View
215
Download
0
Category
Preview:
Citation preview
Gruppo di studio Sicurezza sul lavoro e Privacy
� Componente informatica
� Componente legale
� Componente organizzativa
La “nuova privacy” ci porta ad identificare una:
Gruppo di studio Sicurezza sul lavoro e Privacy
Il Codice in materia di protezione dei dati personali
(D.Lgs 30/06/2003 n. 196)
La privacy
Gruppo di studio Sicurezza sul lavoro e Privacy
“Chiunque ha diritto alla protezione dei dati personali che lo
riguardano” (art. 1 del Codice)
La privacy
Gruppo di studio Sicurezza sul lavoro e Privacy
Razionalizzare le numerose disposizioni, eliminarle dove ridondanti, semplificarle e
aggiornarle =
Obiettivo del Codice sulla Privacy
La privacy
Gruppo di studio Sicurezza sul lavoro e Privacy
L. 675/96 (tutela delle persone
e altri soggetti rispetto al trattamento dei
dati personali) Altre norme
DPR 318/99 (regolamento recante
norme per l’individuazione delle misure minime di
sicurezza per il trattamento dei dati personali)
Codice in materia di protezione dei
dati personali D.Lgs 196/2003 s.m.i.
L’evoluzione normativa
Gruppo di studio Sicurezza sul lavoro e Privacy
PARTE I PARTE III PARTE II ALLEGATI
Norme di Carattere generale relative a qualsiasi
tipo di trattamento
dati
Norme riferite a trattamenti effettuati in
ambiti particolari:
-Pubb.Amm. -Giudiziario -Sanitario - Lavoro
- ecc.
Norme riferite alla tutela
dell’interessato e sanzioni
A) Codici deontologici B) Disciplinare tecnico in materia di misure minime di sicurezza C) Trattamenti non occasionali in ambito Giudiziario o per fini di Polizia
La struttura del Codice
Gruppo di studio Sicurezza sul lavoro e Privacy
DATO PERSONALE
Qualunque informazione relativa a persona fisica, p ersona giuridica, ente o associazione, identificati o iden tificabili, anche
indirettamente, mediante riferimento a qualsiasi al tra informazione, ivi compreso un numero di identificazione personale
DATI SENSIBILI
DATI IDENTIFICATIVI
I dati personali che permettono l’identificazione d ell’interessato
I dati personali idonei a rivelare l’origine razzia le ed etnica, le convinzioni religiose, filosofiche o di altro gener e, le opinioni
politiche, l’adesione a partiti, sindacati, associa zioni od organizzazioni a carattere religioso, filosofico, p olitico o
sindacale, nonché i dati personali idonei a rivelar e lo stato di salute e la vita sessuale
TRATTAMENTO
Qualunque operazione, o complesso di operazioni, ef fettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione,
l’organizzazione, la conservazione, la consultazion e, l’elaborazione, la modificazione, la selezione, l’estrazione, il ra ffronto, l’utilizzo, la
interconnessione, il blocco, la comunicazione, la d iffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati
Alcune definizioni …
Gruppo di studio Sicurezza sul lavoro e Privacy
SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
TITOLARE
Persona fisica, giuridica,pubb. amm.ne, ente, associazione od organismo cui competono le decisioni in
ordine alle finalità e
modalità del trattamento
INCARICATO RESPONSABILE
Persona fisica, giuridica,pubb. amm.ne, ente, associazione od organismo preposti dal
titolare al trattamento
dei dati personali
Persona fisica autorizzata a
compiere operazioni di trattamento dal titolare
o dal responsabile
SOGGETTI CHE “SUBISCONO” IL TRATTAMENTO
INTERESSATO
Persona fisica o giuridica, ente
o associazione cui si riferiscono i dati
Ruoli coinvolti
Gruppo di studio Sicurezza sul lavoro e Privacy
REGOLE GENERALI E PARTICOLARI PER ALCUNI SETTORI SPECIFICI
Il titolare del trattamento deve organizzarsi anche sotto l’aspetto tecnologico per consentire l’adeguata applicazione della norma
