DELIBERA N. 6/00 - OMCeO Venezia · 2016. 5. 11. · ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E...

ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI DI VENEZIA Via Mestrina 86 – 30172 Mestre – VE

Tel. 041 989479 – 989582 Fax 041 989663 e-mail: [email protected]

DELIBERA N. 18/2015

Il Consiglio dell’Ordine dei Medici Chirurghi e degli Odontoiatri della Provincia di Venezia

riunito nella seduta del 30.03.2015 alle ore 20.30

VISTA la deliberazione n. 11/2006 con cui veniva approvato il documento per la sicurezza

del trattamento dei dati personali relativo all’anno 2006, successivamente rinnovato nel

corso del 2007 con deliberazione n. 13/07, nel 2008 con deliberazione n. 6/2008, nel 2009

con deliberazione n. 24/09, nel 2010 con deliberazione n. 13/10, 2011 con deliberazione n.

11.11, nel 2012 con deliberazione n. 11/12, nel 2013 con deliberazione n. 4/13;

VISTO la Legge 675/96, concernente la tutela delle persone e degli altri soggetti rispetto al

trattamento dei dati personali, che prevede che entro il 31 marzo di ogni anno tale

documento venga aggiornato;

PRESA VISIONE del nuovo documento predisposto per l’anno 2015;

CONSIDERATO che i Consiglieri, i Revisori dei Conti ed i Commissari dell’Ordine, pur non

avendo accesso diretto alle postazioni informatiche e non conoscendo quindi le relative

password, nell’esercizio della propria attività istituzionale accedono agli atti personali,

sensibili e giudiziari degli iscritti in forma cartacea, quindi, nell’ambito esclusivo del loro

mandato e per la natura stessa dell’incarico, devono essere considerati, de iure, incaricati

del trattamento dei dati;

ASCOLTATA la lettura da parte del Consigliere Segretario, dott. Luca Barbacane, della

lettera di comunicazione istruzioni e delle istruzioni per gli incaricati;

DELIBERA

di approvare il DPS relativo all’anno 2015, predisposto sulla base del precedente

documento approvato nel 2014, allegato in copia alla presente deliberazione e parte

integrante della stessa;

di considerare espletati gli adempimenti relativi all’affidamento dell’incarico per i

Consiglieri, Commissari e Revisori dei Conti.

f.to IL SEGRETARIO f.to IL PRESIDENTE

(dott. Luca Barbacane) (dott. Maurizio Scassola)

mailto:[email protected]

DPS

AGGIORNAMENTO ANNO 2015

Effettuato da:

ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI DI VENEZIA

via Mestrina, 86 Mestre Ve

Partita IVA: 00624780276

Telefono: 041-989478; 041-989582

1 Introduzione e scopo .............................................................................................................................. 6

2 Elenco dei trattamenti di dati personali (art. 19.1)................................................................................... 7

2.1 Applicabilità ....................................................................................................................................... 7

2.2 Revisione del documento .................................................................................................................. 7

2.3 Informazioni di carattere generale.................................................................................................... 7

2.4 Elenco delle banche dati ................................................................................................................... 8

3 Distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei

dati (art. 19.2) .................................................................................................................................................. 10

3.1 Compiti e responsabilità .................................................................................................................. 10

3.1.1 Compiti e nomina del Titolare del trattamento ...................................................................... 10

3.1.2 Identificazione del Titolare del trattamento dei dati: ............................................................. 11

3.1.3 Compiti e nomina del Responsabile del trattamento ............................................................. 11

3.1.4 Identificazione del Responsabile del trattamento: ................................................................. 11

3.1.5 Compiti e nomina dell’Amministratore di sistema ................................................................. 12

3.1.6 Amministratori incaricati ......................................................................................................... 12

3.1.7 Verifica delle attività ............................................................................................................... 14

3.1.8 Registrazione degli accessi ...................................................................................................... 14

3.1.9 Compiti degli Incaricati del trattamento ................................................................................. 14

3.1.10 Incaricati dei trattamenti di dati personali (controllo lettere di incarico): ............................. 15

4 Analisi dei rischi che incombono sui dati (art. 19.3) ............................................................................... 16

4.1 Identificazione, inventario ed analisi dei software ......................................................................... 16

4.2 Identificazione, inventario ed analisi dei supporti cartacei ............................................................ 16

4.3 Competenze e responsabilità delle strutture preposte ai trattamenti .......................................... 17

4.4 Utenti attivi con accesso ai computer ............................................................................................. 17

4.5 Identificazione e inventario dei computer e dispositivi .................................................................. 18

4.6 Cartelle condivise ............................................................................................................................ 19

4.7 Identificazione delle minacce/vulnerabilità .................................................................................... 20

file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396773file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396774file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396775file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396776file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396777file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396778file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396779file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396779file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396780file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396781file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396782file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396783file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396784file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396785file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396786file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396787file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396788file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396789file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396790file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396791file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396792file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396793file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396794file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396795file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396796file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396797file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396798

5 Misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree

e dei locali, rilevanti ai fini della loro custodia e accessibilità (art. 19.4) ....................................................... 22

5.1 Contenuti ......................................................................................................................................... 22

5.2 Misure di sicurezza .......................................................................................................................... 22

5.2.1 Misure adottate per la garanzia dell’integrità e della disponibilità dei dati ........................... 22

5.2.2 Informazioni generali sul collegamento ad internet ............................................................... 23

5.2.3 Autenticazione degli incaricati del trattamento ..................................................................... 24

5.2.4 Protezione da virus informatici ............................................................................................... 25

5.2.5 Posta elettronica ..................................................................................................................... 27

5.2.6 Apparecchiature informatiche ................................................................................................ 28

5.2.7 Stampanti ................................................................................................................................ 28

5.2.8 Aree ad accesso limitato ......................................................................................................... 28

5.2.9 Misure adottate a protezione delle aree e dei locali .............................................................. 28

5.2.10 Archivio cartaceo generale ...................................................................................................... 28

6 Descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a

distruzione o danneggiamento (art. 19.5) ...................................................................................................... 30

6.1 Contenuti ......................................................................................................................................... 30

6.2 Obiettivo del salvataggio ................................................................................................................. 30

6.3 Quali sono le cause per le quali si necessita di un ripristino? ......................................................... 30

6.4 Quanto indietro nel tempo ............................................................................................................. 30

6.5 Procedura dell’Ordine ..................................................................................................................... 30

6.6 Test periodici ................................................................................................................................... 31

6.7 Informazioni residue ....................................................................................................................... 31

7 Previsione di interventi formativi degli incaricati del trattamento (art. 19.6) ....................................... 32

8 Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di

dati personali affidati, in conformità al codice, all’esterno della struttura del titolare (art. 19.7) ................ 32

9 Criteri da adottare per la cifratura o per la separazione dei dati personali idonei a rivelare lo stato di

salute e la vita sessuale (di cui al punto 24) (art. 19.8) ................................................................................... 32

10 Utilizzo di dati pubblici ............................................................................................................................ 32

file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396799file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396799file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396800file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396801file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396802file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396803file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396804file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396805file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396806file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396807file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396808file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396809file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396810file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396811file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396812file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396812file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396813file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396814file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396815file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396816file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396817file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396818file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396819file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396820file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396821file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396821file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396822file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396822file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396823

11 Allegati ..................................................................................................................................................... 34

11.1 Termini............................................................................................................................................. 34

11.2 Piano per la formazione .................................................................................................................. 35

11.3 Nota Integrativa al D.P.S. ................................................................................................................ 36

11.4 Annotazione .................................................................................................................................... 36

file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396824file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396825file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396826file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396827file://///SERVER02/Dati/Archivio_generale/DPS/anno%202015/OmcoVE_DPS_2015.docx%23_Toc448396828

1 Introduzione e scopo

Scopo di questo documento è stabilire le misure di sicurezza organizzative affinché siano rispettati gli

obblighi, in materia di sicurezza, previsti dal d.l. 30 giugno 2003, n. 196 (Codice in materia di protezione

dei dati personali) di seguito chiamato Testo Unico sulla Privacy o anche Codice.

Individua quindi le linee guida generali, le azioni e le misure per il trattamento dei dati personali in

condizione di sicurezza con la finalità di ridurre al minimo, con riferimento alla tipologia dei dati trattati,

i rischi di distruzione o perdita degli stessi, nonché i rischi di accesso non autorizzato, il trattamento non

consentito o non conforme alle finalità di raccolta.

