Data privacy presentazione 2016
-
Upload
ivan-scandariato -
Category
Law
-
view
144 -
download
0
Transcript of Data privacy presentazione 2016
Febbraio 2016
2
Agenda
Parte I
Classificazione dei dati
Definizioni e obblighi di Titolare, Responsabili, Incaricati
Parte II
Misure minime / idonee di sicurezza con o senza l’uso di
strumenti elettronici
Sicurezza logica, fisica e organizzativa
Parte III
Protezione delle workstation (PC)
Parte IV
Amministratori di sistema
Trasferimento dati personali all’estero
3
Agenda
Parte I
Classificazione dei dati
Definizioni e obblighi di Titolare, Responsabili, Incaricati
Parte II
Misure minime / idonee di sicurezza con o senza l’uso di
strumenti elettronici
Sicurezza logica, fisica e organizzativa
Parte III
Protezione delle workstation (PC)
Parte IV
Amministratori di sistema
Trasferimento dati personali all’estero
4
Data Privacy
Decreto Legge 196/2003 e Disciplinare Tecnico
Il D.L. è entrato in vigore in data 1 gennaio 2004 ma ha subito una serie di
proroghe che hanno portato comunque alla necessità di attivare una serie
di azioni procedurali e tecnologiche al fine di indirizzare una serie di
controlli ai fini della tutela delle informazioni.
Decreto integrativo pubblicato in G.U. 24/12/2008
Il Decreto pubblicato il 24 dicembre 2008 ha colmato la lacuna del
precedente Disciplinare Tecnico nel quale non era previsto il ruolo di
Amministratore di Sistema, il quale per la sua particolare tipologia di
autorizzazioni, ha facoltà di accedere ad una ampia tipologia di
informazioni e dati.
http://www.garanteprivacy.it/web/guest/home/provvedimenti-normativa/normativa/normativa-italiana
5
Il Codice della Privacy disciplina il trattamento di dati personali, anche
detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello
Stato.
Non è soggetto alla legge il trattamento di dati personali effettuato da
persone fisiche per fini esclusivamente personali (es : agende,
elenchi), sempre che i dati non siano destinati ad una comunicazione
sistematica o alla diffusione.
Ambito di Applicazione
6
Dato Personale
PER DATO PERSONALE SI INTENDE:
TRE CATEGORIE:
DATI "COMUNI“
DATI "SENSIBILI”
DATI "GIUDIZIARI"
"QUALUNQUE INFORMAZIONE RELATIVA A
PERSONA FISICA, PERSONA GIURIDICA, ENTE OD
ASSOCIAZIONE, IDENTIFICATI O IDENTIFICABILI,
ANCHE INDIRETTAMENTE, MEDIANTE
RIFERIMENTO A QUALSIASI ALTRA
INFORMAZIONE, IVI COMPRESO UN NUMERO DI
IDENTIFICAZIONE PERSONALE“
7
DATI SENSIBILI
DATI GIUDIZIARI
DATI COMUNI
IDONEI A RIVELARE:
• origine razziale / etnica
• convinzioni religiose / filosofiche
• opinioni politiche, adesione a partiti, sindacati
• stato di salute
• vita sessuale
Categorie
IDONEI A RIVELARE:
• iscrizioni casellario giudiziale (condanne
definitive, libertà condizionata, obbligo/divieto di
soggiorno, misure alternative alla detenzione)
• la qualità di imputato o di indagato
TUTTI GLI ALTRI DATI PERSONALI
• anagrafici
• indirizzi postali/telematici
• codici identificativi
• carta credito
• immagini
• voce
• abitudini
• gusti
• preferenze
8
Trattamento
"QUALUNQUE OPERAZIONE O COMPLESSO DI OPERAZIONI,
SVOLTI CON O SENZA L'AUSILIO DI MEZZI ELETTRONICI O
COMUNQUE AUTOMATIZZATI, CONCERNENTI LA RACCOLTA, LA
REGISTRAZIONE, L'ORGANIZZAZIONE, LA CONSERVAZIONE,
L'ELABORAZIONE, LA MODIFICAZIONE, LA SELEZIONE,
L'ESTRAZIONE, IL RAFFRONTO, L'UTILIZZO,
L'INTERCONNESSIONE, IL BLOCCO, LA COMUNICAZIONE, LA
DIFFUSIONE, LA CANCELLAZIONE E LA DISTRUZIONE DI DATI“.
