Protezione dei Dati Personali - D.Lgs. 196/2003

(1)

Protezione dei Dati Personali - D.Lgs. 196/2003

Valutazione del rischio e conformità alla normativa negli studi professionali

Bergamo 5 dicembre 2011

DISCLAIMER:

I contenuti di queste slides che seguono

non sono esaustivi del testo di legge e

possono contenere errori od omissioni. A

tal fine solo la legislazione pubblicata nelle

edizioni su carta della Gazzetta Ufficiale è

da considerarsi autentica.

(2)

Agenda

09:45 La gestione della conformità normativa in azienda:

l’approccio della valutazione dei rischi Relatore: Dott. Pierluigi Paris

10:15 Focus: D.Lgs. 196/2003

Codice in materia di protezione dei dati personali Relatore: Dott. Stefano Sardi

11:15 Dalla teoria alla pratica

Relatore: Ing. Alberto Piamonte

12:00 Il caso pratico Dott. Stefano Sardi

12.30 CHIUSURA LAVORI

La gestione della conformità in azienda

approccio della valutazione del rischio

Relatore: Dr. Pierluigi Paris

(3)

Nuovo sistema di Controllo Societario

Non più solo in funzione garantista, ma anche come risorsa aziendale che può concorrere a rendere migliori e più efficaci le decisioni ed i comportamenti imprenditoriali.

Gli amministratori devono quindi agire in modo consapevole ed informato sul sistema aziendale e sull’ambiente socio/economico nel quale l’impresa opera e con il quale interagisce.

Nuovo sistema di Controllo Societario

Si richiedono quindi capacità:

• di analisi e di formulazione di giudizio su

efficienza, vulnerabilità ed affidabilità aziendali;

• di valutare efficacia ed efficienza del sistema di Corporate Governance;

• di tutela dell’attendibilità e trasparenza dei processi informativi interni e verso l’esterno;

(4)

Nuovo sistema di Controllo Societario

• di effettuare adeguati controlli su comportamenti in contrasto con norme giuridiche;

• di costruire e verificare sistematicamente una mappa dei fattori di rischio interni ed esterni alla società, suscettibili di determinare impatti di natura gestionale, amministrativa, operativa ed ambientale.

Un nuovo sistema di controllo societario

Nuova filosofia dei controlli:

•D.Lgs. 58/1998 -Testo unico della finanza

•Riforma Vietti –D.Lgs. 6/2003-Riforma del diritto societario

•D.Lgs. 231/2001-Responsabilità di Impresa, Responsabilità delle persone Giuridiche

•Legge 262/2005 -Tutela del risparmio e disciplina dei mercati finanziari

•D.Lgs. 81/2008 -Tutela della salute e della sicurezza nei luoghi di lavoro

•D.Lgs. 196/2003 – Protezione dei dati personali

•Autoregolamentazione

•Norme volontarie:

Qualità - ISO 9001 Ambiente - ISO 14001

Salute e Sicurezza – OHSAS 18001 Sicurezza delle informazioni – ISO 27001

(5)

acquisizione know-how

Ruoli professionista

INFORMAZIONI DATI

RUOLO DI CONTROLLO E VIGILANZA (nelle aziende clienti)

Conoscenza:

• NORME

• AZIENDA

• AMBIENTE SOCIO ECONOMICO

IN CASA FUORI CASA

La protezione dei dati personali

Evoluzione normativa

Costituzione (art.15 e art. 21)

Codice penale (cap. III – sezione 4)

Legge 675/1996

D.Lgs. 196/2003

Legge 70/2011

(6)

Normativa sulla Protezione dei Dati Personali

• Diritto dell’individuo sui propri dati personali;

• Non impedisce il trattamento ma evita che avvenga senza o controla volontà dell’interessato;

• Riduzione del rischio di riservatezza,integrità, disponibilità.

Necessità di una Analisi del Rischioper evidenziare le aree di maggiore criticità basata su valutazione di:

IMPATTIe PROBABILITA’

Adempimenti

Misure idoneee preventivetali da ridurre al minimo il rischio.

