|
| |
| Le misure minime di sicurezza
privacy
|
|
| |
|
|
| Autore: |
Marco Bernasconi |
| Data di pubblicazione: |
15 Marzo
2008 - 2° Edizione |
| Numero Pagine: |
216 pagine
il manuale +
gli allegati e 43 pagine le bozze |
| Dimensione
files scaricabili: |
da 327KB
a 1292KB, a seconda del formato che si
decide di scaricare. I formati disponibili sono Word e Pdf. |
Nella corposa normativa privacy, densa di adempimenti, la parte più utile è quella che tratta delle misure di sicurezza.
A tale riguardo, si consideri che la loro adozione permette di proteggere non solo i dati personali, ma l’intero patrimonio dei dati e delle informazioni gestiti da un’impresa, piuttosto che da un professionista o da un ente pubblico.
L’adozione di tali misure si rende quindi opportuna per ragioni innanzitutto egoistiche (proteggere la propria organizzazione), prima ancora che per tutelare i terzi, cui si riferiscono i dati personali.
Il presente manuale approfondisce tutti gli aspetti, legati al quadro normativo delineato dal codice privacy, per illustrare in modo semplice ed immediato quali siano le misure, previste dal nuovo disciplinare tecnico in materia di misure minime di sicurezza, che i soggetti che trattano dati personali devono obbligatoriamente adottare.
Una particolare attenzione è dedicata al Documento programmatico sulla sicurezza, la cui redazione ed aggiornamento entro il 31 marzo di ogni anno sono obbligatori per i soggetti che trattano dati personali di natura sensibile, o di carattere giudiziario, con l’impiego di elaboratori elettronici.
Il codice privacy generalizza l’obbligo di redigere il documento programmatico di sicurezza, a tutti in casi in cui si trattino dati sensibili o giudiziari con l’utilizzo di strumenti elettronici, anche nell’ipotesi in cui tali strumenti non siano in rete (con il codice privacy, è quindi sufficiente che tali dati siano trattati con un singolo elaboratore, perché si debba procedere alla redazione del documento). Il precedente Dpr 318/1999 limitava invece l’obbligo ai casi in cui tali dati erano trattati con elaboratori in rete pubblica.
Dopo avere spiegato, nel manuale, come redigere ed aggiornare tale documento, ne viene fornita una bozza su file elettronico, copiabile, personalizzabile e stampabile.
Indice del
Manuale
|
Pagina |
Manuale |
|
1° Capitolo Quadro generale |
11 |
1 |
Cosa deve garantire la sicurezza |
11 |
2 |
Le misure idonee di sicurezza |
12 |
|
1 La natura dei dati e le caratteristiche del trattamento |
13 |
|
2 La classificazione delle misure di sicurezza |
13 |
|
3 L’aggiornamento delle misure di sicurezza |
15 |
|
4 Il risarcimento per danni |
15 |
|
5 Le regole per i fornitori di servizi di comunicazione elettronica |
17 |
3 |
Le misure minime di sicurezza |
18 |
|
1 Le sanzioni penali per la omessa adozione delle misure minime |
19 |
2° Capitolo Definizione di compiti, ruoli e procedure e formazione |
23 |
1 |
Il titolare del trattamento |
23 |
2 |
Il responsabile del trattamento |
25 |
|
1 Chi nominare responsabile |
27 |
|
2 Il responsabile per la sicurezza |
27 |
|
3 L’amministratore di sistema |
28 |
|
4 Il vigilatore dei dati |
29 |
3 |
L’incaricato del trattamento |
30 |
|
1 Chi può essere incaricato |
31 |
|
2 Le istruzioni per la sicurezza |
32 |
|
3 Il preposto alla custodia delle parole chiave |
32 |
|
4 Il soggetto incaricato della manutenzione del sistema |
33 |
|
5 Il custode dell’archivio ad accesso controllato |
34 |
|
6 Gli incaricati per la gestione dei dati di traffico telefonico e telematico |
34 |
4 |
La formazione degli incaricati |
37 |
|
1 L’introduzione e diffusione della cultura della sicurezza |
38 |
|
2 Posta elettronica ed Internet |
39 |
5 |
La predisposizione e l’aggiornamento del mansionario privacy |
40 |
3° Capitolo Le coordinate per definire le misure minime di sicurezza |
43 |
1 |
La natura dei dati trattati |
43 |
|
1 I dati sensibili |
44 |
|
2 I dati giudiziari |
46 |
|
3 I trattamenti che presentano rischi specifici |
49 |
|
4 Le procedure per la classificazione dei dati |
50 |
2 |
Gli strumenti utilizzati per il trattamento |
51 |
|
1 L’evoluzione per i trattamenti effettuati con mezzi elettronici |
51 |
|
2 L’impiego delle tecniche biometriche |
52 |
3 |
L’elenco dei trattamenti di dati personali |
60 |
|
1 La banca dati dei sistemi informativi |
60 |
4° Capitolo L’analisi dei rischi |
62 |
1 |
Valutazione delle minacce |
62 |
2 |
L’impatto degli eventi negativi |
66 |
3 |
La gestione dei rischi |
66 |
5° Capitolo La protezione di aree e locali |
