Your SlideShare is downloading. ×
0
Misure relative agli amministratori di sistema<br />Provvedimento del Garante Privacy – 27/11/2008<br />
Le Norme<br />16/12/2009<br />Roberto Mozzillo<br />2<br />Provv. Garante 27/11/2008 (GU n. 300 del 24/12/2008)<br />Provv...
Chi è soggetto?<br />03/04/2009<br />Roberto Mozzillo<br />3<br />Alle nuove misure devono attenersi tutti i Titolari dei ...
Chi non è soggetto?<br />03/04/2009<br />Roberto Mozzillo<br />4<br />I titolari di alcuni trattamenti effettuati in ambit...
Chi sono gli AdS?<br />03/04/2009<br />Roberto Mozzillo<br />5<br />Amministratore di sistema<br />Amministratore di basi ...
Chi sono gli AdS?<br />03/04/2009<br />Roberto Mozzillo<br />6<br />Ѐ nominato amministratore sistema, di database, di ret...
Quali gli adempimenti?<br />03/04/2009<br />Roberto Mozzillo<br />7<br />Valutazione di caratteristiche soggettive<br /><u...
Tali criteri di valutazione sono analoghi a quelli richiesti per la designazione dei Responsabili ai sensi dell’art. 29 de...
Occorre dettagliare l’ambito di azione consentito in base al profilo di autorizzazione assegnato</li></ul>In caso di incau...
Quali gli adempimenti?<br />03/04/2009<br />Roberto Mozzillo<br />9<br />Tenuta dell’elenco nominativo degli AdS<br />Elen...
03/04/2009<br />Roberto Mozzillo<br />10<br />Quali gli adempimenti?<br />Servizi in Outsourcing<br />Se i servizi di ammi...
17/12/2009<br />Roberto Mozzillo<br />11<br />Quali gli adempimenti?<br />Controlli periodici<br /><ul><li>I titolaridevon...
Si deve verificare che l’operato sia conforme alle misure tecniche, organizzative e di sicurezza previste dalla normativa,...
La natura del controllo deriva dalla norma che attribuisce al Titolare un obbligo di vigilanza sull’operato del Responsabi...
Upcoming SlideShare
Loading in...5
×

Misure Relative Agli Amministratori Di Sistema

1,099

Published on

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,099
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
25
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Misure Relative Agli Amministratori Di Sistema"

