Privacy, Tutela dei Dati Personali e D.P.S.

Privacy,
Tutela dei Dati Personali
e D.P.S.

Fasi della presentazione:

Privacy, Tutela dei Dati e D.P.S.


1



1 2



1 2

3


1 2 4
3

1 – Introduzione

In questo corso:
● Inquadramento generale in materia di protezione dei dati personali
● Contenuti essenziali del Documento Programmatico sulla Sicurezza, la piu
importante tra le misure minime per garantire la protezione dei dati personali
aziendali


2 – Cos'è la Privacy



● Inizialmente è il diritto ad essere lasciati soli

● Diritto fondamentale riconosciuto dall'ordinamento giuridico di tutti i paesi europei
e delle principali nazioni del mondo

● Strumento per proteggere la propria riservatezza e difendersi dai comportamenti
invadenti di chi intende violarla

● Strumento attraverso il quale ognuno può definire un confine
tra sé e gli altri



Evoluzione della società e della tecnologia = Cambiamenti del significato di Privacy



Evoluzione della società e della tecnologia = Cambiamenti del significato di Privacy

Concetto fondamentale > ogni persona è titolare del diritto di disporre dei dati
che la descrivono e che ne qualificano l'individualita

Tutela della privacy (oggi): garantire il diritto fondamentale di esercitare il pieno e
consapevole controllo sui nostri dati personali.
Non è solo il diritto alla riservatezza, ma
anche il diritto di scegliere l'uso che vogliamo gli altri
facciano dei nostri dati personali


3 – Cosa sono i Dati Personali



Dato Personale è qualunque informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale.

Dato personale è anche un'immagine, un suono e qualunque notizia o
informazione che sia riferibile a un soggetto determinato o determinabile.

(Es. Codici identificativi, Codici Fiscale, Codici Cliente, Targa di un mezzo, Numero
di Polizza Assicurativa, anche una semplice foto)



DATI SENSIBILI: Categoria particolare di Dati Personali sottoposta ad
un livello di protezione PIU' ELEVATO

Si tratta dei dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonche i dati personali idonei a rivelare lo stato di salute e la vita
sessuale.


4 – Protezione dei Dati Personali

La legge si ispira a 6 principi fondamentali per stabilire alcune regole molto
precise circa le modalita del trattamento e i requisiti dei dati da trattare:




● Diritto alla Protezione dei Dati Personali




● Principio di Necessita nel Trattamento dei Dati




● Principio di Autodeterminazione Informativa




● Principio di Finalita




● Principio di Correttezza




● Principio di Correttezza
● Principio di Precauzione


4.1 – Diritto alla Protezione dei Dati Personali

Si tratta della regola fondamentale che attribuisce ad ogni individuo il diritto di
pretendere che l’uso dei suoi dati personali si svolga nel rispetto dei suoi diritti e
liberta fondamentali, nonche della sua dignita, con particolare riferimento alla
riservatezza, all’identita personale e al diritto alla protezione dei dati personali.


4.1 – Diritto alla Protezione dei Dati Personali

Si tratta della regola fondamentale che attribuisce ad ogni individuo il diritto di
pretendere che l’uso dei suoi dati personali si svolga nel rispetto dei suoi diritti e
liberta fondamentali, nonche della sua dignita, con particolare riferimento alla
riservatezza, all’identita personale e al diritto alla protezione dei dati personali.

4.2 – Principio di Necessità nel Trattamento dei Dati

E il criterio che mira a limitare le raccolte ed i trattamenti di dati non necessari.
Vanno raccolti solo i dati necessari per il trattamento che si intende realizzare.


4.3 – Principio di Autodeterminazione Informativa

Questa regola fissa il principio per il quale ognuno di noi ha il diritto di stabilire se ed
in che misura le informazioni a lui riferite possono circolare ed essere conosciute
dagli altri.


4.3 – Principio di Autodeterminazione Informativa

Questa regola fissa il principio per il quale ognuno di noi ha il diritto di stabilire se ed
in che misura le informazioni a lui riferite possono circolare ed essere conosciute
dagli altri.

4.4 – Principio di Finalità

E il principio che collega l’attivita di raccolta dei dati personali con l’uso che di quelle
informazioni viene fatto. Consiste nell’obbligo posto a carico di chi effettua la raccolta
di far conoscere all’interessato la ragione per la quale i dati sono raccolti.


