Privacy parte2

1,219 views

Published on

Corso sulla privacy I.C.n°9 "A. Manzoni" - Messina

Published in: Education
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,219
On SlideShare
0
From Embeds
0
Number of Embeds
18
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Privacy parte2

  1. 1. CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Decreto legislativo 30 giugno 2003 , n.196 D.Lgs 196/2003 Corso di formazione alle procedure per il trattamento dei dati personali Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it
  2. 2. <ul><li>Introduzione alla norma </li></ul><ul><ul><li>Finalità della legge </li></ul></ul><ul><ul><li>Il trattamento </li></ul></ul><ul><ul><li>I dati personali </li></ul></ul><ul><ul><li>Gli operatori </li></ul></ul><ul><ul><li>Le Banche Dati </li></ul></ul><ul><ul><li>I diritti degli utenti </li></ul></ul><ul><ul><li>Tutela </li></ul></ul><ul><ul><li>Misure Minime </li></ul></ul><ul><ul><li>Sanzioni </li></ul></ul><ul><ul><li>Casi pratici </li></ul></ul><ul><li>Procedure </li></ul><ul><ul><li>Informativa sulla privacy </li></ul></ul><ul><ul><li>Finalità della raccolta </li></ul></ul><ul><ul><li>Mansioni </li></ul></ul><ul><ul><li>Profili di autorizzazione </li></ul></ul><ul><ul><li>Backup dei dati </li></ul></ul><ul><ul><li>Aggiornamento </li></ul></ul><ul><ul><li>Antivirus </li></ul></ul><ul><ul><li>Autenticazione </li></ul></ul><ul><ul><li>Crittografia </li></ul></ul><ul><ul><li>DPS </li></ul></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it SOMMARIO D. Lgs 196/2003
  3. 3. <ul><li>ADEGUAMENTO </li></ul><ul><li>Gli obblighi derivanti dal D.Lgs 196/2003 sono riconducibili a procedure semplici e dettate dal buon senso. Tutte le misure adottate devono essere contenute nel DPS . Le cose che il codice espressamente richiede sono: </li></ul><ul><li>Redazione di un DOCUMENTO PROGRAMMATICO DI SICUREZZA </li></ul><ul><li>Adozione di misure minime di sicurezza </li></ul><ul><ul><li>Protezione dei dispositivi elettronici da virus e malfunzionamenti </li></ul></ul><ul><ul><li>Definizione di incarichi e mansioni in relazione al trattamento dei dati </li></ul></ul><ul><ul><li>Definizione delle procedure di copia e di ripristino dei dati </li></ul></ul><ul><ul><li>Definizione di un documento informativo per gli interessati e di un modulo di raccolta del consenso </li></ul></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  4. 4. <ul><li>INFORMATIVA </li></ul><ul><li>Il Titolare del trattamento di dati sensibili è tenuto a formare un documento in cui sono indicate: </li></ul><ul><li>Finalità della raccolta dati </li></ul><ul><li>Modalità del trattamento </li></ul><ul><li>La natura obbligatoria o meno del conferimento dei dati e le conseguenze di un eventuale rifiuto </li></ul><ul><li>Gli estremi del titolare del trattamento e del responsabile </li></ul><ul><li>I diritti dell’interessato e le modalità di esercizio degli stessi </li></ul><ul><li>La COMUNICAZIONE e/o DIFFUSIONE ad altri soggetti </li></ul><ul><li>L’informativa dev’essere disponibile al pubblico, magari sul sito web dell’azienda, sempre esibita quando richiesta e riportata nel modulo di consenso </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  5. 5. <ul><li>CONSENSO </li></ul><ul><li>E’ buona norma raccogliere il consenso al trattamento dei dati personali per iscritto </li></ul><ul><li>Per i dati sensibili e Giudiziari è obbligatorio avere il consenso per iscritto </li></ul><ul><li>L’interessato non può negare il consenso se necessario all’esecuzione di un obbligo di legge o di un contratto </li></ul><ul><li>Es. Il Pronto Soccorso : Chiamare il Pronto Soccorso è una situazione di emergenza. Gli operatori nonostante necessitano il consenso scritto per i dati sensibili (salute) possono acquisirlo oralmente dopo aver informato l’interessato o chi per lui </li></ul><ul><li>Es. Il Consulente Il consulente che compila i modelli di Dichiarazione dei redditi viene a conoscenza delle visite mediche, terapie ecc per via delle detrazioni.(Quadro P) In questo caso deve ottenere il consenso scritto </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  6. 