codice privacy 2004 · Il nuovo codice privacy Precedente normativa: Legge base 31.12.1996, n. 675 (vigenza 8.5.97) seguita da numerosi ulteriori interventi, tra cui il DPR 28.7.1999,

Il nuovo codice privacy

Giuliano Termanini


Introduzione

Disciplina protezione dati personali (diritto)Qualsiasi trattamento di dati personali (informatico o cartaceo) deve rispettare tale diritto.Principio di necessità nel trattamento dati:

sistemi informativi e programmi informaticiriduzione al minimo dell’utilizzo di dati personali


Precedente normativa:

Legge base 31.12.1996, n. 675 (vigenza 8.5.97) seguita da numerosi ulteriori interventi, tra cui il DPR 28.7.1999, n. 318 sulle misure minime di sicurezza (cfr. art. 183 circa 20 norme abrogate)2002: n. 7 autorizzazioni standard (di cui la n. 4 per liberi professionisti)efficacia prorogata al 30.6.2004 dal Garanteinterpretazioni, note e pronunce del Garante (su istanza o d’ufficio)


Attuale normativa: DLgs 30.6.2003, n. 196 (c.d. “codice privacy”) da legge delega 24.3.2001, n. 127• riordina e razionalizza norme precedenti• recepisce interpretazioni Garante• introduce novità e semplificazioni• recepisce direttiva 2002/58/CE

Entrata in vigore: 1.1.2004 (eccetto alcune disposizioni su Garante, AIPA 30.7.03)


La struttura del nuovo codice privacyLa struttura del nuovo codice privacy::

• principi generali protezione dati personali• regole generali sul trattamento dati personali• disposizioni su titolari, responsabili, incaricati• disciplina adempimenti:

- notifica e autorizzazione Garante,- informativa e consenso dell’interessato, ecc.

• disposizioni su misure di sicurezza• disciplina del Garante• sanzioni amministrative e penali• disposizioni transitorie e finali


Principi generali protezione dati personaliPrincipi generali protezione dati personali

diritto alla protezione dei dati personali

il codice garantisce che il trattamento dei dati rispetti i diritti e le libertà, nonché la dignità degli interessati

principio di necessità nel trattamento dati (riduzione al minimo dell’utilizzo)


Regole generali sul trattamento dati personaliRegole generali sul trattamento dati personali

modalità del trattamento (lecito, corretto)

dati raccolti e registrati per determinati scopi

usati in modo compatibile a tali scopi

pertinenti, completi e non eccedenti

conservati correttamente per il tempo necessario


Regole generali sul trattamento dati personaliRegole generali sul trattamento dati personali

codici di deontologia e buona condotta (v. all. A)

informativa (art. 13) e consenso


Disposizioni su titolari, responsabili, incaricatiDisposizioni su titolari, responsabili, incaricati

titolare (esiste sempre)

responsabile (eventualmente preposto daltitolare)

incaricato/i (solo persona fisica)


Disciplina adempimenti:Disciplina adempimenti:

notifica e autorizzazione Garantenorma previgente: obbligo generalizzato(salvo autorizzazioni standard)nuovo codice (art. 37): obbligo solo in particolari casi: dati genetici, biometrici, di salute e vita sessuale per procreazione assistita, sulla personalità, sondaggi di opinione, ecc.


Disciplina adempimenti:Disciplina adempimenti:

informativa e consenso dell’interessato, ecc.

informativa (art. 13)


Disposizioni su misure minime di sicurezzaDisposizioni su misure minime di sicurezza

aggiornate ogni anno


Struttura del nuovo codice privacyStruttura del nuovo codice privacy

Allegati

A) Codici deontologici (trattamento dati perfini giornalistici, storici, statistici)

B) Disciplinare tecnico su misure minime di sicurezzaC) Trattamenti in ambito giudiziario o polizia

Tavola di corrispondenza dei riferimenti previgenti al nuovo codice


Glossario essenziale (art. 4)Glossario essenziale (art. 4)

• dati personali (info relative a persone fisiche, giuridiche, altri enti, incluso n° identificaz.)

