850 likes | 986 Views
G e s tione Privacy Zucchetti. Il software ha l’obbiettivo di supportare aziende e professionisti, aziende sanitarie e enti pubblici nell’attività di adeguamento alle misure minime di sicurezza. . Gestione Privacy Zucchetti. Cosa fa Come e perché Normativa e definizioni. Cosa fa.
E N D
GestionePrivacyZucchetti Il software ha l’obbiettivo di supportare aziende e professionisti, aziende sanitarie e enti pubblici nell’attività di adeguamento alle misure minime di sicurezza.
Gestione Privacy Zucchetti Cosa fa Come e perché Normativa e definizioni
Cosa fa • Informative:redazione, gestione e storicizzazione delle comunicazioni richieste dall’art. 13. • D.P.S.:redazione, gestione e storicizzazione del Documento programmatico sulla sicurezza in relazione alle linee guida del Garante per la protezione dei dati personali. • Lettere di Incarico:gestione degli incarichi (normativamente previsti) attribuiti in relazione alle funzioni svolte nella struttura del Titolare e stampa delle relative lettere.
Per i dati trattati con strumenti elettronici: • un sistema di autenticazione informatica • un sistema di autorizzazione • il D.P.S. (documento programmatico sulla sicurezza) Le misure minime di sicurezza previste dal Decreto legislativo e specificate dall’Allegato B riguardano: • Per i dati trattati senza l’ausilio di strumenti elettronici: • un sistema di procedure finalizzate al controllo ed alla custodia dei dati da parte degli incaricati. • un sistema tecnologico idoneo a controllare gli accessi ai dati dopo l’orario di chiusura degli uffici.
In relazione a ciò Gestione Privacy consente di sviluppare e redigere la documentazione richiesta dall’Allegato B e dal D.lgs. 196/2003. Consente la redazione delle Informative ex art. 13 D.lgs. 196/2003 per il quale è necessario che il Titolare, quando riceve dei dati da trattare da parte dell’interessato, gli comunichi, oralmente o per iscritto, le seguenti informazioni: • le finalità e modalità del trattamento cui sono destinati i dati • la natura obbligatoria o facoltativa del conferimento • le conseguenze di un eventuale rifiuto a rispondere • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l’ambito di diffusione dei dati medesimi • i diritti di cui all’art. 7 • gli estremi identificativi del Titolare e, se designato, del rappresentante nel territorio dello stato e del responsabile
Consente la redazione del D.P.S. ex regola 19 Allegato B composto, in relazione a quanto suggerito dal Garante nelle linee guida, da: • frontespizio • guida operativa • organigramma Aziendale • elenco dei trattamenti di dati personali • distribuzione dei compiti e delle responsabilità • analisi dei rischi che incombono sui dati • misure di sicurezza adottate o da adottare • criteri e procedure per il ripristino e il salvataggio dei dati – salvataggio dati • criteri e procedure per il ripristino e il salvataggio dei dati – ripristino dati • pianificazione degli interventi formativi previsti • trattamenti affidati all’esterno • cifratura o separazione dei dati identificativi
Consente di redigere le Lettere di Incarico in relazione alle autorizzazioni al trattamento ricevute. • Gli incarichi previsti dal Decreto legislativo e proposti in Gestione Privacy, sono: • responsabile al trattamento dati • responsabile della sicurezza informatica • amministratore di sistema • manutentore di sistema • incaricato al salvataggio dati • incaricato al ripristino dei dati • incaricato alla custodia delle password • incaricato al controllo accesso ai locali • responsabile del trattamento in caso di servizio svolto in esterno • incarico per Unità Organizzativa
Inoltre Gestione Privacy rappresenta un utile strumento che consente di tenereaggiornata tale documentazione in relazione ai cambiamenti strutturali, procedurali e di personale che nel corso del tempo possano verificarsi in azienda/studio. Ciò è possibile tramite la consultazione degli Elenchi (magari impostando i filtri che la procedura propone)e la stampa dei Reports.