L’aspetto Organizzativo
Le indicazioni nella informativa
La notifica al Garante
Le nuove misure minime di sicurezza
La trasmissione della notifica
Il titolare del trattamento deve indicare nell’info rmativa da rilasciare all’interessato le categorie di sogge tti, responsabili e/o incaricati, che possono trattare i dati
Previsione nel Disciplinare tecnico in materia di m isure Minime di sicurezza (allegato B)
La notificazione dei trattamenti va effettuata solo nei casi indicati espressamente dal codice. Cade pertan to l’obbligo di notifica generalizzato
Esclusivamente per via telematica e con firma digit ale
… alcuni dei caratteri principali
Gruppo di studio Sicurezza sul lavoro e Privacy
Dati sulla salute
E’ prevista una particolare disciplina per il tratt amento dei dati sulla salute per finalità sanitarie; infor mativa e consenso possono essere raccolte dai medici coi qua li normalmente si è più a contatto. Le ricette devono evitare di rendere evidente il nome del paziente
Le informazioni commerciali
I codici deontologici
REGOLE GENERALI E PARTICOLARI PER ALCUNI SETTORI SPECIFICI
E’ prevista la realizzazione di un codice di condot ta per i trattamenti di dati a fini di informazione commer ciale, soprattutto allo scopo di garantire l’aggiornamento e l’esattezza dell’informazione trattata
Il codice prevede l’istituzione di regole di settor e tramite la realizzazione di appositi codici deontologici
… alcuni dei caratteri principali (2)
Gruppo di studio Sicurezza sul lavoro e Privacy
Creare tra le risorse aziendali una vera Creare tra le risorse aziendali una vera e propriae propria
““ CULTURA SULLA PRIVACYCULTURA SULLA PRIVACY ””
AffinchAffinch éé la normativa sia applicata la normativa sia applicata correttamente e con continuitcorrettamente e con continuit àà nel nel
tempotempo
Cosa fare in azienda
Gruppo di studio Sicurezza sul lavoro e Privacy
Struttura delle Nomine
Aggiornamento e revisione degli adempimenti - Notifica
- Informativa
- Gestione del consenso
- Adozione delle misure minime di sicurezza
Informazione e formazione del personale
L’organizzazione interna
Gruppo di studio Sicurezza sul lavoro e Privacy
Occorre procedere alla:
- Nomina del/i responsabile/i del trattamento
- Nomina degli incaricati del trattamento
• La nomina del Responsabile/i del trattamento non è un adempimento obbligatorio
La struttura delle nomine
Gruppo di studio Sicurezza sul lavoro e Privacy
L’importanza della nomina di uno o più Responsabili del Trattamento è direttamente proporzionale alla complessità dell’organizzazione aziendale
Tanto più l’azienda è articolata per Divisioni, Are e, Funzioni, ecc., tanto più diventa necessario distribuire le competenze tipiche del Responsabile del Trattamento su più persone
Il Responsabile
Gruppo di studio Sicurezza sul lavoro e Privacy
Il Responsabile, se designato, è individuato tra soggetti che per esperienza, capacità ed affidabili tà forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza
Il Responsabile può essere un soggetto (persona fisica o giuridica) anche esterno all’azienda
Il Responsabile
Gruppo di studio Sicurezza sul lavoro e Privacy
La nomina di uno o più Responsabili non vuole rappresentare un esonero di responsabilità del Titolare, soprattutto in campo penale, ma certamente come attenuazione della stessa
Il Titolare deve fornire ai Responsabili chiara identificazione dei compiti attribuiti, dell’ambito di responsabilità e porre in essere periodica attività di controllo
Il Responsabile
Gruppo di studio Sicurezza sul lavoro e Privacy
Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del Titolare o Responsabile, attenendosi alle istruzioni impartite.
