Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Privacy, Tutela dei Dati Personali e D.P.S.

3,967 views

Published on

Privacy, Tutela dei Dati Personali e D.P.S. - Corso PON 2012 "Sicurezza Informatica"

Published in: Technology
  • Be the first to comment

Privacy, Tutela dei Dati Personali e D.P.S.

  1. 1. Privacy,Tutela dei Dati Personali e D.P.S.
  2. 2. Fasi della presentazione: Privacy, Tutela dei Dati e D.P.S.
  3. 3. Fasi della presentazione:1 Privacy, Tutela dei Dati e D.P.S.
  4. 4. Fasi della presentazione:1 2 Privacy, Tutela dei Dati e D.P.S.
  5. 5. Fasi della presentazione:1 2 3 Privacy, Tutela dei Dati e D.P.S.
  6. 6. Fasi della presentazione:1 2 4 3 Privacy, Tutela dei Dati e D.P.S.
  7. 7. 1 – IntroduzioneIn questo corso:● Inquadramento generale in materia di protezione dei dati personali● Contenuti essenziali del Documento Programmatico sulla Sicurezza, la piu importante tra le misure minime per garantire la protezione dei dati personali aziendali Privacy, Tutela dei Dati e D.P.S.
  8. 8. 2 – Cosè la Privacy Privacy, Tutela dei Dati e D.P.S.
  9. 9. 2 – Cosè la Privacy● Inizialmente è il diritto ad essere lasciati soli● Diritto fondamentale riconosciuto dallordinamento giuridico di tutti i paesi europei e delle principali nazioni del mondo● Strumento per proteggere la propria riservatezza e difendersi dai comportamenti invadenti di chi intende violarla● Strumento attraverso il quale ognuno può definire un confine tra sé e gli altri Privacy, Tutela dei Dati e D.P.S.
  10. 10. 2 – Cosè la PrivacyEvoluzione della società e della tecnologia = Cambiamenti del significato di Privacy Privacy, Tutela dei Dati e D.P.S.
  11. 11. 2 – Cosè la PrivacyEvoluzione della società e della tecnologia = Cambiamenti del significato di PrivacyConcetto fondamentale > ogni persona è titolare del diritto di disporre dei dati che la descrivono e che ne qualificano lindividualitaTutela della privacy (oggi): garantire il diritto fondamentale di esercitare il pieno e consapevole controllo sui nostri dati personali. Non è solo il diritto alla riservatezza, ma anche il diritto di scegliere luso che vogliamo gli altri facciano dei nostri dati personali Privacy, Tutela dei Dati e D.P.S.
  12. 12. 3 – Cosa sono i Dati Personali Privacy, Tutela dei Dati e D.P.S.
  13. 13. 3 – Cosa sono i Dati PersonaliDato Personale è qualunque informazione relativa a persona fisica, personagiuridica, ente od associazione, identificati o identificabili, anche indirettamente,mediante riferimento a qualsiasi altra informazione, ivi compreso un numero diidentificazione personale.Dato personale è anche unimmagine, un suono e qualunque notizia oinformazione che sia riferibile a un soggetto determinato o determinabile.(Es. Codici identificativi, Codici Fiscale, Codici Cliente, Targa di un mezzo, Numerodi Polizza Assicurativa, anche una semplice foto) Privacy, Tutela dei Dati e D.P.S.
  14. 14. 3 – Cosa sono i Dati PersonaliDATI SENSIBILI: Categoria particolare di Dati Personali sottoposta ad un livello di protezione PIU ELEVATOSi tratta dei dati personali idonei a rivelare lorigine razziale ed etnica, le convinzionireligiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti,sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico osindacale, nonche i dati personali idonei a rivelare lo stato di salute e la vitasessuale. Privacy, Tutela dei Dati e D.P.S.
  15. 15. 4 – Protezione dei Dati PersonaliLa legge si ispira a 6 principi fondamentali per stabilire alcune regole moltoprecise circa le modalita del trattamento e i requisiti dei dati da trattare: Privacy, Tutela dei Dati e D.P.S.