Come e perché • Menù Titolare:Anagrafica, Sedi, Locali, Ubicazioni • Menù Soggetti:Soggetti, Unità Organizzativa • Menù Trattamenti:Applicazioni, Gruppo Applicazioni, Strumenti, Gruppo Strumenti, Archivi, Gruppo Archivi, Supporti • Menù Funzioni:Incarichi, Autorizzazioni, Autorizzazioni Esterni • Menù Formazione:Corsi di formazione • Menù Analisi:Procedure per rischio, Tecnologie per rischio, Analisi dei rischi, Copie/Ripristino/Cifratura • Menù Informative:Gestione informative, Stampa informative • Menù Stampe:Stampa DPS • Menù Parametri
al Titolare del trattamento e alla relativa ubicazione fisica • ai Soggetti di cui il Titolare tratta i dati o che vengono nominati dallo stesso Incaricati al trattamento e alla loro classificazione operativa • ai Trattamenti effettuati dal Titolare e con quale Strumenti gli stessi avvengono • alle Funzioni attribuite agli incaricaticon i relativi compiti e responsabilità, e quindi alle autorizzazioni da effettuare per determinati tipi di trattamento • alla Formazione effettuata per rendere edotti gli incaricati dei rischi che i dati da essi trattati corrono • all’Analisi, e quindi alle procedure e tecnologie adottate per prevenire una determinata tipologia di rischio • alle Informative che l’art. 13 richiede siano fornite a coloro che forniscono i dati al Titolare Per ottenere la suddetta documentazione è necessario inserire le informazioni richieste nei dialoghi dell’applicativo. In particolare dovranno essere inserite le informazioni relative:
Dialogo di inserimento Anagrafica • Art. 28 D.lgs 196/03: • “Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da qualsiasi altro ente, associazione o organismo, titolare del trattamento è l’entità nel suo complesso o l’unità o l’organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità o modalità del trattamento” • Quindi potranno presentarsi i casi in cui: • titolare del trattamento è una persona fisica e altri in cui è una persona giuridica; • vi è una contitolarità tra soggetti nel qual caso si potranno gestire o due Titolari separatamente o un unico Titolare (in questo secondo caso l’analisi e quindi il DPS verrà effettuata unitariamente) • Nel dialogo Anagrafica vi sarà anche la possibilità di associare un logo in formato jpg, bmp, gif che caratterizzerà tutte le stampe (Lettere, Informative, DPS, Elenchi) che verranno effettuate per il Titolare.
Dialogo di inserimento Sedi Art. 19, Allegato B: “ Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o giudiziari redige …. un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.4) le misure da adottare per garantire l’integrità e disponibilità dei dati ………… nonchè la protezione delle aree ……. , rilevanti al fine della loro custodia e accessibilità”. Sarà necessario inserire le sedi in cui l’azienda svolge la sua attività in modo da identificare le misure tecnologiche poste a protezione dei dati
Dialogo di inserimento Locali Sarà necessario inserire i locali in cui vengono trattati i dati in modo da identificare la tipologia di accesso allo stesso e le eventuali misure tecnologiche esistenti. Tipo accesso: art. 28, Allegato B, “Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per i relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in modo che ad essi non accedano persone prive di autorizzazione”. • In relazione a quanto sopra sono stati identificati tre tipi di accesso: • libero, qualora non vi sia alcuna protezione del locale e quindi non vi sia alcun controllo sui trattamenti effettuati su supporti cartacei; • selezionato, qualora il soggetto incaricato possa limitare l’accesso alle sole persone autorizzate; • controllato, qualora l’ingresso al locale oltre ad essere selezionato consenta anche la registrazione delle persone che vi accedono. “Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o giudiziari redige …. un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.4) le misure da adottare per garantire l’integrità e disponibilità dei dati ………… nonchè la protezione dei locali ……. , rilevanti al fine della loro custodia e accessibilità”.
Dialogo di inserimento Ubicazioni Nel dialogo di inserimento Ubicazioni andranno inseriti tutti i contenitori o i luoghi in cui i dati personali si trovano. Ad esempio in caso di archivio cartaceo o di supporti di memorizzazione, le ubicazioni potranno essere scaffali, armadi, cassetti; nel caso di archivi elettronici (se l’utente lo desidera) potrà essere inserita l’ubicazione degli strumenti che contengono tali archivi.
