Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com
Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

Legge 675/96 "Misure di sicurezza: linee guida e considerazioni legislative"


Premesso quanto affermato nel paragrafo precedente, per comprendere il che fare, è innanzitutto necessario porsi due principali quesiti.

1) "Su chi (e cosa) grava l'obbligo di sicurezza"?

2) "Cosa si intende per idonee misure di sicurezza"?

Iniziamo a riflettere sul primo quesito.

L'obbligo di sicurezza riguarda il "titolare", il "responsabile", ma anche i "dati", il "software", il "sistema".

Per agevolare la lettura del percorso interpretativo si riportano le definizioni di "titolare" e di "responsabile" dell'articolo 1. 

Art. 1 (finalità e definizioni)

(...)

4. per "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza;

5.

per "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

(...)



Dalla lettura dell'articolo 8, comma 1 si evince, intanto, che l'obbligo riguarda sia il "titolare", sia il "responsabile". 

Art. 8 (Responsabile)

1. Il responsabile, se designato, deve essere nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.



E riguarda anche i "dati" ed il "sistema" per effetto dell'articolo 15, comma 1, e del titolo della sezione terza. 

Sezione III

SICUREZZA NEL TRATTAMENTO DEI DATI, LIMITI ALLA UTILIZZABILITA' DEI DATI E RISARCIMENTO DEL DANNO

Art. 15 (Sicurezza dei dati)

1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.



Inoltre, il "titolare" ed il "responsabile" nell'adottare le idonee misure protettive, avranno anche, ai sensi dell'articolo 18, il compito dell'onere della prova nell'eventuale accertamento della responsabilità civile. 

Art. 18 (Danni cagionati per effetto del trattamento di dati personali)

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

Art.2050 del Codice Civile (Responsabilità per l'esercizio di attività pericolose)
Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il danno.



Tale articolo ha un rilievo straordinario; esso, in un certo senso, nobilita l'informatica, poiché la considera talmente utile ed indispensabile alla collettività da "egregiarla" al rango di attività pericolosa e, come tale, renderla destinataria di tutte le prudenze e le misure preventive necessarie ed opportune.

Perciò il titolare ed il responsabile devono anche adottare le giuste misure preventive, tra quelle disponibili, allo scopo di ridurre al minimo i rischi (possibili e probabili); e le scelte operate, sulla base delle previsioni degli E riguarda anche i "dati" ed il "sistema" per effetto dell'articoli 15, 36 e 41, determineranno effetti diversi ai fini civili e penali. 

Art. 15 (Sicurezza dei dati)

(...)

2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per l'informatica nella pubblica amministrazione e il Garante.
3. Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all'evoluzione tecnica del settore e all'esperienza maturata.

Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati)

1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni.
2. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno. 

Art. 41 (Disposizioni transitorie)

(...)

3. Le misure minime di sicurezza di cui all'articolo 15, comma 2, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore del regolamento ivi previsto. Fino al decorso di tale termine, i dati personali devono essere custoditi in maniera tale da evitare un incremento dei rischi di cui all'articolo 15, comma 1.
4. Le misure di cui all'articolo 15, comma 3, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore dei regolamenti ivi previsti. 



Nella pratica. Nel periodo iniziale è necessario che ciò che viene fatto non comporti un aumento dei rischi; ma in seguito, quando sarà finito il periodo di vigenza transitoria della legge, - prima allo scadere dei sei mesi successivi all'entrata in vigore del primo dei decreti attuativi previsti all'art.15 comma 2; poi a cadenza biennale, - le misure di sicurezza dovranno risultare correlate alle soluzioni rese disponibili dal progresso tecnico ed alle conoscenze acquisite.

L'inosservanza delle norme sulla sicurezza, potrà comportare responsabilità civili e penali da parte del titolare.

Penali se il titolare non adotta gli standard minimi di sicurezza previsti dai decreti attuativi.
Civili, in ogni caso, quando il grado di responsabilità appare in funzione delle scelte adottate per evitare il danno.