C’è trattamento anche quando il contatto con il dato è solo “potenziale.
POSSONO ESSERE “ELETTRONICI” E “CARTACEI”
Per “Trattamento” si intende:
9
L’ Interessato
E’ la persona fisica cui si riferiscono i dati personali.
Il Consenso è la libera manifestazione di volontà dell'interessato con cui
questi accetta espressamente un determinato trattamento dei suoi dati
personali.
L'interessato viene preventivamente informato dal Titolare, che ne
raccoglie i dati, circa:
• le finalità e le modalità del trattamento cui sono destinati i dati;
• la natura obbligatoria o facoltativa del conferimento dei dati;
• le conseguenze di un eventuale rifiuto di rispondere;
• i soggetti o le categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità
di responsabili o incaricati, e l'ambito di diffusione dei dati
medesimi;
• gli estremi identificativi del titolare
10
Titolare del Trattamento
E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo cui competono, anche unitamente ad altro
Titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati
personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Nei Contratti il Titolare è il Cliente, così come sono Titolari gli eventuali ulteriori
Destinari dei Servizi, ove ve ne siano.
Un Titolare può nominare gli Incaricati (es. i suoi dipendenti) e i Responsabili del
Trattamento.
Incaricati del
Trattamento
Responsabili
del
Trattamento
11
Titolare del Trattamento (Art. 28)
Responsabili del
Trattamento
Quando il trattamento è effettuato da una persona giuridica, da una
pubblica amministrazione o da qualsiasi altro ente, associazione od
organismo, il titolare del trattamento è l’entita nel suo complesso o unità
o organismo periferico che esercita un potere decisionale del tutto
autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il
profilo della sicurezza.
E’ la persona, la società, l'ente, l'associazione o l'organismo a cui il Titolare affida compiti
di gestione e controllo del trattamento dei dati.
Il soggetto deve essere individuato tra coloro che, per esperienza, capacità ed affidabilità,
forniscano idonea garanzia circa il rispetto delle disposizioni vigenti in materia dei dati
personali, ivi compreso il profilo della sicurezza (art. 29, comma 2).
Nomina a sua volta gli “Incaricati del Trattamento” (persone fisiche).
Fornitore
SOCIETA’ Fornitori del
Fornitore
Responsabile del Trattamento
RESPONSABILE
RESPONSABILE
12
13
13
FORNITORE SOCIETA’ Fornitore
del Fornitore
RESPONSABILE RESPONSABILE
Responsabile del Trattamento: la logica sbagliata......
Il Responsabile del Trattamento NON può a sua volta nominare un altro Responsabile, ma solo
Incaricati del Trattamento.
TITOLARE
14
SOCIETA’ Fornitori del
Fortore
Responsabile del Trattamento (Art. 29)
• Il responsabile è designato dal Titolare facoltativamente.
• Se designato, il responsabile è individuato tra soggetti che per
esperienza, capacità ed affidabilità forniscano idonea garanzia del
pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza.
• Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
• I compiti affidati al responsabile sono analiticamente specificati per
iscritto dal titolare.
• Il responsabile effettua il trattamento attenendosi alle istruzioni impartite
dal titolare il quale, anche tramite verifiche periodiche, vigila sulla
puntuale osservanza delle disposizioni e delle proprie istruzioni.
15
SOCIETA’ Fornitori del
Fortore
Designazione del Responsabile del Trattamento
Il responsabile può essere:
• Interno
• Esterno
• Persona fisica
• Persona giuridica
Il responsabile può rifiutare la designazione.
16
E’ la persona fisica autorizzata a compiere le operazioni di trattamento dei dati dal
Titolare o dal Responsabile del Trattamento. L’incaricato può essere:
• Interno
• Esterno
Opera sotto la diretta autorità del Responsabile o del Titolare del Trattamento che
lo ha nominato, attenendosi alle istruzioni impartite.
La sua designazione è individuale e per iscritto.
I Dipendenti, normalmente, ricevono tale nomina all’assunzione.
Incaricato del Trattamento
17
• Le operazioni di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni impartite.
• La designazione è effettuata per iscritto e individua puntualmente
l'ambito del trattamento consentito.