6. <ul><li>ADEGUAMENTO ORGANIZZATIVO </li></ul><ul><li>COSA FARE PER ADEGUARE L’AZIENDA </li></ul><ul><li>Le persone che lavorano in azienda, per lavorare in modo coordinato e per il raggiungimento di uno scopo comune, hanno bisogno di essere inquadrati in modo preciso nella realtà aziendale e di operare secondo regole comuni </li></ul><ul><li>Il Titolare deve: </li></ul><ul><li>Definire la struttura organizzativa . </li></ul><ul><li>Nominare formalmente con una lettera d’incarico le varie figure. </li></ul><ul><li>Definire le procedure interne che regolano i compiti di ogni figura </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  7. 7. <ul><li>ADEGUAMENTO ORGANIZZATIVO </li></ul><ul><li>DEFINIRE LA STRUTTURA ORGANIZZATIVA </li></ul><ul><li>Ogni azienda deve individuare all’interno le figure e le responsabilità orientate al trattamento dei dati. Ogni figura può ricoprire più incarichi. </li></ul><ul><li>Le figure principali interne all’azienda </li></ul><ul><li>Titolare del trattamento </li></ul><ul><li>Responsabile </li></ul><ul><li>Incaricato </li></ul><ul><li>Custode delle password </li></ul><ul><li>Addetto al backup dei dati </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003 TITOLARE RESPONSABILI INCARICATO INCARICATO INCARICATO
  8. 8. <ul><li>ADEGUAMENTO ORGANIZZATIVO </li></ul><ul><li>DEFINIRE LA STRUTTURA ORGANIZZATIVA </li></ul><ul><li>Oltre alla figura principale è necessario individuare altre figure che possono essere anche esterne all’organizzazione. Ogni soggetto può rivestire più incarichi </li></ul><ul><li>Figure complementari </li></ul><ul><li>Amministratore di sistema </li></ul><ul><li>Manutentore di sistema </li></ul><ul><li>Responsabile della sicurezza informatica </li></ul><ul><li>Professionista esterno </li></ul><ul><li>Incaricato del controllo dei locali </li></ul><ul><li>Esterno che accede ai locali </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  9. 9. <ul><li>ADEGUAMENTO ORGANIZZATIVO </li></ul><ul><li>COSA FARE NELLO SPECIFICO </li></ul><ul><li>Conferire l’incarico ad ognuno dei soggetti mediante lettera scritta </li></ul><ul><li>Adozione delle protezioni opportune </li></ul><ul><li>Stabilire le opportune procedure per </li></ul><ul><ul><li>Accesso ai locali </li></ul></ul><ul><ul><li>Accesso ai dati </li></ul></ul><ul><ul><li>Gestione credenziali e password </li></ul></ul><ul><ul><li>Procedure di copia e ripristino dei dati </li></ul></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  10. 10. <ul><li>AUTENTICAZIONE </li></ul><ul><li>SCEGLIERE IL METODO </li></ul><ul><li>Gli Incaricati e coloro che hanno accesso ai dati devono disporre di credenziali di autenticazione ovvero disporre di un sistema di riconoscimento per l’accesso ai dispositivi elettronici. La soluzione dipende dal livello di protezione desiderato. </li></ul><ul><li>Nome utente (USER ID) e password (misura minima) </li></ul><ul><li>Smart Card o dispositivi associati all’utente (misura buona) </li></ul><ul><li>Riconoscimento Biometrico (misura buona) </li></ul><ul><li>Ogni misura è combinabile con le altre </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  11. 11. <ul><li>AUTENTICAZIONE </li></ul><ul><li>Cosa fare nello specifico </li></ul><ul><li>Dotare ogni utente di credenziali d’accesso </li></ul><ul><li>Creare password d’accesso non riferibili all’utente </li></ul><ul><li>Modificare le password a intervalli più o meno brevi </li></ul><ul><li>Adottare password complesse (lettere e numeri e caratteri speciali oltre 8 caratteri) </li></ul><ul><li>Non lasciare incustodita la postazione quando ci si assenta </li></ul><ul><li>Il proprietario della password la deve custodire diligentemente </li></ul><ul><li>Creare una lista delle password e custodirla nominando un responsabile </li></ul><ul><li>Es. Custodire le password si possono custodire degli elenchi scritti, sigillati e magari conservati in cassaforte o usare specifici programmi da conservare in chiavette USB </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  12. 12. <ul><li>AUTORIZZAZIONE </li></ul><ul><li>COS’ E’? </li></ul><ul><li>Per autorizzazione si intende l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi </li></ul><ul><li>COSA FARE NELLO SPECIFICO </li></ul><ul><li>Si deve provvedere alla determinazione di una politica di autorizzazione , ossia per ogni persona deve essere chiaro cosa egli può fare e cosa no, quali programmi può utilizzare e con quali privilegi, a quali dati egli può avere accesso e come li può utilizzare </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  13. 