Non necessariamente l’incaricato è un dipendente dell’Azienda, ma può trattarsi di un consulente o collaboratore esterno
Gli Incaricati
Gruppo di studio Sicurezza sul lavoro e Privacy
Il Responsabile dovrebbe identificare i criteri da seguire per l’individuazione degli incaricati in modo tale da procedere alla nomina delle sole persone preposte ad attività che comportano un rilevante e non occasionale o marginale trattamento di dati personali
Il Disciplinare tecnico (all. B), nel caso di tratt amenti con strumenti elettronici, individua la figura dell’Incaricato alla custodia di copia delle credenziali
Gli Incaricati
Gruppo di studio Sicurezza sul lavoro e Privacy
Esempio di organigramma della privacy
TITOLARE centro di
Competenza (uomo privacy)
Responsabile Interno
Rapp.Nazionale Titolare Estero
Incaricato Incaricato
Responsabile Esterno
Incaricato
Preposto alla
custodia di copia
delle credenziali
La struttura delle nomine
Gruppo di studio Sicurezza sul lavoro e Privacy
Aggiornamento e revisione degli adempimenti
La notifica
Dal Dal 0101--0101--20042004
Esonero GeneralizzatoEsonero Generalizzato tranne che per i trattamentitranne che per i trattamenti:: -- effettuati con leffettuati con l ’’ausilio di strumenti elettronici volti alla definiz ione del ausilio di strumenti elettronici volti alla definiz ione del
profilo o personalitprofilo o personalit àà delldell ’’ interessato o allinteressato o all ’’analisi di abitudini oanalisi di abitudini o scelte di consumo scelte di consumo …… -- che riguardano dati sensibili registrati in banche dati a fini dche riguardano dati sensibili registrati in banche dati a fini d i selezionei selezione
del personale per conto terzidel personale per conto terzi , , nonchnonch éé per sondaggi di opinioneper sondaggi di opinione ,, ricerche di mercato o altre ricerche campionariericerche di mercato o altre ricerche campionarie
-- che riguardano dati registrati in apposite banche d i dati gestitche riguardano dati registrati in apposite banche d i dati gestit e con e con strumenti elettronici e relative al rischio sulla solvibilitstrumenti elettronici e relative al rischio sulla solvibilit àà economicaeconomica , , alla situazione patrimonialealla situazione patrimoniale , , al corretto adempimentoal corretto adempimento
di obbligazionidi obbligazioni , , a comportamenti illeciti o fraudolentia comportamenti illeciti o fraudolenti -- altri di cui allaltri di cui all ’’artart . . 3737 ((dati geneticidati genetici , , idonei a rivelare lo stato di saluteidonei a rivelare lo stato di salute , , eccecc .).)
Aggiornamento e revisione degli adempimenti - La notificazione
Gruppo di studio Sicurezza sul lavoro e Privacy
Il 1° Gennaio 2004 rappresenta occasione per rifare:
- censimento di tutte le banche dati interne
- censimento delle tipologie di trattamenti effett uati
- opera di sensibilizzazione al personale dipenden te sulla necessità di segnalare ogni nuovo e diverso trattam ento rispetto a quelli già censiti
Aggiornamento e revisione degli adempimenti - La notificazione
Gruppo di studio Sicurezza sul lavoro e Privacy
Nei casi di trattamento previsti dall’art. 37… Per le attività di trattamento dei dati che non esi stevano prima del 01-
01-2004, la notificazione va effettuata prima che i nizi il trattamento medesimo
Per i trattamenti già in essere prima del 01-01-200 4, la notificazione si
può effettuare entro il 30-04-2004 L’obbligo di notificazione va ripetuto anteriorment e alla cessazione
del trattamento o al mutamento di taluno degli elem enti da indicare nella notificazione medesima
Aggiornamento e revisione degli adempimenti - I tempi della notificazione
Gruppo di studio Sicurezza sul lavoro e Privacy