L'ambito di validità e di osservanza delle regole contenute nel presente documento è l’Ordine dei Medici

Chirurghi e Odontoiatri (di seguito chiamato Ordine), nei ruoli di Titolare e Responsabile ai sensi del

Codice, per i trattamenti di dati personali gestiti nel Sistema Informatico e cartaceo.

Va notato che molti dei dati gestiti nel Sistema Informatico hanno valore probatorio e pertanto devono

opportunamente essere protetti, soprattutto per quanto riguarda la loro integrità, anche

indipendentemente dagli obblighi derivanti dal Testo Unico sulla Privacy.

Entro la scadenza prevista, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche

attraverso il responsabile, ove designato, un documento programmatico sulla sicurezza contenente

idonee informazioni riguardo:

19.1. L’elenco dei trattamenti di dati personali;

19.2. La distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al

trattamento dei dati;

19.3. L’analisi dei rischi che incombono sui dati;

19.4. Le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione

delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a

distruzione o danneggiamento;

19.6. La previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi

che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina

sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che

ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è

programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni,

o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. La descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in

caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;

19.8. Per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,

l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati

personali dell'interessato.

Nel seguito i termini Titolare, Responsabile, Incaricato, Trattamento e Dato personale sono usati in

conformità alle definizioni del Codice e secondo quanto meglio dettagliato nella tabella Termini.

Il sistema informatico descritto nel presente documento deve ritenersi sicuro in quanto intende garantire

la disponibilità, l’integrità e l’autenticità, nonché la riservatezza dell’informazione e dei servizi per il

trattamento, attraverso l’attribuzione di specifici incarichi, la certificazione delle fonti di provenienza dei

dati e le istruzioni per le persone autorizzate ad effettuare i trattamenti.

2 E

lenco dei trattamenti di dati personali (art. 19.1)

2.1 Applicabilità

Il presente Documento Programmatico sulla Sicurezza si applica all’intera struttura dell’Ente, sia

informatica che non. In particolare, nel caso della struttura informatica, si applica a tutti i computer o

dispositivi elettronici in grado di memorizzare dati. Il contenuto deve essere divulgato e spiegato a tutti

gli incaricati. La parte che riguarda i dipendenti deve essere divulgata e spiegata a cura dei diretti

responsabili.

Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente documento dovranno

essere rimosse nel più breve tempo possibile.

2.2 Revisione del documento

Il presente documento ha normalmente validità di un anno. La data prevista dalla legge entro la quale

deve esser redatta la prima versione del documento è il 31 marzo 2006. Trascorso tale termine esso deve

essere oggetto di revisione per essere adeguato ad eventuali variazioni del livello di rischio a cui sono

soggetti i dati personali e ad eventuali modifiche della tecnologia informatica. Le successive modifiche

devono essere apportate entro il 31 marzo di ogni anno.

Nell’attesa dell’adeguamento conservano validità le regole in vigore.

La stesura del presente documento è aderente alle seguenti linee guida:

Analisi dello stato dell’organizzazione attraverso l’identificazione e distinzione delle

responsabilità delle figure soggettive coinvolte nel trattamento; l’identificazione, l’inventario e

l’analisi dell’hardware, del software e delle banche dati;

L’individuazione e la valutazione del rischio

L’individuazione delle misure preventive e correttive

L’individuazione di istruzioni agli incaricati e la previsione di un programma formativo.

2.3 Informazioni di carattere generale

L’Ordine si configura come un “Ente pubblico non economico” e fonda la sua attività sui principi

descritti nelle leggi di riferimento:

Legge istitutiva dell’Ordine: D. lgs del Capo provvisorio dello Stato 13 Settembre 1946, n. 233

(Ricostituzione degli Ordini delle professioni sanitarie e per la disciplina dell'esercizio delle

professioni stesse)

DPR.221 del 1950

DPR.409 del 1985.

L’Ordine si fa quindi carico di tutte le competenze previste dalla suddetta normativa, svolgendo compiti

che obbligano al trattamento di dati personali, sensibili e giudiziari degli iscritti. Si attesta che l’Ordine

mantiene nei database di propria competenza tutti ed unicamente i dati giudiziari previsti dalla legge

istitutiva sopra citata; in virtù dell’articolo 21 del d.l. 30 giugno 2003, n. 196 l’Ordine è quindi autorizzato

al loro trattamento.

2.4 Elenco delle banche dati

In questa sezione è inserito l’elenco delle banche dati di competenza dell’Ordine, interne o delegate

all’esterno, con l’indicazione della natura dei dati trattati e della struttura (o reparto, funzione, ufficio,

ecc.) interna od esterna in cui fisicamente sono situate le banche dati. E’ inoltre descritto un elenco di

compiti e responsabilità associati ai vari attori della struttura. Può essere fatto riferimento anche ad

analoghe documentazioni già predisposte dal titolare (ordinamenti, ordini di servizio, regolamenti

interni).

Per ciascuna banca dati sono riportate le seguenti informazioni, parte in questo capitolo e parte nel

capitolo 4 Analisi dei rischi che incombono sui dati (art. 19.3):

Identificativo banca dati: consiste in un codice, facoltativo ma utile per il titolare in quanto

consente un’identificazione univoca e più rapida di ciascuna banca dati nella compilazione delle

altre tabelle

Descrizione banca dati: descrive la banca dati in modo da consentire una comprensione

immediata della tabella

Finalità del trattamento: motivazioni per le quali la banca dati è tenuta

Natura dei dati trattati: viene indicato se i dati archiviati in ogni banca dati sono personali,

sensibili o giudiziari

Struttura di riferimento: indica la struttura (o reparto, funzione, ufficio, ecc.) all’interno della

quale risiede la banca dati.

Supporto impiegato (Tipo di banca dati): viene indicata la tipologia di banca dati. Si noti che

una banca dati può essere sia informatizzata che cartacea, solo informatizzata o solo cartacea

Localizzazione fisica della banca dati: riferimento della localizzazione della banca dati

all’interno della struttura dell’Ordine

Software di accesso: nel caso di banca dati informatizzata, viene indicato l’eventuale software di

accesso ai dati ove ritenuto rilevante.

Di seguito l’elenco delle banche dati interne. Nel caso in cui il supporto sia informatico, i compiti

vengono svolti con l’utilizzo di apparecchiature informatiche e software specialistici.

ID Descrizione della banca dati Finalità del

trattamento

Natura

dei dati

trattati:

dati

sensibili

?

Supporto

impiegat

o

ALB Gestione anagrafica degli iscritti Tenuta albo ex art.3

D.Lgs.C.P.S.

233/46

No

Informatic

o

e cartaceo

CNT Gestione dei fornitori e dei nominativi

soggetti alla contabilità dell’ente,

contabilità in genere, mandati e

reversali

Predisposizione

Bilanci e relativi

doc. contabili ex

Regolamento

Contabile Ordine e

DPR 221/50

No Informatic

o

e cartaceo

PRT Gestione mittenti e destinatari del

protocollo informatico

Tenuta del libro

protocollo in formato

elettronico ed

archiviazione degli

atti anche su

supporto cartaceo

No Informatic

o e

cartaceo

GPD Gestione del personale dipendente Amministrazione del

rapporto di lavoro

Sì Informatic

o

e cartaceo

Nel caso di banche dati gestite esternamente, oltra alla sua identificazione si provvede alla nomina di un

responsabile esterno appartenente alla società/ditta/ente fornitore in cui risiede la banca dati. Di seguito

la tabella di riferimento:

ID Descrizione della banca

dati

Natura dei

dati trattati

Soggetto

esterno

Descrizione dei

criteri e degli

impegni assunti

per l'adozione

delle misure

AFS adempimenti fiscali Personali Dott. Piero

Cagnin

via Vittorio

Veneto 23

30031 Dolo

Trattamento dei

dati ai soli fini

dell'espletament

o dell'incarico

ricevuto

GPD gestione del personale

dipendente

Personali Studio Dott.