  16. 16. 4 – Protezione dei Dati PersonaliLa legge si ispira a 6 principi fondamentali per stabilire alcune regole moltoprecise circa le modalita del trattamento e i requisiti dei dati da trattare:● Diritto alla Protezione dei Dati Personali Privacy, Tutela dei Dati e D.P.S.
  17. 17. 4 – Protezione dei Dati PersonaliLa legge si ispira a 6 principi fondamentali per stabilire alcune regole moltoprecise circa le modalita del trattamento e i requisiti dei dati da trattare:● Diritto alla Protezione dei Dati Personali● Principio di Necessita nel Trattamento dei Dati Privacy, Tutela dei Dati e D.P.S.
  18. 18. 4 – Protezione dei Dati PersonaliLa legge si ispira a 6 principi fondamentali per stabilire alcune regole moltoprecise circa le modalita del trattamento e i requisiti dei dati da trattare:● Diritto alla Protezione dei Dati Personali● Principio di Necessita nel Trattamento dei Dati● Principio di Autodeterminazione Informativa Privacy, Tutela dei Dati e D.P.S.
  19. 19. 4 – Protezione dei Dati PersonaliLa legge si ispira a 6 principi fondamentali per stabilire alcune regole moltoprecise circa le modalita del trattamento e i requisiti dei dati da trattare:● Diritto alla Protezione dei Dati Personali● Principio di Necessita nel Trattamento dei Dati● Principio di Autodeterminazione Informativa● Principio di Finalita Privacy, Tutela dei Dati e D.P.S.
  20. 20. 4 – Protezione dei Dati PersonaliLa legge si ispira a 6 principi fondamentali per stabilire alcune regole moltoprecise circa le modalita del trattamento e i requisiti dei dati da trattare:● Diritto alla Protezione dei Dati Personali● Principio di Necessita nel Trattamento dei Dati● Principio di Autodeterminazione Informativa● Principio di Finalita● Principio di Correttezza Privacy, Tutela dei Dati e D.P.S.
  21. 21. 4 – Protezione dei Dati PersonaliLa legge si ispira a 6 principi fondamentali per stabilire alcune regole moltoprecise circa le modalita del trattamento e i requisiti dei dati da trattare:● Diritto alla Protezione dei Dati Personali● Principio di Necessita nel Trattamento dei Dati● Principio di Autodeterminazione Informativa● Principio di Finalita● Principio di Correttezza● Principio di Precauzione Privacy, Tutela dei Dati e D.P.S.
  22. 22. 4.1 – Diritto alla Protezione dei Dati PersonaliSi tratta della regola fondamentale che attribuisce ad ogni individuo il diritto dipretendere che l’uso dei suoi dati personali si svolga nel rispetto dei suoi diritti eliberta fondamentali, nonche della sua dignita, con particolare riferimento allariservatezza, all’identita personale e al diritto alla protezione dei dati personali. Privacy, Tutela dei Dati e D.P.S.
  23. 23. 4.1 – Diritto alla Protezione dei Dati PersonaliSi tratta della regola fondamentale che attribuisce ad ogni individuo il diritto dipretendere che l’uso dei suoi dati personali si svolga nel rispetto dei suoi diritti eliberta fondamentali, nonche della sua dignita, con particolare riferimento allariservatezza, all’identita personale e al diritto alla protezione dei dati personali.4.2 – Principio di Necessità nel Trattamento dei DatiE il criterio che mira a limitare le raccolte ed i trattamenti di dati non necessari.Vanno raccolti solo i dati necessari per il trattamento che si intende realizzare. Privacy, Tutela dei Dati e D.P.S.
  24. 24. 4.3 – Principio di Autodeterminazione InformativaQuesta regola fissa il principio per il quale ognuno di noi ha il diritto di stabilire se edin che misura le informazioni a lui riferite possono circolare ed essere conosciutedagli altri. Privacy, Tutela dei Dati e D.P.S.
