ALLEGATO B
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile
ove designato e dell’incaricato, in caso di trattamento con strumenti
elettronici:
Sistema di
autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di autenticazione che
consentano il superamento di una procedura di autenticazione relativa
a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l’identificazione
dell’incaricato associato a una parola chiave riservata conosciuta
solamente dal medesimo oppure in un dispositivo di autenticazione in possesso
e uso esclusivo
dell’incaricato, eventualmente associato a un codice identificativo
o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato,
eventualmente associata a un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o
più credenziali per l’autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di
adottare le necessarie cautele per assicurare la segretezza della componente
riservata della credenziale e la diligente custodia dei dispositivi in
possesso ed uso esclusivo dell’incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione,
è composta da almeno otto caratteri oppure, nel caso in cui lo
strumento elettronico non lo permetta, da un numero di caratteri pari
al massimo consentito; essa non contiene
riferimenti agevolmente riconducibili all’incaricato ed è
modificata da quest’ultimo al primo utilizzo e, successivamente,
almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati
giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l’identificazione, laddove utilizzato, non può
essere assegnato ad altri incaricati, neppure in tempi diversi..7. Le
credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate,
salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità
che consente all’incaricato l’accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito
e accessibile lo strumento elettronico durante una sessione di trattamento.
10. Quando l’accesso ai dati e agli strumenti elettronici è
consentito esclusivamente mediante uso della componente riservata della
credenziale per l’autenticazione, sono impartite idonee e preventive
disposizioni scritte volte a individuare
chiaramente le modalità con le quali il titolare può assicurare
la disponibilità di dati o strumenti elettronici in caso di prolungata
assenza o impedimento dell’incaricato che renda indispensabile e
indifferibile intervenire per esclusive necessità di operatività
e di sicurezza del sistema. In tal caso la custodia delle copie delle
credenziali è organizzata garantendo la relativa segretezza e individuando
preventivamente per iscritto i soggetti incaricati della loro custodia,
i quali devono
informare tempestivamente l’incaricato dell’intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti
punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti
dei dati personali destinati alla diffusione.
Sistema di
autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione
di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee
di incaricati, sono individuati e configurati anteriormente all’inizio
del trattamento, in modo da limitare l’accesso ai soli dati necessari
per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata
la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Altre misure
di sicurezza.
15. Nell’ambito dell’aggiornamento periodico con cadenza almeno
annuale dell’individuazione dell’ambito del trattamento consentito
ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici, la lista degli
incaricati può essere redatta anche per classi omogenee di incarico
e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell’azione
di programmi di cui all’art. 615-quinquies del codice penale, mediante
l’attivazione di idonei strumenti elettronici da aggiornare con
cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a
prevenire la vulnerabilità di strumenti elettronici e a correggerne
difetti sono effettuati almeno annualmente. In caso di trattamento di
dati sensibili o giudiziari l’aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il
salvataggio dei dati con frequenza almeno settimanale.
Documento
programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati
sensibili o di dati giudiziari redige anche attraverso il responsabile,
se designato, un documento programmatico sulla sicurezza contenente idonee
informazioni riguardo:
19.1. l’elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell’ambito
delle strutture preposte al trattamento dei dati;
19.3. l’analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l’integrità e la
disponibilità dei dati, nonché
la protezione delle aree e dei locali, rilevanti ai fini della loro custodia
e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o danneggiamento
di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento,
per renderli edotti dei rischi che incombono sui dati, delle misure disponibili
per prevenire eventi dannosi, dei profili della disciplina sulla protezione
dei dati.personali più rilevanti in rapporto alle relative attività,
delle responsabilità che ne derivano e delle modalità per
aggiornarsi sulle misure minime adottate dal titolare. La formazione è
programmata già al momento dell’ingresso in servizio,
nonché in occasione di cambiamenti di mansioni, o di introduzione
di nuovi significativi strumenti, rilevanti rispetto al trattamento di
dati personali;
19.7. la descrizione dei criteri da adottare per garantire l’adozione
delle misure minime di sicurezza in caso di trattamenti di dati personali
affidati, in conformità al codice, all’esterno della struttura
del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita
sessuale di cui al punto 24, l’individuazione dei criteri da adottare
per la cifratura o per la separazione di tali dati dagli altri dati personali
dell’interessato.
Ulteriori
misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l’accesso
abusivo, di cui all’ art. 615- ter del codice penale, mediante l’utilizzo
di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia
e l’uso dei supporti rimovibili su cui sono memorizzati i dati al
fine di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non
utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere
riutilizzati da altri incaricati, non autorizzati al trattamento degli
stessi dati, se le informazioni precedentemente in essi contenute non
sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell’accesso
ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici,
in tempi certi compatibili con i diritti degli interessati e non superiori
a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano
il trattamento dei dati idonei a rivelare lo stato di salute e la vita
sessuale contenuti in elenchi, registri o banche di dati con le modalità
di cui all’articolo 22, comma 6, del codice, anche al fine di consentire
il trattamento disgiunto dei medesimi dati dagli
altri dati personali che permettono di identificare direttamente gli interessati.
I dati relativi all’identità genetica sono trattati esclusivamente
all’interno di locali protetti accessibili ai soli incaricati dei
trattamenti ed ai soggetti specificatamente autorizzati ad accedervi;
il trasporto dei dati all’esterno dei locali riservati al loro.trattamento
deve avvenire in contenitori muniti di serratura o dispositivi equipollenti;
il trasferimento dei dati in formato elettronico è cifrato.
Misure di
tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti
esterni alla propria struttura, per provvedere alla esecuzione riceve
dall’installatore una descrizione scritta dell’intervento
effettuato che ne attesta la conformità alle disposizioni del presente
disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio
d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento
del documento programmatico sulla sicurezza.
Trattamenti senza l’ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile,
ove designato, e dell’incaricato, in caso di trattamento con strumenti
diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo
ed alla custodia, per l’intero ciclo necessario allo svolgimento
delle operazioni di trattamento, degli atti e dei documenti contenenti
dati personali. Nell’ambito dell’aggiornamento periodico con
cadenza almeno annuale dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati, la lista degli incaricati
può essere redatta anche per classi omogenee di incarico e dei
relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili
o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento
dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi
dagli incaricati fino alla restituzione in maniera che ad essi non accedano
persone prive di autorizzazione, e sono restituiti al termine delle operazioni
affidate.
29. L’accesso agli archivi contenenti dati sensibili o giudiziari
è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario
di chiusura, sono identificate e registrate. Quando gli archivi non sono
dotati di strumenti elettronici per il.controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono preventivamente autorizzate..ALLEGATO
C)
TRATTAMENTI NON OCCASIONALI EFFETTUATI
IN AMBITO GIUDIZIARIO O PER FINI DI POLIZIA
(Artt. 46 e 53 del codice)
|