• Like
  • Save
Privacy parte2
Upcoming SlideShare
Loading in...5
×
 

Privacy parte2

on

  • 1,688 views

Corso sulla privacy I.C.n°9 "A. Manzoni" - Messina

Corso sulla privacy I.C.n°9 "A. Manzoni" - Messina

Statistics

Views

Total Views
1,688
Views on SlideShare
1,680
Embed Views
8

Actions

Likes
3
Downloads
0
Comments
0

2 Embeds 8

http://www.ic9manzonimessina.it 6
http://www.slideshare.net 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Privacy parte2 Privacy parte2 Presentation Transcript

    • CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Decreto legislativo 30 giugno 2003 , n.196 D.Lgs 196/2003 Corso di formazione alle procedure per il trattamento dei dati personali Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it
      • Introduzione alla norma
        • Finalità della legge
        • Il trattamento
        • I dati personali
        • Gli operatori
        • Le Banche Dati
        • I diritti degli utenti
        • Tutela
        • Misure Minime
        • Sanzioni
        • Casi pratici
      • Procedure
        • Informativa sulla privacy
        • Finalità della raccolta
        • Mansioni
        • Profili di autorizzazione
        • Backup dei dati
        • Aggiornamento
        • Antivirus
        • Autenticazione
        • Crittografia
        • DPS
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it SOMMARIO D. Lgs 196/2003
      • ADEGUAMENTO
      • Gli obblighi derivanti dal D.Lgs 196/2003 sono riconducibili a procedure semplici e dettate dal buon senso. Tutte le misure adottate devono essere contenute nel DPS . Le cose che il codice espressamente richiede sono:
      • Redazione di un DOCUMENTO PROGRAMMATICO DI SICUREZZA
      • Adozione di misure minime di sicurezza
        • Protezione dei dispositivi elettronici da virus e malfunzionamenti
        • Definizione di incarichi e mansioni in relazione al trattamento dei dati
        • Definizione delle procedure di copia e di ripristino dei dati
        • Definizione di un documento informativo per gli interessati e di un modulo di raccolta del consenso
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • INFORMATIVA
      • Il Titolare del trattamento di dati sensibili è tenuto a formare un documento in cui sono indicate:
      • Finalità della raccolta dati
      • Modalità del trattamento
      • La natura obbligatoria o meno del conferimento dei dati e le conseguenze di un eventuale rifiuto
      • Gli estremi del titolare del trattamento e del responsabile
      • I diritti dell’interessato e le modalità di esercizio degli stessi
      • La COMUNICAZIONE e/o DIFFUSIONE ad altri soggetti
      • L’informativa dev’essere disponibile al pubblico, magari sul sito web dell’azienda, sempre esibita quando richiesta e riportata nel modulo di consenso
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • CONSENSO
      • E’ buona norma raccogliere il consenso al trattamento dei dati personali per iscritto
      • Per i dati sensibili e Giudiziari è obbligatorio avere il consenso per iscritto
      • L’interessato non può negare il consenso se necessario all’esecuzione di un obbligo di legge o di un contratto
      • Es. Il Pronto Soccorso : Chiamare il Pronto Soccorso è una situazione di emergenza. Gli operatori nonostante necessitano il consenso scritto per i dati sensibili (salute) possono acquisirlo oralmente dopo aver informato l’interessato o chi per lui
      • Es. Il Consulente Il consulente che compila i modelli di Dichiarazione dei redditi viene a conoscenza delle visite mediche, terapie ecc per via delle detrazioni.(Quadro P) In questo caso deve ottenere il consenso scritto
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • ADEGUAMENTO ORGANIZZATIVO
      • COSA FARE PER ADEGUARE L’AZIENDA
      • Le persone che lavorano in azienda, per lavorare in modo coordinato e per il raggiungimento di uno scopo comune, hanno bisogno di essere inquadrati in modo preciso nella realtà aziendale e di operare secondo regole comuni
      • Il Titolare deve:
      • Definire la struttura organizzativa .
      • Nominare formalmente con una lettera d’incarico le varie figure.
      • Definire le procedure interne che regolano i compiti di ogni figura
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • ADEGUAMENTO ORGANIZZATIVO
      • DEFINIRE LA STRUTTURA ORGANIZZATIVA
      • Ogni azienda deve individuare all’interno le figure e le responsabilità orientate al trattamento dei dati. Ogni figura può ricoprire più incarichi.
      • Le figure principali interne all’azienda
      • Titolare del trattamento
      • Responsabile
      • Incaricato
      • Custode delle password
      • Addetto al backup dei dati
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003 TITOLARE RESPONSABILI INCARICATO INCARICATO INCARICATO
      • ADEGUAMENTO ORGANIZZATIVO
      • DEFINIRE LA STRUTTURA ORGANIZZATIVA