Si ispirano, anche senza citarli esplicitamente, a consolidati standard di sicurezza e riguardano :

• Struttura Organizzativa e Responsabilità

• Misure di Sicurezza fisiche e logiche

• Sanzioni

In caso di non adempienza conseguenze gravi (Revoca della funzione di intermediario,…)

(7)

La valutazione del rischio quale minimo comun denominatore

'Risk Management

D.Lgs. 231/2001 – ISO 9001 – ISO 27001…. D.Lgs. 196/2003

Risk Management

La conformità alla legge sulla Protezione dei dati personali deve essere inquadrata nel più complessivo tema gestione del rischio

Risk Management

Definizione piano di azione

Mappatura di PROCESSIe RISORSE

Valutazione dei rischi

Gestione dell’azienda per la qualità ISO 9001

Tutela dei dati della persona D.Lgs. 196

Sicurezza dei dati e delle informazioni ISO 27001

Responsabilità amministrativa D.Lgs. 231

Definizione piano di azione

(8)

Indice del Codice in materia di dati personali – D.Lgs. 196/03

• Disposizioni generali (art.1 – 45)

• Disposizioni particolari per specifici trattamenti (art.

46 – 140)

• Disposizioni relative alle azioni di tutela

dell’interessato e al sistema sanzionatorio (art. 141 – 186)

• Allegati A: codici di condotta

• Allegato B: disciplinare tecnico in materia di misure di sicurezza

• Allegato C: trattamenti non occasionali effettuati in ambito giudiziario e per fini di polizia

D.Lgs. 196/2003:

Codice in materia di protezione dei dati personali

Relatore: Dr. Stefano Sardi

(9)

Concetti fondamentali

1. Principi fondamentali 2. Tipologie di dati personali 3. Trattamento dei dati personali

4. Titolare, Responsabili ed Incaricati – ADS 5. Principali adempimenti

6. Misure minime 7. Sanzioni

8. Formazione e Informazione

1 – Principi fondamentali (art. 11)

• Liceità

• Correttezza

• Pertinenza e non eccedenza

• Diritto all’oblio

• Aggiornamento, completezza, esattezza

Adozione di adeguate misure tecniche e organizzative atte a garantire la sicurezza dei dati, ossia la loro protezione dai rischi di accesso non autorizzato, di distruzione e/o perdita accidentale, di trattamento non pertinente o

eccedente rispetto alle finalità per le quali i dati sono stati raccolti.

(10)

2 – Dati personali (art. 4)

Qualunque informazione

relativa a persona fisica, persona giuridica, ente o associazione,

identificati o identificabili,

anche indirettamente, mediante riferimento a qualsiasi altra informazione,

ivi compreso un numero di identificazione personale.

2 – Esempi di dati personali

1. Mario Rossi, nato il 10 Novembre 1976 a Milano

2. Mario Rossi residente in Piazza del Popolo 2 a Firenze

3. I dati sulle fatture pagate dalla società BREMBO 4. Le informazioni sullo stato di salute di Mario Rossi 5. Mario Rossi è stato condannato a 6 mesi per aver

commesso un reato

(11)

2 – Dati identificativi (art. 4)

I dati identificativi sono dati personali se permettono l’identificazione diretta dell’interessato. Il codice fiscale o il numero di tessera sanitarianon sono dati personali se vengono presi in sé (non contengono informazioni sull’interessato).

I codici identificativi diventano dati personali se li tratto per un motivo da cui traggo un’informazione sulla vita della persona: il codice fiscale ABCDEF… è di una persona presente alla manifestazione sindacale di Milano sabato scorso.

2 – Dati sensibili (art. 4)

Sono i dati personali idonei a rilevare:

l’origine razziale ed etnica,

le convinzioni religiose, filosofiche o di altro genere,

le opinioni politiche,

l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale,

nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.

