Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza...

1

Ordine degli Ingegneri della Provincia di Napoli

Commissione Informatica

Seminario sulla Sicurezza e sulla Protezione dei Dati

Personali Napoli 11 novembre 2004

2



Legge Delega n. 127/2001

Decreto Legislativo n.196 del 30 giugno 2003

CODICE IN MATERIA DI PROTEZIONE DEI DATI

PERSONALI

3



Ultima data per mettersi in regola:

1 gennaio 2005

(fra quarantuno giorni)

4



Principi generali e Finalità della Legge

• Protezione della privacyriservatezza delle informazioni nel privato

• Sicurezza dei daticorrettezza negli enti e nelle aziende

• Tutela dei diritti fondamentalii diritti fondamentali del cittadino nei rapporti sociali

5



Principi generali e Finalità della Legge:

Dignitàriservatezza, identità personale e diritto alla protezione dei dati personali(metodologie invasive)

Necessitàutilizzazione minima dei dati personali e identificativi(limiti e moderazione nella schedatura)

Pertinenza e proporzionalitàproporzione tra fini e mezzi impiegati(soluzioni biometriche)

6



Principi generali e Finalità della Legge:

Valutazione di impatto Privacy

7



dati personaliinformazioni relative a persona fisica, giuridica, ente o associazione, identificati o identificabili anche indirettamente mediante riferimenti, ivi compreso un codice personale

dati identificativii dati personali che permettono l’identificazione diretta dell’interessato

dati sensibilii dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni, organizzazioni a carattere religioso, stato di salute, vita sessuale

dati giudiziarii dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt.60 e 61 del codice di procedura penale

8



Elenco fornitori

Curriculum Vitae

Matricole dipendenti

Certificati medici

Fatture clienti

Fatture fornitori

Liste di distribuzione marketing

Cedolini paga (ritenute sindacali, ecc.)

Nominativi personale dipendente

Elenco clienti

Particolari regimi alimentari delle mense

Corrispondenza

Dati Sensibili

Dati Personali

ESEMPI DI DATI PERSONALI E SENSIBILI

Convinzioni religiose, tendenze politiche, razza di appartenenza,

comportamento sessuale, notizie su stato di salute e su carichi giudiziari

Anagrafe della cittadinanza

9



LE MISURE DI SICUREZZA RISCHI RELATIVI ALLA SICUREZZA DEI DATI

La sicurezza nel trattamento dei dati si caratterizza nella salvaguardia di tre parametri fondamentali delle informazioni:

Riservatezza

IntegritàDisponibilità

Garantire che i dati siano protetti da

accessi non autorizzati

Garantire che i dati siano aggiornati ed integri

Garantire che i dati siano disponibili agli

utenti autorizzati

10



IL CONSENSO DEGLI INTERESSATI (ART. 23 DEL CODICE)

• Il trattamento di dati personali è ammesso soltanto con il consenso espresso dell’interessato

• Il consenso è validamente prestato soltanto se è espresso liberamente e documentato per iscritto

• Il consenso è valido soltanto se è stata resa l’informativa

• Il consenso “scritto” è necessario se il trattamento riguarda dati sensibil

11



RAPPORTI CON GLI INTERESSATI

• Informazioni all'interessato:– predisposizione della modulistica;– informativa al momento della raccolta;– informativa al momento della comunicazione/diffusione.

• Raccolta del consenso:– predisposizione della modulistica;– raccolta del consenso ad inizio trattamento;– raccolta del consenso per trattamento dati sensibili;– raccolta del consenso per comunicazione/diffusione;

12



Gli Enti e le Aziende debbono darsi una struttura organizzativa e una disciplina

di comportamento conformi alle disposizioni della legge.

Deve essere compiuta un’attività di analisi e revisione dell’organizzazione di ciascun reparto, delle modalità di custodia e di gestione dei dati, delle

credenziali di accesso e di intervento da parte degli addetti, delle procedure di

sicurezza e di ripristino per le banche dati

Il risultato del processo di revisione e di riorganizzazione deve costituire il contenuto del

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA(DPS)

13



DPS: il contenuto

14



• Elenco dei trattamenti

• Organigramma dei Compiti e Responsabilità

• Struttura delle Sedi, degli Accessi, dell’EDP

• Analisi dei Rischi

• Misure in essere e da adottare

• Modalità di salvataggio e ripristino

• Interventi di formazione

• Trattamenti affidati all’esterno

15




descrizione sintetica delle finalità perseguite e delle attività svolte, delle categorie di persone interessate;

natura dei dati trattati;

strutture e reparti di riferimento;

strumenti elettronici utilizzati

16











17



• Organigramma dei Compiti e delle Responsabilità

distribuzione delle responsabilità a partire dal Titolare

designazione dei responsabili e degli incaricati

lettere di designazione

18



I SOGGETTI DEL TRATTAMENTO

Titolare

Responsabile BResponsabile A

Incaricato Incaricato Incaricato

Interessato Interessato Interessato

Incaricato Incaricato Incaricato

Interessato Interessato Interessato

19



In un’Azienda il responsabile della Sicurezza

- a tutti gli effetti amministrativi e penali - è il Titolare

Nei Comuni il Titolare per il trattamento dei Dati Personali è

il Sindaco

20



Se il Titolare non distribuisce le responsabilitàcon le lettere di designazione

si assume la piena e totale responsabilità personale di qualsiasi infrazione alla legge

