[a cura di Leo
Stilo]
| Norme | misure minime... |
|
ALLEGATO
B |
|
|
|
Modalità tecniche
da adottare a cura del titolare, del responsabile ove designato
e dell’incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione
informatica 1. Il trattamento di dati
personali con strumenti elettronici è consentito agli incaricati
dotati di credenziali di autenticazione che consentano il superamento
di una procedura di autenticazione relativa a uno specifico trattamento
o a un insieme di trattamenti. 2. Le credenziali di autenticazione
consistono in un codice per l’identificazione dell’incaricato
associato a una parola chiave riservata conosciuta solamente dal
medesimo oppure in un dispositivo di autenticazione in possesso
e uso esclusivo dell’incaricato, eventualmente associato
a un codice identificativo o a una parola chiave, oppure in una
caratteristica biometrica dell’incaricato, eventualmente
associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono
assegnate o associate individualmente una o più credenziali
per l’autenticazione. 4. Con le istruzioni impartite
agli incaricati è prescritto di adottare le necessarie
cautele per assicurare la segretezza della componente riservata
della credenziale e la diligente custodia dei dispositivi in possesso
ed uso esclusivo dell’incaricato. 5. La parola chiave, quando
è prevista dal sistema di autenticazione, è composta
da almeno otto caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di caratteri pari al
massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all’incaricato ed è modificata da quest’ultimo
al primo utilizzo e, successivamente, almeno ogni sei mesi. In
caso di trattamento di dati sensibili e di dati giudiziari la
parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l’identificazione,
laddove utilizzato, non può essere assegnato ad altri incaricati,
neppure in tempi diversi. 7. Le credenziali di autenticazione
non utilizzate da almeno sei mesi sono disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate
anche in caso di perdita della qualità che consente all’incaricato
l’accesso ai dati personali. 9. Sono impartite istruzioni
agli incaricati per non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento. 10. Quando l’accesso
ai dati e agli strumenti elettronici è consentito esclusivamente
mediante uso della componente riservata della credenziale per
l’autenticazione, sono impartite idonee e preventive disposizioni
scritte volte a individuare chiaramente le modalità con
le quali il titolare può assicurare la disponibilità
di dati o strumenti elettronici in caso di prolungata assenza
o impedimento dell’incaricato che renda indispensabile e
indifferibile intervenire per esclusive necessità di operatività
e di sicurezza del sistema. In tal caso la custodia delle copie
delle credenziali è organizzata garantendo la relativa
segretezza e individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare tempestivamente
l’incaricato dell’intervento effettuato. 11. Le disposizioni sul sistema
di autenticazione di cui ai precedenti punti e quelle sul sistema
di autorizzazione non si applicano ai trattamenti dei dati personali
destinati alla diffusione.
Sistema di autorizzazione 12. Quando per gli incaricati
sono individuati profili di autorizzazione di ambito diverso è
utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione,
per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all’inizio del trattamento,
in modo da limitare l’accesso ai soli dati necessari per
effettuare le operazioni di trattamento. 14. Periodicamente, e comunque
almeno annualmente, è verificata la sussistenza delle condizioni
per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza 15. Nell’ambito dell’aggiornamento
periodico con cadenza almeno annuale dell’individuazione
dell’ambito del trattamento consentito ai singoli incaricati
e addetti alla gestione o alla manutenzione degli strumenti elettronici,
la lista degli incaricati può essere redatta anche per
classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono
protetti contro il rischio di intrusione e dell’azione di
programmi di cui all’art. 615-quinquies del codice penale,
mediante l’attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici
dei programmi per elaboratore volti a prevenire la vulnerabilità
di strumenti elettronici e a correggerne difetti sono effettuati
almeno annualmente. In caso di trattamento di dati sensibili o
giudiziari l’aggiornamento è almeno semestrale. 18. Sono impartite istruzioni
organizzative e tecniche che prevedono il salvataggio dei dati
con frequenza almeno settimanale.