4.5 – Principio di Correttezza

E un principio che riguarda la condotta di chi usa i dati personali: questo soggetto
deve comportarsi in modo lecito e corretto durante il trattamento, la raccolta e
l’elaborazione vera e propria dei dati.


4.5 – Principio di Correttezza

E un principio che riguarda la condotta di chi usa i dati personali: questo soggetto
deve comportarsi in modo lecito e corretto durante il trattamento, la raccolta e
l’elaborazione vera e propria dei dati.

4.6 – Principio di Precauzione

Nell’utilizzo dei dati personali occorre prevenire ogni forma di illecito utilizzo.
Pertanto chi tratta dati personali deve adottare qualsiasi cautela per evitare l’accesso
a dati di provenienza sconosciuta.


5 – Codice della Privacy (D.Lgs. 196/2003)

Approvazione: Giugno 2003

Entrata in vigore: Gennaio 2004
Sostituisce la legge
675 del 31 Dicembre 1996

Contenuto: 186 articoli, 3 allegati,
1 specifico Disciplinare Tecnico (allegato B) che regola le
misure minime di sicurezza.

> Breve sguardo su alcuni articoli


Art. 1 (Diritto alla protezione dei dati personali)
Chiunque ha diritto alla protezione dei dati personali che lo riguardano.



Art. 1 (Diritto alla protezione dei dati personali)
Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Art. 2 (Finalità)
... garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e
delle liberta fondamentali, nonche della dignita dell’interessato, con particolare
riferimento alla riservatezza, all'identita personale e al diritto alla protezione dei dati
personali.
Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela
dei diritti e delle liberta...



Art. 3 (Principio di necessità nel trattamento dei dati)
I sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il
trattamento quando le finalita perseguite nei singoli casi possono essere realizzate
mediante, rispettivamente, dati anonimi od opportune modalita che permettano di
identificare l’interessato solo in caso di necessita.



Art. 4 (Definizioni)
- "dato personale", qualunque informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale;
- "dati identificativi", i dati personali che permettono l’identificazione diretta
dell’interessato;
- “dati sensibili”, i dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonche i dati personali idonei a rivelare lo stato di salute e la vita
sessuale;
- “dati giudiziari”, i dati personali idonei a rivelare provvedimenti … in materia di
casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e
dei relativi carichi pendenti, o la qualita di imputato o di indagato ai sensi ... del
codice di procedura penale


Art. 5 (Oggetto ed ambito di applicazione)
... disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da
chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla
sovranita dello Stato


Art. 5 (Oggetto ed ambito di applicazione)
... disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da
chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla
sovranita dello Stato
Art. 31 (Obblighi di sicurezza)
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione
alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita,
anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalita della raccolta



Art. 33 (Misure minime)
Misure minime di sicurezza informatica. Nel quadro dei piu generali obblighi di
sicurezza ... i titolari del trattamento sono comunque tenuti ad adottare le misure
minime i... volte ad assicurare un livello minimo di protezione dei dati personali.



Art. 34 (Trattamenti con strumenti elettronici)
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se
sono adottate … le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito
ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,
ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilita dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti
di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi
sanitari.


Art. 36 (Adeguamento)
Il disciplinare tecnico di cui all’allegato B, relativo alle misure minime di cui al
presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia
di concerto con il Ministro per le innovazioni e le tecnologie, in relazione
all'evoluzione tecnica e all'esperienza maturata nel settore.


6 – Trattamento dei Dati Personali (avviene in 3 fasi)



- Trattamento: qualsiasi operazione riguardante RACCOLTA, REGISTRAZIONE,
ORGANIZZAZIONE, CONSERVAZIONE, CONSULTAZIONE, ELABORAZIONE,
MODIFICA, SELEZIONE, ESTRAZIONE, RAFFRONTO, DIFFUSIONE,
CANCELLAZIONE o DISTRUZIONE di dati




- Informativa: informare l'interessato che qualcuno sta raccogliendo e trattando dati
che lo riguardano. Esso deve conoscerne le finalita e le modalita di trattamento




- Informativa: informare l'interessato che qualcuno sta raccogliendo e trattando dati
che lo riguardano. Esso deve conoscerne le finalita e le modalita di trattamento

- Consenso: obbligo di chiedere il consenso all'interessato per effettuare il
trattamento