21











22




distribuzione dei dati personali nelle diverse sedi

descrizione dettagliata delle caratteristiche di sicurezza di ciascuna sede, dotazioni e sistemi di protezione, modalità di accesso, responsabili delle sedi e dei locali;

censimento dei PC e delle applicazioni, dei Sistemi Operativi, degli Utenti autorizzati, del responsabile della custodia delle credenziali, dei Tool di Sicurezza e Protezione installati, della gestione degli ambienti di Protezione, dei Sistemi Operativi, delle Applicazioni;

elencazione e descrizione delle Banche dati, delle caratteristiche di accesso a ciascuna di esse, degli autorizzati all’accesso, alla lettura, alla modifica, all’inserimento e alle cancellazioni;

gestione e struttura delle password

modalità di backup; responsabili di backup; responsabili della custodia delle copie di backup

23











24




elenco dei possibili eventi di rischio

comportamento degli operatori: sottrazione di credenziali; incuria; comportamenti fraudolenti; errori materiali

eventi addebitabili agli strumenti; virus, worms, trojans; spamming; malfunzionamenti e guasti; accessi esterni; intercettazioni in rete

eventi addebitabili al contesto fisico-ambientale;

valutazione degli impatti

25











26



• Misure in Essere e da Adottare

descrizione sintetica delle misure adottate

per ciascuna misura indicazione sintetica dei rischi che si intende contrastare

indicazione dei trattamenti interessati per ciascuna delle misure adottate

struttura o persone preposte all’adozione delle misure indicate

tempi o periodi di validità delle misure poste in essere

27











28



• Modalità di Salvataggio e Ripristino

indicazione delle Banche Dati o Archivi interessati al ripristino;

descrizione sintetica dei criteri e delle procedure adottate per il salvataggio e il ripristino dei dati, con rinvio a documentazioni di maggior dettaglio operativo;

indicazione dei tempi previsti per l’effettuazione di test di efficacia delle procedure di salvataggio adottate;

modalità di custodia delle copie di backup;

strutture o persone incaricate delle procedure

29











30



• Interventi di Formazione

pianificazione e descrizione sintetica degli eventi formativi (in corrispondenza all’ingresso in servizio, al cambiamento di mansione, introduzione di elaboratori e di procedure informatiche;

individuazione delle classi omogenee di incarico a cui gli interventi formativi sono destinati, anche in riferimento alle strutture di appartenenza;

indicazione del calendario degli eventi formativi

31











32




descrizione dell’attività “esternalizzata” (out-sourcing)

indicazione dei trattamenti di dati sensibili o giudiziari interessati nell’ambito della attività affidata all’esterno;

indicazione della società, ente o consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento)

a garanzia dell’adeguato trattamento dei dati è necessario che la società cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma impegni su base contrattuale circa le modalità e i limiti nel trattamento dei dati stessi.

33



DPS: aggiornamento

controllo generale periodico sullo stato della sicurezza

34



iter delle attività per la realizzazione del DPS

35



LE SANZIONI

Reclusione da tre mesi a due anni Art. 170 Inosservanza dei provvedimenti del Garante

Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 € a 50.000 €

Art. 169 Omessa adozione delle misure minime di sicurezza

Reclusione da 6 mesi a 3 anni Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante

Reclusione da 6 mesi a 3 anni. Possibile estinguere il reato ex art. 169, pagando una somma di denaro se ci si regolarizza entro il termine prescritto (non + di 6 mesi)

Art. 167 Trattamento illecito di dati personali

Sanzioni PenaliILLECITI PENALI

Sanzione da 4.000 € a 24.000 €Art. 164 Omessa informazione o esibizione dei documenti

Sanzione da 10.000 € a 60.000 €Art. 163 Omessa o incompleta notificazione al Garante

Sanzione da 5.000 € a 30.000 € o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza o di pregiudizio

Art. 161 Omessa informativa per dati sensibili o giudiziari

Sanzione da 3.000 € a 18.000 € Art. 161 Omessa o inidonea informativa

Sanzioni AmministrativeILLECITI CIVILI

36



Misure Minime di Sicurezza (art. 34: trattamenti con strumenti elettronici)

autenticazione informatica

adozione di procedure di gestione delle credenziali di autenticazione

utilizzazione di un sistema di autorizzazione

aggiornamento periodico dell’individuazione nell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici

adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

tenuta di un aggiornato documento programmatico sulla sicurezza

adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

37



Misure Minime di Sicurezza (art. 35: trattamenti senza l’ausilio di strumenti elettronici)

aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti

previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati

38



Ultima data per mettersi in regola:

1 gennaio 2005

(ormai fra quaranta giorni)

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza...

Documents

Transcript of Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza...