Protezione dei Dati Personali - D.Lgs. 196/2003
Valutazione del rischio e conformità alla normativa negli studi professionali
Bergamo 5 dicembre 2011
DISCLAIMER:
I contenuti di queste slides che seguono
non sono esaustivi del testo di legge e
possono contenere errori od omissioni. A
tal fine solo la legislazione pubblicata nelle
edizioni su carta della Gazzetta Ufficiale è
da considerarsi autentica.
Agenda
09:45 La gestione della conformità normativa in azienda:
l’approccio della valutazione dei rischi Relatore: Dott. Pierluigi Paris
10:15 Focus: D.Lgs. 196/2003
Codice in materia di protezione dei dati personali Relatore: Dott. Stefano Sardi
11:15 Dalla teoria alla pratica
Relatore: Ing. Alberto Piamonte
12:00 Il caso pratico Dott. Stefano Sardi
12.30 CHIUSURA LAVORI
La gestione della conformità in azienda
approccio della valutazione del rischio
Relatore: Dr. Pierluigi Paris
Nuovo sistema di Controllo Societario
Non più solo in funzione garantista, ma anche come risorsa aziendale che può concorrere a rendere migliori e più efficaci le decisioni ed i comportamenti imprenditoriali.
Gli amministratori devono quindi agire in modo consapevole ed informato sul sistema aziendale e sull’ambiente socio/economico nel quale l’impresa opera e con il quale interagisce.
Nuovo sistema di Controllo Societario
Si richiedono quindi capacità:
• di analisi e di formulazione di giudizio su
efficienza, vulnerabilità ed affidabilità aziendali;
• di valutare efficacia ed efficienza del sistema di Corporate Governance;
• di tutela dell’attendibilità e trasparenza dei processi informativi interni e verso l’esterno;
Nuovo sistema di Controllo Societario
• di effettuare adeguati controlli su comportamenti in contrasto con norme giuridiche;
• di costruire e verificare sistematicamente una mappa dei fattori di rischio interni ed esterni alla società, suscettibili di determinare impatti di natura gestionale, amministrativa, operativa ed ambientale.
Un nuovo sistema di controllo societario
Nuova filosofia dei controlli:
•D.Lgs. 58/1998 -Testo unico della finanza
•Riforma Vietti –D.Lgs. 6/2003-Riforma del diritto societario
•D.Lgs. 231/2001-Responsabilità di Impresa, Responsabilità delle persone Giuridiche
•Legge 262/2005 -Tutela del risparmio e disciplina dei mercati finanziari
•D.Lgs. 81/2008 -Tutela della salute e della sicurezza nei luoghi di lavoro
•D.Lgs. 196/2003 – Protezione dei dati personali
•Autoregolamentazione
•Norme volontarie:
Qualità - ISO 9001 Ambiente - ISO 14001
Salute e Sicurezza – OHSAS 18001 Sicurezza delle informazioni – ISO 27001
acquisizione know-how
Ruoli professionista
INFORMAZIONI DATI
RUOLO DI CONTROLLO E VIGILANZA (nelle aziende clienti)
Conoscenza:
• NORME
• AZIENDA
• AMBIENTE SOCIO ECONOMICO
IN CASA FUORI CASA
La protezione dei dati personali
Evoluzione normativa
Costituzione (art.15 e art. 21)
Codice penale (cap. III – sezione 4)
Legge 675/1996
D.Lgs. 196/2003
Legge 70/2011
Normativa sulla Protezione dei Dati Personali
• Diritto dell’individuo sui propri dati personali;
• Non impedisce il trattamento ma evita che avvenga senza o controla volontà dell’interessato;
• Riduzione del rischio di riservatezza,integrità, disponibilità.
Necessità di una Analisi del Rischioper evidenziare le aree di maggiore criticità basata su valutazione di:
IMPATTIe PROBABILITA’
Adempimenti
Misure idoneee preventivetali da ridurre al minimo il rischio.
Si ispirano, anche senza citarli esplicitamente, a consolidati standard di sicurezza e riguardano :
• Struttura Organizzativa e Responsabilità
• Misure di Sicurezza fisiche e logiche
• Sanzioni
In caso di non adempienza conseguenze gravi (Revoca della funzione di intermediario,…)
La valutazione del rischio quale minimo comun denominatore
'Risk Management
D.Lgs. 231/2001 – ISO 9001 – ISO 27001…. D.Lgs. 196/2003
Risk Management
La conformità alla legge sulla Protezione dei dati personali deve essere inquadrata nel più complessivo tema gestione del rischio
Risk Management
Definizione piano di azione
Mappatura di PROCESSIe RISORSE
Valutazione dei rischi
Gestione dell’azienda per la qualità ISO 9001
Valutazione dei rischi
Tutela dei dati della persona D.Lgs. 196
Valutazione dei rischi
Sicurezza dei dati e delle informazioni ISO 27001
Valutazione dei rischi
Responsabilità amministrativa D.Lgs. 231
Definizione piano di azione
Definizione piano di azione
Definizione piano di azione
Indice del Codice in materia di dati personali – D.Lgs. 196/03
• Disposizioni generali (art.1 – 45)
• Disposizioni particolari per specifici trattamenti (art.