Incaricato del Trattamento (Art. 30)
RESPONSABILE
RESPONSABILE
INCARICATI DEL
TRATTAMENTO
INCARICATI DEL
TRATTAMENTO
TITOLARE
FORNITORE
FORNITORE
SOCIETA’ Fornitore
del Fornitore
18
Incaricato
L’incaricato può essere:
• Interno
• Esterno
• Solo persona fisica
L’incarico autorizza a trattare i dati.
Senza lettera di incarico non è possibile trattare i dati.
19
19
Dal punto di vista giuridico la cosa fondamentale è individuare i ruoli e le responsabilità.
» Titolare del Trattamento:
decide in merito alle finalità del Trattamento ed in merito alle Misure di Sicurezza, vigila e controlla
» Responsabile del Trattamento:
esegue le indicazioni del Titolare e decide nel limite dei poteri conferiti
controlla i suoi Incaricati impartendo adeguate istruzioni
» Incaricato del Trattamento:
deve attenersi alle istruzioni impartite dal Titolare del Trattamento o dal Responsabile del Trattamento, non deve violarle.
La catena delle responsabilità
20
Agenda
Parte I
Classificazione dei dati
Definizioni e obblighi di Titolare, Responsabili, Incaricati
Parte II
Misure minime / idonee di sicurezza con o senza l’uso di
strumenti elettronici
Sicurezza logica, fisica e organizzativa
Parte III
Protezione delle workstation (PC)
Parte IV
Amministratori di sistema
Trasferimento dati personali all’estero
21
IDONEE A discrezione del Titolare
non predefinite
PRESCRITTE Provvedimenti Generali
DAL GARANTE predefinite
MINIME Allegato “B” predefinite
Le Misure di Sicurezza
21
http://www.garanteprivacy.it/web/guest/home/provvedimenti-normativa/normativa/normativa-italiana
22
Le Misure di Sicurezza
Misure Minime
L’adozione di misure minime permette al Titolare il rispetto della
normativa evitando un illecito penale.
Misure Idonee
L’adozione delle misure Idonee (superiori a quelle minime
prescitte dalla normativa) permette al Titolare di tutelarsi (in
parte) rispetto alla responsabilità civile.
Ad esempio il Documento Programmatico Sicurezza (DPS) non costituisce più
una misura minima ma idonea in quanto è uno strumento che consente di
mappare adeguatamente finalità, trattamenti, interessati, tipologia di dati trattati,
sistemi informativi, misure di sicurezza pur senza vincoli di scadenza o di
contenuti specifici.
23
Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è
consentito solo se vengono adottate le misure minime contenute nell’Allegato B
Disciplinare tecnico in materia di misure minime di sicurezza
Tra queste vi sono misure relative a:
Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito ai
singoli incaricati o alle unità organizzative;
Previsione di procedure per un’idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
Previsione di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata
all’identificazione degli incaricati.
Misure Minime di Sicurezza per i trattamenti eseguiti
senza l’ausilio di strumenti elettronici (Art. 35)
24
Gestione documenti «non elettronici»
Per “non elettronici” si intendono solitamente documenti cartacei. • Non lasciarli mai incustoditi, in particolare:
negli ambienti di transito o pubblici (corridoi o sale riunioni);
sulle scrivanie, quando ci si assenta dal proprio posto oppure al termine dell’orario di lavoro;
sulle stampanti, specialmente se sono condivise da più utenti, devono essere ritirati tempestivamente
• Quando contengono Dati Sensibili o Dati Giudiziari, i documenti devono essere protetti in cassetti della scrivania oppure in armadi dotati di chiavi, meglio sarebbe avere uffici che si possono chiudere a chiave.
• Quando i documenti non sono più utilizzati:
non gettarli nei cestini ma distruggerli, possibilmente con un distruggi documenti.