Bonzio

Consulente del

Lavoro

Corso del

Popolo, 146/C

MESTRE

Trattamento dei

dati ai soli fini

dell'espletament

o dell'incarico

ricevuto

GPL gestione delle pratiche legali Personali e

giudiziari

Avv.ti

Mario

GIORDANO

Giorgio

SPADARO

Mestre

Trattamento dei

dati ai soli fini

dell’espletament

o dell’incarico

ricevuto

3 Distribuzione dei compiti e delle responsabilità nell’ambito delle strutture

preposte al trattamento dei dati (art. 19.2)

3.1 Compiti e responsabilità

L’Ordine dei Medici Chirurghi e Odontoiatri, si configura come il Titolare del trattamento. Il Presidente

protempore, quale responsabile massimo dell’Ente, in piena responsabilità, predisporrà le opportune

procedure atte a garantire la messa in sicurezza dei Dati personali, sensibili o giudiziari trattati,

incaricando eventualmente un responsabile per la concreta realizzazione delle incombenze previste da

questo documento.

3.1.1 Compiti e nomina del Titolare del trattamento

Il Titolare del trattamento svolge un ruolo fondamentale nel sistema di gestione dei dati personali e di

garanzia a tutela degli interessati.

Spettano a lui le decisioni strategiche riguardo l’attività di trattamento dei dati.

Nello specifico i compiti assegnati sono:

Stabilire le finalità del trattamento si traduce nell’indirizzare le operazioni di trattamento dei dati,

nell’avviarle all’interno dei binari di necessità, liceità, correttezza previsti dalla normativa.

Le modalità operative devono corrispondere alle finalità definite dal titolare e rispondendo ai requisiti di

legge, devono equilibrare l’utilizzo di strumenti elettronici o supporti cartacei.

La sicurezza rappresenta l'elemento tecnico fondamentale per la tutela del diritto alla protezione dei dati

personali; risulta evidente che l'impostazione delle misure di sicurezza debba rilevarsi come obbligo in

capo al titolare del trattamento.

In questo contesto l’Ordine dei Medici Chirurghi e Odontoiatri in qualità di Titolare, ed il Responsabile,

assicureranno che il programma di sicurezza sia adeguatamente sviluppato, realizzato e mantenuto

aggiornato e conforme al Testo Unico sulla Privacy ed alle prescrizioni del presente documento.

Essi, nell’ambito della propria organizzazione, opereranno in modo da:

• minimizzare la probabilità di appropriazione, danneggiamento o distruzione anche non voluta di

apparecchiature informatiche o archivi informatici o cartacei contenenti dati personali

• minimizzare la probabilità di accesso, diffusione e modifica delle informazioni personali senza

previa autorizzazione

• minimizzare la probabilità che i trattamenti di dati personali siano modificati senza previa

autorizzazione.

3.1.2 Identificazione del Titolare del trattamento dei dati:

Dott. Maurizio Scassola, Presidente pro tempore dell’OMCeO Ve

C.F. SCSMRZ51T08L736I

TEL. 041.989479

3.1.3 Compiti e nomina del Responsabile del trattamento

La nomina del responsabile al trattamento viene effettuata con lettera di incarico.

La nomina del responsabile al trattamento è stata controfirmata dall’interessato per accettazione e copia

della lettera di nomina accettata viene conservata a cura del responsabile del trattamento in luogo sicuro.

La nomina è a tempo indeterminato, e decade per revoca o dimissioni dello stesso.

La nomina può essere revocata in qualsiasi momento dal titolare del trattamento senza preavviso, ed

essere affidata ad altro soggetto.

Il responsabile deve:

Provvedere all’adattamento specifico per le esigenze dell’Ufficio del Documento Programmatico

sulla Sicurezza dei Dati

Provvedere all’effettiva realizzazione di quanto indicato nel Documento Programmatico sulla

Sicurezza dei Dati, con l’avallo del CONSIGLIERE - SEGRETARIO

Promuovere lo svolgimento di un continuo programma di addestramento degli Incaricati del

Trattamento e mantenimento di un programma di controllo e monitoraggio della corrispondenza

alle regole di sicurezza.

3.1.4 Identificazione del Responsabile del trattamento:

Dott. Luca Barbacane, Consigliere Segretario pro tempore dell’OMCeO Ve (non accede agli archivi

informatizzati)

C.F. BRBLCU63M09L736A

TEL. 041.989479

In sostituzione:

Dott.ssa Carla Carli, Funzionario dell’Ordine

C.F. CRLCRL69C50G224A

Tel. 041.989479

3.1.5 Compiti e nomina dell’Amministratore di sistema

(4.3 Elenco degli amministratori di sistema - Gli estremi identificativi delle persone fisiche amministratori

di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno

da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante)

La disciplina di protezione dei dati previgente al Codice del 2003 definiva l'amministratore di sistema,

individuandolo quale "soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema

operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione" (art. 1, comma 1,

lett. c) d.P.R. 318/1999).

L’amministratore di sistema si occupa quindi di svolgere materialmente le operazioni necessarie a

garantire il funzionamento del sistema informatico, sotto la direzione del responsabile del trattamento.

La nomina di ciascun Amministratore di sistema viene effettuata con una lettera di incarico. La nomina

dell’Amministratore di sistema viene inoltre controfirmata dall’interessato per accettazione e copia della

lettera di nomina accettata viene conservata a cura del responsabile del trattamento in luogo sicuro.

La nomina dell’amministratore di sistema è a tempo indeterminato, e decade per revoca o dimissioni

dello stesso.

3.1.6 Amministratori incaricati

Michele Rubin

RBNMHL66P29I595D

Tel. 049 8077145

3.1.6.1 Funzioni assegnate

Specificatamente e limitatamente a tale contesto i compiti consistono in:

• impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali

effettuati con strumenti elettronici, conforme a quanto previsto dai punti da 1 a 8 del Disciplinare tecnico,

allegato B) al D. Lgs. n. 196/2003;

• assegnare, gestire, modificare, credenziali di autenticazione dei Responsabili ed Incaricati del

trattamento dei dati;

• verificare semestralmente la sussistenza delle condizioni per la conservazione dei profili di

autorizzazione.

• collaborare con il “Titolare del trattamento” per la diffusione di idonee e preventive

disposizioni/istruzioni agli incaricati;

• predisporre/aggiornare un elenco degli utenti e delle autorizzazioni assegnate;

• assicurarsi che le credenziali di ogni utente consentano accesso esclusivamente ai dati di propria

competenza;

• sovrintendere al funzionamento della rete informatica interna;

• collaborare alla scelta del tipo di connettività Internet, sulla base delle necessità dell’Ente

• attivare, amministrare/controllare con cadenza minima semestrale, i sistemi antintrusione

router/firewall (hardware) e firewall di sistema (software);

• attivare, amministrare/controllare con cadenza minima semestrale, sistemi antivirus e assimilati;

• predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai

sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e di database

(nella sua qualità di “amministratore di sistema”); tali registrazioni (access log) devono avere

caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al

raggiungimento dello scopo di verifica per cui sono richieste.

• procedere ai controlli periodici con la cadenza ritenuta adeguata alla specifica realtà dell’Ente. Tali

controlli non potranno comunque avvenire con frequenza inferiore a quella stabilita dalla legge.

• collaborare alla verifica costante che l’Ente abbia adottato le misure minime di sicurezza per il

trattamento dei dati personali, previste dall’art. 34 del D. Lgs. n. 196/2003, e dal Disciplinare tecnico,

allegato B) al decreto legislativo medesimo, provvedendo senza indugio alla proposta degli adeguamenti

eventualmente necessari;

• suggerire al titolare del trattamento l’adozione e l’aggiornamento delle più ampie misure di

sicurezza (strumenti e procedure) atte a realizzare quanto previsto dall’art. 31 del D. Lgs. n. 196/2003, che

dispone che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in

relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche

caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive

misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non

autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

• collaborare, per le parti di competenza, all’aggiornamento, entro la data prevista, del documento

programmatico sulla sicurezza, previsto dal punto 19 del Disciplinare tecnico, allegato B) al D. Lgs. n.

196/2003.

• predisporre un piano di controlli periodici, da eseguirsi con cadenza almeno annuale, dell’efficacia

delle misure di sicurezza adottate in azienda.

E’ compito dell’Amministratore riferire periodicamente, ed in ogni caso con cadenza almeno trimestrale,

al Titolare del trattamento sullo svolgimento dei compiti, dandogli inoltre piena collaborazione nello

svolgimento delle verifiche periodiche circa il rispetto delle disposizioni di legge e l'adeguatezza delle

misure di sicurezza adottate.