13. <ul><li>PROTEZIONE DEI DISPOSITIVI </li></ul><ul><li>COSA FARE NELLO SPECIFICO </li></ul><ul><li>Gli strumenti di elaborazione elettronica dei dati sono soggetti a varie fonti di pericolosità. Per questo il codice prevede che siano adottate le misure minime affinché in caso di danneggiamento del dispositivo si riduca al minimo l’eventuale perdita di dati. </li></ul><ul><li>Aggiornamenti software </li></ul><ul><li>Disporre di antivirus aggiornati in ogni macchina </li></ul><ul><li>Disporre di firewall </li></ul><ul><li>Controllo periodico dell’hardware </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  14. 14. <ul><li>PROTEZIONE DEI DISPOSITIVI </li></ul><ul><li>AGGIORNAMENTI SOFTWARE </li></ul><ul><li>Il codice, fra le misure minime segnala l’aggiornamento dei software. Tali aggiornamenti sono per lo più gratuiti e rilasciati dai produttori stessi. </li></ul><ul><li>ANTIVIRUS </li></ul><ul><li>Il codice chiede espressamente l’adozione di un software antivirus Particolare importanza riveste l’aggiornamento del software antivirus che dev’essere aggiornato almeno a cadenza annuale. Se si trattano Dati Sensibili l’aggiornamento dev’essere semestrale </li></ul><ul><li>Contestualmente è buona norma installare tool di rimozione di spyware e malaware </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  15. 15. <ul><li>PROTEZIONE DEI DISPOSITIVI </li></ul><ul><li>FIREWALL </li></ul><ul><li>Sebbene non espressamente richiesto dal codice è consigliabile l’adozione di strumenti di difesa dagli attacchi esterni provenienti da Internet. Lo strumento principale è il FIREWALL. I Sistemi Operativi più moderni (Windows XP) dispongono di un firewall. </li></ul><ul><li>CONTROLLO PERIODICO HARDWARE </li></ul><ul><li>Il codice chiede anche che i dispositivi siano controllati periodicamente al fine di prevenire eventuali guasti che possono causare la perdita di dati. Tale controllo dev’essere almeno con cadenza annuale. Se si trattano Dati Sensibili il controllo dev’essere semestrale. Il Manutentore deve rilasciare un’attestazione di funzionamento da allegare al DPS </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  16. 16. <ul><li>Backup e Ripristino </li></ul><ul><li>LE COPIE </li></ul><ul><li>I dati contenuti nel computer rappresentano una ricchezza aziendale. </li></ul><ul><li>La perdita di dati importanti può produrre effetti catastrofici dal punto di vista economico e delle implicazioni legali L’adozione di un efficiente ed efficace sistema di backup, ossia produrre copie di riserva dei dati, è un’attività fondamentale della realtà aziendale. </li></ul><ul><li>E buona norma eseguire backup frequenti, almeno settimanali, come previsto dalla legge,o meglio quotidianamente benché possa risultare noioso, </li></ul><ul><li>Principali cause di danneggiamento o perdita dati: </li></ul><ul><ul><li>Errore materiale, ossia carenza di consapevolezza, disattenzione o incuria; </li></ul></ul><ul><ul><li>Azione di virus informatici o di programmi suscettibili di recare danno; </li></ul></ul><ul><ul><li>Malfunzionamento, indisponibilità o degrado degli strumenti; </li></ul></ul><ul><ul><li>Sottrazione di strumenti contenenti dati; </li></ul></ul><ul><ul><li>Eventi distruttivi, naturali o artificiali </li></ul></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  17. 17. <ul><li>Backup e Ripristino </li></ul><ul><li>COSA FARE NELLO SPECIFICO </li></ul><ul><li>Adottare politiche di copia frequente </li></ul><ul><li>Usare supporti nuovi ed efficienti </li></ul><ul><li>Fare copie su più supporti </li></ul><ul><li>Etichettare le copie </li></ul><ul><li>Tenere un registro delle operazioni </li></ul><ul><li>Addestrarsi al ripristino nel minor tempo possibile per evitare disservizi o perdita di dati </li></ul><ul><li>Custodire gelosamente le copie </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  18. 