(12)

2 – Esempi di dati sensibili

1. Mario Rossi è italo-albanese (origine razziale o etnica)

2. Giulio Verdi appartiene ai Testimoni di Geova (convinzioni religiose)

3. Luca Rossi è comunista (opinioni politiche) 4. Il mio capo è iscritto alla CISL (adesione a

sindacati)

5. Il mio collega Piero è eterosessuale (vita sessuale)

2 – Dati giudiziari (art. 4)

Sono i dati personali idonei a rilevare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato.

Esempi:

• Mario Rossi è stato condannato a 3 anni per …

• Per quel reato Giulio Verdi ha avuto la condizionale

• Mohammed è stato espulso dall’Italia a causa di …

(13)

2 – Tipologie di dati personali

Dati Personali di MARIO ROSSI

Abita in P.za del Popolo 2 a Firenze

Bolletta ENEL di 120 € A casa con l’emicrania

Iscritto alla CGIL

Ha una condanna penale per …

Dati Sensibili Dati Giudiziari

3 – Trattamento dei dati

1. la raccolta, 2. la registrazione

3. l’organizzazione 4. la conservazione 5. la consultazione 6. l’elaborazione 7. la modificazione 8. la selezione 9. l’estrazione 10. Il raffronto 11. l’utilizzo

12. l’interconnessione 13. il blocco

14. la comunicazione 15. la diffusione

16. la cancellazione 17. la distruzione

CICLO DI VITA DEI DATI

(14)

3 – Trattamento verso l’esterno dei dati

Comunicazione

Cessione Diffusione

Dare conoscenza dei dati a soggetti bendeterminati, diversi dall’interessato

Dare conoscenza dei dati personali a soggetti indeterminati

Vendita e/o cessione ad altro titolare

Dati Personali all’estero

• Nessuna differenza tra circolazione di dati in Italia e quella degli stessi nell'Unione Europea e Islanda, Liechtenstein, Norvegia, Argentina, Canada, Svizzera e Ungheria .

• In generale i paesi non appartenenti all'Unione Europea non garantiscono un livello di tutela adeguato.

• Stati Uniti: accordo nel 2000 di Safe Harbour ("approdo sicuro") per tutelare il trasferimento oltreoceano dei dati dei cittadini europei.

(15)

4 – L’organigramma Privacy

TITOLARE

Responsabile interno

Incaricato Incaricato

Interessato Interessato

Incaricato Incaricato

Interessato Interessato

Responsabile esterno

Amministratore di sistema

4 – Titolare del trattamento (art. 4)

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumentiutilizzati, ivi compreso il profilo della sicurezza.

Oltre alla facoltà di prendere decisioni l’unico

compito che spetta al titolare è quello di controllare.

(16)

4 – Responsabile del trattamento (art. 4)

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismopreposti dal titolare al trattamento dei dati personali.

Esempi di figure di “responsabili del trattamento”:

•Outsourcer IT

•Responsabile per il “Trattamento Dati RU”

4 – Responsabile del trattamento (art. 29)

Il responsabile è designato dal titolare facoltativamente.

Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità e affidabilità

forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione dicompiti.

(17)

4 – Responsabile del trattamento (art. 29)

I compiti affidati al responsabile sono analiticamente specificati per iscrittodal titolare.

Il responsabile effettua il trattamento attenendosi alle istruzioniimpartite dal titolare il quale, anche

tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni e delle proprie istruzioni.

4 – Amministratore di sistema

Sintesi del provvedimento del 27 novembre 2008:

• Valutazione delle caratteristiche soggettive;

• Designazione individuale degli amministratori;

• Elenco degli amministratori, contenente gli

identificativi e le relative funzioni attribuite ad ognuno

• Verifica periodica delle attività;

• Registrazione degli accessi logici.

(18)

4 – Incaricati (art. 30)

Le persone fisiche autorizzatea compiere operazioni di trattamento dal titolare o dal responsabile.

• Si tratta esclusivamente di una persona fisica, a differenza del titolare e dei responsabili

• A differenza del responsabile questa figura viene individuata obbligatoriamente

• L’incaricato è una persona autorizzata, cioè il titolare o il responsabile individuano i compiti cui l’incaricato dovrà scrupolosamente attenersi

• La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.