Dialogo di inserimento Soggetti • Nel dialogo Soggetti l’applicativo consente di inserire: • tutti i soggetti a cui il Titolare deve rilasciare l’informativa; per facilitare siffatta gestione è stata introdotta la possibilità di importare i dati anagrafici di clienti/fornitori da altri programmi gestionali o di organizzazione creando una connessione ODBC (dal menù Sistema/Import – Import da Sicur318) • tutti gli utenti che dovranno essere incaricati del trattamento dati o di svolgere delle specifiche funzioni in relazione al trattamento dati effettuato. Gli utenti incaricati potranno essere associati alle sedi e ai locali in cui operano abitualmente ed in cui sono contenuti gli archivi dei quali sono autorizzati a trattare i dati. L’inserimento di questa informazione sarà necessaria anche per la stampa del DPS ed in particolare per la costituzione dell’organigramma aziendale e per l’identificazione dei compiti e responsabilità (scheda 19.3). Inoltre sarà necessario per la stampa delle lettere di incarico. • tutti i soggetti esterni che dovranno essere autorizzati a trattare determinati archivi. L’inserimento di queste informazioni sarà necessaria per la stampa del DPS, regola 19.8, e per la stampa delle lettere di autorizzazione a trattare determinati dati contenuti in archivi.
Dialogo di inserimento Soggetti • Nel dialogo Soggetti/Sheet Allegati l’applicativo consente: • di visualizzare: tutte le Lettere di incarico e le informative stampate per un utente o soggetto esterno. • di allegare ogni tipo di documentazione già esistente in relazione al rapporto contrattuale con quel cliente.
Dialogo di inserimento Unità Organizzativa Nel dialogodi inserimento Unità Organizzative l’applicativo consente di aggregare in gruppi omogenei i soggetti incaricati, autorizzati o interessati al trattamento. Peculiare è la funzione Unità Organizzativa per gli Incaricati al trattamento perché, se gestita, consente di stampare delle lettere di incarico impersonali che definiscono gli adempimenti che l’intera Unità dovrà compiere in relazione ai trattamenti effettuati. In Gestione dovrà essere inserito un responsabile che sarà colui che assume l’incarico di far conoscere il contenuto di tali lettere a coloro che entrano a far parte dell’Unità. Anchenel dialogo Unità Organizzativa ci sarà la possibilità di visualizzare le Informative e le lettere di incarico stampate per una determinata Unità o di allegare altri file importanti per la gestione della medesima. Il Dlgs 196/2003 all’art. 30 secondo comma stabilisce: “…La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima”.
Dialogo di inserimento Applicazioni Come si evince dal Decreto gli strumenti elettronici possono essere anche Applicazioni informatiche che consentono la lettura e il coordinamento dei dati personali esistenti nei data base. Questa informazione sarà rilevante nel momento in cui ci si chiederà quali Trattamenti vengono effettuati sugli strumenti elettronici (hardware) esistenti nella struttura del Titolare, in quanto in quel contesto verrà chiesta una associazione tra strumento hardware e software in esso installato. L’art. 4 numero 3 lett. b definisce strumento elettronico: “… gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento”
Dialogo di inserimento Gruppo Applicazioni Gestione privacy consente di associare applicazioni che abbiano finalità di utilizzo comuni in Gruppi, in modo da facilitarne la gestione nel tempo. Sarà possibile infatti associare ad esempio ad un archivio un gruppo applicazioni con cui quella base dati viene letta. Qualunque applicazione verrà aggiunta in futuro l’associazione sarà fatta comunque per gruppi e quindi non dovrà essere manutenuta.
Dialogo di inserimento Strumenti • Nel dialogo è necessario inserire anche le informazioni relative al Tipo strumento e all’accessibilità: • Tipo strumento: il programma richiede di individuare di quale tipo di strumento trattasi, ad esempio Client, Server, Stand alone, Palmare, etc. • Accessibilità: anche se la norma non prevede più la distinzione tra elaboratori accessibili da rete pubblica, non accessibili e stand alone, l’applicativo richiede comunque di identificare il tipo di elaboratore usato perché ciò è rilevante in sede di analisi dei rischi per identificare la probabilità che un danno si verifichi. Ad esempio sarà meno probabile che un elaboratore stand alone venga infettato da virus rispetto ad un elaboratore connesso a rete pubblica; quindi il rischio che il danno si verifichi sarà meno elevato nel primo caso rispetto al secondo. Il combinato disposto degli artt. 31 che recita: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. E dell’art. 34: “Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate , nei modi previsti dal disciplinare tecnico…. , le seguenti misure minime: Lett. E) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici”, obbliga gli utenti a censire gli elaboratori e ad identificare le caratteristiche degli stessi.