• dati comuni (quelli diversi da sensibili e giudiziari)• dati sensibili (idonei a rivelare razza, religione

op.politiche, filosofiche, salute, vita sessule) • dati giudiziari (idonei a rivelare provvedimenti

scritti nel casellario giudiziario o relativi a qualità di imputato o indagato)



• Titolare (persona o ente)• Responsabile (eventuale)• Incaricato/i (sempre persona fisica)• Interessato (persona o ente cui si rif. i dati)



Trattamento (operazione, manuale o elettronica, di raccolta, registrazione, org.ne, consultazione, elaborazione, selezione, estrazione, raffronto, utilizzo, blocco, modifica, cancellazione, distruzioneComunicazione (a soggetti determinati)Diffusione (a soggetti indeterminati)

Il nuovo codice privacy – 1 marzo 2004

Scadenziario/1Scadenziario/1

31 marzo 2004 Redazione/aggiornamento DPS(art. 34: chi tratta dati construmenti elettronici)

30 aprile 2004 Notifica al Garante (telematica, con firma digitale)(art. 37: solo per certi dati)

31 DICEMBRE 04 Adozione nuove misure minimedi sicurezza, salvo rinvio 1.1.05

(segue)

Il nuovo codice privacy – 1 marzo 2004

Scadenziario/2Scadenziario/2Adozione misure minime - rinvio 30.6.04-1.1.05

Il titolare che all’1.1.2004 ha strumenti elettronici che, per OBIETTIVE RAGIONITECNICHE, non consentono anche in parte l’immediata applicazione delle misure minime di sicurezza, deve indicare tali ragioni in un documento con DATA CERTA entro il 31.12.2004.


Sanzioni/1Sanzioni/1• amministrative (art. 161-166)• penali (art. 167-172)

Sanzioni amministrative pecuniarie:• Violazione norma sull’informativa all’interessato (art.

13):- dati comuni 3.000-18.000 € - dati sensibili o giudiziari 5.000-30.000 €(aumentabile fino al triplo)

(segue)


Sanzioni/2Sanzioni/2Sanzioni amministrative pecuniarie:

• Omessa/infedele notifica al Garante:10.000-60.000 €

• Violazione norme sulla cessazione deltrattamento o altre disposizioni:5.000-30.000 €

• Omesse informazioni o esibizione didocumenti richiesti dal Garante:4.000-24.000 €

(segue)


Sanzioni/3Sanzioni/3Sanzioni penali:

• Trattamento illecito di dati personali(in violazione norme sul consenso, ecc.),falsità notifiche o comunicazioni al Garante:reclusione da 6 mesi a 3 anni

• Inosservanza dei provvedimenti del Garante:reclusione da 3 mesi a 2 anni

• Omessa adozione misure minime di sicurezza:arresto fino a 2 anni ovvero ammenda da € 10.000 a 50.000

(segue)


Sanzioni/4Sanzioni/4Sanzioni penali (segue):

E’ possibile il “ravvedimento operoso” (art. 169.2)(con estinzione del reato) se:- regolazzazione entro un dato termine

(max 6 mesi)- pagamento sanzione ridotta a ¼ del massimo

quindi 12.500 euro.(segue)


Sanzioni/5Altre violazioni previste dal CP:

491bis falsificazione documenti informatici615ter accesso abusivo a sistema info/telematico615quater detenzione/diffusione abusiva pw615quinquies diffusione programmi idonei a

danneggiare o interrompere un sistema infor-matico.

616,617sexies violazione corrispondenza telem.617quater intercettazione comunic.infor./telem.635 bis danneggiamento sist. infor./telematici640ter frode informatica

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici èconsentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

INCARICATO Credenziali di autenticazione

Identificazione

Autenticazione

AUTENTICAZIONE INFORMATICA

2. Le credenziali di autenticazione consistono in un codice perl’identificazione dell’incaricato associato a una parola chiaveriservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave

AUTENTICAZIONE NON E’ IDENTIFICAZIONEAUTENTICAZIONE NON E’ IDENTIFICAZIONE

Identificazione

L’incaricato fornisce un codice di identificazione

Solitamente un codice che non cambia: il proprio nome, il codice fiscale, un

numero a scelta

1° Livello

AutenticazioneAutenticazione

2° Livello:Verifica Inserimento del codice di verificaInserimento del codice di verifica

Autenticazione I requisiti dipendono dalla natura dell’interfaccia tra incaricato e sistema

Applicazioni su PC Sono sufficienti:

Identificazione visiva

Registrazione manuale

Utenti in linea Necessario un sistema di verifica automatizzato

Manutenzione del sistema Rischio altissimo.