Il secondo importante quesito riguarda il concetto di idoneità delle misure di sicurezza.

"Cosa si intende per idonee misure di sicurezza"?

Per definirle è necessario attenersi al comma 1 dell'art.15. In esso, prevalgono quattro concetti per la valutazione dell'idoneità delle misure in parola:

1. le conoscenze,
2. la natura dei dati,
3. le finalità del trattamento e della raccolta,
4. i rischi.

Il principio chiave riguarda le conoscenze, perché sarebbe contraddittorio obbligare le aziende ad adottare misure cautelative inutili, poco efficaci ed inadeguate.

Pertanto, la previsione del legislatore non può che riferirsi alle conoscenze generali di cui dispone la cultura della sicurezza "in quel momento", oltre, naturalmente, alle esperienze acquisite.

Perciò, anche nella pratica aziendale, indipendentemente dalle cosiddette misure minime, sarà opportuno adottare misure organizzative, gestionali, fisiche e logiche, tenendo conto dell'evoluzione tecnica intervenuta e dell'esperienza maturata nell'intero comparto della sicurezza.

La nozione di "misure di sicurezza" è perciò dinamica e non statica; essa richiede una ricognizione aggiornata sulle possibili soluzioni e, tale ricognizione, dovrà essere sempre aggiornata al momento in cui le misure vengono adottate.

Il dettato legislativo, in un certo senso, pretende il meglio e non sembra preoccuparsi degli oneri economici, se non nel concetto di gradualità temporale concessa per l'adozione delle misure.

Il titolare, è perciò relativamente libero di stabilire cosa s'intende per misure protettive idonee e di adottarle, ma ciò che sceglierà sarà comunque soggetto alla valutazione del Garante (articolo 7).

Art. 7 (Notificazione)

4. La notificazione contiene:
(...)

6. una descrizione generale che permetta di valutare l'adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati;
(...)



Si tenga conto che nella notificazione resa pubblica dal Garante, nel riquadro dedicato alle misure di sicurezza, viene proposto il seguente prospetto che il titolare dovrà sottoscrivere insieme al responsabile. Pertanto l'intero censimento, di cui alle precedenti linee guida, dovrà tenere conto degli item di seguito riportati:
Misure Organizzative 

Misure organizzative

* Analisi dei rischi
* Prescrizione di linee-guida di sicurezza
* Altre istruzioni interne
* Assegnazione di incarichi
* Redazione di appositi mansionari
* Classificazione dei dati
* Formazione professionale
* Registrazione delle consultazioni
* Documentazione dei controlli periodici
* Verifiche periodiche su dati o trattamenti non consentiti o non corretti
* Distruzione controllata dei supporti
* Piano di disaster/ recovery



Misure Fisiche 

Misure fisiche

* Vigilanza della sede
* Ingresso controllato nei locali ove ha luogo il trattamento
* Sistemi di allarme e/o di sorveglianza antintrusione
* Registrazione degli accessi
* Autenticazione degli accessi
* Custodia in armadi blindati e/o ignifughi
* Deposito in cassaforte
* Custodia dei supporti in contenitori sigillati
* Controllo sull'operato della manutenzione
* Dispositivi antincendio
* Continuità dell'alimentazione elettrica
* Verifica della leggibilità dei supporti



Misure Logiche 

Misure logiche

* Identificazione dell'incaricato e/o dell'utente
* Autenticazione dell'incaricato e/o dell'utente
* Controllo degli accessi a dati e programmi
* Registrazione degli accessi
* Controlli aggiornati antivirus
* Sottoscrizione elettronica
* Cifratura dei dati memorizzati trasmessi
* Cifratura dei dati trasmessi
* Annotazione della fonte dei dati
* Annotazione del responsabile dell'operazione
* Verifiche periodiche su dati o trattamenti non consentiti o non corretti
* Rilevazione di intercettazioni
* Monitoraggio continuo delle sessioni di lavoro
* Sospensione automatica delle sessioni di lavoro
* Verifiche automatizzate dei requisiti dei dati
* Controllo sull'operato degli addetti alla manutenzione
* Controllo dei supporti consegnati in manutenzione



e il Garante, potrà anche sensibilizzare titolare e responsabile sulle modifiche eventuali da apportare (articolo 31).