Dialogo di inserimento Strumenti - Applicazioni Nello sheet Applicazioni del dialogo Strumenti viene data la possibilità di associare una o più applicazioni installate e quindi i cui dati possono essere trattati con quello strumento. Per le applicazioni configurate in modalità Client/Server sarà necessario abbinarle al solo Server anche se i trattamenti avverranno dai singoli client, in quanto il trattamento relativo verrà identificato con il Gruppo strumenti. Ad esempio il Server A è collegato ai Client B e C. L’applicativo “Gestionale 1” installato sul server dovrà essere associato al solo Server A. I trattamenti effettuati dai Client B e C verranno identificati con la creazione dei gruppi strumenti corrispondenti.
Dialogo di inserimento Gruppo Strumenti Il Gruppo strumenti serve per evidenziare la configurazione delle reti informatiche del Titolare oppure per creare dei gruppi omogenei di strumenti dedicati ad una determinata funzione. In relazione a ciò sarà possibile da un lato inserire nel Gruppo il Server con i Client ad esso collegati, oppure inserire il gruppo di strumenti dedicato ad una determinata funzione, ad esempio gli strumenti utilizzati per la contabilità, per il servizio clienti, ecc. Configurando il dialogo in uno di questi due modi sarà possibile rendere agevole la manutenzione in quanto le lettere di incarico verranno stampate per Gruppi, quindi se verrà introdotto nella struttura un nuovo strumento non ci sarà bisogno di ristampare la lettera relativa ma basterà aggiungerlo alla lista degli strumenti facenti parti del Gruppo.
Dialogo di inserimento Archivi • I dati trattati potranno essere: • ordinari, art. 4 lett. b-c D.lgs. 196/2003, che comprendono “il dato personale che è qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” ed “i dati identificativi che sono i dati personali che consentono l’identificazione diretta dell’interessato” • sensibili, art. 4 lett.d che sono “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute o la vita sessuale” • giudiziari, art. 4 lett. e che sono “i dati personali idonei a rilevare provvedimenti di cui all’art. 3, comma 1, lett. da a) a o) e da r) a u), del DPR 14/11/2002, n. 313, in materia di casellario giudiziale, di anagrafe di sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato ai sensi degli artt. 60 e 61 c.p.p.” • sanitari, regola 24 Allegato B che sono “i dati idonei a rivelare lo stato di salute trattati da esercenti le professioni sanitarie”. • Gli archivi possono essere: • informatici (artt. 1 ss, Allegato B) e quindi il relativo trattamento avverrà con strumenti elettronici, • cartacei (artt. 27 ss, Allegato B) e quindi il relativo trattamento avverrà senza l’ausilio di strumenti elettronici.
Dialogo di inserimento Archivi Un campo che può dare problemi di interpretazione è il Tipo archivio: • Archivio corrente, art. 28 Allegato B: “Quando gli atti e documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in modo che ad essi non accedano persone prive di autorizzazione e sono restituite al termine delle operazioni affidate”. Si tratta quindi di archivi creati dal personale per un più efficiente espletamento delle funzioni affidate. Al termine del trattamento la documentazione dovrà comunque essere riposta negli archivi permanenti. L’accesso a tali archivi dovrà essere selezionato in modo che non vi accedano persone prive di autorizzazione. v • Archivio permanente, art. 29 Allegato B: “L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate”. In questi archivi l’accesso deve essere controllato e quindi deve esserci una misura organizzativa o tecnologica che consenta l’identificazione dei soggetti che accedono ai dati.
Dialogo di inserimento Gruppo Archivi Anche per gli archivi c’è la possibilità di associare gli stessi ad un Gruppo al fine di facilitarne la gestione nel tempo. Infatti gestendo il Gruppo sarà possibile “Autorizzare” gli utenti interni ed esterni a trattare determinati Gruppi Archivi. Ciò comporta che nel momento in cui il Titolare autorizza il trattamento su un Gruppo archivi, nel caso in cui venisse introdotto un nuovo archivio, non dovrà ristampare le lettere di incarico ma basterà unire il nuovo archivio al gruppo. L’applicativo GP in automatico assocerà il nuovo archivio all’autorizzazione assegnata. Il Gruppo archivi dovrà essere omogeneo, cioè dovrà comprendere solo archivi di formato elettronico o cartaceo. Altro vantaggio nella gestione dei Gruppi archivi è che nell’Analisi dei rischi si effettuerà la stessa in riferimento ad una macroaggregazione consentendo di creare un documento meno corposo e quindi più leggibile. Nel DPS, scheda 19.1, il Gruppo archivi identifica il trattamento e il singolo Archivio il relativo oggetto.