      • Oltre alla figura principale è necessario individuare altre figure che possono essere anche esterne all’organizzazione. Ogni soggetto può rivestire più incarichi
      • Figure complementari
      • Amministratore di sistema
      • Manutentore di sistema
      • Responsabile della sicurezza informatica
      • Professionista esterno
      • Incaricato del controllo dei locali
      • Esterno che accede ai locali
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • ADEGUAMENTO ORGANIZZATIVO
      • COSA FARE NELLO SPECIFICO
      • Conferire l’incarico ad ognuno dei soggetti mediante lettera scritta
      • Adozione delle protezioni opportune
      • Stabilire le opportune procedure per
        • Accesso ai locali
        • Accesso ai dati
        • Gestione credenziali e password
        • Procedure di copia e ripristino dei dati
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • AUTENTICAZIONE
      • SCEGLIERE IL METODO
      • Gli Incaricati e coloro che hanno accesso ai dati devono disporre di credenziali di autenticazione ovvero disporre di un sistema di riconoscimento per l’accesso ai dispositivi elettronici. La soluzione dipende dal livello di protezione desiderato.
      • Nome utente (USER ID) e password (misura minima)
      • Smart Card o dispositivi associati all’utente (misura buona)
      • Riconoscimento Biometrico (misura buona)
      • Ogni misura è combinabile con le altre
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • AUTENTICAZIONE
      • Cosa fare nello specifico
      • Dotare ogni utente di credenziali d’accesso
      • Creare password d’accesso non riferibili all’utente
      • Modificare le password a intervalli più o meno brevi
      • Adottare password complesse (lettere e numeri e caratteri speciali oltre 8 caratteri)
      • Non lasciare incustodita la postazione quando ci si assenta
      • Il proprietario della password la deve custodire diligentemente
      • Creare una lista delle password e custodirla nominando un responsabile
      • Es. Custodire le password si possono custodire degli elenchi scritti, sigillati e magari conservati in cassaforte o usare specifici programmi da conservare in chiavette USB
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • AUTORIZZAZIONE
      • COS’ E’?
      • Per autorizzazione si intende l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi
      • COSA FARE NELLO SPECIFICO
      • Si deve provvedere alla determinazione di una politica di autorizzazione , ossia per ogni persona deve essere chiaro cosa egli può fare e cosa no, quali programmi può utilizzare e con quali privilegi, a quali dati egli può avere accesso e come li può utilizzare
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • PROTEZIONE DEI DISPOSITIVI
      • COSA FARE NELLO SPECIFICO
      • Gli strumenti di elaborazione elettronica dei dati sono soggetti a varie fonti di pericolosità. Per questo il codice prevede che siano adottate le misure minime affinché in caso di danneggiamento del dispositivo si riduca al minimo l’eventuale perdita di dati.
      • Aggiornamenti software
      • Disporre di antivirus aggiornati in ogni macchina
      • Disporre di firewall
      • Controllo periodico dell’hardware
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • PROTEZIONE DEI DISPOSITIVI
      • AGGIORNAMENTI SOFTWARE
      • Il codice, fra le misure minime segnala l’aggiornamento dei software. Tali aggiornamenti sono per lo più gratuiti e rilasciati dai produttori stessi.
      • ANTIVIRUS
      • Il codice chiede espressamente l’adozione di un software antivirus Particolare importanza riveste l’aggiornamento del software antivirus che dev’essere aggiornato almeno a cadenza annuale. Se si trattano Dati Sensibili l’aggiornamento dev’essere semestrale
      • Contestualmente è buona norma installare tool di rimozione di spyware e malaware
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • PROTEZIONE DEI DISPOSITIVI
      • FIREWALL
      • Sebbene non espressamente richiesto dal codice è consigliabile l’adozione di strumenti di difesa dagli attacchi esterni provenienti da Internet. Lo strumento principale è il FIREWALL. I Sistemi Operativi più moderni (Windows XP) dispongono di un firewall.
      • CONTROLLO PERIODICO HARDWARE
      • Il codice chiede anche che i dispositivi siano controllati periodicamente al fine di prevenire eventuali guasti che possono causare la perdita di dati. Tale controllo dev’essere almeno con cadenza annuale. Se si trattano Dati Sensibili il controllo dev’essere semestrale. Il Manutentore deve rilasciare un’attestazione di funzionamento da allegare al DPS
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • Backup e Ripristino
      • LE COPIE
      • I dati contenuti nel computer rappresentano una ricchezza aziendale.
      • La perdita di dati importanti può produrre effetti catastrofici dal punto di vista economico e delle implicazioni legali L’adozione di un efficiente ed efficace sistema di backup, ossia produrre copie di riserva dei dati, è un’attività fondamentale della realtà aziendale.