46 – 140)
• Disposizioni relative alle azioni di tutela
dell’interessato e al sistema sanzionatorio (art. 141 – 186)
• Allegati A: codici di condotta
• Allegato B: disciplinare tecnico in materia di misure di sicurezza
• Allegato C: trattamenti non occasionali effettuati in ambito giudiziario e per fini di polizia
D.Lgs. 196/2003:
Codice in materia di protezione dei dati personali
Relatore: Dr. Stefano Sardi
Concetti fondamentali
1. Principi fondamentali 2. Tipologie di dati personali 3. Trattamento dei dati personali
4. Titolare, Responsabili ed Incaricati – ADS 5. Principali adempimenti
6. Misure minime 7. Sanzioni
8. Formazione e Informazione
1 – Principi fondamentali (art. 11)
• Liceità
• Correttezza
• Pertinenza e non eccedenza
• Diritto all’oblio
• Aggiornamento, completezza, esattezza
Adozione di adeguate misure tecniche e organizzative atte a garantire la sicurezza dei dati, ossia la loro protezione dai rischi di accesso non autorizzato, di distruzione e/o perdita accidentale, di trattamento non pertinente o
eccedente rispetto alle finalità per le quali i dati sono stati raccolti.
2 – Dati personali (art. 4)
Qualunque informazione
relativa a persona fisica, persona giuridica, ente o associazione,
identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale.
2 – Esempi di dati personali
1. Mario Rossi, nato il 10 Novembre 1976 a Milano
2. Mario Rossi residente in Piazza del Popolo 2 a Firenze
3. I dati sulle fatture pagate dalla società BREMBO 4. Le informazioni sullo stato di salute di Mario Rossi 5. Mario Rossi è stato condannato a 6 mesi per aver
commesso un reato
2 – Dati identificativi (art. 4)
I dati identificativi sono dati personali se permettono l’identificazione diretta dell’interessato. Il codice fiscale o il numero di tessera sanitarianon sono dati personali se vengono presi in sé (non contengono informazioni sull’interessato).
I codici identificativi diventano dati personali se li tratto per un motivo da cui traggo un’informazione sulla vita della persona: il codice fiscale ABCDEF… è di una persona presente alla manifestazione sindacale di Milano sabato scorso.
2 – Dati sensibili (art. 4)
Sono i dati personali idonei a rilevare:
l’origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere,
le opinioni politiche,
l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.
2 – Esempi di dati sensibili
1. Mario Rossi è italo-albanese (origine razziale o etnica)
2. Giulio Verdi appartiene ai Testimoni di Geova (convinzioni religiose)
3. Luca Rossi è comunista (opinioni politiche) 4. Il mio capo è iscritto alla CISL (adesione a
sindacati)
5. Il mio collega Piero è eterosessuale (vita sessuale)
2 – Dati giudiziari (art. 4)
Sono i dati personali idonei a rilevare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato.
Esempi:
• Mario Rossi è stato condannato a 3 anni per …
• Per quel reato Giulio Verdi ha avuto la condizionale
• Mohammed è stato espulso dall’Italia a causa di …
2 – Tipologie di dati personali
Dati Personali di MARIO ROSSI
Abita in P.za del Popolo 2 a Firenze
Bolletta ENEL di 120 € A casa con l’emicrania
Iscritto alla CGIL
Ha una condanna penale per …
Dati Sensibili Dati Giudiziari
3 – Trattamento dei dati
1. la raccolta, 2. la registrazione
3. l’organizzazione 4. la conservazione 5. la consultazione 6. l’elaborazione 7. la modificazione 8. la selezione 9. l’estrazione 10. Il raffronto 11. l’utilizzo
12. l’interconnessione 13. il blocco
14. la comunicazione 15. la diffusione
16. la cancellazione 17. la distruzione
CICLO DI VITA DEI DATI
3 – Trattamento verso l’esterno dei dati
Comunicazione
Cessione Diffusione
Dare conoscenza dei dati a soggetti bendeterminati, diversi dall’interessato
Dare conoscenza dei dati personali a soggetti indeterminati
Vendita e/o cessione ad altro titolare
Dati Personali all’estero
• Nessuna differenza tra circolazione di dati in Italia e quella degli stessi nell'Unione Europea e Islanda, Liechtenstein, Norvegia, Argentina, Canada, Svizzera e Ungheria .