  25. 25. 4.3 – Principio di Autodeterminazione InformativaQuesta regola fissa il principio per il quale ognuno di noi ha il diritto di stabilire se edin che misura le informazioni a lui riferite possono circolare ed essere conosciutedagli altri.4.4 – Principio di FinalitàE il principio che collega l’attivita di raccolta dei dati personali con l’uso che di quelleinformazioni viene fatto. Consiste nell’obbligo posto a carico di chi effettua la raccoltadi far conoscere all’interessato la ragione per la quale i dati sono raccolti. Privacy, Tutela dei Dati e D.P.S.
  26. 26. 4.5 – Principio di CorrettezzaE un principio che riguarda la condotta di chi usa i dati personali: questo soggettodeve comportarsi in modo lecito e corretto durante il trattamento, la raccolta el’elaborazione vera e propria dei dati. Privacy, Tutela dei Dati e D.P.S.
  27. 27. 4.5 – Principio di CorrettezzaE un principio che riguarda la condotta di chi usa i dati personali: questo soggettodeve comportarsi in modo lecito e corretto durante il trattamento, la raccolta el’elaborazione vera e propria dei dati.4.6 – Principio di PrecauzioneNell’utilizzo dei dati personali occorre prevenire ogni forma di illecito utilizzo.Pertanto chi tratta dati personali deve adottare qualsiasi cautela per evitare l’accessoa dati di provenienza sconosciuta. Privacy, Tutela dei Dati e D.P.S.
  28. 28. 5 – Codice della Privacy (D.Lgs. 196/2003)Approvazione: Giugno 2003Entrata in vigore: Gennaio 2004 Sostituisce la legge 675 del 31 Dicembre 1996Contenuto: 186 articoli, 3 allegati, 1 specifico Disciplinare Tecnico (allegato B) che regola le misure minime di sicurezza. > Breve sguardo su alcuni articoli Privacy, Tutela dei Dati e D.P.S.
  29. 29. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 1 (Diritto alla protezione dei dati personali)Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Privacy, Tutela dei Dati e D.P.S.
  30. 30. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 1 (Diritto alla protezione dei dati personali)Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Art. 2 (Finalità)... garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti edelle liberta fondamentali, nonche della dignita dell’interessato, con particolareriferimento alla riservatezza, allidentita personale e al diritto alla protezione dei datipersonali.Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tuteladei diritti e delle liberta... Privacy, Tutela dei Dati e D.P.S.
  31. 31. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 3 (Principio di necessità nel trattamento dei dati)I sistemi informativi e i programmi informatici sono configurati riducendo al minimol’utilizzazione di dati personali e di dati identificativi, in modo da escluderne iltrattamento quando le finalita perseguite nei singoli casi possono essere realizzatemediante, rispettivamente, dati anonimi od opportune modalita che permettano diidentificare l’interessato solo in caso di necessita. Privacy, Tutela dei Dati e D.P.S.
  32. 32. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 4 (Definizioni)- "dato personale", qualunque informazione relativa a persona fisica, personagiuridica, ente od associazione, identificati o identificabili, anche indirettamente,mediante riferimento a qualsiasi altra informazione, ivi compreso un numero diidentificazione personale;- "dati identificativi", i dati personali che permettono l’identificazione direttadell’interessato;- “dati sensibili”, i dati personali idonei a rivelare lorigine razziale ed etnica, leconvinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione apartiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,politico o sindacale, nonche i dati personali idonei a rivelare lo stato di salute e la vitasessuale;- “dati giudiziari”, i dati personali idonei a rivelare provvedimenti … in materia dicasellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato edei relativi carichi pendenti, o la qualita di imputato o di indagato ai sensi ... delcodice di procedura penale Privacy, Tutela dei Dati e D.P.S.
  33. 33. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 5 (Oggetto ed ambito di applicazione)... disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato dachiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto allasovranita dello Stato Privacy, Tutela dei Dati e D.P.S.