25
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se
vengono adottate le misure minime contenute nell’Allegato B: Disciplinare tecnico in
materia di misure minime di sicurezza
Tra queste vi sono misure relative a:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;
Misure Minime di Sicurezza per i trattamenti eseguiti
con strumenti elettronici (Art. 34)
La USERID
Deve essere definito un processo di autorizzazione
Deve essere individuale
Non si può riutilizzare una userid già assegnata in precedenza (usa e getta)
Deve essere disattivata dopo 180 giorni di inutilizzo (a meno che non siano
siano state preventivamente autorizzate quali credenziali per soli scopi di
gestione tecnica)
Deve essere effettuata una rivalidazione almeno annuale per verificare il
«business need»
Utilizzo «shared» è permesso solo in casi particolari e solo se vi è un modo
per risalire all’utilizzatore
26
Misure Minime di Sicurezza Logica (1/4)
La PASSWORD
Deve essere lunga almeno 8 caratteri
Deve essere cambiata al primo utilizzo
Deve essere cambiata ogni 90 giorni (se dati sensibili / giudiziari)
Non deve contenere la userid o altri riferimenti che possano agevolmente
ricondurre all’incaricato (es. nome, data di nascita, ecc)
La prima volta dovrebbe essere generata in maniera random
Dovrebbe contenere caratteri numerici e alfanumerici (maiuscole e
minuscoli)
Non si dovrebbero ri-utilizzare le ultime 5 password
Le password di default dei prodotti dovrebbero essere modificate 27
Misure Minime di Sicurezza Logica (2/4)
Quando l'accesso ai dati e agli strumenti elettronici è consentito
esclusivamente mediante uso della componente riservata della credenziale per
l'autenticazione (password), sono impartite idonee e preventive disposizioni
scritte volte a individuare chiaramente le modalità con le quali il titolare può
assicurare la disponibilità di dati o strumenti elettronici in caso di
prolungata assenza o impedimento dell'incaricato che renda indispensabile
e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del
sistema.
Questo si potrà effettuare tramite la predisposizione di idonea copia della
password (es. password scritta in busta chiusa e sigillata).
28
Misure Minime di Sicurezza Logica (3/4)
Encryption obbligatorio solo per dati sensibili sanitari
Antivirus aggiornato
Utilizzo di Firewall (protezione dei dati contro il rischio di intrusione)
Backup almeno settimanale dei dati presenti sui server
Verifica della leggibilità dei supporti (a campione)
Ripristino entro 7 giorni dei dati sensibili / giudiziari
Custodire in modo sicuro i supporti removibili
Rendere illeggibili i dati in caso di dismissione del supporto o del suo riutilizzo
da parte di altro ente per dati sensibili/giudiziari (format non è sufficiente)
Mantenere i software aggiornati con le ultime patch di sicurezza:
Aggiornmento almeno annuale
Aggiornamento almeno semestrale per dati sensibili / giudiziari
29
Misure Minime di Sicurezza Logica (4/4)
Classificazione dei dati
Analisi dei rischi
Prescrizione di linee guida di sicurezza
Definizione di processi, procedure ed istruzioni interne
Assegnazione degli incarichi
Formazione professionale
Documentazione dei controlli periodici (clean desk, audits…)
30
Esempi di Misure di Sicurezza Organizzativa
31
Misure di sicurezza Fisica
Sede
• Vigilanza della sede
• Ingresso controllato nei luoghi dove ha luogo il trattamento
• Sistemi di allarme e/o sorveglianza anti-intrusione
• Registrazione degli accessi
• Autenticazione degli accessi
Datacenter
• L’area deve essere chiusa a chiave quando lasciata
• L’accesso è consentito solamente alle persone autorizzate ed il loro “business need”
è verificato almeno annualmente
• L’accesso all’area è controllata elettronicamente ed I logs sono ritenuti per 90 giorni
• Al piano terra non ci dovrebbero essere finestre che danno sull’esterno
• Le uscite di sicurezza devono avere degli allarmi udibili e monitorati, sotto UPS
• Devono essere presenti:
UPS/EPS
Estintori
Condizionatori
Misuratori di temperatura e umidità
con relativi monitoraggi e allarmi
32
Agenda
Parte I
Classificazione dei dati
Definizioni e obblighi di Titolare, Responsabili, Incaricati
Parte II
Misure minime / idonee di sicurezza con o senza l’uso di
strumenti elettronici
Sicurezza logica, fisica e organizzativa
Parte III
Protezione delle workstation (PC)
Parte IV
Amministratori di sistema
Trasferimento dati personali all’estero
33
Utilizzo del PC - Password
Per l’accesso al PC (Log-in) ogni utente deve inserire una UserID ed una password.
Entrambi sono strettamente personali.