5 – Adempimenti principali

1. Notifica al Garante (art. 37)

2. Informativa all’interessato (art. 13) 3. Richiesta del Consenso (art. 23)

4. Documento Programmatico sulla Sicurezza (in conformità a quanto indicato nell’allegato B:

“disciplinare tecnico in materia di misure minime di sicurezza”)

Le cose da fare:

(19)

dati genetici, biometrici o che indicano la posizione geografica;

lo stato di salute, la vita sessuale o la sfera psichica;

l’analisi di abitudini o scelte di consumo (profilazione);

dati sensibili per la selezione del personale per conto terzi, sondaggi di opinione, ricerche di mercato;

dati relativi alla solvibilità economica, situazione patrimoniale, corretto adempimento ad obbligazioni, comportamenti illeciti o fraudolenti

Il titolare notifica al Garante il trattamento di dati personali solo se il trattamento riguarda:

5 – Trattamenti soggetti all’obbligo di notifica (art. 37)

5 – Informativa (art. 13)

Deve essere resa all’interessato (o alla persona, diversa dall’ interessato, da cui si raccolgono i dati dell’interessato)

Deve essere data prima dell’inizio del trattamento

Va fatta una sola volta fino a quando non si distruggono i dati o al cambiamento di uno dei contenuti dell’art. 13; per esempio se il

Titolare vende i dati personali ad altro Titolare.

Può essere in forma orale o scritta

(20)

5 – Informativa (art. 13)

Ha lo scopo di informare gli interessati relativamente a:

finalità e modalità del trattamento dei dati

naturaobbligatoria o facoltativa del conferimento dei dati

conseguenzedi un eventuale rifiuto a rispondere

soggetti o categorie di soggetti ai quali i dati personali possono esserecomunicati o che possono venirne a conoscenza

diritti dell’articolo 7

estremiidentificativi del titolare e dei responsabili del trattamento

5 – Diritti dell’interessato (art. 7)

Origine dei dati personali, finalità e modalità di trattamento;

•Estremi identificativi del titolare e dei responsabili

•Soggetti e categorie di soggetti ai quali i dati possono essere comunicati

•Aggiornamento e la cancellazione dei dati

•Opporsi al trattamento dei dati personali anche se pertinenti allo scopo della raccolta

•Opporsi al trattamento di dati personali ai fini di invio di materiale pubblicitario, comunicazioni commerciali o ricerche di mercato

(21)

5 – Altri diritti dell’interessato

Esercizio dei diritti (art. 8):

La richiesta di informazioni può avvenire senza formalità anche per il tramite di un incaricato

Modalità di esercizio (art. 9):

Lettera raccomandata, fax, posta elettronica o eventualmente anche per telefono

Riscontro all’interessato (art. 10):

Comunicazione in forma elettronica, scritta e orale

5 – Consenso (art. 23 – art.24)

Il consenso è valido solo se espresso liberamente e in riferimento ad un trattamento chiaramente individuato, e se sono state rese all’interessato le informazioni di cui all’art. 13 (cioè l’informativa);

Il consenso può riguardare l’intero trattamento dei dati ovvero una o più operazioni del trattamento stesso;

Il trattamento di dati personali da parte di privati è

ammesso solo con il consenso espresso dell’interessato;

Il consenso è manifestato in forma scritta quando il trattamento riguarda i dati sensibili / giudiziari.

(22)

5 – Documento Programmatico sulla Sicurezza (DPS)

Il disciplinare tecnico (allegato B) riporta l’obbligo di redigere/aggiornare il DPS nella relazione di

accompagnamento del bilancio di esercizio (o comunque entro il 31 marzo di ogni anno).

Il documento deve essereaggiornato: prevedere cioè una costante evoluzione nel tempo delle misure di sicurezza per renderle adeguate ai rischi ed evitare che diventino inutili.