Accesso consentito in aree controllate a mezzo verifica visiva e verifica

automatica

Autenticazione

Se i dipendenti utilizzano promiscuamente lo stesso

terminale

Facoltativa la ripetizione dell’autenticazione (ma raccomandabile)

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei

dati personali destinati alla diffusione

3. Ad ogni incaricato sono assegnate o associate individualmente una o piùcredenziali per l’autenticazione.

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

6. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.

Assegnazione di una chiave per il primo accesso al sistema

Dopo il primo accesso la chiave è disattivata

L’incaricato inserisce la nuova chiave

ALMENO 8 CARATTERI

Disattivazione

ALMENO 8 CARATTERI

Dopo 6 mesi di utilizzo

In caso di perdita della qualità dell’Incaricato

10. Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scrittevolte a individuare chiaramente le modalità con le quali il titolare puòassicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali èorganizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.

NON LASCIARE INCUSTODITO NON LASCIARE INCUSTODITO LO STRUMENTO ELETTRONICO!LO STRUMENTO ELETTRONICO!

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili diautorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento èalmeno semestrale.

Art 615 quinquies C.P. – Diffusione di programmi diretti a danneggiare o interrompere unsistema informatico (omissis) ..,Reclusione sino a due anni e multa fino a 20 milioni

VIRUS!!

VIRUS!! POSTA ELETTRONICA

WORM Si propaga attraverso la posta elettronica. Distrugge i file e si moltiplica. E’ limitato

all’ambiente Microsoft Windows. Se l’allegato viene aperto, il virus invia copie di se stesso a tutte le caselle elettroniche che si trovano negli indirizzi

della rubrica. Installa un programma che cattura le parole chiave

AllarmeVirus!

Diffusione velocissima. Utilizza tutti gli indirizzi di posta elettronica. Ha infettato il Fondo Monetario

Internazionale, la NASA, ecc.

NON AVVIARE MAI IL COMPUTER CON UN FLOPPY O UN CD ROM NON

CONTROLLATO!


DoS Denial of Service: il virus penetra nel sistema e crea una situazione di collasso mediante

esaurimento delle risorse del sistema. Lo blocca e distrugge i dati

Apre simultaneamente in rete un gran numero di connessioni, occupando sempre più memoria, fin

quando questa si esaurisce ed il computer si blocca

AGGIORNATE SEMPRE IL SISTEMA CON APPROPRIATI ANTIVIRUS!

Octopus


ComputerZOMBI

Un computer collegato in rete viene asservito ad un sistema che gli impone di fare determinate

operazioni

Se si è collegati con DSL, l’indirizzo non cambia mai, a differenza di altri collegamenti, che

impongono di volta in volta identificazioni diverse. Gli attacchi esterni diventano più facili, una volta

individuato il sistema

ASSICURATEVI CHE SULLA LINEA VI SIA SEMPRE UN FIREWALL!

Linee DSL


Spoofing Attacchi che impongono al sistema di analizzare una grande quantità di indirizzi fasulli, fino

all’esaurimento delle risorse.

Un sistema viene attaccato da virus di tipo Trojan (cavallo di Troia). A sua volta questo sistema

diffonde il virus in migliaia di altri sistemi fino al collasso dell’intera rete.

NON APRITE ALLEGATI SOSPETTI

Attacchidistribuiti


WORMSobig.F

Uno dei peggiori attacchi del 2003. L’apertura di un allegato lo diffonde sul sistema e su tutti i collegamenti in rete. Sfrutta una debolezza di

Windows

Ha obbligato 400 mila computer a collegarsi in un medesimo istante al sito Microsoft

NON APRITE ALLEGATI SOSPETTI

Blaster

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

BACKUP DEI DATI

Le procedure devono prevedere: Luogo di conservazione delle copie

Codifica delle etichette e dei contrassegni

Frequenza di rotazione supporti

Metodi per il trasferimento dei dati all’archivio esterno

I dati possono essere copiati su floppy, CD ROM, cassette, HD esterni, dischi ottici.

SUPPORTI PER IL BACKUP DEI DATI

FLOPPY Soluzione più economica

Capacità di archiviazione bassa

Velocità trasferimento bassa

Resistenza all’usura e campi magnetici bassa

Pregi Difetti

CASSETTE A NASTRO

Basso costo

Automatismo di copie tramite software

Scarsa diffusione tra utenti medi

COMPACT DISC Basso costo

Grande capacità

Buona protezione da agenti esterniALTRI SUPPORTI

TIPI di BACKUP DEI DATI

TIPI DI DATI DA COPIARE Pregi Difetti

COPIA COMPLETA

Copia tutti i file del disco

Lungo tempo di elaborazione

Operazione onerosa

COPIA INCREMENTALE

Copia solo i file creati o modificati dopo l’ultimo backup

Utilizzo più efficiente del supporto

Minor tempo impiegato

Necessità di identificare la directory per copiare tutti i file

COPIA DIFFERENZIALE

Copia i dati confrontandoli con l’ultima copia di backup.