Dialogo di inserimento Supporti di memorizzazione Supporto rimovibile: regola. 21, Allegato B: “sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti”; regola. 22: “i supporti rimovibili contenenti dati sensibili e giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili”. E’ necessario quindi indicare la presenza o meno di tali supporti ed il luogo in cui sono custoditi.
In questo dialogo si dovranno assegnare gli incarichi ai soggetti che sono chiamati dal Titolare al trattamento dei dati. Gli incaricati saranno selezionabili solo tra i soggetti di tipo parametrico: interni. Chi avesse gestito gli incarichi per Unità Organizzativa dovrà inserire in questo dialogo solo i soggetti che hanno un incarico specifico diverso da Incaricato al trattamento dati generico. Si potranno abbinare ad un medesimo soggetto anche incarichi differenti. Ad esempio un dipendente potrebbe essere nominato sia manutentore di sistema, che incaricato al ripristino e al salvataggio dati. Abbinato l’incarico al Soggetto si dovranno associare allo stesso le relative autorizzazioni. Ad esempio un dipendente potrà essere incaricato di eseguire il salvataggio dei dati degli archivi del settore contabilità ma non del settore personale (per l’abbinamento con le autorizzazioni si rinvia al relativo dialogo). L’attribuzione degli incarichi consentirà di creare un Organigramma aziendale Privacy da far precedere al DPS. Dialogo di inserimento Incarichi Art. 30. Incaricati del trattamento 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.
Dialogo di inserimento Incarichi Incaricato al salvataggio dati: La reg. 18 dell’Allegato B dispone che “sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dati con frequenza almeno settimanale”. Al fine di adeguarsi al meglio a questa disposizione è necessario che il Titolare individui dei soggetti specifici che assumano la responsabilità di questa procedura in relazione a determinati archivi. Incaricato alla custodia delle PWD: La reg. 10 dell’Allegato B dispone che: “Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte ad individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità dei dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile o indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato”.
Dialogo di inserimento Incarichi Amministratore di sistema: La reg. 15 dell’Allegato B dispone che devono essere individuati con aggiornamento almeno annuale gli addetti alla gestione degli strumenti elettronici. Tali addetti alla gestione vengono individuati come amministratori di sistema. Manutentore di sistema: La reg. 15 prevede lo stesso adempimento anche per gli addetti alla manutenzione. Incaricato al ripristino dei dati: La regola 23 dell’Allegato B dispone che sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Controllore di accesso ai locali: La regola 29 dell’Allegato B dispone che “…. se gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati alla vigilanza, le persone che vi accedono devono essere previamente autorizzate”. Quindi è necessario nominare i soggetti che svolgono la funzione di controllori degli accessi.
Dialogo di inserimento Incarichi Responsabile del trattamento: L’art. 29 del Dlgs 196/2003 dispone che: 1) Il responsabile è designato dal Titolare facoltativamente. 2) Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento………. 3) Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione dei compiti. 4) I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5) Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni”. Responsabile della sicurezza informatica: L’art. 29 del Dlgs 196/2003 dispone al punto 2 che: “Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. Nel caso in cui l’azienda/studio abbia nel suo organico personale esperto in informatica, la normativa non esclude la possibilità di nominare un responsabile che si occupi specificatamente del trattamento su supporto elettronico e che ne garantisca quindi la sicurezza
Dialogo di inserimento Autorizzazioni Nel dialogo di inserimento Autorizzazioni vengono associati gli incarichi attribuiti agli archivi che si desidera autorizzare. Le autorizzazioni richiedono quindi l’associazione: A un soggetto determinato o ad un’Unità organizzativa qualora si scelga di attribuire gli incarichi in relazione all’opportunità data dall’art. 30. A un Tipo incarico filtrato in relazione al Soggetto selezionato (se invece è selezionata l’Unità organizzativa di default verrà proposto l’Incarico per Unità organizzativa). A un Codice incarico cioè all’incarico specifico attribuito che consente di abbinare l’incarico più volte allo stesso soggetto; ciò può essere utile quando si desidera differenziare l’incarico in relazione all’area di conferimento. Ad esempio l’utente A può essere nominato incaricato al ripristino dei dati da B, responsabile dell’area Personale e da C, responsabile dell’area Contabile. A un Archivio o Gruppo archivi perché l’autorizzazione dovrà riguardare trattamenti determinati o determinabili Nel caso in cui si selezioni un Archivio a uno strumento o gruppo strumenti o a un applicazione o gruppo applicazioni. A una tipologia di credenziale di accesso ai dati che è la misura di sicurezza applicata a protezione dell’archivio in relazione all’autorizzazione generata. La regola 13, Allegato B dispone: “I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento”.