L’Interessato o la persona presso la quale sono rac colti i dati personali devono essere PREVIAMENTE INFORMATI oralmente o per iscritto circa: - Le finalità e le modalità del trattamento cui sono destinati i dati - La natura obbligatoria o facoltativa del conferim ento dei dati - Le conseguenze di un eventuale rifiuto di rispond ere - I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di re sponsabili o incaricati, e l’ambito di diffusione dei dati medesimi - I suoi diritti - Gli estremi identificativi del titolare e (se des ignati) del Rappresentante nel territorio dello Stato e del Responsabile - Gli estremi di un Responsabile qualora designati più di uno, indicando il sito della rete di comunicazione o le modalità attravers o le quali è conoscibile in modo agevole l’elenco aggiornato dei Responsabili
Aggiornamento e revisione degli adempimenti – L’informativa
Gruppo di studio Sicurezza sul lavoro e Privacy
In questo adempimento si scontrano due esigenze:
- la necessità di fornire un’informativa che rispo nda ai requisiti di dettaglio e di completezza richiesti dalla normativa
- disporre di uno spazio sufficiente nella normale modulistica amministrativo contrattuale normalmente utilizzata per comprendere tutte le informazioni previste dalla normativa
Aggiornamento e revisione degli adempimenti – L’informativa
Gruppo di studio Sicurezza sul lavoro e Privacy
Il codice mantiene la distinzione tra:
Misure di sicurezza
MINIME Misure di sicurezza
IDONEE
Aggiornamento e revisione degli adempimenti – Le misure di sicurezza
Gruppo di studio Sicurezza sul lavoro e Privacy
Il Codice - a differenza della Legge 675/96 – distingue le misure di sicurezza in relazione
Trattamenti con
strumenti elettronici
Trattamenti con
Strumenti non elettronici
Le Modalità tecniche di attuazione delle Misure Min ime di Sicurezza sono previste nel Disciplinare Tecnico (allegato B) Il Disciplinare Tecnico individua ulteriori misure minime per
il trattamento di dati sensibili e giudiziari
Le misure minime di sicurezza
Gruppo di studio Sicurezza sul lavoro e Privacy
Identificazione delle misure minime di sicurezza
Autenticazione Informatica
Procedure di gestione delle credenziali di autentic azione
Utilizzazione di un sistema di autorizzazione
Aggiornamento periodico dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzi one sistemi
Le misure minime di sicurezza Trattamenti con strumenti elettronici
Gruppo di studio Sicurezza sul lavoro e Privacy
Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consen titi
Procedure per la custodia di copie di back-up, il ripristino della disponibilità dei dati e dei si stemi
Redazione e aggiornamento del documento Programmatico sulla sicurezza (DPS)
Adozione di tecniche di cifratura o codici identifi cativi per determinati trattamenti di dati sensibili effettuati da organi smi sanitari
Le misure minime di sicurezza Trattamenti con strumenti elettronici
Identificazione delle misure minime di sicurezza
Gruppo di studio Sicurezza sul lavoro e Privacy
Procedure Di aggiornamento
Di gestione
Di controllo
La sfida organizzativa
Gruppo di studio Sicurezza sul lavoro
e Privacy
Identificazione dei ruoli e gestione delle nomine (organigramma privacy) - Titolare, Responsabile/i, incaricati, c ustode di copia delle credenziali, altri eventuali (responsabile gestione strumenti elettronici, incaricato copie di sicurezza…) Identificazione delle sedi ed uffici ove avvengono i trattamenti Censimento di tutte le banche dati presenti in azie nda (descrizione banca dati, tipi di dati trattati (dati comuni, sen sibili, giudiziari), categorie di interessati, finalità del trattamento, tipo di tr attamento (con o senza strumenti elettronici), ecc.) Identificazione degli strumenti di elaborazione e d ei software usati per il trattamento (descrizione strumento, sistema operativo, modalità di utilizzo (stand alone / rete), gestione antivirus, ecc.)
La costruzione del Sistema Data-Privacy ( esemplificazione )
Gruppo di studio Sicurezza sul lavoro
e Privacy
Impostazione della modulistica (informativa, lettere di incarico,
istruzioni agli incaricati, ecc.)