Art. 31 (Compiti del Garante)
(...)

3. segnalare ai relativi titolari o responsabili le modificazioni opportune al fine di rendere il trattamento conforme alle disposizioni vigenti.



Inoltre, l'interessato, ovvero "la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali", ha diritto sia di segnalare al Garante l'eventuale inadempienza circa le misure di sicurezza, sia di avvalersi del diritto di opposizione previsto all'articolo 13.

Art. 13 (Diritti dell'interessato)

1. In relazione al trattamento di dati personali l'interessato ha diritto:
(...)

3. di ottenere, a cura del titolare o del responsabile, senza ritardo:

1. (...)
2. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
3. l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati.
4. (...)

4. di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.



A ciò si aggiungano le previsioni di cui al Capo III, Sezione I, su Raccolta e Requisiti dei Dati (articolo 9). Per effetto di tale articolo i dati personali oggetto di trattamento devono essere trattati in modo lecito e secondo correttezza; tra l'altro, esatti, aggiornati. Ma anche conservati in modo valido, sempre tenendo conto dei diritti dell'interessato (art.13) infatti:

Art. 9 (Modalità di raccolta e requisiti dei dati personali)
(...)

3. esatti e, se necessario, aggiornati;
4. (...)
5. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per I quali essi sono stati raccolti o successivamente trattati.



L'importanza che il Legislatore attribuisce alle misure di sicurezza è anche dimostrata dalle previsioni di cui all'articolo 3, nel quale, al comma 1 vengono sancite precise esclusioni di applicabilità per fini personali, mentre al comma 2, si afferma che anche per fini esclusivamente personali si devono rendere sicuri i trattamenti.

Art. 3 (Trattamento di dati per fini esclusivamente personali)

1. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all'applicazione della presente legge, sempreché i dati non siano destinati ad una comunicazione sistematica o alla diffusione.
2. Al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all'articolo 15, nonché le disposizioni di cui agli articoli 18 e 36.



E i tre articoli, insieme al connesso 2050 del codice civile, sono tra i più severi dell'ordinamento giuridico che disciplina la materia.

Art. 15 (Sicurezza dei dati)

Art. 18 (Danni cagionati per effetto del trattamento di dati personali)

Art. 2050 del Codice Civile (Responsabilità per l'esercizio di attività pericolose)

Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati)



Sulla base del combinato disposto fin qui riportato, ne consegue che l'obbligo di sicurezza dev'essere orientato alla:

* acquisizione e registrazione dei dati personali oggetto di trattamento, considerando anche la loro integrità e la loro corrispondenza con quanto fornito dall'interessato,
* custodia e controllo dei dati personali oggetto di trattamento,
* riduzione dei rischi,

per evitare che si verifichino eventi, pur se accidentali, quali:

* distruzione o perdita dei dati,
* accessi non autorizzati,
* trattamenti illeciti
* trattamenti non conformi alle finalità della raccolta.

La sicurezza nell'acquisizione e registrazione comporta che vengano definiti dei processi sostanzialmente orientati all'accertamento che ciò che viene acquisito sia corrispondente ai dati "forniti" - quindi sarà opportuno sempre verificarli prima della successiva registrazione e, che le registrazioni siano fedeli all'acquisizione, controllando la validità dei mezzi e dei supporti utilizzati, nonché l'integrità delle registrazioni stesse.

La sicurezza nella custodia e controllo presuppone che siano definiti dei processi organizzativi orientati sia alla sicurezza fisica, sia a quella logica, con attribuzioni di precise responsabilità e norme scritte da rispettare.

Per gli aspetti fisici della custodia si consideri l'ubicazione e chi possa frequentare i locali nei quali avviene il trattamento e se tali ambienti sono frequentati solo da persone autorizzate, quindi incaricate del trattamento, o anche da altre.