Dialogo di inserimento Autorizzazioni – Compiti/Responsabilità Per ogni autorizzazione inserita si potranno inserire i compiti e responsabilità attribuiti in relazione alla tipologia di trattamento effettuato.
Dialogo di inserimento Autorizzazioni Esterni Nel dialogo Autorizzazioni esterni vengono inseriti quei Soggetti a cui il Titolare fornisce i dati per effettuare un servizio che lui non sarebbe in grado di svolgere. Si supponga un consulente del lavoro che fa le paghe per un’azienda. Il fatto di acquisire i dati da analizzare per la costituzione della busta paghe è di per se stesso un trattamento che il Titolare dovrà autorizzare. In relazione alle autorizzazioni attribuite il Titolare potrà scegliere se stampare una lettera di incarico per servizi in esterno che attribuirà all’esterno la responsabilità specifica del trattamento in relazione alle misure di sicurezza dallo stesso Titolare configurate, oppure di autorizzare l’esterno a trattare i dati senza stampare una lettera di incarico a ciò deputata ma inserendo l’informazione nel DPS; ciò nel presupposto che anche il soggetto esterno è Titolare del trattamento e come tale tenuto all’adozione delle misure di sicurezza e quindi l’attribuzione dell’incarico specifico non servirebbe. La regola 19.7, Allegato B, dispone che nel DPS dovrà esserci anche “la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare”
Dialogo di inserimento Corsi di formazione - Dettaglio La regola 19.6 dell’Allegato B dispone che nel DPS debba essere inserita “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” In relazione a ciò il dialogo Corsi di formazione si propone di memorizzare le informazioni relative al corso, a chi vi partecipa e ai motivi della relativa partecipazione, al contenuto del corso e ai rischi analizzati.
Dialogo di inserimento Corsi di formazione - Contenuti • In particolare: • Informazioni relative al corso: • quando il corso viene svolto; • il motivo per cui viene effettuato in relazione a quanto previsto dalla regola 19.6; • la tipologia di corso, ad esempio con relatore in aula, via internet o altro. • Inoltre viene data la possibilità di inserire il contenuto del corso di formazione (informazione che viene riportata direttamente dai Parametri – Tipo/Contenuto corsi per standardizzarne e facilitarne l’inserimento)
Dialogo di inserimento Corsi di formazione – Rischi analizzati La regola 19.6 dell’Allegato B dispone che nel DPS debba essere inserita “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare…” Quindi è necessario associare i tipi rischio analizzati al corso di formazione. Nulla vieta che il Titolare effettui un unico corso di formazione esaustivo di tutti i rischi a cui la struttura di cui ha la responsabilità è sottoposta.
Menù Analisi Il menù analisi consente di verificare le informazioni inserite e ragionarle in funzione della tipologia di rischi incombenti sulla struttura del Titolare. L’analisi viene divisa in Procedure, Tecnologie e Risorse umane in funzione di quanto richiesto dal Dlgs 196; in particolare il Decreto prevede, in relazione al tipo di rischio delle misure fisiche e tecnologiche di protezione (impianti d’allarme, antincendio, barre antintrusione), delle misure procedurali (aggiornamenti software, autenticazione accessi, autorizzazioni), delle misure organizzative (identificare chi fa che cosa in relazione ai compiti e responsabilità attribuiti) e quindi formative nei confronti di coloro che sono chiamati a trattare i dati personali direttamente (corsi di formazione). Per questo nell’Analisi dei rischi effettuata in GP verranno analizzate le misure di sicurezza adottate in relazione alle Tecnologie, alle Procedure e ai Corsi di formazione al fine di poterle valutare e da poter dichiarare ciò che c’è ancora da introdurre nella stessa struttura per aumentare la sicurezza interna.
Dialogo di inserimento Procedure per rischio in essere Nel dialogo Procedure per rischio andranno associate le procedure esistenti nella struttura per fronteggiare o contenere gli effetti di un determinato tipo di rischio qualora diventi reale e quindi sia idoneo a produrre dei danni. Ad esempio l’Autenticazione degli utenti potrà essere idonea per prevenire il danno da Rischio accesso non consentito, sottrazione di credenziali di autenticazione, ecc. La valutazione di quale procedura è idonea per fronteggiare un determinato tipo di rischio dovrà essere fatta di volta in volta in relazione al Tipo rischio selezionato. Una procedura potrà essere associata anche a più Tipi rischio differenti.