Aggiornamento e revisione degli adempimenti (notifica, informativa, gestione del consenso)
Adeguamento alle misure minime di sicurezza (sistema di autenticazione informatica, sistema di autorizzazione, altre misure di sicurezza (antivirus con controlli semestrali, aggiornamento sw con controlli annuali …), gestione salvataggi, ecc.)
La costruzione del Sistema Data-Privacy ( esemplificazione )
Gruppo di studio Sicurezza sul lavoro
e Privacy
Redazione del Documento Programmatico della Sicurezza (entro il 31 marzo di ogni anno) che contenga idonee informazioni al riguardo:
- elenco dei trattamenti - distribuzione compiti e responsabilità - analisi dei rischi che incombono sui dati - le misure da adottare per garantire l’integrità e disponibilità dei dati - criteri e modalità di ripristino dati - previsione degli interventi formativi agli incaricati al trattamento - criteri da adottare per garantire l’adozione delle misure minime di
sicurezza in caso di dati affidati all’esterno della struttura del Titolare
- criteri da adottare per la cifratura o separazione dagli altri dati nel caso di dati idonei a rivelare lo stato di salute e la vita sessuale
Formazione periodica del personale a seconda delle funzioni ricoperte
La costruzione del Sistema Data-Privacy ( esemplificazione )
Gruppo di studio Sicurezza sul lavoro e Privacy
“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcime nto ai
sensi dell’art. 2050 del codice civile se non prova di avere adottato tutte le misure IDONEE ad evitare il danno ”
(Resp.civile)
L’interessato leso non dovrà provare la colpa del T itolare ma solo il nesso di casualità,
ovvero: - Che il danno si sia realizzato
- Che il danno dipenda dall’attività di trattamento
Le violazioni( I danni cagionati con il trattamento )
Gruppo di studio Sicurezza sul lavoro e Privacy
Art. Tipologia Importo Codice
161 Omessa, inidonea informativa € 6.000 - 36.000 x 2/5 x 2 x 4
162-com.1
Cessione dati in violazione disposizioni Codice
€ 10.000 - 60.000 x 2/5 x 2 x 4
162-com.2bis
Violazione delle misure minime di sicurezza
€ 20.000 - 120.000 x 2/5 x 2 x 4
162-com.2bis Trattamento illecito di dati € 20.000 - 120.000 x
2/5 x 2 x 4
162-com.2ter
Inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto
€ 30.000 -180.000 x 2/5 x 2 x 4
163 Omessa, incompleta Notificazione
€ 20.000 - 120.000 x 2/5 x 2 x 4
164 Omessa informazione esibizione Garante
€ 10.000 - 60.000 x 2/5 x 2 x 4
SANZIONE ACCESSORIA (art.165): Pubblicazione ordinanza-ingiunzione
Violazioni amministrative
Min
ore
grav
ità
Mag
gior
e gr
avità
In
effic
ai s
e
cont
ravv
. ric
co
Gruppo di studio Sicurezza sul lavoro e Privacy
Art. Tipologia Sanzione Codice
167 Trattamento Illecito dei dati DC Recl 6-18 mesi DS Recl 12-36 mesi
168 Falsità in dichiarazioni e notificazioni al Garante Reclusione 6-36 mesi
169 Omissione di Misure minime di sicurezza Arresto sino 2 anni +art.162,com.2-bis
170 Inosservanza di provvedimenti del Garante Reclusione 3-24 mesi
+art.162,com.2-ter
Illeciti Penali
PENA ACCESSORIA (art.172): Pubblicazione sentenza
Gruppo di studio Sicurezza sul lavoro
e Privacy
Omessa adozione delle misure di sicurezza Il Codice consente alle imprese pubbliche o
private che abbiano compiuto il reato la possibilità di regolarizzare la propria
posizione anche ai fini penali
RAVVEDIMENTO OPEROSO (art. 169 D.Lgs 196/03)
Regolarizzazione in ottemperanza a una prescrizione del Garante ed entro un termine non superiore a sei mesi
Versamento di una somma pari al quarto del massimo dell’ammenda
prevista (ovvero 12.500 euro)
Illeciti Penali
Gruppo di studio Sicurezza sul lavoro e Privacy
31 Marzo di ogni anno
Redazione del Documento
Programmatico sulla Sicurezza così come previsto dall’art.34 del D.Lgs 196/03 e con le modalità identificate
dal Disciplinare Tecnico (All.B).