• In generale i paesi non appartenenti all'Unione Europea non garantiscono un livello di tutela adeguato.
• Stati Uniti: accordo nel 2000 di Safe Harbour ("approdo sicuro") per tutelare il trasferimento oltreoceano dei dati dei cittadini europei.
4 – L’organigramma Privacy
TITOLARE
Responsabile interno
Incaricato Incaricato
Interessato Interessato
Incaricato Incaricato
Interessato Interessato
Responsabile esterno
Amministratore di sistema
4 – Titolare del trattamento (art. 4)
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumentiutilizzati, ivi compreso il profilo della sicurezza.
Oltre alla facoltà di prendere decisioni l’unico
compito che spetta al titolare è quello di controllare.
4 – Responsabile del trattamento (art. 4)
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismopreposti dal titolare al trattamento dei dati personali.
Esempi di figure di “responsabili del trattamento”:
•Outsourcer IT
•Responsabile per il “Trattamento Dati RU”
4 – Responsabile del trattamento (art. 29)
Il responsabile è designato dal titolare facoltativamente.
Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità e affidabilità
forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione dicompiti.
4 – Responsabile del trattamento (art. 29)
I compiti affidati al responsabile sono analiticamente specificati per iscrittodal titolare.
Il responsabile effettua il trattamento attenendosi alle istruzioniimpartite dal titolare il quale, anche
tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni e delle proprie istruzioni.
4 – Amministratore di sistema
Sintesi del provvedimento del 27 novembre 2008:
• Valutazione delle caratteristiche soggettive;
• Designazione individuale degli amministratori;
• Elenco degli amministratori, contenente gli
identificativi e le relative funzioni attribuite ad ognuno
• Verifica periodica delle attività;
• Registrazione degli accessi logici.
4 – Incaricati (art. 30)
Le persone fisiche autorizzatea compiere operazioni di trattamento dal titolare o dal responsabile.
• Si tratta esclusivamente di una persona fisica, a differenza del titolare e dei responsabili
• A differenza del responsabile questa figura viene individuata obbligatoriamente
• L’incaricato è una persona autorizzata, cioè il titolare o il responsabile individuano i compiti cui l’incaricato dovrà scrupolosamente attenersi
• La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.
5 – Adempimenti principali
1. Notifica al Garante (art. 37)
2. Informativa all’interessato (art. 13) 3. Richiesta del Consenso (art. 23)
4. Documento Programmatico sulla Sicurezza (in conformità a quanto indicato nell’allegato B:
“disciplinare tecnico in materia di misure minime di sicurezza”)
Le cose da fare:
dati genetici, biometrici o che indicano la posizione geografica;
lo stato di salute, la vita sessuale o la sfera psichica;
l’analisi di abitudini o scelte di consumo (profilazione);
dati sensibili per la selezione del personale per conto terzi, sondaggi di opinione, ricerche di mercato;
dati relativi alla solvibilità economica, situazione patrimoniale, corretto adempimento ad obbligazioni, comportamenti illeciti o fraudolenti
Il titolare notifica al Garante il trattamento di dati personali solo se il trattamento riguarda:
5 – Trattamenti soggetti all’obbligo di notifica (art. 37)
5 – Informativa (art. 13)
Deve essere resa all’interessato (o alla persona, diversa dall’ interessato, da cui si raccolgono i dati dell’interessato)
Deve essere data prima dell’inizio del trattamento
Va fatta una sola volta fino a quando non si distruggono i dati o al cambiamento di uno dei contenuti dell’art. 13; per esempio se il
Titolare vende i dati personali ad altro Titolare.
Può essere in forma orale o scritta
5 – Informativa (art. 13)
Ha lo scopo di informare gli interessati relativamente a:
finalità e modalità del trattamento dei dati
naturaobbligatoria o facoltativa del conferimento dei dati
conseguenzedi un eventuale rifiuto a rispondere
soggetti o categorie di soggetti ai quali i dati personali possono esserecomunicati o che possono venirne a conoscenza
diritti dell’articolo 7
estremiidentificativi del titolare e dei responsabili del trattamento
5 – Diritti dell’interessato (art. 7)
Origine dei dati personali, finalità e modalità di trattamento;
•Estremi identificativi del titolare e dei responsabili
•Soggetti e categorie di soggetti ai quali i dati possono essere comunicati
•Aggiornamento e la cancellazione dei dati
•Opporsi al trattamento dei dati personali anche se pertinenti allo scopo della raccolta
•Opporsi al trattamento di dati personali ai fini di invio di materiale pubblicitario, comunicazioni commerciali o ricerche di mercato
5 – Altri diritti dell’interessato
Esercizio dei diritti (art. 8):
La richiesta di informazioni può avvenire senza formalità anche per il tramite di un incaricato
Modalità di esercizio (art. 9):
Lettera raccomandata, fax, posta elettronica o eventualmente anche per telefono
Riscontro all’interessato (art. 10):
Comunicazione in forma elettronica, scritta e orale
5 – Consenso (art. 23 – art.24)
Il consenso è valido solo se espresso liberamente e in riferimento ad un trattamento chiaramente individuato, e se sono state rese all’interessato le informazioni di cui all’art. 13 (cioè l’informativa);
Il consenso può riguardare l’intero trattamento dei dati ovvero una o più operazioni del trattamento stesso;
Il trattamento di dati personali da parte di privati è
ammesso solo con il consenso espresso dell’interessato;
Il consenso è manifestato in forma scritta quando il trattamento riguarda i dati sensibili / giudiziari.