  34. 34. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 5 (Oggetto ed ambito di applicazione)... disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato dachiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto allasovranita dello Stato Art. 31 (Obblighi di sicurezza)I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazionealle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e allespecifiche caratteristiche del trattamento, in modo da ridurre al minimo, medianteladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita,anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento nonconsentito o non conforme alle finalita della raccolta Privacy, Tutela dei Dati e D.P.S.
  35. 35. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 33 (Misure minime)Misure minime di sicurezza informatica. Nel quadro dei piu generali obblighi disicurezza ... i titolari del trattamento sono comunque tenuti ad adottare le misureminime i... volte ad assicurare un livello minimo di protezione dei dati personali. Privacy, Tutela dei Dati e D.P.S.
  36. 36. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 34 (Trattamenti con strumenti elettronici)Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo sesono adottate … le seguenti misure minime:a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentitoai singoli incaricati e addetti alla gestione o alla manutenzione degli strumentielettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,ad accessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino delladisponibilita dei dati e dei sistemi;g) tenuta di un aggiornato documento programmatico sulla sicurezza;h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamentidi dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismisanitari. Privacy, Tutela dei Dati e D.P.S.
  37. 37. 5 – Codice della Privacy (D.Lgs. 196/2003) Art. 36 (Adeguamento)Il disciplinare tecnico di cui all’allegato B, relativo alle misure minime di cui alpresente capo, è aggiornato periodicamente con decreto del Ministro della giustiziadi concerto con il Ministro per le innovazioni e le tecnologie, in relazioneallevoluzione tecnica e allesperienza maturata nel settore. Privacy, Tutela dei Dati e D.P.S.
  38. 38. 6 – Trattamento dei Dati Personali (avviene in 3 fasi) Privacy, Tutela dei Dati e D.P.S.
  39. 39. 6 – Trattamento dei Dati Personali (avviene in 3 fasi)- Trattamento: qualsiasi operazione riguardante RACCOLTA, REGISTRAZIONE,ORGANIZZAZIONE, CONSERVAZIONE, CONSULTAZIONE, ELABORAZIONE,MODIFICA, SELEZIONE, ESTRAZIONE, RAFFRONTO, DIFFUSIONE,CANCELLAZIONE o DISTRUZIONE di dati Privacy, Tutela dei Dati e D.P.S.
  40. 40. 6 – Trattamento dei Dati Personali (avviene in 3 fasi)- Trattamento: qualsiasi operazione riguardante RACCOLTA, REGISTRAZIONE,ORGANIZZAZIONE, CONSERVAZIONE, CONSULTAZIONE, ELABORAZIONE,MODIFICA, SELEZIONE, ESTRAZIONE, RAFFRONTO, DIFFUSIONE,CANCELLAZIONE o DISTRUZIONE di dati- Informativa: informare linteressato che qualcuno sta raccogliendo e trattando datiche lo riguardano. Esso deve conoscerne le finalita e le modalita di trattamento Privacy, Tutela dei Dati e D.P.S.
  41. 41. 6 – Trattamento dei Dati Personali (avviene in 3 fasi)- Trattamento: qualsiasi operazione riguardante RACCOLTA, REGISTRAZIONE,ORGANIZZAZIONE, CONSERVAZIONE, CONSULTAZIONE, ELABORAZIONE,MODIFICA, SELEZIONE, ESTRAZIONE, RAFFRONTO, DIFFUSIONE,CANCELLAZIONE o DISTRUZIONE di dati- Informativa: informare linteressato che qualcuno sta raccogliendo e trattando datiche lo riguardano. Esso deve conoscerne le finalita e le modalita di trattamento- Consenso: obbligo di chiedere il consenso allinteressato per effettuare iltrattamento Privacy, Tutela dei Dati e D.P.S.
  42. 42. 7 – Soggetti del Trattamento dei Dati PersonaliI soggetti che intervengono nelle operazioni di trattamento dei dati personali sono:- il Titolare- il Responsabile- gli Incaricati- lInteressato- il Garante della Privacy- lAutorità Giudiziaria Privacy, Tutela dei Dati e D.P.S.