Dialogo di inserimento Tecnologie per rischio in essere Nel dialogo Tecnologie per rischio in essere sarà possibile associare alle sedi, ai locali, alle ubicazioni e agli strumenti le tecnologie idonee per fronteggiare l’eventuale danno causato da una determinata tipologia di rischio. Selezionando dal combo l’indicazione geografica della tecnologia, sarà possibile caricarne diverse in relazione alla tipologia di rischio selezionata.
Dialogo di inserimento Analisi dei rischi: Misure in essere La parte compilativa dell’applicativo è finalizzata ad avere le informazioni necessarie per poter compilare le lettere di incarico, per avere una situazione reale della struttura in cui vengono trattati i dati e soprattutto per poter valutare l’entità del rischio di trattamento illecito che si corre in relazione alle misure minime adottate in ogni singolo locale o archivio. Quest’ultima parte è importante non solo in quanto la normativa la richiede (art. 34, Dlgs 196/03) in caso di trattamento effettuato con elaboratori elettronici, ma soprattutto perché consente di verificare se le misure minime richieste dal titolare ai suoi responsabili sono state adottate in ogni locale della struttura analizzata e in che modo. L’analisi dei rischi, quale proposta dall’applicativo, è strutturata in tre parti: 1) Misure in Essere: ha lo scopo di analizzare ogni archivio/gruppo archivi in relazione al tipo di rischio selezionato in relazione alle tecnologie adottate e poste a tutela della sede, locale, ubicazione, strumento in cui i dati vengono trattati, alle procedure in essere e agli interventi formativi effettuati. Nel dialogo c’è anche la possibilità di identificare un Soggetto o un’Unità Organizzativa a cui viene attribuita la responsabilità di fronteggiare una determinata tipologia di rischio. Si pensi ai rischi di accesso non consentito a sistemi informativi; ci potrebbe essere una Unità operativa appositamente creata per tutelare il Titolare da siffatti pericoli.
Dialogo di inserimento Analisi dei rischi: Valutazione 2) Valutazione: ha lo scopo di valutare se le tecnologie adottate, le procedure in essere e i corsi di formazione sono idonei e sufficienti per fronteggiare un determinato tipo di rischio e consente quindi di esprimere tale conformità/non conformità in valori numerici. • Il dialogo è diviso in due parti: • una prima parte in cui l’utente è chiamato ad esprimere un valore in termini di idoneità/non idoneità in relazione alle misure di sicurezza adottate; tale valutazione viene specificatamente espressa in relazione ad ogni singola categoria di misure adottate: tecnologie, procedure e formazione risorse umane • una seconda parte in cui l’utente viene chiamato a valutare la probabilità che il rischio diventi danno e, qualora ciò si verificasse, l’entità del danno prodotto dall’evento considerato. I valori numerici indicano infatti la gravità del rischio qualora un evento illecito si verifichi. Il valore della magnitudo del rischio verrà riportato nel DPS scheda 19.3 in modo descrittivo.
Dialogo di inserimento Analisi dei rischi: Misure da adottare • 3) Consigli: ha lo scopodare evidenza ai motivi dell’inidoneità delle Procedure, Tecnologie, e formazione risorse umane adottate su un archivio/gruppo archivi in relazione al tipo rischio considerato. • Anche questa parte mantiene la distinzione procedure, tecnologie, risorse umane: • procedure mancanti: con F9 è possibile aprire la tabella Tipi procedure dei parametri ed inserire quelle che si desidera applicare. • tecnologie mancanti: con F9 è possibile aprire la tabella Tipi tecnologie dei parametri ed inserire quelle che si desidera applicare. • corsi mancanti per risorse umane: vengono riportati i corsi di formazione con lo stato pianificati o da pianificare già inseriti in Corsi di formazione con l’elenco dei Soggetti che dovrebbero parteciparvi.
Dialogo di inserimento Analisi dei rischi: Analisi stampate Nell’Analisi dei rischi stampate sarà possibile visualizzare le analisi stampate con il flag “stampa diretta su…”. Questa funzione consente di verificare le analisi effettuate e quindi di tenere monitorato lo stato avanzamento lavori in relazione all’abbassamento della probabilità che un rischio diventi danno. Dall’apposito pulsante sarà possibile aprire le analisi stampate direttamente dal menù.