  1. 1. Misure relative agli amministratori di sistema<br />Provvedimento del Garante Privacy – 27/11/2008<br />
  2. 2. Le Norme<br />16/12/2009<br />Roberto Mozzillo<br />2<br />Provv. Garante 27/11/2008 (GU n. 300 del 24/12/2008)<br />Provv. Garante 21/04/2009 (Avvio consultazione pubblica con richiesta di osservazioni e commenti entro il 31/05/2009)<br />Provv. Garante 25/06/2009 (Modifiche al Provv. originario e proroga dei termini dal 30/06/2009 al 15/12/2009)<br />
  3. 3. Chi è soggetto?<br />03/04/2009<br />Roberto Mozzillo<br />3<br />Alle nuove misure devono attenersi tutti i Titolari dei trattamenti effettuati con strumenti elettronici, salvo quelli coinvolti nelle misure di semplificazione<br />
  4. 4. Chi non è soggetto?<br />03/04/2009<br />Roberto Mozzillo<br />4<br />I titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto delle misure di semplificazione: <br />art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133<br />art. 34 del Codice<br />Provv. Garante 27 novembre 2008<br />Le PMI come definite nel Decreto MSE del 18 Aprile 2005 <br />Art. 2. La categoria delle microimprese, delle piccole imprese e delle medie imprese (complessivamente definita PMI) e&apos; costituita da imprese che:<br />hanno meno di 250 occupati<br />hanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.<br />
  5. 5. Chi sono gli AdS?<br />03/04/2009<br />Roberto Mozzillo<br />5<br />Amministratore di sistema<br />Amministratore di basi di dati<br />Amministratore di rete<br />Amministratore di apparati di sicurezza<br />Amministratore di sistemi software complessi (ERP)<br />
  6. 6. Chi sono gli AdS?<br />03/04/2009<br />Roberto Mozzillo<br />6<br />Ѐ nominato amministratore sistema, di database, di rete o di software complessi chi, in ragione delle proprie mansioni, riceve attributi, privilegi o accessi che sono associati ad un sistema di elaborazione o alle sue componenti;<br />tali privilegi o accessi sono richiesti per svolgere attività di system support o di manutenzione;<br />chi possiede l’autorità di sistema potrebbe, in astratto, operare impropriamente in modo da alterare i sistemi di elaborazione affidatigli o accedere, senza la necessaria autorizzazione, a dati ed informazioni dell’azienda al di fuori del proprio ambito di competenza;<br />le attività che competono all’amministratore di sistema, di database, di rete o di software complessi devono essere esplicitamente autorizzate dal Titolare o dal Responsabile dei Sistemi Informatici<br />
  7. 7. Quali gli adempimenti?<br />03/04/2009<br />Roberto Mozzillo<br />7<br />Valutazione di caratteristiche soggettive<br /><ul><li>Ѐ necessario valutare l’esperienza, la professionalità, l’affidabilità, la conoscenza ed il rispetto della normativa sulla protezione dei dati
  8. 8. Tali criteri di valutazione sono analoghi a quelli richiesti per la designazione dei Responsabili ai sensi dell’art. 29 del Codice (D.L. 196/03)</li></li></ul><li>Quali gli adempimenti?<br />03/04/2009<br />Roberto Mozzillo<br />8<br />Nomine individuali<br /><ul><li>La nomina ad amministratore di sistema deve avvenire su base individuale
  9. 9. Occorre dettagliare l’ambito di azione consentito in base al profilo di autorizzazione assegnato</li></ul>In caso di incauta o inidonea designazione si potrebbe andare incontro a responsabilità di ordine penale e civile (violazione delle misure minime di sicurezza, responsabilità civile da trattamento dati personali)<br />
  10. 10. Quali gli adempimenti?<br />03/04/2009<br />Roberto Mozzillo<br />9<br />Tenuta dell’elenco nominativo degli AdS<br />Elenco annotato nel DPS o in un documento interno<br />Conoscibilità degli amministratori di sistema addetti a trattamento di dati del personale (Amministratori che gestiscono servizi o sistemi che trattano informazioni di carattere personale dei lavoratori: ad es. sistemi per il controllo dei dati di navigazione, sistemi di gestione delle paghe)<br />Obbligo di informativa ai lavoratori ai sensi dell’art. 13 del Codice (D.L. 196/03)<br />Utilizzo di bollettini, Intranet, procedure formalizzate<br />
  11. 11. 03/04/2009<br />Roberto Mozzillo<br />10<br />Quali gli adempimenti?<br />Servizi in Outsourcing<br />Se i servizi di amministrazione di sistema sono eseguiti in outsourcing, il titolare chiede al responsabile esterno di formare e rendere disponibile l’elenco degli amministratori di sistema addetti ai trattamenti di sua pertinenza<br />Regolamentazione dell’adempimento nel quadro del contratto di servizio o della nomina a Responsabile<br />
  12. 12. 17/12/2009<br />Roberto Mozzillo<br />11<br />Quali gli adempimenti?<br />Controlli periodici<br /><ul><li>I titolaridevono effettuare controlli, anche mediante l’analisi dei log, (Audit tramite OdV o altro organo “indipendente” per evitare conflitti di interesse) almeno su base annuale
  13. 13. Si deve verificare che l’operato sia conforme alle misure tecniche, organizzative e di sicurezza previste dalla normativa, nonché alle istruzioni ricevute
  14. 14. La natura del controllo deriva dalla norma che attribuisce al Titolare un obbligo di vigilanza sull’operato del Responsabile del trattamento</li></li></ul><li>03/04/2009<br />Roberto Mozzillo<br />12<br />Quali gli adempimenti?<br />Registrazione degli accessi<br /><ul><li>Gli accessi logici da parte degli AdS alle risorse ed agli archivi (solo ed esclusivamente il login, il logout ed i tentativi errati) devono essere registrati da adeguati sistemi informatici
  15. 15. Tali sistemi devono garantire che i log siano:
  16. 16. completi (comprensivi di riferimenti temporali e descrizione dell’evento che li ha generati)
  17. 17. Inalterabili
  18. 18. verificabili
  19. 19. I log devono essere conservati per almeno 6 mesi</li></li></ul><li>Quali le sanzioni?<br />03/04/2009<br />Roberto Mozzillo<br />13<br />In caso di ispezioni che dovessero accertare che il Titolare che si è avvalso della autocertificazione (cioè abbia adottato i cosiddetti criteri di semplificazione) risulti scoperto sul fronte della sicurezza minima ed adeguata, le conseguenze potrebbero essere le seguenti:<br /><ul><li>misure minime di sicurezza: contravvenzione (oltre a sanzione amministrativa) sanabile con il meccanismo del ravvedimento operoso (art. 169 Dlgs 196/2003) + delitto ben più grave di falso ideologico del privato in atto pubblico (applicazione per costante giurisprudenza del Consiglio di Stato dell’art. 483 cp).
  20. 20. misure di sicurezza adeguate: anche in tale contesto - di per sé non è assistito da sanzione penale autonoma -potrebbe configurarsi il delitto di falso ideologico del privato in atto pubblico (applicazione per costante giurisprudenza del Consiglio di Stato dell’art. 483 cp)</li></li></ul><li>Quali le sanzioni?<br />03/04/2009<br />Roberto Mozzillo<br />14<br />162 comma 2 -ter<br />Inosservanza dei provvedimenti di prescrizione di misure necessarie o di<br />divieto di cui, rispettivamente, all&apos;articolo 154, comma 1, lettere c) e d)<br />164 bis comma 1<br />Se taluna delle violazioni di cui agli articoli 161, 162, 163, e 164 è di minore<br />gravità, avuto altresì riguardo alla natura anche economica o sociale<br />dell&apos;attività svolta<br />164 bis comma 2<br />Caso di più violazioni di un&apos;unica o di più disposizioni …. , commesse anche in<br />tempi diversi in relazione a banche di dati di particolare rilevanza o<br />dimensioni. Non è ammesso il pagamento in misura ridotta<br />164 bis comma 3<br />Casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio<br />per uno o più interessati, ovvero quando la violazione coinvolge numerosi<br />interessati<br />164 bis comma 4<br />Caso in cui le sanzioni possono risultare inefficaci in ragione delle condizioni<br />economiche del contravventore<br />30.000€ - 180.000€<br />12.000€ - 72.000€<br />[Due Quinti]<br />50.000€ - 300.000€<br />60.000€ - 360.000€<br />[Doppio ]<br />120.000€ - 720.000€<br />[ Quadruplo]<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×