5 – Documento programmatico sulla Sicurezza (DPS)

Il DPS deve contenere (punto 19 “allegato B”):

• l’elenco dei tipi di dati trattati;

• la distribuzione dei compiti e delle

responsabilitànell’ambito delle strutture preposte al trattamento (mansionario e lettere di incarico);

• l’analisi dei rischi che incombono sui dati;

• le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

(23)

5 – Documento programmatico sulla Sicurezza (DPS)

Il DPS deve contenere (punto 19 “allegato B”):

• la previsione di interventi formativi degli incaricati del trattamento;

• garanzie per i trattamenti affidati all’esterno della struttura del titolare;

• cifratura e disgiunzione per i dati personali idonei a rivelare lo stato di salute e la vita sessuale (per organismi sanitari).

6 – Misure minime

L’applicazione delle misure minime ha

un impatto sugli apparati

hardware, sulle

infrastrutture e

sugli applicativi

software presenti

nelle organizzazioni

(24)

6 – Misure minime individuate dal codice (art. 34)

a) Autenticazione informatica;

b) Procedure di gestione delle credenziali di autenticazione;

c) Utilizzazione di un sistema di autorizzazione;

d) Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito;

Il trattamento di dati personali con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

6 – Misure minime individuate dal codice (art. 34)

e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non

consentiti;

f) Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS);

h) Adozione di tecniche di cifratura o codici

identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari.

(25)

6 – Disciplinare Tecnico (allegato B)

Il disciplinare tecnico è diviso in due parti principali: la prima riguarda i trattamenti svolti con l’ausilio di strumenti elettronici e comprende 26 punti; la seconda riguarda i trattamenti svolti senza l’ausilio di strumenti elettronici con sole 3 affermazioni di principio.

Le tematiche affrontate dal disciplinare possono essere suddivise in tre insiemi:

• Procedure di accesso (autenticazione – autorizzazione)

• Sicurezza fisica

• Sicurezza logica

7 – SANZIONI

La legge sulla Privacy in 12 articoli prevede due tipologie di sanzioni:

Sanzioni amministrative che comportano il pagamento di una multa

Sanzioni penali che comportano l’arresto e la reclusione del Titolare

Sanzione amministrativa accessoria (facoltativa):

pubblicazione del fatto accaduto sui giornali nazionali, con evidente danno di immagine.

La condanna nel caso di illecito penale comporta sempre la pubblicazione della sentenza.

(26)

7 – SANZIONI

Violazioni amministrative – sanzioni pecuniarie

• omessa o inidonea informativa resa all’interessato (sanzione da 6.000 a 36.000 €);

• cessione all’esterno di dati utilizzati per scopi diversi dalla raccolta (sanzione da 10.000 a 60.000 €);

• omessa o incompleta notifica al Garante (sanzione da 20.000 a 120.000 €);

• omessa informazione o mancata esibizione di

documenti richiesti dal Garante (sanzione da 10.000 a 60.000 €).

7 – SANZIONI

Esempi di Illecito penale – arresto/reclusione

• falsità nelle dichiarazioni e notificazioni al Garante (reclusione da sei mesi a tre anni);

• trattamento illecito dei dati: vi devono essere contemporaneamente profitto per il titolare e

nocumento per l’interessato; inoltre la gravità dipende se ci sono la “diffusione” o la “comunicazione” dei dati (reclusione da sei mesi a due anni).

• mancata applicazione delle misure minime (arresto sino a due anni)

(27)

8 – Formazione e Informazione

Disciplinare Tecnico – punto 19.6

La previsione diinterventi formativi degliincaricati del trattamento, per renderli edotti deirischiche incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profilidella disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilitàche ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.

La formazione è programmata già al momento dell’ingressoin servizio, nonché in occasione di cambiamentidi mansioni, o di introduzione di nuovi significativistrumenti, rilevanti rispetto al trattamento di dati personali.

Decreto legislativo 30 giugno 2003, n. 196

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Dalla teoria alla pratica

Relatore: Ing.Alberto Piamonte

(28)

55

Il trattamento dei dati personali

si svolge nel rispetto della dignità dell’interessato, con particolare riferimento:

alla riservatezza,

all’identità personale

al diritto alla protezione dei dati personali.

