|
ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
SICUREZZA DL
216
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile ove
designato e dell'incaricato, in caso di trattamento con strumenti
elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di autenticazione che
consentano il superamento di una procedura di autenticazione relativa a
uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un dispositivo di
autenticazione in possesso e uso esclusivo dell'incaricato,
eventualmente associato a un codice identificativo o a una parola
chiave, oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una parola
chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o
più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare
le necessarie cautele per assicurare la segretezza della componente
riservata della credenziale e la diligente custodia dei dispositivi in
possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione,
è composta da almeno otto caratteri oppure, nel caso in cui lo
strumento elettronico non lo permetta, da un numero di caratteri pari al
massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo al primo
utilizzo e, successivamente, almeno ogni sei mesi. In caso di
trattamento di dati sensibili e di dati giudiziari la parola chiave è
modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere
assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi
sono disattivate, salvo quelle preventivamente autorizzate per soli
scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità
che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante una sessione
di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito
esclusivamente mediante uso della componente riservata della credenziale
per l'autenticazione, sono impartite idonee e preventive disposizioni
scritte volte a individuare chiaramente le modalità con le quali il
titolare può assicurare la disponibilità di dati o strumenti
elettronici in caso di prolungata assenza o impedimento dell'incaricato
che renda indispensabile e indifferibile intervenire per esclusive
necessità di operatività e di sicurezza del sistema. In tal caso la
custodia delle copie delle credenziali è organizzata garantendo la
relativa segretezza e individuando preventivamente per iscritto i
soggetti incaricati della loro custodia, i quali devono informare
tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti
punti e quelle sul sistema di autorizzazione non si applicano ai
trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione
di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi
omogenee di incaricati, sono individuati e configurati anteriormente
all'inizio del trattamento, in modo da limitare l'accesso ai soli dati
necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la
sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale
dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici, la lista degli incaricati può essere redatta anche per
classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e
dell'azione di programmi di cui all'art. 615-quinquies del codice
penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a
prevenire la vulnerabilità di strumenti elettronici e a correggerne
difetti sono effettuati almeno annualmente. In caso di trattamento di
dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il
salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di
dati sensibili o di dati giudiziari redige anche attraverso il
responsabile, se designato, un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito
delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità
dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai
fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o danneggiamento
di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono sui dati,
delle misure disponibili per prevenire eventi dannosi, dei profili della
disciplina sulla protezione dei dati personali più rilevanti in
rapporto alle relative attività, delle responsabilità che ne derivano
e delle modalità per aggiornarsi sulle misure minime adottate dal
titolare. La formazione è programmata già al momento dell'ingresso in
servizio, nonchè in occasione di cambiamenti di mansioni, o di
introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione
delle misure minime di sicurezza in caso di trattamenti di dati
personali affidati, in conformità al codice, all'esterno della
struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la
vita sessuale di cui al punto 24, l'individuazione dei criteri da
adottare per la cifratura o per la separazione di tali dati dagli altri
dati personali dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili o
giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso
abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo
di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e
l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di
evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non
utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere
riutilizzati da altri incaricati, non autorizzati al trattamento degli
stessi dati, se le informazioni precedentemente in essi contenute non
sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso
ai dati in caso di danneggiamento degli stessi o degli strumenti
elettronici, in tempi certi compatibili con i diritti degli interessati
e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei a rivelare lo stato di salute
e la vita sessuale contenuti in elenchi, registri o banche di dati con
le modalità di cui all'articolo 22, comma 6, del codice, anche al fine
di consentire il trattamento disgiunto dei medesimi dati dagli altri
dati personali che permettono di identificare direttamente gli
interessati. I dati relativi all'identità genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente autorizzati
ad accedervi; il trasporto dei dati all'esterno dei locali riservati al
loro trattamento deve avvenire in contenitori muniti di serratura o
dispositivi equipollenti; il trasferimento dei dati in formato
elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di
soggetti esterni alla propria struttura, per provvedere alla esecuzione
riceve dall'installatore una descrizione scritta dell'intervento
effettuato che ne attesta la conformità alle disposizioni del presente
disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio
d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile,
ove designato, e dell'incaricato, in caso di trattamento con strumenti
diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al
controllo ed alla custodia, per l'intero ciclo necessario allo
svolgimento delle operazioni di trattamento, degli atti e dei documenti
contenenti dati personali. Nell'ambito dell'aggiornamento periodico con
cadenza almeno annuale dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati, la lista degli incaricati può essere
redatta anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o
giudiziari sono affidati agli incaricati del trattamento per lo
svolgimento dei relativi compiti, i medesimi atti e documenti sono
controllati e custoditi dagli incaricati fino alla restituzione in
maniera che ad essi non accedano persone prive di autorizzazione, e sono
restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è
controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di
chiusura, sono identificate e registrate. Quando gli archivi non sono
dotati di strumenti elettronici per il controllo degli accessi o di
incaricati della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.
|