Massimo Amoruso CODICE FISCALE MRSMSM79D07F205A Tel. 0498077145

3.1.6.2 Funzioni assegnate

Specificatamente e limitatamente a tale contesto i compiti consistono in:

• effettuare interventi di manutenzione/aggiornamento software su sistemi operativi ed applicativi,

con particolare riguardo a quanto connesso alla sicurezza;

• monitorare lo stato dei sistemi software, con particolare attenzione alla sicurezza e alle basi dati

presso l’Ordine

• predisporre le procedure per il salvataggio dei dati (backup), che sarà svolto poi da personale

interno;

• effettuare controlli periodici almeno semestrale di corretta esecuzione backup;

• collaborare all’identificazione di idonee procedure per la custodia delle copie di sicurezza dei dati e

per il ripristino della disponibilità dei dati e dei sistemi;

3.1.7 Verifica delle attività

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività

di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua

rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali

previste dalle norme vigenti)

Ricordiamo, che il provvedimento del Garante già citato, obbliga l’Ente alla “verifica” almeno annuale

delle attività svolte dall’amministratore di sistema in modo da controllare la sua rispondenza alle misure

organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme (art.

34 D. Lgs. n. 196/2003, Disciplinare tecnico, allegato B) del D. Lgs. n. 196/2003).

3.1.8 Registrazione degli accessi da parte degli Amministratori di sistema

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai

sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni

(access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro

integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni

devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono

essere conservate per un congruo periodo, non inferiore a sei mesi.)

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai

sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni

(access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro

integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono

comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere

conservate per un congruo periodo, non inferiore a sei mesi;

3.1.9 Compiti degli Incaricati del trattamento

E’ compito degli incaricati del trattamento di rispettare in particolare le informazioni ricevute

relativamente alla sicurezza.

Adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e

la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’Incaricato.

Partecipare agli interventi formativi previsti dal Codice per essere edotti relativamente ai rischi che

incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina


ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è

programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni,

o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.

Informare tempestivamente il Responsabile in caso di incidente di sicurezza che coinvolga dati personali,

sensibili o giudiziari. Sarà prodotto a cura del Custode delle password un documento che riassuma le

autorizzazioni per ogni Incaricato del trattamento.

La nomina di ciascun Incaricato del trattamento deve essere effettuata con una lettera di incarico.

Ogni Incaricato del trattamento è responsabile della custodia e dell’eventuale uso improprio della propria

password.

La nomina di ciascun Incaricato del trattamento può essere revocata senza preavviso dal titolare del

trattamento.

3.1.10 Incaricati dei trattamenti di dati personali (controllo lettere di

incarico):

1. dott. Nicolin Giuliano, Presidente CAO pro tempore dell’OMCeO VE

2. I Consiglieri, i Commissari ed i Revisori dei Conti, pro tempore dell’OMCeO VE (non accedono agli

archivi informatizzati)

3. Milan Rossella

4. Favaro Donatella

5. Ballan Alessandra

4 A

nalisi dei rischi che incombono sui dati (art. 19.3)

4.1 Identificazione, inventario ed analisi dei software

Software Tipo di trattamento effettuato Banca dati

OFFICE

(varie

versioni)

Gestione operativa dei dati comprensiva del pacchetto

Word, Access, Excel

varie / tutte

TecSis

Conto

Gestione della contabilità CNT

TecSis

Iride

Gestione dell’anagrafica ALB

TecSis

IrideDoc

Gestione protocollo PRT

4.2 Identificazione, inventario ed analisi dei supporti cartacei Banca dati Ubicazione

ALB Archivio blindato I°P.

CNT Stanza Direttore I°P.

Dati del personale dipendente Stanza Direttore I°P.

PTR Archivio di Segreteria

4.3 Competenze e responsabilità delle strutture preposte ai trattamenti

Struttura Banca dati/Trattamenti

Effettuati

Compiti e responsabilità

Segreteria Ordine albo iscritti (ALB)

contabilità dipendenti

(CNT)

compensi a terzi (CNT)

compensi ai componenti

del consiglio (CNT)

Protocollo (PRT)

Acquisizione, compilazione e

conservazione dati

professionali degli iscritti

all'Ordine

Ricevimento, emissione e

registrazione fatture e

documenti contabili, stampa

registri

Gestione indirizzario e

nominativi dei mittenti e dei

destinatari del protocollo

Consiglio Direttivo

dell’Ordine

Commissione Albo

Odontoiatri

Commissione Albo Medici

Collegio dei Revisori dei

Conti

Presidente

Vice-Presidente

Segretario

Tesoriere

Presidente CAO

Sulla base dei compiti loro

assegnati dal DLgsCPS

233/46 e del D.P. 221/50,

gestiscono l’attività

istituzionale dell’ente dal

punto di vista politico,

amministrativo e contabile.

Nell’ambito di tale attività

acquisiscono informazioni

riservate sugli iscritti ai

rispettivi Albi dell’Ordine.

Deliberazioni

Attività di predisposizione

della corrispondenza.

Verbalizzazioni.

Decisioni disciplinari.

Scritture contabili.

4.4 Utenti attivi con accesso ai computer

Di seguito l’elenco Degli Utenti con accesso ai dati informatizzati:

Ogni account è correlato in maniera specifica è una persona a parte l’account ‘Fotocopiatore’ correlato al

servizio di scansione reso disponibile dal fotocopiatore di rete. Gli utenti ‘Amministratori’ sono

Amministratori di sistema o loro delegati per le attività di assistenza tecnica. Gli utenti PresCAO e PresMED

sono associati rispettivamente al Presidente dei Odontoiatri e al Presidente dei Medici.

4.5 Identificazione e inventario dei computer e dispositivi

L’inventario completo di tutti i computer e server installati presso l’Ordine, con i dettagli di tutto il software

installato in ogni singolo computer è disponibile nella come allegato al presente. I computer sono collegati

nella network privata o LAN.

L’Ordine non è organizzato in reparti.

La struttura informatica dell’Ordine è rappresentata nel diagramma seguente:

Una tabella sintetica è la seguente:

Tipo di dispositivo

Sistema operativo

Nome Produttore Modello Indirizzo IP Indirizzo MAC

Portatile Windows Notebook LENOVO LENOVO-PC 192.168.0.38 74:29:AF:14:BF:CF

Router cablato

Altro SO ROUTER ZyXEL ZyXEL Prestige 661H 192.168.0.1 40:4A:03:A4:C2:6F

Router WIFI SO sconosciuto

WIFI_OMCOVE ZyXEL Prestige 660HW

192.168.0.199

00:02:CF:5A:46:EF

Server Windows SERVER02 VMWare, Inc. VMware Virtual Platform

192.168.0.201

00:0C:29:B0:B6:35

Server Altro SO VM-WARE 5.5 Hewlett-Packard

VM-WARE 192.168.0.202

9C:8E:99:59:FA:1C

Stampante Altro SO SAMSUNG CLX-9250

Samsung Electronics Co., Ltd.

SAMSUNG CLX-9250

192.168.0.12 00:15:99:5B:CE:84

Workstation

Windows PC15 Sconosciuto Sconosciuto 192.168.0.14 6C:62:6D:DB:22:EB

Workstation

Windows PC20 Hewlett-Packard

Hewlett-Packard

192.168.0.15 A0:48:1C:77:E2:D3

Workstation


Sconosciuto 192.168.0.13 2C:44:FD:2D:7F:2F

Workstation


Hewlett-Packard

192.168.0.10 A0:48:1C:77:63:7C

Workstation


Sconosciuto 192.168.0.11 2C:44:FD:32:22:D0

Workstation

Windows PC13 Sconosciuto Sconosciuto 192.168.0.16 6C:62:6D:E3:CA:D9

Workstation

Windows PC14 Sconosciuto Sconosciuto 192.168.0.19 6C:62:6D:E2:21:B1

Workstation

Windows PC09 FUJITSU Sconosciuto 192.168.0.23 00:19:99:58:DB:55

Workstation

Windows PC16 Sconosciuto Sconosciuto 192.168.0.18 10:78:D2:DE:EC:FE

4.6 Cartelle condivise

Le cartelle condivise sono accessibili, in modo controllato, da parte deli utenti della LAN. Fisicamente

sono memorizzate in SERVER02 e sono le seguenti:

Tutte le cartelle sono protette da opportune autorizzazioni. La cartella più impostante è la

SERVER02\Dati che contiene, opportunamente organizzati in sottocartelle, tutte le informazioni gestite

dall’Ordine tramite file.