7 – Soggetti del Trattamento dei Dati Personali
I soggetti che intervengono nelle operazioni di trattamento dei dati personali sono:
- il Titolare
- il Responsabile
- gli Incaricati
- l'Interessato
- il Garante della Privacy
- l'Autorità Giudiziaria


7 – Soggetti del Trattamento dei Dati Personali
I soggetti che intervengono nelle operazioni di trattamento dei dati personali sono:
- il Titolare
- il Responsabile
- gli Incaricati
- l'Interessato
- il Garante della Privacy
- l'Autorità Giudiziaria

E in ambito tecnico sono previste le seguenti ulteriori figure:
- l'Amministratore di Sistema
- il Custode delle password (facoltativo)
- il Responsabile dei Backup (facoltativo)


7.1 – Titolare del Trattamento
la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono le decisioni in ordine alle finalità
e alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza.


7.1 – Titolare del Trattamento
ente, associazione od organismo cui competono le decisioni in ordine alle finalità
e alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza.

7.2 – Responsabile del Trattamento
ente, associazione od organismo preposto al trattamento di dati personali. Il
responsabile procede al trattamento attenendosi alle istruzioni impartite per
iscritto dal titolare che, anche tramite verifiche periodiche, vigila sulla puntuale
osservanza delle norme di legge e delle proprie istruzioni.


7.3 – Incaricati del Trattamento
le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile. Si tratta quindi dei soggetti che possono elaborare i dati personali,
ai quali accedono attenendosi alle istruzioni ricevute dal titolare o dal responsabile.


7.3 – Incaricati del Trattamento
le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile. Si tratta quindi dei soggetti che possono elaborare i dati personali,
ai quali accedono attenendosi alle istruzioni ricevute dal titolare o dal responsabile.

7.4 – Interessato
il soggetto (persona fisica, persona giuridica, ente o associazione) cui si riferiscono
i dati personali. E quindi il vero protagonista del trattamento.


7.5 – Garante della Privacy
l'autorita preposta alla tutela della riservatezza dei dati personali. Dal punto di vista
generale il Garante è un'autorita amministrativa indipendente. Le funzioni principali
del Garante sono controllare la legittimità dei trattamenti, esaminare i ricorsi e
le segnalazioni ricevute dagli interessati.


7.5 – Garante della Privacy
l'autorita preposta alla tutela della riservatezza dei dati personali. Dal punto di vista
generale il Garante è un'autorita amministrativa indipendente. Le funzioni principali
del Garante sono controllare la legittimità dei trattamenti, esaminare i ricorsi e
le segnalazioni ricevute dagli interessati.

7.6 – Autorità Giudiziaria (Magistratura)
organo a cui compete ogni azione volta ad ottenere il risarcimento del danno tanto
patrimoniale quanto non patrimoniale recato all'Interessato.


7.7 – Amministratore di Sistema
figura che prende tutti i provvedimenti operativi necessari ad evitare la perdita o la
distruzione dei dati. Provvedere alla messa in sicurezza periodica degli stessi con
copie di backup, correttamente conservate, e verifica gli accessi sia degli
incaricati che di altri non autorizzati. Conserva gli "access log" (registri degli
accessi) per almeno 6 mesi in archivi immodificabili e inalterabili. Ha capacita di
azione propria e di un rapporto fiduciario che lo lega al titolare.


7.8 – Custode delle Password
figura facoltativa, spesso assunta dall’Amministratore di Sistema o dai Responsabili
del Trattamento. Ha il compito di conservare e custodire tutte le password di ogni
incaricato. Se l’Amministratore ha pieni diritti di accesso a tutto il sistema, la sua
password è l’unica da salvare e conservare in busta chiusa e in luogo protetto
accessibile solo dal Titolare o dal Responsabile.

7.9 – Responsabile dei Backup
figura facoltativa, spesso assunta dall’Amministratore di Sistema o dal Responsabile
del Trattamento. Deve assicurarsi che le procedure di backup inizino e si
concludano correttamente, che siano riposti correttamente e che sia possibile il
recupero dei dati salvati.


8 – Tutela dei Dati Personali in 10 regole



Custodire in modo riservato banche dati, contratti e
comunque ogni documentazione raccolta nello
svolgimento dell’attivita lavorativa.



Garantire che tutte le persone con cui si collabora
siano informate sulle regole di riservatezza adottate
per proteggere i dati ed impartire adeguate istruzioni
per evitare abusi per negligenza o imprudenza.