  43. 43. 7 – Soggetti del Trattamento dei Dati PersonaliI soggetti che intervengono nelle operazioni di trattamento dei dati personali sono:- il Titolare- il Responsabile- gli Incaricati- lInteressato- il Garante della Privacy- lAutorità GiudiziariaE in ambito tecnico sono previste le seguenti ulteriori figure:- lAmministratore di Sistema- il Custode delle password (facoltativo)- il Responsabile dei Backup (facoltativo) Privacy, Tutela dei Dati e D.P.S.
  44. 44. 7.1 – Titolare del Trattamentola persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altroente, associazione od organismo cui competono le decisioni in ordine alle finalitàe alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivicompreso il profilo della sicurezza. Privacy, Tutela dei Dati e D.P.S.
  45. 45. 7.1 – Titolare del Trattamentola persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altroente, associazione od organismo cui competono le decisioni in ordine alle finalitàe alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivicompreso il profilo della sicurezza.7.2 – Responsabile del Trattamentola persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altroente, associazione od organismo preposto al trattamento di dati personali. Ilresponsabile procede al trattamento attenendosi alle istruzioni impartite periscritto dal titolare che, anche tramite verifiche periodiche, vigila sulla puntualeosservanza delle norme di legge e delle proprie istruzioni. Privacy, Tutela dei Dati e D.P.S.
  46. 46. 7.3 – Incaricati del Trattamentole persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dalresponsabile. Si tratta quindi dei soggetti che possono elaborare i dati personali,ai quali accedono attenendosi alle istruzioni ricevute dal titolare o dal responsabile. Privacy, Tutela dei Dati e D.P.S.
  47. 47. 7.3 – Incaricati del Trattamentole persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dalresponsabile. Si tratta quindi dei soggetti che possono elaborare i dati personali,ai quali accedono attenendosi alle istruzioni ricevute dal titolare o dal responsabile.7.4 – Interessatoil soggetto (persona fisica, persona giuridica, ente o associazione) cui si riferisconoi dati personali. E quindi il vero protagonista del trattamento. Privacy, Tutela dei Dati e D.P.S.
  48. 48. 7.5 – Garante della Privacylautorita preposta alla tutela della riservatezza dei dati personali. Dal punto di vistagenerale il Garante è unautorita amministrativa indipendente. Le funzioni principalidel Garante sono controllare la legittimità dei trattamenti, esaminare i ricorsi ele segnalazioni ricevute dagli interessati. Privacy, Tutela dei Dati e D.P.S.
  49. 49. 7.5 – Garante della Privacylautorita preposta alla tutela della riservatezza dei dati personali. Dal punto di vistagenerale il Garante è unautorita amministrativa indipendente. Le funzioni principalidel Garante sono controllare la legittimità dei trattamenti, esaminare i ricorsi ele segnalazioni ricevute dagli interessati.7.6 – Autorità Giudiziaria (Magistratura)organo a cui compete ogni azione volta ad ottenere il risarcimento del danno tantopatrimoniale quanto non patrimoniale recato allInteressato. Privacy, Tutela dei Dati e D.P.S.
  50. 50. 7.7 – Amministratore di Sistemafigura che prende tutti i provvedimenti operativi necessari ad evitare la perdita o ladistruzione dei dati. Provvedere alla messa in sicurezza periodica degli stessi concopie di backup, correttamente conservate, e verifica gli accessi sia degliincaricati che di altri non autorizzati. Conserva gli "access log" (registri degliaccessi) per almeno 6 mesi in archivi immodificabili e inalterabili. Ha capacita diazione propria e di un rapporto fiduciario che lo lega al titolare. Privacy, Tutela dei Dati e D.P.S.