I computer vengono utilizzati:

Al piano interrato per le presentazioni in sala conferenza

Al piano terra dagli incaricati degli uffici di segreteria

Al piano superiore le postazioni vengono utilizzate dal Presidente dell’Ordine (titolare del

trattamento), dal Presidente CAO e dal consulente commercialista. Questi ultimi accedono ai dati

degli iscritti in sola lettura.

4.7 Identificazione delle minacce/vulnerabilità

La tabella seguente, “Analisi delle minacce/vulnerabilità – elenco degli eventi”, riassume in maniera

schematica le principali minacce alla sicurezza dei dati e delle corrispondenti misure di sicurezza

adottata.

EVENTO IMPATTO SULLA SICUREZZA DEI DATI MISURE DI

SICUREZZA DESCRIZIONE

IMPATTO

GRAVITÀ

STIMATA

PROBABILITA’

DI

ACCADIMENTO

STIMATA

Comportamenti

degli operatori

Furto di credenziali

di autenticazione

Uso improprio,

divulgazione,

cancellazione o

modifica non

autorizzati

Molto grave Poco probabile Periodico cambio di password formazione

Carenza di

consapevolezza,

disattenzione o

incuria

Uso improprio,

divulgazione,

cancellazione o

modifica non

autorizzati

Molto grave Probabile Backup, formazione



IMPATTO

GRAVITÀ

STIMATA

PROBABILITA’

DI

ACCADIMENTO

STIMATA

Comportamenti

sleali o fraudolenti

Uso improprio,

divulgazione,

cancellazione o

modifica non

autorizzati

Molto grave Poco probabile Backup, norme

contrattuali,

formazione

Errore materiale Divulgazione

accidentale,

cancellazione o

modifica.

Molto grave Probabile Backup, formazione

Eventi relativi a

strumenti

Azione di virus

informatici o di

codici malefici

Divulgazione,

modifica,

cancellazione dei dati

Molto grave Probabile Antivirus,

antispyware

Spamming o altre

tecniche di

sabotaggio

Blocco parziale o

totale dei sistemi di

comunicazione via

mail

Poco grave Probabile Tecniche

antispamming

attivate dal fornitore

del servizio

Malfunzionamento,

indisponibilità o

degrado degli

strumenti

Perdita di dati o

sospensione del

servizio

Poco grave Poco probabile Backup, controlli

periodici, verifiche di

obsolescenza.

Accessi esterni

non autorizzati

Uso improprio,

divulgazione,

cancellazione o

modifica non

autorizzati

Molto grave Poco probabile Regolamentazione

dell’accesso a

Internet mediante

Firewall

Intercettazione di

informazioni in rete

Non applicabile -- -- --

Eventi relativi

al contesto

Accessi non

autorizzati a

locali/reparti ad

accesso ristretto

Uso improprio,

divulgazione,

cancellazione o

modifica non

autorizzati

Molto grave Poco probabile Backup; antifurto;

Asportazione e

furto di strumenti

contenenti dati

Perdita di dati o

sospensione del

servizio; uso

improprio,

divulgazione,

cancellazione o

modifica non

autorizzati

Molto grave Poco probabile Controllo degli

accessi, backup;

antifurto;

Eventi distruttivi,

naturali o artificiali,

dolosi, accidentali

o dovuti a incuria

Perdita di dati o

sospensione del

servizio

Molto grave Poco probabile Backup



IMPATTO

GRAVITÀ

STIMATA

PROBABILITA’

DI

ACCADIMENTO

STIMATA

Guasto ai sistemi

complementari

(impianto elettrico,

climatizzazione,

ecc.)

Perdita di dati o

sospensione del

servizio

Poco grave Poco probabile Backup, controlli

periodici

Errori umani nella

gestione della

sicurezza fisica

Uso improprio,

divulgazione,

cancellazione o

modifica non

autorizzati

Molto grave Probabile Backup

4.7.1.1 5. Elenco delle misure di sicurezza (lista di controllo)

5 M

isure da adottare per garantire l’integrità e la disponibilità dei dati, nonché

la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e

accessibilità (art. 19.4)

La salvaguardia dell’integrità dei dati risulta essere una delle massime priorità di questa amministrazione

che ha attuato per questo delle specifiche misure.

5.1 Contenuti

In questa sezione vengono riportate, in forma sintetica, le misure in essere e da adottare a contrasto dei

rischi individuati dall’analisi dei rischi. Per misura qui si intende non solo lo specifico intervento tecnico

od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica

minaccia ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne

l’efficacia. Senza procedure di controllo periodico, infatti, nessuna misura può essere considerata

completa.

5.2 Misure di sicurezza

5.2.1 Misure adottate per la garanzia dell’integrità e della disponibilità dei dati

5.2.1.1 Informazioni generali sulla sicurezza

Si attesta che:

L’utilizzo di supporti rimuovibili (floppy, nastri, CD-ROM) è disponibile solo al personale

autorizzato

La rete interna è progettata per garantire prestazioni, affidabilità e un corretto grado di controllo

degli accessi (policy applicate a privilegi/restrizioni degli utenti)

l'Hardware che deve venire rottamato/dismesso viene controllato per evitare che vengano

esposte informazioni e dati gestiti dall'Ordine

l’Ordine rispetta i termini delle licenze di uso del software

Gli aggiornamenti al software vengono fatti solo quando effettivamente necessari e comunque in

particolare per i sistemi operativi, ne viene controllata la disponibilità con cadenza mensilmente;

per gli antivirus si veda la specifica sezione

l'origine degli aggiornamenti è verificata

L’aggiornamento a versioni più recenti di specifico software è accuratamente valutato

Le procedure operative del sistema informativo sono correttamente pianificate ed autorizzate

L’amministratore di sistema è adeguatamente informato e conosce a fondo i problemi relativi alla

sicurezza

5.2.1.2 Informazioni generali sull’accesso/archiviazione/stampa dei dati

informatici

Si attesta che:

Le informazioni riservate sono protette contro gli accessi da parte di personale non autorizzato: i

documenti informatici riservati sono protetti tramite password o sono comunque memorizzati in

directory protette contro accessi non autorizzati

I documenti vengono archiviati in modo da rispettare le esigenze legali e/o interne

L’accesso da parte di terzi alle informazioni dell’ente è correttamente protetto/gestito in modo da

tutelare i dati personali, sensibili e giudiziari degli iscritti

Sono implementate procedure di controllo sull'accesso dall'esterno ai dati dell’Ente: se

consentito, l'accesso alla rete aziendale dall'esterno, tale accesso è protetto da procedure di

autenticazione e da una appropriata gestione delle politiche di sicurezza del router/firewall

5.2.1.3 Informazioni generali sulle risorse umane

Si attesta che:

All’interno dell’Ordine esiste una figura dedicata alla gestione del sistema informativo che segue

anche le procedure di sicurezza

Il personale è adeguatamente informato degli eventuali rischi che ci possono essere nel non

seguire le procedure di sicurezza informatica previste in azienda

L’ente offre corsi di aggiornamento sui nuovi sistemi e sulle nuove tecniche di protezione dei dati

I dipendenti sono stati informati del fatto che l'utilizzo delle risorse (computer/internet) è

ammesso esclusivamente per utilizzi legati alla propria funzione

Sono state prese adeguate contromisure per impedire l'installazione di screen-saver ed altri

software non necessari allo svolgimento delle funzioni, da parte di personale non autorizzato

Gli impiegati in viaggio di lavoro sono coscientemente responsabili dei dati che trasportano

5.2.2 Informazioni generali sul collegamento ad internet

Si attesta che:

I dipendenti sono stati edotti dei potenziali rischi insiti nella navigazione su internet e

sull'utilizzo della posta elettronica, in particolare se il browser o il software per la posta

elettronica non sono configurati secondo le esigenze di sicurezza dell’ente

Il personale addetto alla configurazione dell'accesso a Internet ha predisposto le protezioni

adeguate perché i rischi siano ridotti al minimo (firewall)

È stata gestita la difesa del sistema informativo da eventuali attacchi esterni

Vengono eseguiti adeguati controlli sul materiale scaricato dalla rete

Gli indirizzi di dominio vengono trattati come bene di valore

Ci si è accertati della effettiva esperienza in termini di sicurezza dell'ISP ospitante il sito web:

esso è gestito solo da personale autorizzato e qualificato, capace di garantirne la sicurezza

Almeno trimestralmente vengono eseguiti controlli sui log del sistema e vengono valutate

eventuali misure a sostegno della sicurezza sul collegamento ad Internet.