• è disciplinato assicurando:

un elevato livello di tutela dei diritti e delle libertà

nel rispetto dei principi disemplificazione,armonizzazione edefficacia

Diritti dell’interessato e responsabilità del Titolare nel trattamento Dati Personali

Titolare diritti

Rischi Responsabilità Attività pericolosa

(29)

57

Art. 15 - Danni cagionati per effetto del trattamento

1. Chiunque cagiona danno ad altri per effetto del

trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.

(Attività pericolosa e conseguente applicazione dell’inversione dell’onere della prova: non basta adottare le misure di sicurezza ma bisogna anche essere in grado di provarne l’adozione. V. 81/08)

Catena delle responsabilità

Dato Personale

• è sempre associato ad un suo utilizzo lecitodefinito da modalità e finalitàdel trattamento.

• Va protettodai rischi

• Ha un Titolare Il Titolare (direttamente o tramite

Responsabili)

• Adottaopportuni Strumenti / Misure di Sicurezza (Fisiche, Logiche, Organizzative)

• Definiscele Regole (Policy di Sicurezza)

• Informa(Forma) gli incaricati che sono quindi responsabili di :

L’incaricato deve

• Utilizzare/Applicaregli strumenti a disposizione

• Rispettarele regole

• Segnalaresituazioni anomale

Gli Incarichi al trattamento informano sull’ambito di liceità e spostano su chi tratta il dato parte della responsabilità di eventuali illeciti.

(30)

Gestione del Rischio

Conseguenze bassa

alta

lievi gravi

Probabilità

Riduco

media

sensibili

Evito

Accetto Trasferisco

Come si gestisce il rischio ?

Elusione rinuncia all’attività

Prevenzione riduzione della probabilità dell’evento

Protezione minimizzare le conseguenze ad evento avvenuto Trasferimento

Assicurativo

Non assicurativo (contrattuale: LdS) Ritenzione

Consapevole (rischio accettato)

Inconsapevole

■ Mancata identificazione del rischio

■ Sottovalutazione dell’entità del rischio

■ Sopravvalutazione dell’efficacia delle misure

EVENTO

DANNO

CONSEGUENZA

Incarico … …

… … Nomina Responsabile

… … … …

(31)

Domanda :

• La Sicurezza dei Dati riguarda tre aspetti:

• Riservatezza

• Integrità

• Disponibilità

Quale dei tre è il più importante per il :

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI ?

I DATI PERSONALI oggetto del trattamento

sono

Custoditi Controllati

Anche in relazione alle

Conoscenze acquisite in base al progresso tecnico

Natura dei

dati Caratteristiche del trattamento

i RISCHI di

Preventive Idonee

In modo da ridurre al minimo mediante l’adozione di misure di

sicurezza

①

① Distruzione o perdita anche accidentale

②

② Accesso non

autorizzato

③③③

③ Trattamento

non consentito

④④

④④ Trattamento non

conforme alle finalità

Art 31 – Obblighi di Sicurezza

(32)

Oops! Ho appena cancellato tutti i suoi files.

Per favore può ripetermi tutto quello che mi ha detto nell’ultimo anno di analisi?

Privacy non è solo riservatezza (

come molti pensano

) !

Misure minime, adeguate e responsabilità

Equilibrio tra costi e benefici

IMPATTO

MISURE DI CONTROLLO/ PROTEZIONE

Controlli eccessivi rispetto ai rischi:

sistema di controllo non ottimale Rischi eccessivi:

Responsabilità penalmente perseguibile !

Livello ragionevole di rischio residuo: Responsabilità civile con inversione onere prova

Misure minime di Sicurezza (Art. 33) Misure idonee di Sicurezza (Art 31)

(33)

Criminalità informatica

(non c’entra con la Privacy, ma . . . . esiste !)

Alcuni articoli del codice penale modificati :

Art. 615-quinquies. – Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. ……

…. reclusione fino a due annie con la multa sino a euro 10.329.

Art. 635-quater. – Danneggiamento di sistemi informatici o telematici…..

….reclusione da uno a cinque anni.

Art. 635-quinquies. – Danneggiamento di sistemi informatici o telematici di pubblica utilità …..