  51. 51. 7.8 – Custode delle Passwordfigura facoltativa, spesso assunta dall’Amministratore di Sistema o dai Responsabilidel Trattamento. Ha il compito di conservare e custodire tutte le password di ogniincaricato. Se l’Amministratore ha pieni diritti di accesso a tutto il sistema, la suapassword è l’unica da salvare e conservare in busta chiusa e in luogo protettoaccessibile solo dal Titolare o dal Responsabile.7.9 – Responsabile dei Backupfigura facoltativa, spesso assunta dall’Amministratore di Sistema o dal Responsabiledel Trattamento. Deve assicurarsi che le procedure di backup inizino e siconcludano correttamente, che siano riposti correttamente e che sia possibile ilrecupero dei dati salvati. Privacy, Tutela dei Dati e D.P.S.
  52. 52. 8 – Tutela dei Dati Personali in 10 regole Privacy, Tutela dei Dati e D.P.S.
  53. 53. 8 – Tutela dei Dati Personali in 10 regoleCustodire in modo riservato banche dati, contratti ecomunque ogni documentazione raccolta nellosvolgimento dell’attivita lavorativa. Privacy, Tutela dei Dati e D.P.S.
  54. 54. 8 – Tutela dei Dati Personali in 10 regoleGarantire che tutte le persone con cui si collaborasiano informate sulle regole di riservatezza adottateper proteggere i dati ed impartire adeguate istruzioniper evitare abusi per negligenza o imprudenza. Privacy, Tutela dei Dati e D.P.S.
  55. 55. 8 – Tutela dei Dati Personali in 10 regoleVerificare sempre l’origine dei dati utilizzati perl’effettuazione di campagne promozionali. Privacy, Tutela dei Dati e D.P.S.
  56. 56. 8 – Tutela dei Dati Personali in 10 regoleIn caso di utilizzo dei dati per l’invio di materialepromo-commerciale ricordarsi di verificare che lapersona che si contatta abbia fornito il consenso. Privacy, Tutela dei Dati e D.P.S.
  57. 57. 8 – Tutela dei Dati Personali in 10 regoleInformare prontamente il proprio referente qualora uninteressato formuli un’istanza per l’esercizio dei suoidiritti. Privacy, Tutela dei Dati e D.P.S.
  58. 58. 8 – Tutela dei Dati Personali in 10 regoleEvitare di utilizzare liste di nominativi ed indirizziquando non ne è certa la provenienza o non siconosce se gli interessati hanno rilasciato o meno ilproprio consenso al trattamento per fini commerciali. Privacy, Tutela dei Dati e D.P.S.
  59. 59. 8 – Tutela dei Dati Personali in 10 regoleAdottare tutte le misure di sicurezza informatichepreviste dal sistema fornito dall’organizzazione in cuisi opera o quando ci si connette alla rete predispostaper il collegamento alla banca dati. Privacy, Tutela dei Dati e D.P.S.
  60. 60. 8 – Tutela dei Dati Personali in 10 regoleSegnalare al proprio referente qualsiasi anomaliariscontrata nella qualita dei dati presenti nel databaseaziendale. Privacy, Tutela dei Dati e D.P.S.
  61. 61. 8 – Tutela dei Dati Personali in 10 regoleAdottare ogni precauzione nello svolgimento di attivitapromo-commerciali che prevedono l’utilizzo di datipersonali (invio di materiale per posta, e-mail oricerche di mercato con strumenti di telemarketing), alfine di prevenire ogni forma di illecito utilizzo di datipersonali. Privacy, Tutela dei Dati e D.P.S.
  62. 62. 8 – Tutela dei Dati Personali in 10 regoleFerma restando la responsabilita del singoloutilizzatore del database, attenersi alle istruzioni chesono state e che verranno impartite dall’azienda pergarantire la corretta gestione dei dati stessi. Privacy, Tutela dei Dati e D.P.S.
  63. 63. 9 – Misure di SicurezzaBisogna adottate misure di sicurezza sia di tipo organizzativo che di tipo fisico einformatico per evitare possibili abusi nei trattamenti dei dati personali.Il Codice della Privacy prevede ladozione di misure di sicurezza di diversa naturaa seconda che il trattamento dei dati avvenga con o senza lausilio di strumentielettronici. Privacy, Tutela dei Dati e D.P.S.
