BLOG FONZARNEWS

Codice privacy: la verifica periodica delle misure minime di sicurezza

Questa notizia è stata tratta da: www.unindustria.pn.it

Come è noto, il termine stabilito dal D. Lgs. 196/2003 per l’adozione delle nuove misure minime di sicurezza per la protezione dei dati personali era il 31 marzo 2006 (prorogabile al 30 giugno 2006 in caso di obiettive ragioni tecniche).
Affinchè la politica di sicurezza intrapresa dall’azienda risulti efficace (e per non incorrere nelle sanzioni previste dalla norma), è comunque indispensabile provvedere al costante aggiornamento delle misure, perlomeno secondo le periodicità previste dal Codice.

Approfondimenti
Il D. Lgs. 196/2003 (Codice in materia di protezione dei dati personali) impone al titolare del trattamento di dati personali di adottare le misure di sicurezza idonee a garantire l’integrità dei dati e la correttezza del loro utilizzo.
Nel quadro di questo generale obbligo di sicurezza, il titolare del trattamento è comunque tenuto ad adottare le misure minime indicate negli art. 33, 34 e 35 del Codice e nel Disciplinare tecnico (Allegato B al D. Lgs. 196/2003).
Si ricorda che l’omessa adozione delle misure di sicurezza minime è sanzionata con l’arresto sino a due anni o l’ammenda da 10.000 a 50.000 euro; la regolarizzazione entro termini fissati dal Garante, con il pagamento di una sanzione pecuniaria amministrativa pari al quarto del massimo dell’ammenda (12.500 euro), estingue il reato (art. 169 D. Lgs. 196/2003).

Di seguito vengono elencate le misure minime di sicurezza (distinguendo tra trattamenti effettuati con l’ausilio di strumenti elettronici e trattamenti effettuati con strumenti cartacei), evidenziando le periodicità di aggiornamento richieste dal Disciplinare tecnico.
Nell’ultima colonna viene riportato il numero del Disciplinare tecnico cui si riferisce la specifica misura.

TRATTAMENTO CON L’AUSILIO DI STRUMENTI ELETTRONICI:

MISURE DA VERIFICARE
DESCRIZIONE MISURA
Tipologia dei dati
CADENZA
Disciplinare tecnico

Parola chiave
Per il trattamento di dati personali deve essere modificata ogni sei mesi
Dati comuni
6 mesi
5

Parola chiave
Per il trattamento di dati sensibili e giudiziari deve essere modificata ogni tre mesi
Dati sensibili e giudiziari
3 mesi
5

Codice per l’identificazione
Una volta utilizzato, non può essere assegnato ad altri incaricati
Tutti i dati
sempre
6

Credenziali di autenticazione
Disattivazione in caso di mancato utilizzo delle credenziali per un periodo superiore ai 6 mesi
Tutti i dati
6 mesi
7

Credenziali di autenticazione
Disattivazione in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali
Tutti i dati
sempre
8

Profili di autorizzazione
Possono essere individuati per singolo incaricato o per classi omogenee di incaricati
Tutti i dati
sempre
13

Profili di autorizzazione
Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
Tutti i dati
1 anno
14

Lista degli incaricati autorizzati
Può essere redatta anche per classi omogenee di incarico
Tutti i dati
1 anno
15

Antivirus
Efficacia ed aggiornamento sono verificati con cadenza almeno semestrale
Tutti i dati
6 mesi
16

Patch o programmi update
Aggiornare periodicamente i programmi per elaboratore volti a correggere difetti e prevenire la vulnerabilità degli strumenti elettronici
Dati comuni
1 anno
17

Patch o programmi update
Aggiornare periodicamente i programmi per elaboratore volti a correggere difetti e prevenire la vulnerabilità degli strumenti elettronici
Dati sensibili e giudiziari
6 mesi
17

Backup
Salvataggio dei dati con frequenza settimanale
Tutti i dati
7 giorni
18

DPS
Redazione Documento programmatico sulla sicurezza
Dati sensibili e giudiziari
1 anno
(entro il 31 marzo di ciascun anno)
19

Sistemi antintrusione
Protezione contro l’accesso abusivo nel caso di trattamento di dati sensibili
Dati sensibili e giudiziari
sempre
20

Custodia dei supporti rimovibili di memorizzazione
Istruzioni organizzative e tecniche per la loro custodia e utilizzo
Dati sensibili e giudiziari
sempre
21

Riutilizzo dei supporti di memorizzazione
Se non utilizzati devono essere distrutti o resi inutilizzabili; controllo sulla non recuperabilità delle informazioni precedentemente contenute
Dati sensibili e giudiziari
sempre
22

TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI:

MISURE DA VERIFICARE
DESCRIZIONE MISURA
Tipologia dei dati
CADENZA
Disciplinare tecnico

Istruzioni scritte
Istruzioni agli incaricati finalizzate al controllo e custodia dei documenti
Tutti i dati
sempre
27

Profili di autorizzazione
Individuazione dell’ambito del trattamento consentito agli incaricati, individuati anche per classi omogenee
Tutti i dati
1 anno
27

Procedure di controllo e custodia
Previsione di procedure al fine di impedire l’accesso ai documenti a persone prive di autorizzazione
Dati sensibili e giudiziari
sempre
28

Accesso controllato agli archivi
Le persone ammesse dopo l’orario di chiusura devono essere identificate e registrate
Dati sensibili e giudiziari
sempre
29

Autorizzazione preventiva all’accesso
Da adottare qualora gli archivi non siano dotati di strumenti elettronici per il controllo degli accessi o di incaricati alla vigilanza
Dati sensibili e giudiziari
sempre
29

Definizioni (art. 4 comma 1 del D. Lgs. 196/2003):
Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Dati sensibili: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dati giudiziari: dati personali idonei a rivelare provvedimenti di cui all’art. 3, comma 1, lettere da a) ad o) e da r) ad u), del D.P.R. n.313/2002 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli art. 60 e 61 del codice di procedura penale.

Definizioni relative alle misure di sicurezza (art. 4 comma 3 del D. Lgs. 196/2003):
a) “misure minime”, il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31;
b) “strumenti elettronici”, gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
c) “autenticazione informatica”, l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità;
d) “credenziali di autenticazione”, i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’ autenticazione informatica;
e) “parola chiave”, componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
f) “profilo di autorizzazione”, l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g) “sistema di autorizzazione”, l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.

Commenti

Devi essere iscritto per lasciare un commento ISCRIVIMI SUBITO