identificativi (solo per organismi sanitari ed esercenti professioni sanitarie)
Tecnica adottata
Trattamenti di dati
Protezione scelta (Cifratura/Separazione)
Descrizione
Informazioni utili

martedì 19 gennaio 2010

Infotel Software: Dps amministratori di sistema d lgs 196

Infotel Software: Dps amministratori di sistema d lgs 196

Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.


Scarica Demo

sabato 9 gennaio 2010

Dps 2010 Privacy DPS semplificato ed un’autocertificazione

Viene introdotta la possibilita’ di sostituire il DPS (Doc adeguamento Trattamento Dati) con un DPS semplificato ed un’autocertificazione (articolo 29).

La deroga e’ ,tuttavia, circoscritta: vi possono ricorrere solo titolari del trattamento che utilizzano dati comuni o sensibili se questi ultimi si riferiscono allo stato di salute o malattia dei dipendenti e collaboratori, senza indizazione della diagnosi, o all’adesione a organizzazioni sindacali o a carattere sindacale.

Chi si puo’ avvalere del DPS semplificato ?
Si puo’ fare ricorso al DPS semplificato quando i dati sensibili (di qualsiasi tipo) vengano utilizzati “da chiunque” solo per ordinarie finalita’ amministrativo – contabili, quindi dati per la gestione di ordinativi, gestione amministrazione, corrispondenza ordinaria con propri
dipendenti, fornitori e clienti.

In cosa consiste la semplificazione del DPS?
Consiste nella semplificazione degli elementi descrittivi gia’ previsti nelle regole da 19.3 a 19.8 del disciplinare tecnico (allegato B del Codice) quindi : analisi dei rischi, misure adottate per l’integrita’ dei dati, protezione dei locali, backup, sono stati accorpati in una descrizione generale delle misure adottate.
Attenzione particolare va prestata all’analisi delle banche dati trattate, nel rispetto delle misure di sicurezza previste dal codice.
Le dichiarazioni mendaci sono sanzionabili penalmente, per falso ideologico in atto pubblico, la loro falsita’ e’ punita con la reclusione fino a due anni (art. 483 Cod. Penale)

Anche il DPS semplificato e l’autocertificazione e’ soggetta all’obblligo di aggiornamento, in quanto l’esibizione con dati non piu’ corrispondenti a verita’ equivale ad uso di atto falso (art. 76 comma 2, del DPR 445/2000)

Scarica Demo

Privacy D.Lgs. 196/03

Novità in materia di Privacy . A partire daI 15 dicembre 2009 è entrato in vigore il provvedimento in materia di amministratore di sistema, emanato dall’Autorità Garante per la protezione dei dati personali il 27 novembre 2008.

Si tratta di un provvedimento nato da una riflessione del Garante a seguito della valutazione dell’assenza della disciplina per l’amministratore di sistema nel codice previsto dal D.Lgs. 196/03 e che comporta rilevanti novità per coloro che dovranno adempiere a quanto previsto dalla normativa entro e non oltre il 31/03/2010

Ma vediamo nel dettaglio quali sono le principali novità?

SEMPLIFICAZIONE DELLA GESTIONE DELLA PRIVACY

La novità principale riguarda le piccole e medie imprese ( bilancio annuo non superiore ai 10 milioni di euro e numero di dipendenti in numero inferiore a 50 ) che :

•trattano dati personali non sensibili
•trattano come dati sensibili esclusivamente quelli relativi ai propri dipendenti e collaboratori
•trattano dati personali unicamente per finalità amministrative e contabili.


Tali realtà saranno escluse dagli obblighi previsti dal Codice della Privacy e potranno accedere ad una procedura semplificata


OBBLIGHI DOCUMENTALI

Per chi non potrà accedere alla procedura semplificata sarà necessario compilare una serie di documenti :

•Inquadramento effettivo degli amministratori di sistema
•Predisposizione e rilascio delle nomine agli amministratori di sistema con elenco delle funzioni ad essi attribuite. Tali indicazioni dovranno, inoltre, essere riportate in un documento interno all’azienda che dovrà essere costantemente aggiornato.
•Integrazione delle informative ai dipendenti della presenza di amministratori di sistema che potrebbero venire a conoscenza dei dati dei dipendenti stessi.
•L’Informativa dovrà essere rilasciata anche agli Amministratori di sistema, che loggandosi vedranno presenti e trattati anche i propri dati.


CONTROLLO DEGLI ACCESSI E REGISTRAZIONE DEI LOG

Lo storico della loggatura dovrà essere conservato per un periodo non inferiore ai sei mesi

Le registrazioni, infine, dovranno avere caratteristiche di inalterabilità, completezza e possibilità di verifica della loro integrità. Si dovrà, inoltre, indicare il riferimento temporale e l’evento collegato.

In caso di affidamento in outsourcing sarà necessario ricevere la lista degli amministratori di sistema ed un documento contenente le modalità di tutela della privacy che il fornitore intenderà adottare.


Per far fronte a tali novità il Consorzio Infotel ha realizzato il nuovo software per la gestione degli adempimenti previsti dal Codice in materia di protezione dei dati personali integrato con le ultime modifiche normative.

Il prodotto caratterizzato dalla semplicità di utilizzo e da un’interfaccia user friendly sarà disponibile a partire dal 19/01/2010.

Per ricevere maggiori informazioni ed il CD demo del software contattare il Consorzio Infotel telefonando al numero 0828 34.65.01 o inviando una mail a info@consorzioinfotel.it