68 |
1 |
Casi particolari |
69 |
6° Capitolo I trattamenti senza l’ausilio di strumenti elettronici |
70 |
1 |
L’affidamento agli incaricati e la custodia di atti e documenti |
71 |
2 |
L’archiviazione di atti e documenti |
72 |
3 |
I supporti non informatici |
73 |
4 |
Le prescrizioni per i campioni biologici |
74 |
7° Capitolo I trattamenti con strumenti elettronici |
75 |
1 |
Adozione di un sistema di autenticazione informatica |
76 |
2 |
Adozione di un sistema di autorizzazione |
83 |
3 |
Il controllo delle attività svolte |
86 |
4 |
Misure di protezione di strumenti e dati |
88 |
|
1 La separazione e la cifratura dei dati |
89 |
|
2 La trasmissione dei dati |
93 |
|
3 La tempestiva cancellazione dei dati |
95 |
|
4 La protezione di strumenti e dati dal rischio di intrusione |
97 |
|
5 Il controllo sullo stato della sicurezza |
101 |
5 |
Il ripristino dei dati |
103 |
|
1 Le procedure per il ripristino dei dati |
103 |
|
2 Custodia ed uso dei supporti rimovibili |
106 |
6 |
Le ulteriori prescrizioni per i dati genetici |
107 |
7 |
Il certificato di conformità |
108 |
8° Capitolo I dati personali affidati dal titolare all’esterno |
111 |
1 |
I possibili criteri |
112 |
2 |
Le clausole contrattuali |
112 |
9° Capitolo Il documento programmatico sulla sicurezza |
115 |
1 |
La duplice natura del documento programmatico |
116 |
2 |
Il DPS nell’ambito del bilancio di esercizio |
117 |
3 |
Chi deve redigere il documento |
118 |
4 |
L’attribuzione della data certa |
119 |
5 |
L’approvazione del documento |
120 |
10° Capitolo La mappa delle misure minime di sicurezza |
121 |
1 |
Il rapporto tra le diverse classi di sicurezza |
123 |
Indice degli
Allegati
Allegati |
|
Normativa |
127 |
Decreto legislativo 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali (Estratto) |
127 |
Dpr 28 luglio 1999, n.318 - Norme per l'individuazione delle misure minime di sicurezza |
160 |
Provvedimenti del Garante |
164 |
Autorizzazione al trasferimento verso responsabili del trattamento residenti in Paesi terzi, 10 aprile 2002 |
164 |
Parere in materia di prima applicazione delle misure minime di sicurezza, 22 marzo 2004 |
175 |
Provvedimento generale sulla videosorveglianza, 29 aprile 2004 (Estratto) |
181 |
Istituti di credito - Rilevazione di impronte digitali ed immagini: limiti e garanzie, 27 ottobre 2005 (Estratto) |
182 |
Nuove misure di sicurezza presso i gestori per le intercettazioni, 15 dicembre 2005 (Estratto) |
186 |
Il decalogo su corpo e privacy, 9 maggio 2006 |
190 |
Tabulati telefonici e misure di sicurezza, 1° giugno 2006 (Estratto) |
191 |
Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, 23 novembre 2006 (Estratto) |
192 |
Autorizzazione al trattamento dei dati genetici, 22 febbraio 2007 (Estratto) |
195 |
Le linee guida per posta elettronica e internet, 1° marzo 2007 |
196 |
Sicurezza siti archeologici e uso dei dati biometrici, 8 novembre 2007 (Estratto) |
205 |
Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali, 29 novembre 2007 (Estratto) |
207 |
Sicurezza dei dati di traffico telefonico e telematico, 17 gennaio 2008 |
208 |
Divieto di utilizzare un sistema biometrico per verificare la presenza di praticanti avvocati, 23 gennaio 2008 |
216 |
Bozza del Documento
programmatico della sicurezza
|
Pagina |
Premessa alla bozza del Documento programmatico sulla sicurezza |
2 |
Documento programmatico sulla sicurezza |
4 |
1 |
L’elenco dei trattamenti dei dati personali |
6 |
|
1 Tipologie di dati trattati |
6 |
|
2 Caratteristiche di aree, locali e strumenti con cui si effettuano i trattamenti |
7 |
|
3 La mappa dei trattamenti effettuati |
9 |
2 |
Mansionario privacy ed interventi formativi degli incaricati |
11 |
3 |
Analisi dei rischi che incombono sui dati |
16 |
4 |
Misure atte a garantire l’integrità e la disponibilità dei dati |
20 |
|
1 La protezione di aree e locali |
21 |
|
2 La custodia e l’archiviazione di atti, documenti e supporti |
22 |
|
3 Le misure logiche di sicurezza |
24 |
5 |
Criteri e modalità di ripristino dei dati |
30 |
6 |
L’affidamento di dati personali all’esterno |
32 |
7 |
Controllo generale sullo stato della sicurezza |
34 |
8 |
Dichiarazioni d’impegno e firma |
35 |
Allegati |
37 |
|
Scheda analitica descrittiva dei singoli trattamenti |
37 |
|
Scheda analitica descrittiva delle singole misure di sicurezza |
38 |
|
Allegato A) – Tabella di supporto al paragrafo 1.1 |
39 |
|
Allegato B) – Guida operativa per redigere il DPS pubblicata dal Garante in data 11 giugno 2004 |
43 |
|