A titolo di esempio e senza elencare il dettaglio delle necessità, si consideri l'affidabilità degli armadi, delle nastroteche, delle porte, dei badge, delle procedure di entrata e di uscita dei visitatori e dei materiali che possono trasportare (!), ecc..

Per gli aspetti logici della custodia sarà certamente necessario che i sistemi vengano dotati, quantomeno, di controllo degli accessi con password significative e non aggirabili e che possiedano soluzioni informatiche adatte ad evitare distruzioni volontarie o accidentali dei dati.

Si consideri su questo aspetto l'interazione con l'articolo 615 quinquies del Codice Penale.

Art. 615 quinquies del Codice Penale (Diffusione di programmi diretti a danneggiare o interrompere un sistema informativo)

Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni.



Per quanto riguarda il controllo sarà necessario integrare, nell'elenco dei compiti e delle funzioni aziendali di auditing, anche quelle connesse alle esigenze della legge in commento, articolando le responsabilità attribuite in coerenza con l'art.8.

Per quanto attiene alla riduzione dei rischi connessi alla distruzione o perdita anche accidentale, si consideri che i dati archiviati possono subire danni cagionati involontariamente da errate azioni umane, del software e delle apparecchiature, degli ambienti; volontari da parte di personale dipendente (infedele) o esterno che operi fisicamente all'interno dei locali dell'azienda, o da esterni (hacker) con intrusioni nel sistema (a tale scopo si consideri l'utilità della legge 547/1993).

Per gli accessi non autorizzati, valgono le generiche considerazioni relative ai danni, ma è necessario individuare la possibilità che l'architettura del sistema consenta accessi, o distribuisca nella rete aziendale file con dati personali, che possano essere letti da soggetti non autorizzati, (volontariamente o involontariamente, da parte di personale o di persone, dipendente o esterno, che indipendentemente dalle procedure di controllo accessi, possano trovarsi nella condizione di prendere visione dei dati in parola).

Il rischio di trattamento non consentito o non conforme è connesso, oltre alle soluzioni tecniche adottate circa il controllo accessi, all'assetto organizzativo ed alle norme scritte in materia di cui l'azienda vorrà dotarsi. In questo ambito sarà molto importante l'assegnazione delle responsabilità e dei divieti.

Dunque, come organizzare l'azienda al rispetto della legge. Si consideri che il combinato disposto dell'articolato legislativo incide su molti adempimenti aziendali. Coinvolge innanzitutto gli organi amministrativi e volitivi dell'azienda che hanno poteri deliberativi, si estende a chiunque compia operazioni di trattamento e riguarda l'entità aziendale nel suo complesso, compresi gli ambienti.

Le misure di sicurezza devono essere contemplate in tutti i seguenti eventi:

* Linee guida per il trattamento dei dati personali
* Linee guida sulle misure di sicurezza
* Linee guida per il responsabile
* Linee guida per gli incaricati
* Ordine di servizio aziendale
* Nomina del responsabile (se designato)
* Individuazione degli incaricati
* Compiti per gli incaricati
* Censimento dei trattamenti, delle banche dati e degli archivi
* Natura dei dati (sensibili, sanitari, ordinari)
* Gestione dei "non consensi" (trattamenti non consentiti)
* Richiesta di autorizzazione al Garante per trattamenti particolari
* Verifica dei contratti in essere con le società terze
* Adozione di misure minime di sicurezza
* Aggiornamento periodico delle misure minime di sicurezza
* Formazione del personale incaricato che opera in aree "sensibili"
* Notificazione

Sul piano pratico, ne consegue la necessità di formulare preventivamente un censimento delle banche dati e degli archivi, specificando per ciascuno di essi:

La gestione aziendale della legge 675/96 richiede un censimento interno di tutti i trattamenti. Nella pratica un inventario delle banche dati e degli archivi, da classificare sulla base di tutti gli elementi e le caratteristiche previste dalla legge 675/96 e successive modifiche. Il modulo Gestione Rilevazioni Entry, ha lo scopo di raccogliere in un completo elenco tutti i singoli trattamenti (banche dati ed archivi). Le altre funzioni consentono visualizzazioni, stampe, riepiloghi, estrazioni e altro ancora.