Il Titolare riferisce nella relazione accompagnatoria al Bilancio della
redazione/aggiornam. del DPS
Le principali scadenze
Gruppo di studio Sicurezza sul lavoro e Privacy
Dal 15 dicembre 2009
Provvedimento per gli amministratori di sistema del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) inerente “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema ” prevede: �Registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici; �Verifica della attività almeno annuale dell'operato degli amministratori di sistema �Elenco degli amministratori di sistema e loro caratteristiche �Valutazione dell’esperienza, capacità, e affidabilità degli amministratori di sistema
Le principali scadenze (2)
Gruppo di studio Sicurezza sul lavoro e Privacy
Trattamento di dati personali -Credenziali di autenticazione (ad es. parola chiave e codice identificativo - dispositivo - biometria) -Adozione Documento programmatico sulla sicurezza (DPS) -Profili di autorizzazione (chi fa che cosa) -Installazione di programmi antivirus -Aggiornamento periodico di programmi per prevenire vulnerabilità e correggerne gli errori -Il back-up dei dati(ossia la copia degli stessi)
Trattamento di dati sensibili e giudiziari -Le misure previste per i dati comuni -Utilizzo di idonei strumenti per gli accessi abusivi (firewall) -Gestione supporti di memorizzazione rimovibili, previsione di istruzioni per custodia e uso, istruzioni per il loro riutilizzo ed eventuale distruzione -Ripristino accesso ai dati e strumenti (piani di disaster recovery)
La privacy richiede…
DPS e verifica Adempimenti
On-line
Gruppo di studio Sicurezza sul lavoro e Privacy
� La legge 6 agosto 2008 n. 133 di conversione, con modificazioni, del decreto-legge 25 giugno 2008, n. 112 e il Provvedimento del Garante del 27 novembre 2008 (G.U. n. 287 del 9 dicembre 2008) hanno apportato introdotto alcune semplificazioni per quanto concerne le misure minime di sicurezza previste dall’art.34 distinguendo 2 distinti profili di titolari ammessi all’adozione di misure semplificate
� Il profilo di rischio sanzionatorio si aggrava per chi si avvale delle semplificazioni senza averne titolo: ci si espone oltre all’art.169 anche all’art. 168.
Semplificazioni
Gruppo di studio Sicurezza sul lavoro e Privacy
� Soggetti pubblici o privati che:
� utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
� trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
Destinatari delle semplificazioni (1)
Gruppo di studio Sicurezza sul lavoro e Privacy
� Per capire se un soggetto rientra in una delle due categorie, si devono innanzitutto elencare ed analizzare tutti i trattamenti di dati che esso effettua in qualità di titolare (o contitolare); dall’analisi risulterà che ciascun trattamento è connotato almeno dalle seguenti informazioni:
� tipi di dati trattati (personali, identificativi, sensibili, giudiziari, ecc.)
� categoria di interessati;
� modalità di trattamento;
� finalità;
� Da queste informazioni si può desumere se il trattamento consente al titolare di rientrare in una delle due categorie (a) o (b)
Destinatari delle semplificazioni (2)
Gruppo di studio Sicurezza sul lavoro e Privacy
� Se a causa anche di uno solo dei trattamenti effettuati, il titolare non rientrasse in nessuna delle due categorie e quindi appartenesse alla categoria (c), dovrebbe rinunciare all’adozione delle misure semplificate e ricorrere a quelle “rigorose”, stabilite nell’Allegato B del Codice.