      • E buona norma eseguire backup frequenti, almeno settimanali, come previsto dalla legge,o meglio quotidianamente benché possa risultare noioso,
      • Principali cause di danneggiamento o perdita dati:
        • Errore materiale, ossia carenza di consapevolezza, disattenzione o incuria;
        • Azione di virus informatici o di programmi suscettibili di recare danno;
        • Malfunzionamento, indisponibilità o degrado degli strumenti;
        • Sottrazione di strumenti contenenti dati;
        • Eventi distruttivi, naturali o artificiali
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • Backup e Ripristino
      • COSA FARE NELLO SPECIFICO
      • Adottare politiche di copia frequente
      • Usare supporti nuovi ed efficienti
      • Fare copie su più supporti
      • Etichettare le copie
      • Tenere un registro delle operazioni
      • Addestrarsi al ripristino nel minor tempo possibile per evitare disservizi o perdita di dati
      • Custodire gelosamente le copie
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • CRITTOGRAFIA
      • CIFRATURA DEI DATI
      • La protezione dei Dati Sensibili e Giudiziari deve avvenire attraverso sistemi di Crittografia, ovvero di mascheramento. I Programmi di crittografia generano una chiave attraverso la quale decifrare i dati e solo chi è autorizzato la può usare.
      • Il codice richiede espressamente la codifica per Dati Sensibili e Giudiziari
      • Esistono varie soluzioni software, di base Windows XP è già predisposto alla crittografia basta abilitare la funzionalità
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • MISURE MINIME
      • ARCHIVI CARTACEI
      • Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, le seguenti misure minime
        • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito a singoli incaricati o alle unità organizzative
        • previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
        • previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • BANCHE DATI CARTACEE
      • PROTEZIONE DEI DOCUMENTI CARTACEI
      • Oltre alle normali misure minime è necessario adottare provvedimenti pratici per gli archivi cartacei.
      • Non consentire l’accesso ai dati a persone non autorizzate
      • Preservare i documenti da agenti atmosferici
      • Preservare i documenti da roditori e insetti
      • Preservare i documenti da eventi naturali ed artificiali anche dolosi
      • Evitare di tenere i documenti in ambienti frequentati dal pubblico
      • Usare contenitori chiusi
      • Controllo visuale degli ambienti
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • IL DPS
      • FORMAZIONE DEL DOCUMENTO
      • Il DPS è l’acronimo di “ Documento Programmatico sulla Sicurezza ”
      • Il DPS deve:
      • Essere Formato entro il 31 Marzo di ogni anno
      • Avere data certa
      • Contenere tutti i documenti correlati
      • Essere dichiarato nella relazione accompagnatoria di bilancio
      • Essere esibito alla Guardia di Finanza quando richiesto
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • IL DPS
      • FORMAZIONE DEL DOCUMENTO
      • Il DPS è l’acronimo di “ Documento Programmatico sulla Sicurezza ” e consiste in un documento contenente idonee informazioni riguardo:
      • l'elenco dei trattamenti di dati personali;
      • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
      • l'analisi dei rischi che incombono sui dati;
      • le misure adottate e da adottare per garantire l'integrità e la disponibilità dei dati;
      • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati;
      • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati;
      • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
      • per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • NORME COMUNI
      • PROTEZIONE DEI DOCUMENTI
      • Non consentire l’accesso ai dati a persone non autorizzate
      • Non lasciare i dispositivi incustoditi quando ci si assenta
      • Controllare periodicamente i dispositivi
      • Organizzare l’azienda secondo criteri chiari e scritti
      • Preservare i documenti da agenti atmosferici, eventi naturali ed artificiali anche dolosi, da roditori e insetti
      • Evitare di tenere i documenti in ambienti frequentati dal pubblico
      • Usare contenitori chiusi
      • Controllo visuale degli ambienti
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
      • NORME COMUNI
      • PROTEZIONE DEI DATI SENSIBILI
      • Non lasciare riferimenti chiari a vista del pubblico
      • Ridurre al minimo l’utilizzo dei dati sensibili
      • Per gli operatori sanitari cercare di trattare disgiuntamente i dati personali da quelli sensibili
      • Verifica dei dispositivi semestrali
      • Aggiornamento dell’antivirus semestrale
      • Usare la crittografia
      Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003