5.2.3 Autenticazione degli incaricati del trattamento

Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di

autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico

trattamento o a un insieme di trattamenti.

Ogni utente incaricato del trattamento viene identificato nel sistema informatico da Utente e password

che ne determina il grado di operatività possibile. La gestione dei profili è demandata al Custode delle

password.

Ogni operatore, a conclusione della propria sessione di lavoro o nel caso di allontanamento dalla

postazione, ha l’accortezza di disconnettere il proprio utente o bloccare il sistema con Utente e password.

È prevista inoltre una procedura temporizzata che blocca il sistema con Utente e password nel caso di

inutilizzo del sistema stesso.

5.2.3.1 Utente

L’accesso ai sistemi, alle banche dati contenenti informazioni personali, o alla rete, è basato sulle effettive

necessità del trattamento. L’Utente è riconducibile ad un singolo individuo od al numero minimo di

individui necessario ad un corretto svolgimento del compito.

L'utilizzo di Utente non personali è normalmente non consentito; potrà essere accettato dal Responsabile

del trattamento per casi particolari, ad esempio per applicazioni che permettono la sola lettura delle

informazioni e non la loro modifica o cancellazione.

Al momento dell’assunzione di un nuovo dipendente, esso viene tempestivamente dotato di un account

personale con specifici diritti di accesso.

Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.

Non è consentito il riutilizzo di una Utente personale già assegnata ad altro utente.

Quando un utente non ha più la necessità di accedere ad una banca dati o lascia l’ente, il responsabile

dell’utente interessato chiederà al custode delle password di disabilitare l’utenza non più necessaria,

bloccando in tal modo tutti i suoi accessi al sistema informativo.

Le Utente inutilizzate per più di 6 mesi sono disattivate.

Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai

dati personali.

Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della

componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive

disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la

disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato

che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del

sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa

segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali

devono informare tempestivamente l'incaricato dell'intervento effettuato.

5.2.3.2 Password

La password è un elemento fondamentale per la sicurezza delle informazioni. La robustezza delle

password è il meccanismo più importante per proteggere i dati; un corretto utilizzo della password è a

garanzia dell'utente. Per questo motivo, il personale considera le password come materiale altamente

confidenziale

Le regole di seguito elencate sono vincolanti per tutti i sistemi e le workstation tramite le quali si può

accedere alla rete e alle banche dati contenenti dati personali.

Le password assegnate inizialmente e quelle di default dei sistemi operativi, prodotti software, ecc.

vengono immediatamente cambiate dopo l’installazione e al primo utilizzo. Le password più importanti

sono quelle di accesso primario al computer Windows in uso e per queste valgono le seguenti regole che

quindi proteggono ogni altro software / servizio contenuto nel computer stesso o nella LAN.

La costituzione di una nuova password Windows segue le seguenti regole:

La lunghezza minima della password, a meno di impedimenti tecnici, è di 8 caratteri.

Contiene almeno un carattere alfabetico ed uno numerico

Non contiene più di due caratteri identici consecutivi

Non è simile alla password precedente

Non contiene l’Utente come parte della password

Viene cambiata almeno ogni 3 (tre) mesi

Non viene comunicata ad altri utenti, esclusi quelli strettamente necessari per un corretto

svolgimento dell’attività

Non contiene riferimenti agevolmente riconducibili all’incaricato

Tali regole sono state impostate attraverso delle policy di gruppo e rese obbligatorie dal sistema di

accesso server.

Il controllo della scadenza delle password è demandata allo stesso sistema che obbliga gli utenti a

cambiare la password ogni 90gg (tre mesi).

Altre password per i software contenuti nei computer della LAN possono seguire tali regole ma è

compito dei singoli utenti assegnatari effettuare eventualmente tale operazione.

5.2.4 Protezione da virus informatici

Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita a causa di virus informatici,

il Responsabile del trattamento dei dati stabilisce, con il supporto tecnico dell’Amministratore di sistema,

quali protezioni software adottare in relazione all’evoluzione tecnologica dei sistemi disponibili sul

mercato.

5.2.4.1 Antivirus

L’Ordine si è dotato di un sistema antivirus di tipo professionale e specificatamente pensato per l’utilizzo

in strutture dotate di una rete interna. Il prodotto commerciale attualmente in uso è Avast Endpoint

Protection Suite. L’evoluzione tecnologica e l’eventuale disponibilità di prodotti più adatti allo scopo

potranno portare alla loro sostituzione.

Il suddetto antivirus è installato sul server e distribuito sui client; il download degli aggiornamenti dalla

casa madre avviene automaticamente mediante autoaggiornamento ogni giorno, il software distribuisce

poi in modo trasparente tali aggiornamenti a tutti i client.

Il sistema antivirus potrà è attivato per il controllo in tempo reale delle mail e dei relativi allegati in modo

da ridurre al minimo ogni possibile contaminazione.

I documenti che vengono spediti o ricevuti in forma elettronica vengono trattati con la massima cautela:

prima dell’invio o dell’apertura viene effettuato un controllo del loro contenuto e della possibilità di

infezioni da parte di virus.

All’amministratore di sistema viene delegato il controllo almeno settimanale del buon funzionamento dei

sistemi di protezione antivirus.

Esistono procedure per gestire le eventuali infezioni da virus: in caso di attacchi dall’esterno, esistono

procedure analizzate, aggiornate e regolarmente provate che permettano un rapido ripristino del

funzionamento del proprio sistema.

Per ogni sistema deve essere predisposto apposito modulo di Rilevazione di virus informatico, sul quale

debbono essere annotati eventuali virus rilevati, e se possibile la fonte da cui sono pervenuti, al fine di

isolare o comunque trattare con precauzione i possibili portatori di infezioni informatiche.

I moduli compilati ed aggiornati dagli Incaricati del trattamento debbono essere conservati a cura

dell’Amministrazione di sistema in luogo sicuro.

5.2.4.2 Firewall

Il dispositivo Router/Firewall installato per il collegamento ad Internet è lo Zyxel 661H-D1. Una

Soluzione DSL per il segmento SOHO, (piccole e medie imprese (SMB) ed Enterprise). Il prodotto integra

una interfaccia LAN 10/100Mbps, una porta ADSL ad alta velocità ed un firewall, il tutto in un unico

prodotto. L’evoluzione tecnologica e l’eventuale disponibilità di prodotti più adatti allo scopo potranno

portare comunque alla sua sostituzione.

Indipendentemente dal modello in uso, il firewall dovrà essere configurato al fine di garantire la massima

salvaguardia da intrusioni. Sarà a cura dell’amministrazione di sistema la tenuta di un documento che

elenchi le porte accessibili da WAN e destinate a usi particolari come teleassistenza.

Collegamento a internet

Il collegamento ad Internet avviene mediante il router ed è tutelato dal firewall e dall’antivirus. Il

collegamento è di tipo ADSL. Le funzioni di firewalling e di antivirus forniscono le sufficienti garanzie

rispetto a possibili intrusioni.

Un buon antivirus da solo, tuttavia, potrebbe non essere completamente sufficiente per la sicurezza di un

personal computer. Grazie alla connessione ad internet è possibile il verificarsi di invio non autorizzato

di informazioni, e questo non sempre è legato alla presenza di virus informatici.

Spyware, trojan e fastidiosi software di tracciamento dell'abitudini dell'utente possono sfuggire alle

maglie di un normale controllo sui virus e possono compromettere la navigazione oppure rallentarla, o

ancora registrare informazioni sulle abitudini dell'utente.

L’installazione e la messa in funzione di questi software può avvenire senza che l’utente ne abbia

consapevolezza, durante la navigazione, o come parti accessorie di altri prodotti installati. Per questo

sono stati creati appositi momenti formativi con il fine di accrescere le conoscenze ma soprattutto per

rendere gli operatori, più consapevoli dei rischi.