Verificare sempre l’origine dei dati utilizzati per
l’effettuazione di campagne promozionali.



In caso di utilizzo dei dati per l’invio di materiale
promo-commerciale ricordarsi di verificare che la
persona che si contatta abbia fornito il consenso.



Informare prontamente il proprio referente qualora un
interessato formuli un’istanza per l’esercizio dei suoi
diritti.



Evitare di utilizzare liste di nominativi ed indirizzi
quando non ne è certa la provenienza o non si
conosce se gli interessati hanno rilasciato o meno il
proprio consenso al trattamento per fini commerciali.


Adottare tutte le misure di sicurezza informatiche
previste dal sistema fornito dall’organizzazione in cui
si opera o quando ci si connette alla rete predisposta
per il collegamento alla banca dati.


Segnalare al proprio referente qualsiasi anomalia
riscontrata nella qualita dei dati presenti nel database
aziendale.



Adottare ogni precauzione nello svolgimento di attivita
promo-commerciali che prevedono l’utilizzo di dati
personali (invio di materiale per posta, e-mail o
ricerche di mercato con strumenti di telemarketing), al
fine di prevenire ogni forma di illecito utilizzo di dati
personali.


Ferma restando la responsabilita del singolo
utilizzatore del database, attenersi alle istruzioni che
sono state e che verranno impartite dall’azienda per
garantire la corretta gestione dei dati stessi.

9 – Misure di Sicurezza

Bisogna adottate misure di sicurezza sia di tipo organizzativo che di tipo fisico e
informatico per evitare possibili abusi nei trattamenti dei dati personali.

Il Codice della Privacy prevede l'adozione di misure di sicurezza di diversa natura
a seconda che il trattamento dei dati avvenga con o senza l'ausilio di strumenti
elettronici.


9.1 – Trattamento mediante Strumenti Informatici

- Trattamento mediante credenziali di autenticazione (user-id e password)
- Password di almeno 8 caratteri, modificata ogni 6 mesi (3 nel caso di trattamento
di dati sensibili o giudiziari)
- Creazione di copie di sicurezza tramite
salvataggio dei dati con frequenza almeno
settimanale (backup dei dati)
- Utilizzo di strumenti elettronici di protezione
(antivirus e firewall) da aggiornare almeno
ogni 6 mesi
- Redazione del Documento Programmatico sulla Sicurezza (D.P.S.) atto a fornire
idonee informazioni riguardo alla sicurezza

9.2 – Trattamento senza l'uso di Strumenti Informatici

- Istruzioni scritte circa il controllo e la custodia di atti e documenti

- Redazione di un elenco degli
Incaricati

- Accesso agli archivi controllato
con identificazione e registrazione
delle persone ammesse


10 – Documento Programmatico sulla Sicurezza (DPS)
Cos'è il D.P.S.?
- E una delle misure minime di sicurezza previste dal
DL 196/2003
- E un documento interno che va conservato agli atti e
non va inviato a nessuna autorita di controllo
- E obbligatorio per tutte le aziende, liberi professionisti,
enti o associazioni che trattano i dati personali, anche
sensibili, con strumenti elettronici
- Va aggiornato almeno una volta all’anno da parte del Titolare

Non è necessario che il documento abbia data certa. La legge non lo richiede.
E importante che il documento sia realizzato descrivendo correttamente la realtà.

Quando va redatto il D.P.S.?

Va aggiornato (o redatto) entro il 31 marzo di ogni anno.

Nel caso in cui il titolare non adotti le misure minime di sicurezza è prevista la pena
dell’arresto sino a due anni o, alternativamente, l’ammenda da euro 10.000 a
50.000.



Cosa contiene il D.P.S.?

- l’elenco dei trattamenti di dati personali
- la distribuzione dei compiti e delle responsabilita in relazione al trattamento dei
dati
- le procedure per controllare l’accesso delle persone autorizzate ai medesimi
locali
- l’analisi dei rischi
- le misure da adottare per garantire l’integrita e la disponibilita dei dati, nonche le
disposizioni per la protezione dei locali destinati alla custodia



Cosa contiene il D.P.S.?