Dialogo di inserimento Copie di sicurezza Nel dialogo di inserimento Copie di sicurezza è possibile inserire le procedure, i tempi ed i soggetti incaricati ad eseguire il back-up in relazione ad un Archivio/Gruppo Archivi. Questa informazione verrà riportata nel DPS scheda 19.5_1. Nel campo Incaricato saranno selezionabili i Soggetti che come Tipo incarico hanno attribuito Incaricato al salvataggio dati.
Dialogo di inserimento Ripristino dei dati Nel dialogo di inserimento Ripristino dei dati è possibile inserire le procedure, i tempi, i soggetti incaricati ad eseguire il back-up in relazione ad un Archivio/Gruppo Archivi. Sarà inoltre possibile inserire la descrizione e i luoghi di custodia dei supporti di memorizzazione per favorirne la rintracciabilità. Questa informazione verrà riportata nel DPS scheda 19.5_2. Nel campo Incaricato saranno selezionabili i Soggetti che come Tipo incarico hanno attribuito Incaricato al ripristino dei dati.
Dialogo di inserimento Crittografia/Separazione Nel dialogo di inserimento Crittografia/Separazione è possibile inserire il tipo di protezione adottato e le procedure di esecuzione della stessa. La regola 19.8 dell’Allegato B dispone che “per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24” debba essere inserito nel DPS “l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato”.
Dialogo di inserimento Informative ex art. 13 Dlgs 196/2003 L’art. 13 del DPS 196/2003 dispone: “L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. Nel dialogo di inserimento Informative è possibile generare delle Informative diverse per ogni Soggetto, oppure generare delle informative standard per Tipologia di soggetti.
Dialogo di inserimento Informative ex art. 13 Dlgs 196/2003 • In relazione al disposto dell’art. 13 riportato nella scheda precedente, nel dialogo di gestione andranno riportate le informazioni in relazione: • al formato dell’archivio (cartaceo, informatico) e al tipo di dati trattati (ordinari, sensibili, ecc.); • alle finalità per le quali il trattamento da parte del Titolare viene effettuato; • alla categoria di soggetti interessati a conoscere tali dati e ai quali vengono comunicati o a cui si rivolge la diffusione; • alla tipologia di conferimento, e quindi l’obbligatorietà o la facoltatività dello stesso; si ricorda che il conferimento è obbligatorio quando una norma cogente lo impone; è facoltativo quando non è necessario per la costituzione di un rapporto giuridico oppure quando al soggetto viene attribuito un onere (cioè se il soggetto sceglie di comunicare i dati può costituire un rapporto giuridico, se non li fornisce non lo costituisce). • alle conseguenze nel caso di negato conferimento del dato che essenzialmente consisteranno in una modifica del rapporto contrattuale o nell’impossibilità di proseguirlo o costituirlo. • al riferimento all’Autorizzazione generale del Garante che consente al Titolare di effettuare il trattamento senza dover notificare lo stesso al Garante
Dialogo di inserimento Informative ex art. 13 Dlgs 196/2003 Procedendo in questo modo verrà generato un record nel Data base che potrà essere modificato e stampato a discrezionalità dell’utente. Compilando le informazioni di questo dialogo è come essere nel report e compilare le informazioni direttamente da lì. Il vantaggio è che si creerà una volta per Tipologia di Soggetto interessato al trattamento. Quando si stamperà il record l’Informativa verrà allegata in automatico nel dialogo Soggetti in corrispondenza di quelli appartenenti alla tipologia selezionata. Il riferimento al Rappresentante in Italia del Titolare qualora lo stesso sia Extracomunitario e tratti i dati nel territorio dello stato per fini diversi dal semplice passaggio dello stesso dato in paesi comunitari (art. 5 Dlgs 196/2003).
Dialogo di Stampa Informative ex art. 13 Dlgs 196/2003 Altro modo per stampare le informative ex art. 13 è quello di inviare in stampa i modelli inseriti dall’utente o preconfigurati dal produttore, presenti in Tipo Report. In questo caso dai filtri sarà possibile selezionare i soggetti per i quali si desidera fare la stampa dell’informativa e scegliendo un modello sarà possibile abbinare i dati anagrafici di quei soggetti alla stampa.