Destinatari delle semplificazioni (3)
Gruppo di studio Sicurezza sul lavoro e Privacy
� Attribuire a ciascun trattamento una classe di appartenenza:
A. dati personali (né sensibili, né giudiziari) trattati unicamente per correnti finalità amministrative e contabili
B. dati personali trattati per altre finalità rispetto ad A)
C. dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto inerenti solo allo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale
D. dati giudiziari ovvero dati sensibili di altra natura (stato di salute con indicazione della diagnosi, vita sessuale, convinzioni religiose, politiche o filosofiche, etnia o razza) e/o riferiti ad altri soggetti rispetto a C)
Procedura pratica (1)
Gruppo di studio Sicurezza sul lavoro e Privacy
Procedura pratica (2)
Insieme di tutti i trattamenti di classe
A,B,C,D = Soggetti di categoria (c)
Insieme di tutti i trattamenti di
classe A,B,C =
Soggetti di categoria (a)
Insieme di tutti i
trattamenti di classe A
Soggetti di categoria (b):
artigiani, professionisti, piccoli imprenditori, PMI
Gruppo di studio Sicurezza sul lavoro e Privacy
Misure differenziate (1)
Soggetti di gruppo b) Trattamenti solo di classe A
Soggetti di gruppo a) Trattamenti di classe A,B,C
Soggetti di gruppo c) Trattamenti di classe A,B,C,D
Lettere di incarico scritte Lettere di incarico scritte Lettere di incarico scritte
Controllo uso e accesso semplificato a dati sensibili
Controllo uso e accesso rigoroso a dati sensibili e
giudiziari
Istruzioni anche orali Istruzioni anche orali Istruzioni scritte
DPS semplificato oppure Autocertificazione
Autocertificazione Regolamento trattamento dati
Trattamenti effettuati senza l’ausilio di strumenti elettronici
Gruppo di studio Sicurezza sul lavoro e Privacy
Misure differenziate (2)
Trattamenti effettuati con l’ausilio di strumenti e lettronici Soggetti di gruppo b)
Trattamenti solo di classe A Soggetti di gruppo a)
Trattamenti di classe A,B,C Soggetti di gruppo c)
Trattamenti di classe A,B,C,D Lettere di incarico scritte Lettere di incarico scritte Lettere di incarico scritte
Autenticazione informatica semplificata
Autenticazione informatica semplificata
Autenticazione informatica rigorosa
Autorizzazione informatica semplificata
Autorizzazione informatica semplificata
Autorizzazione informatica rigorosa
Altre misure di sicurezza semplificate Altre misure di sicurezza semplificate Altre misure di sicurezza rigorose Ulteriori misure per dati sensibili e
giudiziari Misure di tutela (nota integrativa di
bilancio) Controllo uso e accesso semplificato
a dati sensibili Controllo uso e accesso rigoroso a
dati sensibili e giudiziari Istruzioni anche orali Istruzioni anche orali Istruzioni scritte
DPS semplificato oppure Autocertificazione
Autocertificazione DPS rigoroso
Provvedimento per amministratori di sistema
Provvedimento per amministratori di sistema
Gruppo di studio Sicurezza sul lavoro e Privacy
Computer
Gestionale Aziendale
Sito Web
Navigazione Consultazione
Posta Elettronica
Ricerca di Informazioni
Postazioni di Lavoro Mobili
VPN Telelavoro
Utilizzatori della rete interna
Gruppo di studio Sicurezza sul lavoro e Privacy
Cos’è la Sicurezza
� Essere sicuri, non avere timori
� Sicurezza dei propri dati
� Salvaguardia hardware
� Reputazione
� Valutazione dei rischi
� Principi: difese multiple, ..., semplicità, ...
