LE MISURE DI SICUREZZA DA ADOTTARE AI FINI PRIVACY Le misure di sicurezza ai fini privacy riducono al minimo la possibilità di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato ai dati stessi o di trattamento non consentito o non conforme alle finalità della loro raccolta. Tali misure di sicurezza sono caratterizzate da: - interventi organizzativi e tecnici che prevengono, contrastano o minimizzano gli effetti delle minacce; - periodiche attività di verifica e controllo che assicurano l’efficacia nel tempo delle misure adottate. INTERVENTI ORGANIZZATIVI E TECNICI DI SICUREZZA Nel dossier X-Privacy le misure di sicurezza, individuate in base allanalisi dei rischi, sono elencate nella scheda Misure minime e idonee di sicurezza, adottate o da adottare - [B41] e si distinguono in: - MISURE IDONEE, quelle che tengono conto dei nuovi e più aggiornati standard di sicurezza; - MISURE MINIME, quelle che assicurano un livello minimo di protezione dei trattamenti. Chi tratta dati personali con strumenti elettronici, ha l’obbligo di adottare le seguenti misure minime: a. un sistema di autenticazione informatica, vale a dire: - l’obbligo per ogni incaricato di impiegare per uno o più trattamenti le proprie credenziali di autenticazione, cioè username e password riservate e note solo all’assegnatario; - l’obbligo per gli incaricati di mantenere segrete e riservate le proprie credenziali; - l’obbligo di usare passwords sufficientemente complesse (almeno otto caratteri alfanumerici, con maiuscole, minuscole e caratteri speciali, assenza di riferimenti riconducibili allincaricato, passwords da modificare al primo utilizzo e poi da modificare almeno ogni 6 mesi, 3 mesi in presenza di dati sensibili e/o giudiziari); - l’obbligo di non riassegnare gli username ad altri incaricati, neppure in tempi diversi; - l’obbligo di disattivare le credenziali inutilizzate da almeno sei mesi (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica); - l’obbligo di disattivare le credenziali in caso di revoca dell’incarico del trattamento; - l’obbligo per gli incaricati di non lasciare incustodito e accessibile il proprio PC; - l’obbligo per il titolare di custodire in busta chiusa le password di accesso esclusivo ad un PC, ad un programma o ad una o più funzioni di un programma garantendone, nel contempo, la relativa segretezza e individuandone preventivamente. b. un sistema di autorizzazione, da adottare in presenza di diversi ambiti di profili di autorizzazione, cioè: - prima di iniziare a trattare i dati è necessario individuare e configurare i profili di autorizzazione per un incaricato o per classi omogenee di incaricati, in modo da limitare laccesso ai soli dati necessari; - l’obbligo di verificare, almeno annualmente, la necessità o meno di mantenere i profili predisposti. c. altre misure di sicurezza, vale a dire: - l’obbligo di proteggere i dati personali contro i rischi di intrusione e di danneggiamento installando e aggiornando (con cadenza almeno semestrale) sistemi antivirus e firewall; - l’obbligo di aggiornare periodicamente i sistemi operativi e i programmi (almeno ogni 6 mesi in presenza di dati sensibili e/o giudiziari); - l’obbligo di eseguire il salvataggio dei dati con frequenza almeno settimanale. d. ulteriori misure in caso di trattamento di dati sensibili o giudiziari con strumenti elettronici, ossia: - istruzioni organizzative e tecniche per custodia e uso dei supporti rimovibili dei dati stessi; - la distruzione o l’inutilizzabilità dei supporti rimovibili contenenti dati sensibili o giudiziari (il loro riutilizzo da parte di altri incaricati non autorizzati al trattamento è ammesso se le informazioni precedenti risultano inintelligibili e tecnicamente non ricostruibili); - idonee misure che garantiscano il ripristino dellaccesso ai dati in caso di danneggiamento dei dati stessi o dei relativi strumenti elettronici, in tempi certi, compatibili con i diritti degli interessati e non superiori a sette giorni; - il trattamento disgiunto dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali che identificano direttamente gli interessati medesimi; - il trattamento dei dati sullidentità genetica esclusivamente allinterno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati (n.b.: il trasporto dei dati allesterno deve avvenire in contenitori muniti di serratura o di altri idonei dispositivi; il trasferimento dei dati in formato elettronico è cifrato). e. misure di tutela e garanzia, come quella di avvalersi di esperti esterni alla propria struttura, che poi rilasciano una descrizione scritta dellintervento effettuato, attestandone la conformità alle disposizioni del disciplinare tecnico). f. misure da prendere a fronte dei trattamenti che avvengono senza lausilio di strumenti elettronici: - istruzioni scritte agli incaricati per il controllo e la custodia, durante le operazioni di trattamento, di atti e documenti contenenti dati personali; - aggiornamento almeno annuale degli ambiti di trattamento consentito ai singoli incaricati anche per classi omogenee di incarico e dei relativi profili di autorizzazione; - il controllo e la custodia di atti e documenti contenenti dati personali sensibili o giudiziari sino alla loro restituzione, in modo che ad essi non accedano persone prive di autorizzazione; - l’identificazione e la registrazione di chi accede a dati sensibili o giudiziari oltre lorario di chiusura (in mancanza di vigilanza o di controlli elettronici degli accessi chi vi accede va preventivamente autorizzato). Prima di concludere, si sottolinea la gravità delle violazioni in materia di misure minime di sicurezza ricordando la sanzione da 20.000 a 120.000 euro e l’esclusione delle riduzioni prevista dal Codice, nel caso di violazioni relative alle misure di sicurezza (art. 33, 167 e Allegato B) E’ previsto, infine, che le sanzioni possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.
Posted on: Mon, 18 Nov 2013 12:32:39 +0000
Trending Topics
Recently Viewed Topics
© 2015