La password:
• avere almeno otto caratteri
• non deve fare riferimento ad informazioni agevolmente riconducibili all’utente
stesso
• deve contenere una combinazione di numeri e lettere, maiuscole e minuscole
• deve essere cambiata almeno ogni 3 mesi
• deve essere cambiata al primo utilizzo
Attenzione:
• non scrivere la password su supporti cartacei conservati in ufficio, oppure sul
telefono cellulare, oppure in un messaggio di posta elettronica
• non rivelare o condividere la password con i colleghi di lavoro, famigliari e
amici, soprattutto attraverso il telefono
• non utilizzare la funzione, offerta da alcuni software, di salvare
automaticamente la password per successivi utilizzi delle applicazioni.
• rispondere “No” quando un software chiede se si vuole salvare
automaticamente la password per un successivo riutilizzo
34
Utilizzo del PC - Protezione contro i virus informatici
• Su ogni PC è installato il software antivirus ufficiale (Symantec End
Point Protection).
Non disattivarlo mai né sostituirlo con un altro software. Questo viene
aggiornato automaticamente, in maniera trasparente all’utente, dal
server aziendale.
Se il software riscontra la presenza di un virus, oppure si sospetta che
un virus sia presente sul proprio PC, avvisare subito il responsabile del
Servizio Informatico.
• Installare le security patch per la loro versione di software entro 15
giorni dalla data di pubblicazione. I PC Windows ricevono le patch da
installare automaticamente dal server. Queste devono essere installate
rispettando le tempistiche indicate.
35
Utilizzo del PC – Gestione della sessione di lavoro
• Spegnere il PC al termine di una sessione di lavoro.
• Verificare che si attivi automaticamente il salvaschermo (screen-saver) al
massimo entro 30 minuti di inattività e che l’accesso sia protetto da
credenziali di autenticazione per tutti gli utenti del PC.
• Attivare manualmente il salvaschermo, protetto da password, ogni volta
che si lascia la postazione di lavoro.
36
Utilizzo del PC – Installazioni hw / sw, configurazioni
Non eseguire in modo autonomo:
• installazioni di dispositivi hardware;
• download e Installazioni di programmi software
• modifiche dei parametri di configurazione del PC
Per eventuali operazioni di cui sopra, fare sempre richiesta al Servizio
Informatico.
Limitare la condivisione di aree e di risorse del proprio PC solo a casi
eccezionali e per il tempo strettamente necessario allo svolgimento delle
attività di lavoro.
Deve essere effettuato l’encryption dell’intero disco o delle parti che
contengono dati sensibili utilizzando la soluzione/applicazione approvata.
37
Utilizzo del PC – Gestione del PC
Custodire il portatile con la massima cura per evitare furti:
• Il PC portatile dovrebbe essere fisicamente protetto da furto tramite un cavo
Kensington (cavo in acciaio dotato di lucchetto)
• Quando si viaggia in aereo tenere il PC come bagaglio a mano
• Evitare di lasciare il PC in autovetture posteggiate
In caso di furto del PC, avvisare subito il responsabile del Servizio Informatico.
Eseguire settimanalmente il salvataggio dei dati presenti su PC e non mantenere i
backup insieme al PC portatile.
38
Utilizzo del PC – Salvataggio dati, utilizzo di supporti
rimovibili
• Eseguire settimanalmente il salvataggio dei dati presenti su PC e non
mantenere i backup insieme al PC portatile.
• Anche i supporti rimovibili (es. dischi magnetici esterni, penne USB
o CD riscrivibili) quando contengono dati personali devono essere
custoditi in luogo protetto e non accessibile; quando non più utilizzati i
dati devono essere resi illegibili.
39
Utilizzo del PC – Utilizzo di servizi su Internet e altre reti
L’accesso a Internet è gestito da un software di filtro della navigazione Web (Sophos Web Filtering) sul quale sono definite le categorie di siti accessibili da parte degli utenti dei PC aziendali.
