Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza...
-
Upload
adamo-carrara -
Category
Documents
-
view
216 -
download
0
Transcript of Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza...
1
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Seminario sulla Sicurezza e sulla Protezione dei Dati
Personali Napoli 11 novembre 2004
2
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Legge Delega n. 127/2001
Decreto Legislativo n.196 del 30 giugno 2003
CODICE IN MATERIA DI PROTEZIONE DEI DATI
PERSONALI
3
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Ultima data per mettersi in regola:
1 gennaio 2005
(fra quarantuno giorni)
4
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Principi generali e Finalità della Legge
• Protezione della privacyriservatezza delle informazioni nel privato
• Sicurezza dei daticorrettezza negli enti e nelle aziende
• Tutela dei diritti fondamentalii diritti fondamentali del cittadino nei rapporti sociali
5
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Principi generali e Finalità della Legge:
Dignitàriservatezza, identità personale e diritto alla protezione dei dati personali(metodologie invasive)
Necessitàutilizzazione minima dei dati personali e identificativi(limiti e moderazione nella schedatura)
Pertinenza e proporzionalitàproporzione tra fini e mezzi impiegati(soluzioni biometriche)
6
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Principi generali e Finalità della Legge:
Valutazione di impatto Privacy
7
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
dati personaliinformazioni relative a persona fisica, giuridica, ente o associazione, identificati o identificabili anche indirettamente mediante riferimenti, ivi compreso un codice personale
dati identificativii dati personali che permettono l’identificazione diretta dell’interessato
dati sensibilii dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni, organizzazioni a carattere religioso, stato di salute, vita sessuale
dati giudiziarii dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt.60 e 61 del codice di procedura penale
8
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Elenco fornitori
Curriculum Vitae
Matricole dipendenti
Certificati medici
Fatture clienti
Fatture fornitori
Liste di distribuzione marketing
Cedolini paga (ritenute sindacali, ecc.)
Nominativi personale dipendente
Elenco clienti
Particolari regimi alimentari delle mense
Corrispondenza
Dati Sensibili
Dati Personali
ESEMPI DI DATI PERSONALI E SENSIBILI
Convinzioni religiose, tendenze politiche, razza di appartenenza,
comportamento sessuale, notizie su stato di salute e su carichi giudiziari
Anagrafe della cittadinanza
9
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
LE MISURE DI SICUREZZA RISCHI RELATIVI ALLA SICUREZZA DEI DATI
La sicurezza nel trattamento dei dati si caratterizza nella salvaguardia di tre parametri fondamentali delle informazioni:
Riservatezza
IntegritàDisponibilità
Garantire che i dati siano protetti da
accessi non autorizzati
Garantire che i dati siano aggiornati ed integri
Garantire che i dati siano disponibili agli
utenti autorizzati
10
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
IL CONSENSO DEGLI INTERESSATI (ART. 23 DEL CODICE)
• Il trattamento di dati personali è ammesso soltanto con il consenso espresso dell’interessato
• Il consenso è validamente prestato soltanto se è espresso liberamente e documentato per iscritto
• Il consenso è valido soltanto se è stata resa l’informativa
• Il consenso “scritto” è necessario se il trattamento riguarda dati sensibil
11
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
RAPPORTI CON GLI INTERESSATI
• Informazioni all'interessato:– predisposizione della modulistica;– informativa al momento della raccolta;– informativa al momento della comunicazione/diffusione.
• Raccolta del consenso:– predisposizione della modulistica;– raccolta del consenso ad inizio trattamento;– raccolta del consenso per trattamento dati sensibili;– raccolta del consenso per comunicazione/diffusione;
12
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Gli Enti e le Aziende debbono darsi una struttura organizzativa e una disciplina
di comportamento conformi alle disposizioni della legge.