* la fonte di raccolta dei dati,
* i mezzi ed i supporti utilizzati,
* le finalità del trattamento,
* le modalità del trattamento,
* la durata,
* la destinazione,
* le categorie degli interessati cui si rideriscono i dati,
* la natura dei dati,
* la loro ubicazione,
* l'ambito di divulgazione,
* i sistemi utilizzati,
* le misure di sicurezza adottate,
* gli incaricati,
* il responsabile.

Con tutte queste informazioni organizzare una sorta di registro Aziendale dei Trattamenti, che risulterà utile per ogni adempimento formale e sostanziale. Da tali informazioni schematizzate potrà essere ricavata una prima idea sullo stato complessivo delle misure di sicurezza; poi, per quanto riguarda le misure di sicurezza delle banche dati e degli archivi nei quali risiedono dati personali, sarà opportuno fare, preventivamente, un'analisi dei rischi, per individuare:

1. Cosa potrebbe accadere.
2. Come potrebbe accadere.
3. Dove potrebbe accadere.
4. Quando potrebbe accadere.
5. Perché potrebbe accadere.
6. Chi potrebbe provocarlo.
7. Quanti (e quali) soggetti potrebbe interessare.
8. Quale danno potrebbe provocare.
9. Qual è il massimo danno probabile.
10. Qual è il massimo danno possibile.

Questi sono i principali eventi differenziali, e su di essi è stata costruita una certa cultura specializzata ed esistono anche strumenti e metodologie di supporto capaci di quantizzare gli eventuali danni, ponendoli in relazione alle probabilità che possano verificarsi e ripetersi nel tempo.

Nell'analisi dei rischi è importante differenziare un evento possibile, ma poco probabile, da un evento possibile, ma molto probabile. Le probabilità che l'evento dannoso e prevedibile possa verificarsi, dovranno soprattutto riguardare, come già precedentemente evidenziato:

* i rischi di perdita o distruzione,
* gli accessi non autorizzati,
* i trattamenti non consentiti,
* i trattamenti non conformi alle finalità.

E su questi principali eventi organizzare la politica aziendale sulle misure preventive di sicurezza e, naturalmente, la loro idoneità a difendere il sistema.

Il concetto di "prevedibilità dell'evento" deve condizionare l'intero approccio organizzativo delle misure di sicurezza.

Dovrà essere dedicata una particolare attenzione a tutti i processi di sicurezza nell'ipotesi che l'azienda abbia già subito degli incidenti informatici portati a conoscenza dell'autorità giudiziaria. Ciò sia perché il Garante conoscerà d'ufficio tali provvedimenti per effetto dell'articolo 40.

Art. 40 (Comunicazioni al Garante)

1. Copia dei provvedimenti emessi dall'autorità giudiziaria in relazione a quanto previsto dalla presente legge e dalla legge 23 dicembre 1993, n. 547, è trasmessa, a cura della cancelleria, al Garante.



Lo stesso potrebbe intervenire sull'azienda interessata chiedendo di approfondire le conoscenze sulla sicurezza adottata, sia perché statisticamente, in un luogo dove si è già registrato un incidente informatico, le probabilità che un altro incidente possa verificarsi sono maggiori.

Le aree di rischio esaminate dovranno comprendere ogni elemento della catena produttiva connessa al trattamento dei dati. In particolare: l'operatore con la sua stazione di lavoro (terminale o personal computer), il terminale stesso (o PC), le stampanti ed il percorso organizzativo delle stampe incluso il materiale destinato alla macerazione (!), la linea dei dati compresi i nodi intermedi e le connessioni con l'esterno; lo host; le memorie di massa ed ogni tipo di supporto magnetico (compresi gli hard disk destinati alle riparazioni e, le copie di back-up); gli archivi interni ed esterni; gli ambienti; ed ogni risorsa umana (esterna o interna) che potrebbe interagire, volontariamente o involontariamente, con i dati riservati.