- la descrizione dei criteri e delle modalità per il ripristino della disponibilita dei dati
in seguito a distruzione o danneggiamento
- la previsione di interventi formativi a favore degli incaricati del trattamento
- la descrizione dei criteri da adottare per garantire l’adozione delle misure
minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita al
codice, all’esterno della struttura del titolare
- l’individuazione dei criteri da adottare per la cifratura o per la separazione dei
dati relativi alla salute ed alla vita sessuale dagli altri dati personali dell’interessato



Come si redige il D.P.S.?
1) Raccogliere tutte le precedenti informazioni

2) Formulare correttamente l’analisi dei rischi con la definizione degli strumenti di
prevenzione piu adeguati

3) Analizzare punto per punto i requisiti tecnici di un sistema informatico sotto tre
profili:
- strumenti di autenticazione informatica
- sistemi di autorizzazione
- altre misure di sicurezza

Misure minime di sicurezza
- Utilizzo di credenziali di autenticazione formate da:
username + password
oppure
dispositivo di autenticazione (smart card, dispositivi usb) + password
oppure
dispositivo biometrico (impronte digitali, retina, volto) + password

- Credenziali strettamente personali, disattivate in caso di inutilizzo prolungato (6
mesi).

- Password formata da almeno 8 caratteri (o della dimensione massima disponibile)

- Password non deve contenere riferimenti riconducibili all'incaricato e deve
essere modificata da quest'ultimo al primo utilizzo

- Password deve avere validità massima di 6 mesi (3 mesi in caso di dati sensibili
e giudiziari)

Misure minime di sicurezza
- Gli incaricati non devono lasciare incustoditi i terminali informatici

- Richiesta della password all'accesso o dopo lo screen saver in caso di assenza

- Backup dei dati con frequenza almeno settimanale

- Aggiornamento dei sistemi informatici e dei software di sicurezza almeno ogni 6
mesi

- Aggiornamento annuale degli incarichi attribuiti agli addetti ai sistemi informatici
nell'ambito della gestione dei dati

- Creazione copia delle credenziali di accesso in caso di assenza dei responsabili
e/o incaricati

- Cifratura dei dati personali riguardanti stato di salute o vita sessuale


Qualche osservazione sulla sicurezza delle password
- Spesso le password scelte sono frasi di senso compiuto (piu facili da ricordare a
differenza di 8 caratteri casuali)

- E spesso possibile scoprire una password tramite un attacco di forza bruta (brute-
forcing) basato su di un dizionario (o su liste di possibili parole)

- Il 90% delle password possono essere scoperte dagli hacker in meno
di 1 giorno e il 20% in pochi minuti

- Se un sistema contiene 1000 account e 999 utilizzano password complicate, è
possibile entrare facilmente nel sistema scoprendo l'unica password debole

- Password insicure a causa del “Fattore Umano” dovute al fatto di doverle ricordare

- Il concetto stesso di password si basa sul fatto che esse devono essere stringhe di
caratteri casuali ma facili da ricordare


Altri sistemi di sicurezza

- Autenticazione tramite Smart Card o altri hardware come chiavette USB:
dispositivi in grado di memorizzare una chiave o un intero algoritmo in maniera
sicura

- Autenticazione biometrica: sistemi che prevedono l'autenticazione
tramite... il corpo umano utilizzando delle differenze fisiche
univoche come le impronte digitali, la retina dell'occhio, la voce ecc.

- Crittografia: i dati di autenticazione e le relative password vengono memorizzate in
modo cifrato (codificato) utilizzando diversi sistemi standard di codifica


Con il Decreto Legge n. 5 del 9 Febbraio 2012 (in attesa di conversione)

viene di fatto ABOLITO l'OBBLIGO di redazione e aggiornamento annuale del D.P.S.

PERO'... il DPS è e rimane l’unico documento scritto avente data certa con valore di piena
prova del corretto adempimento di tutte le misure di sicurezza minime ed idonee, tuttora in
vigore!

Il venir meno dell’obbligo del DPS rende quindi assai arduo dimostrare la propria adeguatezza
alle misure prescritte dal Codice della Privacy e, conseguentemente, rende piu esposti ai
controlli e alle relative sanzioni, che sono sia di natura civile ma altresì di natura penale!


FINE
Email: boris@wewantweb.it Twitter: @borisamico


Privacy, Tutela dei Dati Personali e D.P.S.

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Privacy, Tutela dei Dati Personali e D.P.S.

Similar to Privacy, Tutela dei Dati Personali e D.P.S. (20)

Privacy, Tutela dei Dati Personali e D.P.S.