  64. 64. 9.1 – Trattamento mediante Strumenti Informatici- Trattamento mediante credenziali di autenticazione (user-id e password)- Password di almeno 8 caratteri, modificata ogni 6 mesi (3 nel caso di trattamento di dati sensibili o giudiziari)- Creazione di copie di sicurezza tramite salvataggio dei dati con frequenza almeno settimanale (backup dei dati)- Utilizzo di strumenti elettronici di protezione (antivirus e firewall) da aggiornare almeno ogni 6 mesi- Redazione del Documento Programmatico sulla Sicurezza (D.P.S.) atto a fornire idonee informazioni riguardo alla sicurezza Privacy, Tutela dei Dati e D.P.S.
  65. 65. 9.2 – Trattamento senza luso di Strumenti Informatici- Istruzioni scritte circa il controllo e la custodia di atti e documenti- Redazione di un elenco degliIncaricati- Accesso agli archivi controllatocon identificazione e registrazionedelle persone ammesse Privacy, Tutela dei Dati e D.P.S.
  66. 66. 10 – Documento Programmatico sulla Sicurezza (DPS)Cosè il D.P.S.? - E una delle misure minime di sicurezza previste dal DL 196/2003 - E un documento interno che va conservato agli atti e non va inviato a nessuna autorita di controllo - E obbligatorio per tutte le aziende, liberi professionisti, enti o associazioni che trattano i dati personali, anche sensibili, con strumenti elettronici- Va aggiornato almeno una volta all’anno da parte del TitolareNon è necessario che il documento abbia data certa. La legge non lo richiede.E importante che il documento sia realizzato descrivendo correttamente la realtà. Privacy, Tutela dei Dati e D.P.S.
  67. 67. 10 – Documento Programmatico sulla Sicurezza (DPS)Quando va redatto il D.P.S.? Va aggiornato (o redatto) entro il 31 marzo di ogni anno.Nel caso in cui il titolare non adotti le misure minime di sicurezza è prevista la penadell’arresto sino a due anni o, alternativamente, l’ammenda da euro 10.000 a50.000. Privacy, Tutela dei Dati e D.P.S.
  68. 68. 10 – Documento Programmatico sulla Sicurezza (DPS)Cosa contiene il D.P.S.?- l’elenco dei trattamenti di dati personali- la distribuzione dei compiti e delle responsabilita in relazione al trattamento deidati- le procedure per controllare l’accesso delle persone autorizzate ai medesimilocali- l’analisi dei rischi- le misure da adottare per garantire l’integrita e la disponibilita dei dati, nonche ledisposizioni per la protezione dei locali destinati alla custodia Privacy, Tutela dei Dati e D.P.S.
  69. 69. 10 – Documento Programmatico sulla Sicurezza (DPS)Cosa contiene il D.P.S.?- la descrizione dei criteri e delle modalità per il ripristino della disponibilita dei datiin seguito a distruzione o danneggiamento- la previsione di interventi formativi a favore degli incaricati del trattamento- la descrizione dei criteri da adottare per garantire l’adozione delle misureminime di sicurezza in caso di trattamenti di dati personali affidati, in conformita alcodice, all’esterno della struttura del titolare- l’individuazione dei criteri da adottare per la cifratura o per la separazione deidati relativi alla salute ed alla vita sessuale dagli altri dati personali dell’interessato Privacy, Tutela dei Dati e D.P.S.
  70. 70. 10 – Documento Programmatico sulla Sicurezza (DPS)Come si redige il D.P.S.?1) Raccogliere tutte le precedenti informazioni2) Formulare correttamente l’analisi dei rischi con la definizione degli strumenti diprevenzione piu adeguati3) Analizzare punto per punto i requisiti tecnici di un sistema informatico sotto treprofili:- strumenti di autenticazione informatica- sistemi di autorizzazione- altre misure di sicurezza Privacy, Tutela dei Dati e D.P.S.