Maggior tempo

LISTA DI CONTROLLO PER IL BACKUP DEI DATI

CONTROLLI SUGGERITI

Il tipo di copia scelto garantisce l’integrità e la disponibilità immediata dei dati?

Quali categorie di dati devono essere salvate?

Con quale frequenza vengono fatti i backup?

Con quale rapidità si possono recuperare i dati in caso di emergenza?

Chi è autorizzato a recuperare le copie?

E’ stata eseguita una simulazione delle operazioni in caso di crash del sistema?

Dove e come sono conservate le copie di backup?

C’è una copertura assicurativa per il recupero dei dati da parte di terzi?

Le copie sono state adeguatamente contrassegnate?

Si è stabilito il tempo di conservazione delle copie?

Le copie vengono periodicamente verificate (leggibilità)?

Perché si è scelto il supporto utilizzato invece di altri?

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenenteidonee informazioni riguardo:

Documento programmatico sulla sicurezza - Contenuto

Da redigersi o modificare entro il 31.3 di ogni anno

E’ il documento fondamentale organico, che analizza i rischi del sistema informativo

E’ previsto solo per il trattamento dei dati GIUDIZIARI o SENSIBILI

MA E’ RACCOMANDABILE IN OGNI CASOMA E’ RACCOMANDABILE IN OGNI CASO


19.1. l’elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;

19.3. l’analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;


19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

ATTENZIONE! Ai cambi di mansione

Istruzioni sulla conservazione delle chiavi e dei supporti

Inserire la formazione nell’orario di lavoro

Impedire il trattamento prima del termine della formazione

Non abilitare le chiavi prima della conclusione della formazione

ESEMPIO DI CONTENUTO DEL PIANO DI FORMAZIONE

1) Analisi delle disposizioni di legge

2) Analisi e studio del Disciplinare sulle misure minime di sicurezza

3) Responsabilità civili e penali

4) Le figure che intervengono: responsabile, titolare, incaricato

5) Le notificazioni, l’Informativa, il Consenso

6) Analisi degli apparati di sicurezza:

1) Principi di sicurezza

2) Misure di prevenzione e contenimento del danno

3) Strumenti hardware e software di protezione

4) Contenitori di sicurezza

5) Sistemi anti intrusione

6) Sistemi di spegnimento incendi, rimedi per allagamenti, cadute di tensione, danni volontari o involontari alle apparecchiature

7) Rischi di collegamenti internet

ESEMPIO DI CONTENUTO DEL PIANO DI FORMAZIONE

8) Creazione e conservazione dei backup

9) Comportamenti preventivi e procedure di emergenza

10) I rischi ed i rimedi in caso di disaster recovery

8) Uso della manualistica

9) Nozioni sulle norme previste dalla D.Lvo.626/94 (sicurezza)

Esempio di lista di controllo per la sicurezza dei computer

1. Esiste un inventario aggiornato degli strumenti(computer) e dei supporti?

2. I dischetti e gli altri supporti sono conservati in luoghi sicuri?

3. E’ disponibile un elenco delle persone autorizzate all’accesso dei dati e dei livelli consentiti per ognuno?

4. Gli utilizzatori dei computer conoscono l’hardware in modo sufficiente a prevenire danni accidentali?

5. I sistemi di autenticazione sono efficienti, aggiornati e conformi ai profili degli utilizzatori?

6. Quando si installa nuovo software, gli incaricati sono informati del suo uso?

7. Esiste un piano rigoroso che impone le copie di backup ed un controllo specifico sulla sua attuazione?

8. I rischi sono valutati ogni volta che si installa nuovo software o hardware?

9. Vi sono sufficienti dispositivi di sicurezza atti ad impedire l’accesso non autorizzato o il furto dei dati?

10. Esistono dispositivi di emergenza contro le scariche atmosferiche?

Esempio di lista di controllo per la sicurezza dei computer

11) Esiste un’adeguata protezione dei dati sensibili o giudiziari?