Documento programmatico
sulla sicurezza 19. Entro il 31 marzo di ogni
anno, il titolare di un trattamento di dati sensibili o di dati
giudiziari redige anche attraverso il responsabile, se designato,
un documento programmatico sulla sicurezza contenente idonee informazioni
riguardo: 19.1. l’elenco dei trattamenti
di dati personali; 19.2. la distribuzione dei
compiti e delle responsabilità nell’ambito delle strutture
preposte al trattamento dei dati; 19.3. l’analisi dei rischi
che incombono sui dati; 19.4. le misure da adottare
per garantire l’integrità e la disponibilità
dei dati, nonché la protezione delle aree e dei locali,
rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri
e delle modalità per il ripristino della disponibilità
dei dati in seguito a distruzione o danneggiamento di cui al successivo
punto 23; 19.6. la previsione di interventi
formativi degli incaricati del trattamento, per renderli edotti
dei rischi che incombono sui dati, delle misure disponibili per
prevenire eventi dannosi, dei profili della disciplina sulla protezione
dei dati 19.7. la descrizione dei criteri
da adottare per garantire l’adozione delle misure minimedi
sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all’esterno della struttura
del titolare; 19.8. per i dati personali
idonei a rivelare lo stato di salute e la vita sessuale di cui
al punto 24, l’individuazione dei criteri da adottare per
la cifratura o per la separazione di tali dati dagli altri dati
personali dell’interessato.
Ulteriori misure in caso
di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari
sono protetti contro l’accesso abusivo, di cui all’
art. 615-ter del codice penale, mediante l’utilizzo di idonei
strumenti elettronici. 21. Sono impartite istruzioni
organizzative e tecniche per la custodia e l’uso dei supporti
rimovibili su cui sono memorizzati i dati al fine di evitare accessi
non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili
contenenti dati sensibili o giudiziari se non utilizzati sono
distrutti o resi inutilizzabili, ovvero possono essere riutilizzati
da altri incaricati, non autorizzati al trattamento degli stessi
dati, se le informazioni precedentemente in essi contenute non
sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure
per garantire il ripristino dell’accesso ai dati in caso
di danneggiamento degli stessi o degli strumenti elettronici,
in tempi certi compatibili con i diritti degli interessati e non
superiori a sette giorni. 24. Gli organismi sanitari
e gli esercenti le professioni sanitarie effettuano il trattamento
dei dati idonei a rivelare lo stato di salute e la vita sessuale
contenuti in elenchi, registri o banche di dati con le modalità
di cui all’articolo 22, comma 6, del codice, anche al fine
di consentire il trattamento disgiunto dei medesimi dati dagli
altri dati personali che permettono di identificare direttamente
gli interessati. I dati relativi all’identità genetica
sono trattati esclusivamente all’interno di locali protetti
accessibili ai soli incaricati dei trattamenti ed ai soggetti
specificatamente autorizzati ad accedervi; il trasporto dei dati
all’esterno dei locali riservati al loro trattamento deve
avvenire in contenitori muniti di serratura o dispositivi equipollenti;
il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia 25. Il titolare che adotta
misure minime di sicurezza avvalendosi di soggetti esterni alla
propria struttura, per provvedere alla esecuzione riceve dall’installatore
una descrizione scritta dell’intervento effettuato che ne
attesta la conformità alle disposizioni del presente disciplinare
tecnico. 26. Il titolare riferisce,
nella relazione accompagnatoria del bilancio d’esercizio,
se dovuta, dell’avvenuta redazione o aggiornamento del documento
programmatico sulla sicurezza.
Trattamenti senza l’ausilio
di strumenti elettronici Modalità tecniche
da adottare a cura del titolare, del responsabile, ove designato,
e dell’incaricato, in caso di trattamento con strumenti diversi
da quelli elettronici: 27. Agli incaricati sono impartite
istruzioni scritte finalizzate al controllo ed alla custodia,
per l’intero ciclo necessario allo svolgimento delle operazioni
di trattamento, degli atti e dei documenti contenenti dati personali.
Nell’ambito dell’aggiornamento periodico con cadenza
almeno annuale dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati, la lista degli incaricati può
essere redatta anche per classi omogenee di incarico e dei relativi
profili di autorizzazione. 28. Quando gli atti e i documenti
contenenti dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e custoditi
dagli incaricati fino alla restituzione in maniera che ad essi
non accedano persone prive di autorizzazione, e sono restituiti
al termine delle operazioni affidate. 29. L’accesso agli archivi
contenenti dati sensibili o giudiziari è controllato. Le
persone ammesse, a qualunque titolo, dopo l’orario di chiusura,
sono identificate e registrate. Quando gli archivi non sono dotati
di strumenti elettronici per il |
|
|