18. <ul><li>CRITTOGRAFIA </li></ul><ul><li>CIFRATURA DEI DATI </li></ul><ul><li>La protezione dei Dati Sensibili e Giudiziari deve avvenire attraverso sistemi di Crittografia, ovvero di mascheramento. I Programmi di crittografia generano una chiave attraverso la quale decifrare i dati e solo chi è autorizzato la può usare. </li></ul><ul><li>Il codice richiede espressamente la codifica per Dati Sensibili e Giudiziari </li></ul><ul><li>Esistono varie soluzioni software, di base Windows XP è già predisposto alla crittografia basta abilitare la funzionalità </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  19. 19. <ul><li>MISURE MINIME </li></ul><ul><li>ARCHIVI CARTACEI </li></ul><ul><li>Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, le seguenti misure minime </li></ul><ul><ul><li>aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito a singoli incaricati o alle unità organizzative </li></ul></ul><ul><ul><li>previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti </li></ul></ul><ul><ul><li>previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati </li></ul></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  20. 20. <ul><li>BANCHE DATI CARTACEE </li></ul><ul><li>PROTEZIONE DEI DOCUMENTI CARTACEI </li></ul><ul><li>Oltre alle normali misure minime è necessario adottare provvedimenti pratici per gli archivi cartacei. </li></ul><ul><li>Non consentire l’accesso ai dati a persone non autorizzate </li></ul><ul><li>Preservare i documenti da agenti atmosferici </li></ul><ul><li>Preservare i documenti da roditori e insetti </li></ul><ul><li>Preservare i documenti da eventi naturali ed artificiali anche dolosi </li></ul><ul><li>Evitare di tenere i documenti in ambienti frequentati dal pubblico </li></ul><ul><li>Usare contenitori chiusi </li></ul><ul><li>Controllo visuale degli ambienti </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  21. 21. <ul><li>IL DPS </li></ul><ul><li>FORMAZIONE DEL DOCUMENTO </li></ul><ul><li>Il DPS è l’acronimo di “ Documento Programmatico sulla Sicurezza ” </li></ul><ul><li>Il DPS deve: </li></ul><ul><li>Essere Formato entro il 31 Marzo di ogni anno </li></ul><ul><li>Avere data certa </li></ul><ul><li>Contenere tutti i documenti correlati </li></ul><ul><li>Essere dichiarato nella relazione accompagnatoria di bilancio </li></ul><ul><li>Essere esibito alla Guardia di Finanza quando richiesto </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  22. 22. <ul><li>IL DPS </li></ul><ul><li>FORMAZIONE DEL DOCUMENTO </li></ul><ul><li>Il DPS è l’acronimo di “ Documento Programmatico sulla Sicurezza ” e consiste in un documento contenente idonee informazioni riguardo: </li></ul><ul><li>l'elenco dei trattamenti di dati personali; </li></ul><ul><li>la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; </li></ul><ul><li>l'analisi dei rischi che incombono sui dati; </li></ul><ul><li>le misure adottate e da adottare per garantire l'integrità e la disponibilità dei dati; </li></ul><ul><li>la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati; </li></ul><ul><li>la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati; </li></ul><ul><li>la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; </li></ul><ul><li>per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  23. 23. <ul><li>NORME COMUNI </li></ul><ul><li>PROTEZIONE DEI DOCUMENTI </li></ul><ul><li>Non consentire l’accesso ai dati a persone non autorizzate </li></ul><ul><li>Non lasciare i dispositivi incustoditi quando ci si assenta </li></ul><ul><li>Controllare periodicamente i dispositivi </li></ul><ul><li>Organizzare l’azienda secondo criteri chiari e scritti </li></ul><ul><li>Preservare i documenti da agenti atmosferici, eventi naturali ed artificiali anche dolosi, da roditori e insetti </li></ul><ul><li>Evitare di tenere i documenti in ambienti frequentati dal pubblico </li></ul><ul><li>Usare contenitori chiusi </li></ul><ul><li>Controllo visuale degli ambienti </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003
  24. 24. <ul><li>NORME COMUNI </li></ul><ul><li>PROTEZIONE DEI DATI SENSIBILI </li></ul><ul><li>Non lasciare riferimenti chiari a vista del pubblico </li></ul><ul><li>Ridurre al minimo l’utilizzo dei dati sensibili </li></ul><ul><li>Per gli operatori sanitari cercare di trattare disgiuntamente i dati personali da quelli sensibili </li></ul><ul><li>Verifica dei dispositivi semestrali </li></ul><ul><li>Aggiornamento dell’antivirus semestrale </li></ul><ul><li>Usare la crittografia </li></ul>Realizzato da CUBECURVE s.r.l. | www.cubecurve.it | info@cubecurve.it PROCEDURE D. Lgs 196/2003

×