Naturalmente non tutte le informazioni registrate e trattate hanno, ai fini della legge in commento, la stessa valenza. La legge dedica il Capo IV al trattamento dei dati particolari quali, quelli cosiddetti sensibili.

Potrà risultare utile procedere ad una preventivo esame delle diverse tipologie di informazioni, per individuare quali siano quelle cui destinare il massimo grado di protezione, per poi impostare la sicurezza dei dati in funzione del grado (classe) di riservatezza necessaria.

Sulla base di quanto esposto e, indipendentemente dai contenuti del DPR n. 318 del 28 luglio 1999, è possibile formulare un elenco indicativo di misure di sicurezza che potrebbero essere adottate da sole o in combinazione tra loro.

Privacy Assistant System (PAS) è un programma software per controllare se l'azienda è in regola con gli adempimenti richiesti dalla legge sulla "tutela della privacy". I contenuti di PAS coniugano le esigenze legislative con le necessità organizzative ed ispettive delle aziende. L'intero apparato normativo è stato esaminato, scomposto e riformulato in 60 quesiti articolati in circa 300 item di verifica.
ATTENZIONE!
Per una check-list aggiornata vedasi Controlli generali e adempimenti organizzativi
Per una normativa aggiornata vedasi Normativa

* Dopo aver esaminato la natura dei dati, distinguendo quelli di tipo sensibile e sanitari dai dati personali di tipo ordinario, e prevedendo misure di sicurezza superiori per i dati sensibili e sanitari, deliberare misure organizzative e gestionali sotto forma di regolamenti scritti (Ordini di Servizio, Circolari e comunicazioni interne), i cui impatti all'interno dell'azienda dovranno essere concordati, ove necessario, con i vari enti competenti (EDP, organizzazione, personale, legale, sindacale, ispettorato, auditing). Anche al fine di rendere edotto il personale dell'azienda incaricato del trattamento sui fini ed i doveri della legge, soprattutto allo scopo di evitare trattamenti dei dati non consentiti o non conformi alle finalità della raccolta.
* Dopo aver individuato gli incaricati al trattamento dei dati personali, distinguendo tra quelli autorizzati al trattamento dei dati sensibili e sanitari, dagli altri incaricati di svolgere operazioni di trattamento sui dati personali di tipo ordinario, predisporre misure organizzative, fisiche e logiche per il controllo accessi, quali accessi fisici agli ambienti, programmi software per l'accesso ai sistemi, chiavi fisiche e logiche, password, codici identificativi e altro, la cui valenza e sofisticazione dovrà essere correlata alla natura dei dati custoditi e trattati, nonché alla probabilità che il rischio individuato si possa verificare, ed alla gravità del possibile evento dannoso. L'organizzazione dovrà prevedere che ad ogni incaricato sia stato attribuito un codice di accesso o una password.
* Per la tutela dei dati sensibili e sanitari custoditi su personal computer o accessibili da p.c., installare programmi software aggiornati, efficaci e validi ad evitare la distruzione o la perdita dei dati, anche se accidentale ed involontaria; insieme a soluzioni software e/o hardware capaci di evitare accessi non autorizzati e trattamenti non consentiti.
* Adottare, ove necessario, prodotti per la crittografia o simili, per rendere non comprensibili e riconoscibili i dati sensibili archiviati e trattati a persone non autorizzate.
* Garantire l'archiviazione sicura dei dati con procedure adatte di conservazione.
* Prevedere l'uso di apparecchiature in grado di assicurare una corretta e continua alimentazione di tensione e corrente al fine di evitare che eventi non previsti di natura elettrica ed elettromagnetica possano danneggiare le registrazioni.

Testi di approfondimento 

*

'La protezione delle reti: standard, metodi e strumenti'.
*

'Virus informatici e programmi pericolosi in rete'.

Fonte:alexmessomalex.com

 

   

Home Page