Deve essere compiuta un’attività di analisi e revisione dell’organizzazione di ciascun reparto, delle modalità di custodia e di gestione dei dati, delle
credenziali di accesso e di intervento da parte degli addetti, delle procedure di
sicurezza e di ripristino per le banche dati
Il risultato del processo di revisione e di riorganizzazione deve costituire il contenuto del
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA(DPS)
13
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
DPS: il contenuto
14
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
• Organigramma dei Compiti e Responsabilità
• Struttura delle Sedi, degli Accessi, dell’EDP
• Analisi dei Rischi
• Misure in essere e da adottare
• Modalità di salvataggio e ripristino
• Interventi di formazione
• Trattamenti affidati all’esterno
15
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
descrizione sintetica delle finalità perseguite e delle attività svolte, delle categorie di persone interessate;
natura dei dati trattati;
strutture e reparti di riferimento;
strumenti elettronici utilizzati
16
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
• Organigramma dei Compiti e Responsabilità
• Struttura delle Sedi, degli Accessi, dell’EDP
• Analisi dei Rischi
• Misure in essere e da adottare
• Modalità di salvataggio e ripristino
• Interventi di formazione
• Trattamenti affidati all’esterno
17
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Organigramma dei Compiti e delle Responsabilità
distribuzione delle responsabilità a partire dal Titolare
designazione dei responsabili e degli incaricati
lettere di designazione
18
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
I SOGGETTI DEL TRATTAMENTO
Titolare
Responsabile BResponsabile A
Incaricato Incaricato Incaricato
Interessato Interessato Interessato
Incaricato Incaricato Incaricato
Interessato Interessato Interessato
19
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
In un’Azienda il responsabile della Sicurezza
- a tutti gli effetti amministrativi e penali - è il Titolare
Nei Comuni il Titolare per il trattamento dei Dati Personali è
il Sindaco
20
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Se il Titolare non distribuisce le responsabilitàcon le lettere di designazione
si assume la piena e totale responsabilità personale di qualsiasi infrazione alla legge
21
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
• Organigramma dei Compiti e Responsabilità
• Struttura delle Sedi, degli Accessi, dell’EDP
• Analisi dei Rischi
• Misure in essere e da adottare
• Modalità di salvataggio e ripristino
• Interventi di formazione
• Trattamenti affidati all’esterno
22
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Struttura delle Sedi, degli Accessi, dell’EDP
distribuzione dei dati personali nelle diverse sedi
descrizione dettagliata delle caratteristiche di sicurezza di ciascuna sede, dotazioni e sistemi di protezione, modalità di accesso, responsabili delle sedi e dei locali;
censimento dei PC e delle applicazioni, dei Sistemi Operativi, degli Utenti autorizzati, del responsabile della custodia delle credenziali, dei Tool di Sicurezza e Protezione installati, della gestione degli ambienti di Protezione, dei Sistemi Operativi, delle Applicazioni;
elencazione e descrizione delle Banche dati, delle caratteristiche di accesso a ciascuna di esse, degli autorizzati all’accesso, alla lettura, alla modifica, all’inserimento e alle cancellazioni;
gestione e struttura delle password
modalità di backup; responsabili di backup; responsabili della custodia delle copie di backup
23
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
• Organigramma dei Compiti e Responsabilità
• Struttura delle Sedi, degli Accessi, dell’EDP
• Analisi dei Rischi
• Misure in essere e da adottare
• Modalità di salvataggio e ripristino
• Interventi di formazione
• Trattamenti affidati all’esterno
24
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Analisi dei Rischi
elenco dei possibili eventi di rischio
comportamento degli operatori: sottrazione di credenziali; incuria; comportamenti fraudolenti; errori materiali
eventi addebitabili agli strumenti; virus, worms, trojans; spamming; malfunzionamenti e guasti; accessi esterni; intercettazioni in rete
eventi addebitabili al contesto fisico-ambientale;
valutazione degli impatti
25
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
• Organigramma dei Compiti e Responsabilità
• Struttura delle Sedi, degli Accessi, dell’EDP
• Analisi dei Rischi
• Misure in essere e da adottare
• Modalità di salvataggio e ripristino
• Interventi di formazione
• Trattamenti affidati all’esterno
26
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Misure in Essere e da Adottare
descrizione sintetica delle misure adottate
per ciascuna misura indicazione sintetica dei rischi che si intende contrastare