Con periodicità mensile è disposto un controllo da parte dell’Amministratore di sistema al fine di

individuare ed eventualmente rimuovere situazioni di pericolo.

5.2.4.3 Spyware

Lo Spyware è un software che invia informazioni personali da un computer a qualche altro su Internet

senza che vi siano avvisi o altri elementi che ne evidenzino il flusso.

5.2.4.4 Adware

L’adware è un software gratuito in cui sono inserite delle pubblicità, di solito banner che rallentano la

navigazione. Questo consente al produttore del software di profitto dal suo lavoro senza che l'utente

finale sia costretto a pagare il software. Molte volte è fornita l'opzione attraverso cui è possibile pagare

una somma per rimuovere i suddetti banner.

5.2.4.5 Trojan

Il termine si dice sia stato coniato dall'hacker Dan Edwards e si rifà alla mitologia greca: il cavallo di troia.

Si tratta di software apparentemente leciti che contengono codice nocivo; un esempio di danno che può

essere causato da un trojan è il controllo da remoto di un computer connesso in rete.

5.2.4.6 Keylogger

Il keylogger è un software che si installa sul PC e che registra ciò che avviene sulla macchina. Cosa viene

registrato dipende semplicemente dalle impostazioni. Può includere i siti visitati, le applicazioni

utilizzate, il tempo di utilizzo di queste fino ad arrivare a registrare tutti i tasti premuti. In quest'ultimo

caso si potrebbero scoprire le password e si avrebbe un resoconto completo di tutto ciò che è stato scritto

da un utente. A seconda del software è poi possibile che questo invii il report via Internet.

5.2.4.7 Foistware

Il foistware è un software che si installa assieme ad altri software con cui non ha nessun rapporto di

funzionalità.

5.2.4.8 Trackware

Il trackware è un software che traccia le attività degli utenti.

5.2.5 Posta elettronica

Le e-mail sono un possibile contenitore di dati personali o sensibili e a volte veicolo di contagio di virus,

oltre ormai ad uno strumento di lavoro indispensabile.

L’Ordine è dotato di n. 9 caselle di posta, tali caselle di posta sono configurate esclusivamente in alcuni

PC ed è fatto divieto ai singoli operatori di installarne altre o modificare i parametri in uso. Eventuali

necessità devono essere segnalate all’amministratore di sistema.

Nella maggioranza dei casi, il costante aggiornamento dell’antivirus è elemento essenziale per garantire

la protezione dell’Ordine da eventuali attacchi esterni. L’adozione poi di preventive misure di buona

condotta degli operatori contribuiscono poi a migliorare sensibilmente il livello del rischio.

Si stabilisce, quale buona regola, l’eliminazione diretta delle mail aventi le seguenti caratteristiche:

Mittente sconosciuto e oggetto non inerente alle finalità dell’Ordine

Mittente sconosciuto e per oggetto frasi senza senso, caratteri casuali, frasi ammiccanti

Mittente conosciuto e per oggetto frasi senza senso, caratteri casuali, frasi ammiccanti

5.2.6 Apparecchiature informatiche

Al fine di salvaguardare il corretto funzionamento delle apparecchiature informatiche si attesta che i

computer risiedono in ambienti protetti e comunque in aree ad accesso controllato.

5.2.7 Stampanti

Il controllo dei documenti stampati è responsabilità degli Incaricati al trattamento. La stampa di

documenti contenenti dati personali, sensibili e giudiziari viene effettuata su stampanti poste in locali ad

accesso controllato.

5.2.8 Aree ad accesso limitato

Tutte le strutture informatiche, sia i computer che le stampanti, risiedono in aree ad accesso limitato. Gli

archivi cartacei risiedono in ambienti con chiusura a chiave.

5.2.9 Misure adottate a protezione delle aree e dei locali

In relazione al trattamento dei dati personali mediante strumenti non informatici, è disposto l’accesso dei

singoli incaricati ai soli dati strettamente necessari allo svolgimento delle proprie mansioni.

Gli atti e i documenti contenenti i dati personali, sensibili o giudiziari, Tutti i supporti cartacei e

magnetici contenenti dati, sono custoditi in armadi dotati di serratura a chiave.

5.2.10 Archivio cartaceo generale

L’ archivio cartaceo generale, il protocollo, l’archivio pubblicità sanitaria, l’archivio posizioni disciplinari

degli iscritti si trovano negli armadi posti nei locali d’ufficio di Segreteria Gli armadi devono essere

sempre tenuti chiusi a chiave e le chiavi conservate dai singoli dipendenti incaricati del trattamento.

L’intera struttura dell’Ordine è chiusa

L’accesso è consentito solo alle persone autorizzate

Al termine dell’orario di lavoro, tutti gli uffici sono chiusi a chiave.

Tutte le attività dell’ordine non amministrative, (convegni, riunioni, attività formative ecc.) avvengono in

locali distinti da quelli dove risiedono banche dati.

5.3 Elenco delle misure di sicurezza

Di seguito l’elenco delle misure di sicurezza come indicato nel D.lgs. 196/2003

1. M ISURE MINIME (Disciplinare tecnico di cui all’Allegato B, art. 36 D.Lgs. 196/2003 )

1.1 Definizione di credenziali di autenticazione (assegnazione password con le previste

caratteristiche)

1.2 Obbligo di segretezza delle credenziali

1.3 Obbligo di diligente custodia delle credenziali con specifiche prescrizioni

1.4 Modifica trimestrale delle password dei dati sensibili

1.5 Disattivazione password non utilizzate per sei mesi

1.6 Antivirus aggiornato semestralmente

1.7 Obbligo di custodia di copie di sicurezza

1.8 Piano per il ripristino della disponibilità dei dati

1.9 Individuazione dei profili di autorizzazione

1.10 Revisione almeno annuale della conservazione dei profili di autorizzazione

1.11 Obbligo di impartire istruzioni per il salvataggio dei dati con frequenza almeno

settimanale

1.12 Formazione del personale

1.13 Revisione annuale della lista degli incaricati

1.14 Aggiornamento annuale (semestrale per i dati sensibili) dei programmi volti a prevenire la

vulnerabilità degli strumenti elettronici e a correggere i difetti

1.15 Protezione di strumenti elettronici e dati da trattamenti illeciti e da accessi non consentiti

1.16 Misure di sicurezza per il trattamento di dati personali affidato a soggetti esterni alle

strutture

1.17 Misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli

stessi

2. M ISURE IDONEE (Art. 31 D.Lgs. 196/2003)

2.1 M ISURE ORGANIZZATIVE

2.1.1 Istruzioni agli incaricati per assicurare la segretezza e la custodia delle password

2.1.2 Istruzioni in caso di assenza prolungata o impedimento dell’incaricato

2.1.3 Istruzioni per la custodia e l’uso dei supporti rimovibili al fine di evitare accessi

non autorizzati

2.1.4 Istruzioni sui supporti rimovibili contenenti dati sensibili non utilizzati

2.1.5 Assegnazione codici per l’identificazione

2.1.6 Idonee procedure per la custodia di copie di sicurezza e per il ripristino della

disponibilità dei dati e del sistema

2.1.7 Istruzioni per la custodia dei supporti e per l’installazione dei programmi operativi

del sistema

2.1.8 Obbligo di non lasciare incustodito ed accessibile lo strumento elettronico

2.1.9 Redazione dei criteri per il ripristino dei dati in seguito a danneggiamento e

distruzione

2.1.10 Descrizione dei criteri da adottare per garantire le misure minime in caso di

trattamento affidato a soggetti esterni alla struttura

2.2 M ISURE F ISICHE

2.2.1 Misure per garantire la protezione delle aree e dei locali rilevanti ai fini della

custodia o della accessibilità

2.2.2 Ingresso controllato

2.2.3 Registrazione degli accessi fuori dell’orario di ufficio

2.2.4 Custodia in classificatori o armadi

2.2.5 Custodia in armadi blindati e/o ignifughi

2.2.6 Deposito in cassaforte

2.2.7 Dispositivi antincendio

2.2.8 Continuità dell’alimentazione elettrica

2.2.9 Controllo sull’operato degli addetti

2.2.10 Verifica della leggibilità dei supporti

6 D

escrizione dei criteri e delle modalità per il ripristino della disponibilità dei

dati in seguito a distruzione o danneggiamento (art. 19.5)

6.1 Contenuti

In questa sezione sono descritti i criteri e le procedure adottati per il salvataggio dei dati e per il loro

ripristino in caso di danneggiamento o di inaffidabilità della base dati. L’importanza di queste attività

deriva direttamente dalla eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che,

quando necessarie, le copie dei dati siano disponibili e le procedure efficaci.