� E' un processo, non un prodotto
Gruppo di studio Sicurezza sul lavoro e Privacy
Da Chi Difendersi
� Cracker (hacker, script kiddies)
� Malware (virus, spyware)
� DoS (Denial of Service)
� Web (siti pericolosi e non appropriati)
� Furto (identità e dati)
� Bounce attack
Esempi: � SQL Slammer (virus su SQL)
� Hacker cattura audio e video di un giornalista
Gruppo di studio Sicurezza sul lavoro e Privacy
Difese
� Security through obscurity
“non mi faccio vedere”
� Aggiornamenti
� Antivirus
� Filtro su Siti Web
� Crittografia
� VPN
� Firewall
Gruppo di studio Sicurezza sul lavoro e Privacy
HUB
Sistema di Autenticazione Gestione del Dominio Aziendale
Server Work-Station
Autenticazione
Gruppo di studio Sicurezza sul lavoro e Privacy
HUB
Server Work-Station Richiesta
Autorizzazione
Autenticazione Sistema di Autenticazione
Gestione del Dominio Aziendale
Gruppo di studio Sicurezza sul lavoro e Privacy
HUB
Server Work-Station Autorizzazione
Concessa
Sistema di Autenticazione Gestione del Dominio Aziendale
Autenticazione
Gruppo di studio Sicurezza sul lavoro e Privacy
Sistema di Autenticazione Gestione del Dominio Aziendale
� Ogni incaricato deve avere una credenziale di identificazione (user+password, biometria…)
� Sostituzione delle credenziali ogni 6 mesi
� Diversi profili di autorizzazione
Autenticazione
Gruppo di studio Sicurezza sul lavoro e Privacy
Sistema di Autenticazione sistemi operativi “Home”
� Non possono gestire accessi sicuri con password
� Accessibilità diretta ai dati locali
� Installazioni incontrollate di software
Autenticazione
Windows 95/98/ME
Windows XP HOME
Windows Vista Home
Gruppo di studio Sicurezza sul lavoro e Privacy
Sistema di Autenticazione sistemi operativi “Server/Professional”
� Gestiscono accessi sicuri con password
� Accessibilità autenticata ai dati locali
� Installazioni controllate di software
Autenticazione
Unix, Linux
Windows NT Server/Workstation
Windows 2k Server/Professional
Windows 2k3 Server
Windows XP Professional
Windows Vista Business Premium
Gruppo di studio Sicurezza sul lavoro e Privacy
Firewall: anti-intrusione Antivirus: analisi contenuti
� Firewall = Muro tagliafuoco. Protezione volta ad evitare che utenti non autorizzati (o programmi) penetrino nel nostro computer via internet.
� Antivirus = Applicativo che analizzando i contenuti di file, email…, cerca di individuare e rimuovere possibili virus.
Firewall e Antivirus
Gruppo di studio Sicurezza sul lavoro e Privacy
Internet
Router
Attacco hacker
Email Con Virus
Firewall: anti-intrusione Antivirus: analisi contenuti
Firewall e Antivirus
Gruppo di studio Sicurezza sul lavoro e Privacy
Internet
HUB
Attacco hacker
Email Con Virus
FIREWALL + ANTIVIRUS
Firewall: anti-intrusione Antivirus: analisi contenuti
Firewall e Antivirus
Gruppo di studio Sicurezza sul lavoro e Privacy
� Aggiornamenti annuali dei sistemi e software installati � Definizione delle tabelle attacchi del Firewall
� Definizione delle liste Antivirus
� Aggiornamenti semestrali per dati sensibili e giudiziari
Aggiornamenti Richiesti dalla Legge
Firewall e Antivirus
Gruppo di studio Sicurezza sul lavoro e Privacy
� Cifratura dei Dati Per i dati idonei a rivelare lo stato di salute e la vita sessuale, è
prevista l’individuazione di criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato
� Trasporto dei dati I dati relativi all’identità genetica sono trattati esclusivamente
all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato
Protezione dati
Gruppo di studio Sicurezza sul lavoro e Privacy
� Gruppo di continuità � Evita “brusche cadute” di
alimentazione che potrebbero causare danni ai database
� Back-up settimanali � Hard-disk esterni
� Unità nastro (DAT)
� Supporti CD-Rom o DVD
� Back-up via Rete
� Sistemi di Disaster Recovery e ripristino dati entro 7 giorni (dati sensibili) � Server secondari o remoti
� Uffici remoti
Protezione dati
Recommended