indicazione dei trattamenti interessati per ciascuna delle misure adottate
struttura o persone preposte all’adozione delle misure indicate
tempi o periodi di validità delle misure poste in essere
27
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
• Organigramma dei Compiti e Responsabilità
• Struttura delle Sedi, degli Accessi, dell’EDP
• Analisi dei Rischi
• Misure in essere e da adottare
• Modalità di salvataggio e ripristino
• Interventi di formazione
• Trattamenti affidati all’esterno
28
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Modalità di Salvataggio e Ripristino
indicazione delle Banche Dati o Archivi interessati al ripristino;
descrizione sintetica dei criteri e delle procedure adottate per il salvataggio e il ripristino dei dati, con rinvio a documentazioni di maggior dettaglio operativo;
indicazione dei tempi previsti per l’effettuazione di test di efficacia delle procedure di salvataggio adottate;
modalità di custodia delle copie di backup;
strutture o persone incaricate delle procedure
29
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
• Organigramma dei Compiti e Responsabilità
• Struttura delle Sedi, degli Accessi, dell’EDP
• Analisi dei Rischi
• Misure in essere e da adottare
• Modalità di salvataggio e ripristino
• Interventi di formazione
• Trattamenti affidati all’esterno
30
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Interventi di Formazione
pianificazione e descrizione sintetica degli eventi formativi (in corrispondenza all’ingresso in servizio, al cambiamento di mansione, introduzione di elaboratori e di procedure informatiche;
individuazione delle classi omogenee di incarico a cui gli interventi formativi sono destinati, anche in riferimento alle strutture di appartenenza;
indicazione del calendario degli eventi formativi
31
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Elenco dei trattamenti
• Organigramma dei Compiti e Responsabilità
• Struttura delle Sedi, degli Accessi, dell’EDP
• Analisi dei Rischi
• Misure in essere e da adottare
• Modalità di salvataggio e ripristino
• Interventi di formazione
• Trattamenti affidati all’esterno
32
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
• Trattamenti affidati all’esterno
descrizione dell’attività “esternalizzata” (out-sourcing)
indicazione dei trattamenti di dati sensibili o giudiziari interessati nell’ambito della attività affidata all’esterno;
indicazione della società, ente o consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento)
a garanzia dell’adeguato trattamento dei dati è necessario che la società cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma impegni su base contrattuale circa le modalità e i limiti nel trattamento dei dati stessi.
33
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
DPS: aggiornamento
controllo generale periodico sullo stato della sicurezza
34
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
iter delle attività per la realizzazione del DPS
35
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
LE SANZIONI
Reclusione da tre mesi a due anni Art. 170 Inosservanza dei provvedimenti del Garante
Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 € a 50.000 €
Art. 169 Omessa adozione delle misure minime di sicurezza
Reclusione da 6 mesi a 3 anni Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante
Reclusione da 6 mesi a 3 anni. Possibile estinguere il reato ex art. 169, pagando una somma di denaro se ci si regolarizza entro il termine prescritto (non + di 6 mesi)
Art. 167 Trattamento illecito di dati personali
Sanzioni PenaliILLECITI PENALI
Sanzione da 4.000 € a 24.000 €Art. 164 Omessa informazione o esibizione dei documenti
Sanzione da 10.000 € a 60.000 €Art. 163 Omessa o incompleta notificazione al Garante
Sanzione da 5.000 € a 30.000 € o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza o di pregiudizio
Art. 161 Omessa informativa per dati sensibili o giudiziari
Sanzione da 3.000 € a 18.000 € Art. 161 Omessa o inidonea informativa
Sanzioni AmministrativeILLECITI CIVILI
36
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Misure Minime di Sicurezza (art. 34: trattamenti con strumenti elettronici)
autenticazione informatica
adozione di procedure di gestione delle credenziali di autenticazione
utilizzazione di un sistema di autorizzazione
aggiornamento periodico dell’individuazione nell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
tenuta di un aggiornato documento programmatico sulla sicurezza
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
37
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Misure Minime di Sicurezza (art. 35: trattamenti senza l’ausilio di strumenti elettronici)
aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati
38
Ordine degli Ingegneri della Provincia di Napoli
Commissione Informatica
Ultima data per mettersi in regola:
1 gennaio 2005
(ormai fra quaranta giorni)