…reclusione da tre a otto anni.

… se conabuso della qualità di operatore del sistema, e pene vengono aumentate.

Come procedere ?

Punti fermi:

1. Non commettere errori (gravi) 2. Non investire troppo

3. Trovare un giusto punto di equilibrio i quale, oltre che al rispetto della Legge, conduca anche ad una riduzione dei Rischi(ROSI).

Come ?

rischio costo

Risk based approach !

(34)

1. Identificate tutti i processi / pratiche (oppure selezionateli da un elenco completo) svolti nel vostro ufficio

2. Fate un elenco di quelli (quasi tutti) che trattano dati personali.

3. Avete l’elenco completo dei Trattamenti di cui siete Titolare e potete procedere sistematicamente (se ne avete dimenticati

…… avete un problema: non di Privacy !) 1 - Una conoscenza base della materia

2 - Un esempio (affidabile) di come redigere il DPS 3 - Un indice secondo il quale procedere

Schema di riferimento

Dati personali

TRATTAMENTO

Incaricato

Incaricato IncaricatoIncaricato IncaricatoIncaricato IncaricatoIncaricato Il Titolare

Il Titolare

Responsabile Esterno Responsabile

Esterno

Responsabile Interno Responsabile

Interno

Piattaforme Amm. di Sistema

interno Amm. di Sistema

esterno Amm. di Sistema

esterno

Interessati

(35)

Informazioni che servono per :

• I Capitoli del Documento Programmatico

– Elenco dei trattamenti di dati personali (regola 19.1) – Distribuzione dei compiti e delle responsabilità (regola 19.2) – Analisi dei rischi che incombono sui dati (regola 19.3) – Misure in essere e da adottare (regola 19.4)

– Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) – Pianificazione degli interventi formativi previsti (regola 19.6) – Trattamenti affidati all’esterno (regola 19.7)

– Cifratura dei dati o separazione dei dati identificativi (regola 19.8)

• Altri adempimenti

– Responsabili (interni ed esterni) – Incaricati

– Amministratori di Sistema

Dati personali

TRATTAM ENTO Inc aric ato

Inc aric ato Inc aric atoInc aric ato Inc aric atoInc aric ato Inc aric atoInc aric ato

Piattaforme

Amm. di Siste ma inte rno Amm. di Siste ma inte rno Amm. di Siste ma e ste rno Amm. di Siste ma e ste rno Interessati

Analisi dei rischi che incombono sui dati (regola 19.3)

• L’esempio di DPS contiene un elenco di possibili eventi da prendere in considerazione

• Valutate ogni evento (probabilità ed impatto) e chiedetevi se siete preparati a fronteggiarlo.

• Eventualmente aggiungete eventi non contenuti nella lista, ma per i quali avete preso iniziative. Indicarli nel DPS può essere prova della vostra “Diligenza” (v. art 15)

Misure in essere e da adottare (regola 19.4)

• Indicate, a fronte degli eventi considerati, le misure di sicurezza prese o che intendete prendere.

(36)

ed, in conclusione :

• Avete raccolto sistematicamente tutte le informazioni necessariealla compilazione del DPS e per gli altri adempimenti (incarichi, ecc)

• Potete :

– Dimostrarne laqualità

– Procedere negli anni successivi a semplici aggiornamenti – Applicabile ad altri contesti di conformità (231, ecc.)

– Utilizzarli per procedure automatizzateper i vari adempimenti

• … avete anche un quadro completo di quali risorseinterne ed esterne utilizzate, per quali processi / pratichee di quali rischi correte(check-up della situazione aziendale)

• Potete predisporre un calendario per la formazione

Vediamo, un esempio pratico

… avete anche, e soprattutto, investito in sicurezza !

Grazie per l’attenzione !