6.2 Obiettivo del salvataggio

L’obiettivo del salvataggio degli archivi delle applicazioni è la copertura dei rischi derivanti da guasti

hardware, errori umani, malfunzionamenti software, distruzione degli archivi per cause naturali o

dolose.

Il salvataggio deve consentire di ripristinare:

un documento cancellato

una situazione passata

un intero archivio distrutto

un archivio sospetto

una situazione passata, in consultazione

6.3 Quali sono le cause per le quali si necessita di un ripristino?

Varie sono le situazioni per le quali si potrebbe avere la necessità di ripristinare una vecchia copia degli

archivi e una corretta policy di backup/restore deve prevedere una soluzione ad ognuna di esse.

Un operatore cancella erroneamente un documento importante di cui non esiste corrispondente

cartaceo.

Una procedura automatica può presentare un’improvvisa anomalia che ne provoca il blocco in

una fase che non consente il ritorno alla situazione precedente o, addirittura, provoca la

distruzione dell’archivio.

Per una verifica, occorre ritornare ad una situazione precedente una fase istituzionale.

6.4 Quanto indietro nel tempo

Il backup non serve solo per tornare indietro di qualche giorno, in quanto la presenza di problemi

sull’archivio si evidenzia nei giorni successivi al verificarsi degli stessi. E’ necessario a volte poter tornare

indietro nel tempo anche in maniera importante in quanto, per esempio, un errore umano di modifica si

potrebbe evidenziare dopo molto tempo.

E’ necessario, quindi, poter tornare indietro nel tempo sino a tutte le situazioni precedenti alle fasi

importanti d’elaborazione.

6.5 Procedura dell’Ordine

La procedura di backup viene effettuata dal server sia del disco (C:) che di Dati (E:) al disco di Backup_3

mediante Windows backup. La frequenza è tutti i giorni alle ore 22:30 da lu a ve. Vengono mantenute

tutte le copie che possono essere salvate in base allo spazio. Orientativamente sono 20 copie.

Qualora si verificassero grandi quantità di modifiche o nuovi inserimenti sui dati, l’amministratore di

sistema potrà disporre salvataggi straordinari anche al di fuori delle cadenze programmate.

Gli amministratori provvedendo con regolarità al controllo dei log dei dispositivi di salvataggio ed alla

manutenzione dei dispositivi di backup.

Il disco di Backup_2 (F:) viene utilizzato per copie manuali che l’amministratore di sistema mette in

rotazione in base alle necessità e quantità di dati da liberare tra i vari dischi.

6.6 Test periodici

Con periodicità trimestrale l’amministratore di sistema opererà gli adeguati controlli al fine di evitare il

verificarsi di situazioni che possano impedire il salvataggio o il ripristino dei dati, ossia:

Deterioramento dei supporti nella fase di scrittura

Deterioramento dei supporti nel tempo

Anomalie durante il salvataggio non individuate dall’analisi del log (o per mancanza d’analisi)

Modifica alla struttura delle cartelle che porta a non salvare i dati corretti

Spostamento di hardware

Sostituzione delle unità di salvataggio/ripristino con altre non compatibili coi precedenti formati

Sovrascrittura accidentale dei supporti (nel caso eventuale si decida di utilizzare CD-ROM

riscrivibili)

E’ fondamentale, quindi, che l’amministratore di sistema effettui periodicamente dei test di

ripristinabilità dei supporti, facendosi coadiuvare dal personale dell’ufficio nell’individuare dei casi

prova.

6.7 Informazioni residue

Sono definite informazioni residue quei dati, personali ancora leggibili dopo la cessazione di un

trattamento (es. nastri, o dischi magnetici, dischi ottici, ecc.).

I dati personali devono essere resi illeggibili quando non sia più necessario conservarli per gli scopi per

cui sono stati raccolti e trattati.

In caso di riutilizzo delle cassette di backup, esse vengono prelevate dalla cassetta metallica, custodita in

armadi dotati di serratura, evitando l’accesso ai dati da parte di personale non autorizzato.

L’Ordine opera unicamente con dati protocollati, sottostando in questo modo al vincolo di mantenimento

dei suddetti dati per 10 anni successivi alla data di protocollazione.

7 P

revisione di interventi formativi degli incaricati del trattamento (art. 19.6)

Ogni operatore incaricato del trattamento, quando debitamente formato e informato, rappresenta un

anello importante nella salvaguardia dei dati gestiti dall’Ordine. Per renderli edotti dei rischi che

incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina


ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare si attueranno

particolari momenti formativi. La formazione è programmata già al momento dell’ingresso in servizio,

nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti,

rilevanti rispetto al trattamento di dati personali.

8 C

riteri da adottare per garantire l’adozione delle misure minime di sicurezza in

caso di trattamenti di dati personali affidati, in conformità al codice,

all’esterno della struttura del titolare (art. 19.7)

Il trattamento di dati affidato all’esterno (es. buste paga) avviene con strutture/aziende che rispettano ed

applicano la legge in materia di Privacy. A tali soggetti viene comunque richiesta specifica dichiarazione

che espliciti l’applicazione o meno delle misure minime di sicurezza.

La consegna o l’invio di dati personali/sensibili, avviene in buste sigillate consegnate a mano o in

supporti informatici protetti da Username e Password. In questo ultimo caso la Username e la Password

vengono sempre comunicate separatamente.

9 C

riteri da adottare per la cifratura o per la separazione dei dati personali

idonei a rivelare lo stato di salute e la vita sessuale (di cui al punto 24) (art.

19.8)

Non applicabile

10 U

tilizzo di dati pubblici

Capo II - Registri pubblici e albi professionali

Art. 61. Utilizzazione di dati pubblici

1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona

condotta per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti

tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione

dei dati e prevedendo garanzie appropriate per l'associazione di dati provenienti da più archivi, tenendo

presente quanto previsto dalla Raccomandazione R (91) 10 del Consiglio d'Europa in relazione all'articolo

11.

2. Agli effetti dell'applicazione del presente codice i dati personali diversi da quelli sensibili o giudiziari,

che devono essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono

essere comunicati a soggetti pubblici e privati o diffusi, ai sensi dell'articolo 19, commi 2 e 3, anche

mediante reti di comunicazione elettronica. Può essere altresì menzionata l'esistenza di provvedimenti

che dispongono la sospensione o che incidono sull'esercizio della professione.

3. L'ordine o collegio professionale può, a richiesta della persona iscritta nell'albo che vi ha interesse,

integrare i dati di cui al comma 2 con ulteriori dati pertinenti e non eccedenti in relazione all'attività

professionale.

4. A richiesta dell'interessato l'ordine o collegio professionale può altresì fornire a terzi notizie o

informazioni relative, in particolare, a speciali qualificazioni professionali non menzionate nell'albo,

ovvero alla disponibilità ad assumere incarichi o a ricevere materiale informativo a carattere scientifico

inerente anche a convegni o seminari.

IL PRESIDENTE

- Dott. Maurizio Scassola -

11 A

llegati

11.1 Termini

TERMINI USATI

DAL LEGISLATORE LORO SIGNIFICATO

DATI PERSONALI

Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione,

identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra

informazione, ivi compreso un numero di identificazione personale.

Es. Nome, cognome, indirizzo, numeri telefonici, n. Patente, P. IVA....

DATI SENSIBILI

Sono i dati che devono essere maggiormente tutelati. Sono i dati personali idonei a rivelare

l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni

politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,

filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la

vita sessuale.

DATI GIUDIZIARI

Sono i dati che devono essere maggiormente tutelati. Sono i dati personali idonei a rivelare

provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14

novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni

amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di

indagato ai sensi degli articoli 60 e 61 del codice di procedura penale

BANCA DATI E’ una raccolta di dati persona

DELIBERA N. 6/00 - OMCeO Venezia · 2016. 5. 11. · ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E...

Documents

Transcript of DELIBERA N. 6/00 - OMCeO Venezia · 2016. 5. 11. · ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E...