I servizi online devono essere esclusivamente finalizzati al reperimento
di informazioni utili all’attività svolta e l’utente deve adottare i seguenti comportamenti:
• non eseguire di propria iniziativa lo scaricamento (download) di
programmi software. In caso di necessità, chiedere l’autorizzazione al Servizio Informatico
• evitare la partecipazione a forum non professionali, l’utilizzo di chat, di bacheche elettroniche e in generale qualunque utilizzo di servizi Internet non strettamente inerenti all’attività professionale
• non utilizzare software per la condivisione di file (“peer to peer”)
40
Utilizzo del PC – Utilizzo del servizio di Posta Elettronica
Il servizio di posta elettronica viene fornito per permettere la comunicazione
con soggetti terzi interni ed esterni per le finalità della Associazione e in
stretta connessione con l’effettiva attività e mansioni del lavoratore o del
volontario che utilizza tale funzionalità.
Non utilizzare le caselle di Posta Elettronica per l’invio di messaggi personali
o per la partecipazione a dibattiti, forum o mail list, salvo diversa ed esplicita
autorizzazione.
Non scaricare né tantomeno aprire file provenienti via e-mail da mittenti
sconosciuti. Tali file, generalmente di tipo .EXE o .ZIP, possono essere
portatori di virus e compromettere la funzionalità del PC, l’integrità dei dati in
essa contenuti e l’integrità di altri sistemi collegati.
41
Agenda
Parte I
Classificazione dei dati
Definizioni e obblighi di Titolare, Responsabili, Incaricati
Parte II
Misure minime / idonee di sicurezza con o senza l’uso di
strumenti elettronici
Sicurezza logica, fisica e organizzativa
Parte III
Protezione delle workstation (PC)
Parte IV
Amministratori di sistema
Trasferimento dati personali all’estero
Ai fini del presente provvedimento vengono considerati “Amministratori di Sistema” figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati.
Si tratta di persone che possiedono delle utenze privilegiate per accedere ai sistemi per la loro gestione:
» Amministratori di Sistema
» Amministratori di Basi di Dati
» Amministratori di Reti e di apparati di sicurezza
» Amministratori di Sistemi Software complessi
42
Definizione di Amministratore di Sistema
» individuare coloro che ricadono nella categoria di "amministratore di sistema“
» valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di
sistema" che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento ivi compreso il profilo relativo alla sicurezza
» designare tali "amministratore di sistema" in modo individuale con l'elencazione analitica
degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato
» verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da
controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai
trattamenti dei dati personali previste dalle norme vigenti
» registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli
amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi
logici (autenticazione informatica):
• devono essere registrati i LOG-IN e possibilmente i LOG-OUT
• deve contenere un timestamp (data e ora)
• il Log deve garantire completezza, inalterabilità e integrità
• la ritenzione minima dei log deve essere di 180 giorni
» l’elenco degli Amministratori di Sistema deve essere fornito al Titolare su richiesta
43
Requisiti per AdS
Il trasferimento di dati personali da paesi appartenenti all'UE verso Paesi "terzi" (non appartenenti all'UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione "adeguato"; la Commissione ha il potere di stabilire tale adeguatezza attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE).
In deroga a tale divieto, il trasferimento verso Paesi terzi è consentito anche nei casi menzionati dall'articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46).
Decisioni di adeguatezza
La Commissione europea può stabilire, sulla base di un procedimento che prevede, fra l'altro, il parere favorevole del Gruppo ex Articolo 29 della Direttiva 95/46/CE, che il livello di protezione offerto in un determinato Paese è adeguato (articolo 25, comma 6, della dDrettiva 95/46/CE), e che pertanto è possibile trasferirvi dati personali. Di seguito sono riportate le decisioni della Commissione sinora pubblicate in materia di adeguatezza di Paesi terzi.
Andorra
Argentina
Australia – PNR
Canada
Faer Oer
Guernsey
Isola di Man
Israele
Jersey
Nuova Zelanda
Svizzera
Uruguay
USA – Safe Harbor
USA – PNR
44
Trasferimento Dati Personali all’estero
45
» Gli interessati (dipendenti, volontari, ospiti e chiunque fornisca i propri dati personali) devono firmare il CONSENSO informato al Trattamenti dei loro dati
» Il Titolare può nominare dei uno o più RESPONSABILI al Trattamento dei dati (dipendenti, volontari, fornitori)
» Il Titolare o eventuali Responsabili dovranno nominare i dipendenti ed i volontari come INCARICATI al Trattamento dei dati
» Il Titolare o eventuali Responsabili dovranno nominare gli AMMINISTRATORI di SISTEMA
46
Riepilogo dei documenti necessari
47