  71. 71. 10 – Documento Programmatico sulla Sicurezza (DPS)Misure minime di sicurezza- Utilizzo di credenziali di autenticazione formate da: username + password oppure dispositivo di autenticazione (smart card, dispositivi usb) + password oppure dispositivo biometrico (impronte digitali, retina, volto) + password- Credenziali strettamente personali, disattivate in caso di inutilizzo prolungato (6mesi).- Password formata da almeno 8 caratteri (o della dimensione massima disponibile)- Password non deve contenere riferimenti riconducibili allincaricato e deveessere modificata da questultimo al primo utilizzo- Password deve avere validità massima di 6 mesi (3 mesi in caso di dati sensibilie giudiziari) Privacy, Tutela dei Dati e D.P.S.
  72. 72. 10 – Documento Programmatico sulla Sicurezza (DPS)Misure minime di sicurezza- Gli incaricati non devono lasciare incustoditi i terminali informatici- Richiesta della password allaccesso o dopo lo screen saver in caso di assenza- Backup dei dati con frequenza almeno settimanale- Aggiornamento dei sistemi informatici e dei software di sicurezza almeno ogni 6mesi- Aggiornamento annuale degli incarichi attribuiti agli addetti ai sistemi informaticinellambito della gestione dei dati- Creazione copia delle credenziali di accesso in caso di assenza dei responsabilie/o incaricati- Cifratura dei dati personali riguardanti stato di salute o vita sessuale Privacy, Tutela dei Dati e D.P.S.
  73. 73. 10 – Documento Programmatico sulla Sicurezza (DPS)Qualche osservazione sulla sicurezza delle password- Spesso le password scelte sono frasi di senso compiuto (piu facili da ricordare adifferenza di 8 caratteri casuali)- E spesso possibile scoprire una password tramite un attacco di forza bruta (brute-forcing) basato su di un dizionario (o su liste di possibili parole)- Il 90% delle password possono essere scoperte dagli hacker in menodi 1 giorno e il 20% in pochi minuti- Se un sistema contiene 1000 account e 999 utilizzano password complicate, èpossibile entrare facilmente nel sistema scoprendo lunica password debole- Password insicure a causa del “Fattore Umano” dovute al fatto di doverle ricordare- Il concetto stesso di password si basa sul fatto che esse devono essere stringhe dicaratteri casuali ma facili da ricordare Privacy, Tutela dei Dati e D.P.S.
  74. 74. 10 – Documento Programmatico sulla Sicurezza (DPS)Altri sistemi di sicurezza- Autenticazione tramite Smart Card o altri hardware come chiavette USB:dispositivi in grado di memorizzare una chiave o un intero algoritmo in manierasicura- Autenticazione biometrica: sistemi che prevedono lautenticazionetramite... il corpo umano utilizzando delle differenze fisicheunivoche come le impronte digitali, la retina dellocchio, la voce ecc.- Crittografia: i dati di autenticazione e le relative password vengono memorizzate inmodo cifrato (codificato) utilizzando diversi sistemi standard di codifica Privacy, Tutela dei Dati e D.P.S.
  75. 75. 10 – Documento Programmatico sulla Sicurezza (DPS)Con il Decreto Legge n. 5 del 9 Febbraio 2012 (in attesa di conversione)viene di fatto ABOLITO lOBBLIGO di redazione e aggiornamento annuale del D.P.S.PERO... il DPS è e rimane l’unico documento scritto avente data certa con valore di pienaprova del corretto adempimento di tutte le misure di sicurezza minime ed idonee, tuttora invigore!Il venir meno dell’obbligo del DPS rende quindi assai arduo dimostrare la propria adeguatezzaalle misure prescritte dal Codice della Privacy e, conseguentemente, rende piu esposti aicontrolli e alle relative sanzioni, che sono sia di natura civile ma altresì di natura penale! Privacy, Tutela dei Dati e D.P.S.
  76. 76. FINEEmail: boris@wewantweb.it Twitter: @borisamico Privacy, Tutela dei Dati e D.P.S.

×