12) Sono state rispettate le distanze di visualizzazione da parte di terzi

13) E’ stata prevista una disattivazione temporanea del sistema, in caso di abbandono temporaneo del posto di lavoro?

14) I supporti riutilizzabili sono stati adeguatamente cancellati, con tecniche sicure?

15) In caso di eliminazione di computer, si è provveduto ad eliminare i dati in esso contenuti?

CAPITOLI CONSIGLIATI DEL DPS 1

CAPITOLO I – INQUADRAMENTO STRUTTURALE E ORGANIZZATIVO

1. Inquadramento dei dati e modalità di trattamento

2. Elaborazione dell’organigramma delle persone che hanno accesso ai dati

3. Descrizione dei ruoli e delle responsabilità di ciascun incaricato

CAPITOLO II – ANALISI DEI RISCHI

1. Rischi di distruzione o perdita intenzionale o accidentale

2. Rischi di violazione dell’integrità dei dati

3. Rischi di accesso non autorizzato

4. Rischi connessi alla rete, ed al reimpiego dei supporti di sicurezza

CAPITOLO III – MISURE DI CONTENIMENTO DEL RISCHIO

1. Misure di prevenzione

2. Misure di contenimento e riduzione del danno

3. Misure atte a coprire patrimonialmente il danno (assicurazione)

CAPITOLI CONSIGLIATI DEL DPS 2

CAPITOLO IV – CONTINENCY PLANNING E DISASTER RECOVERY

1. Descrizione del piano di emergenza per consentire al titolare l’immediata disponibilità dei dati danneggiati o perduti

CAPITOLO V – PROGRAMMA DI FORMAZIONE DEGLI INCARICATI

1. Formazione degli addetti (incaricati)

CAPITOLO VI – CAUTELE IN CASO DI AFFIDAMENTO A TERZI

1. Caso di affidamento della sicurezza ad una struttura esterna

2. Istruzioni analitiche da impartire al terzo

3. Istituzione dei controlli del rispetto delle istruzioni

CAPITOLO VII – MISURE PER TRATTAMENTO DATI SENSIBILI

1. Criteri per la cifratura o separazione dagli altri dati, per i dati personali sensibili (stato di salute, vita sessuale, origini razziali, opinioni politiche ecc.)

CAPITOLO VIII – PIANO DI VERIFICHE E AGGIORNAMENTO

1. Modalità di controllo e aggiornamento del DPS

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’ art. 615- ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici.

21. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

Come può essere creato un danno al sistema?

Utilizzo di sistemi di autenticazione non annullati

Accesso attraverso linee non sufficientemente protette

Danni provocati al sistema da agenti esterni (p.es. estintori,ecc.)

Contraffazioni di documenti di accesso

RIUTILIZZO E CANCELLAZIONE DEI SUPPORTI

Disposizione applicabile ai dati sensibili e giudiziari

MA CONSIGLIABILE IN OGNI CASO

Tutti i supporti di memoria possono trattenere dati anche se si è certi di averli cancellati:

RAM (Random Access Memory) : in genere i dati si perdono con il mancare dell’alimentazione ma talvolta non si cancellano

ROM (Read Only Memory) : i dati ivi caricati non si cancellano

Supporti magnetici: dischi, cassette, stampanti laser con memoria, fax con memoria, scanner, copie automatiche di backup su disco fisso in directory solitamente non usate

RIUTILIZZO E CANCELLAZIONE DEI SUPPORTI

Floppy Quando si cancella si elimina solo la FAT. E’ quindi possibile ripristinare i dati con semplici programmi di recupero in commercio. Per essere sicuri dell’eliminazione dei dati occorre sovrascrivere sul supporto

Altri suppor-ti magnetici

Supporti edocumentazione cartacei

Forse i più insidiosi. Occorre un distruggi documenti. Evitare i cestini e contenitori di riciclaggio carta.

ELIMINA-ZIONE

Non gettare via i supporti usati senza averli resi inservibili. Per es. floppy, CD, ecc. possono essere bruciati o deformati con la fiamma di un accendino.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Misure di tutela e garanzia

OBBLIGO DI INDICAZIONE NELLA NOTA INTEGRATIVA O SOLO NELLA RELAZIONE SULLA GESTIONE?

SI ATTENDONO CHIARIMENTI

!

Documents

codice privacy 2004 · Il nuovo codice privacy Precedente normativa: Legge base 31.12.1996, n. 675 (vigenza 8.5.97) seguita da numerosi ulteriori interventi, tra cui il DPR 28.7.1999,