(37)

D.Lgs. n. 196/03

Codice in materia di protezione dei dati personali

Il caso pratico

Relatore: Dott. Stefano Sardi

Documento Programmatico per la Sicurezza

• Capitoli:

– Elenco dei trattamenti di dati personali (regola 19.1)

– Distribuzione dei compiti e delle responsabilità (regola 19.2) – Analisi dei rischi che incombono sui dati (regola 19.3) – Misure in essere e da adottare (regola 19.4)

– Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)

– Pianificazione degli interventi formativi previsti (regola 19.6) – Trattamenti affidati all’esterno (regola 19.7)

Dati personali

L’AziendaIl Titolare L’AziendaIl Titolare

Re spo nsabile Este rno

Re spo nsabile Este rno Re spo nsabile Inte rnoRe spo nsabile Inte rno

Piattaforme

(38)

Da dove partire?

Individuazione dei trattamenti

(39)

(40)

Processi - Trattamenti

Processi Sottoprocessi

Trattamento Strutture di riferi-

mento / responsabili Banca di dati - (C) cartacei - (I) informa-

tizzati

Natura dei

dati Strumenti utilizzati / Dispositivi d'acces- so/Interconnessione

Ubicazione

Finalità interne esterne P S G

P1 - Predispo- sizione dichiarazioni fiscali

P1.1 - Modello 730

Acquisizione e In- serimento dati

Dott. Commer- cialista Mario

Rossi Dott.

Bianchi Modelli CUD

(C) X X Archivio 1 Ufficio A

Fatture (C) X Archivio 2 Ufficio A

Ricevute (C) X Archivio 4 Ufficio A

Contratto (C) X Archivio 3 Ufficio A

Modelli 730 (C) X Archivio 1 Ufficio A

Modelli CUD (I) X X

Server 1 Ufficio X Applicativo XY Ufficio X

Modelli 730 (I) X

Invio telematico all'Amministrazione

Finanziaria

Rossi

Modelli 730 (I) X X

Archiviazione modelli

Rossi

Modelli 730 (C) X Archivio 1 Ufficio A

Modelli 730 (I) X

Documento Programmatico per la Sicurezza

• Capitoli:

– Elenco dei trattamenti di dati personali (regola 19.1)

– Distribuzione dei compiti e delle responsabilità (regola 19.2) – Analisi dei rischi che incombono sui dati (regola 19.3) – Misure in essere e da adottare (regola 19.4)

– Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)

– Pianificazione degli interventi formativi previsti (regola 19.6) – Trattamenti affidati all’esterno (regola 19.7)

Dati personali

L’Azienda Il Titolare L’Azienda Il Titolare

Re spo nsabile Este rno

Re spo nsabile Este rno Re spo nsabile Inte rnoRe spo nsabile Inte rno

Piattaforme

(41)

Tipo Evento Descrizione Probabilità dell'evento

Gravità delle conseguenze

Rischio (da 1 a 9) intrinseco attuale pianificato

Comportamenti degli operatori

Carenza di consapevo- lezza, disattenzione o incuria

La mancata preparazione e definizione di ruoli e responsabilità può avere conseguenze sulla corretta gestione dei dati e sistemi.

medio alto 6 2 2

Comportamenti sleali o fraudolenti

La mancanza di strumenti di controllo e di adeguate misure sanzio- natorie può avere conseguenze sulla corretta gestione dei dati e sistemi

medio alto 6 3 1

Errore materiale

La mancata preparazione e di sistemi di protezione può avere conseguenze sulla corretta gestione dei dati e sistemi

basso basso 1 1 1

Furto di credenziali di autenticazione

Il furto di credenziali consente comportamenti scorretti o fraudolenti attribuendone la responsabilità ad altri

medio alto 6 5 5

Modifica deliberata e non autorizzata di dati residenti su archivi informatici

Questa minaccia riguarda l'abuso delle autorizzazioni rilasciate per modificare impropriamente dati cri- tici (anche per la sicurezza).

basso alto 3 1 1

Social Engineering

Un esterno carpisce informazioni dal personale su come penetrare nel sistema, su come usare il sistema, sulla sua architettura, sui processi che esegue.

basso alto 3 2 2

Analisi del rischio

CONSEGUENZE bassa

alta

lievi gravi

PROBABILITA’

Riduco

media

sensibili

Evito

Accetto Trasferisco