5 – Documento Programmatico sulla Sicurezza (DPS)
Il disciplinare tecnico (allegato B) riporta l’obbligo di redigere/aggiornare il DPS nella relazione di
accompagnamento del bilancio di esercizio (o comunque entro il 31 marzo di ogni anno).
Il documento deve essereaggiornato: prevedere cioè una costante evoluzione nel tempo delle misure di sicurezza per renderle adeguate ai rischi ed evitare che diventino inutili.
5 – Documento programmatico sulla Sicurezza (DPS)
Il DPS deve contenere (punto 19 “allegato B”):
• l’elenco dei tipi di dati trattati;
• la distribuzione dei compiti e delle
responsabilitànell’ambito delle strutture preposte al trattamento (mansionario e lettere di incarico);
• l’analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
5 – Documento programmatico sulla Sicurezza (DPS)
Il DPS deve contenere (punto 19 “allegato B”):
• la previsione di interventi formativi degli incaricati del trattamento;
• garanzie per i trattamenti affidati all’esterno della struttura del titolare;
• cifratura e disgiunzione per i dati personali idonei a rivelare lo stato di salute e la vita sessuale (per organismi sanitari).
6 – Misure minime
L’applicazione delle misure minime ha
un impatto sugli apparati
hardware, sulle
infrastrutture e
sugli applicativi
software presenti
nelle organizzazioni
6 – Misure minime individuate dal codice (art. 34)
a) Autenticazione informatica;
b) Procedure di gestione delle credenziali di autenticazione;
c) Utilizzazione di un sistema di autorizzazione;
d) Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito;
Il trattamento di dati personali con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:
6 – Misure minime individuate dal codice (art. 34)
e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non
consentiti;
f) Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS);
h) Adozione di tecniche di cifratura o codici
identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari.
6 – Disciplinare Tecnico (allegato B)
Il disciplinare tecnico è diviso in due parti principali: la prima riguarda i trattamenti svolti con l’ausilio di strumenti elettronici e comprende 26 punti; la seconda riguarda i trattamenti svolti senza l’ausilio di strumenti elettronici con sole 3 affermazioni di principio.
Le tematiche affrontate dal disciplinare possono essere suddivise in tre insiemi:
• Procedure di accesso (autenticazione – autorizzazione)
• Sicurezza fisica
• Sicurezza logica
7 – SANZIONI
La legge sulla Privacy in 12 articoli prevede due tipologie di sanzioni:
Sanzioni amministrative che comportano il pagamento di una multa
Sanzioni penali che comportano l’arresto e la reclusione del Titolare
Sanzione amministrativa accessoria (facoltativa):
pubblicazione del fatto accaduto sui giornali nazionali, con evidente danno di immagine.
La condanna nel caso di illecito penale comporta sempre la pubblicazione della sentenza.
7 – SANZIONI
Violazioni amministrative – sanzioni pecuniarie
• omessa o inidonea informativa resa all’interessato (sanzione da 6.000 a 36.000 €);
• cessione all’esterno di dati utilizzati per scopi diversi dalla raccolta (sanzione da 10.000 a 60.000 €);
• omessa o incompleta notifica al Garante (sanzione da 20.000 a 120.000 €);
• omessa informazione o mancata esibizione di
documenti richiesti dal Garante (sanzione da 10.000 a 60.000 €).
7 – SANZIONI
Esempi di Illecito penale – arresto/reclusione
• falsità nelle dichiarazioni e notificazioni al Garante (reclusione da sei mesi a tre anni);
• trattamento illecito dei dati: vi devono essere contemporaneamente profitto per il titolare e
nocumento per l’interessato; inoltre la gravità dipende se ci sono la “diffusione” o la “comunicazione” dei dati (reclusione da sei mesi a due anni).
• mancata applicazione delle misure minime (arresto sino a due anni)
8 – Formazione e Informazione
Disciplinare Tecnico – punto 19.6
La previsione diinterventi formativi degliincaricati del trattamento, per renderli edotti deirischiche incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profilidella disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilitàche ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
La formazione è programmata già al momento dell’ingressoin servizio, nonché in occasione di cambiamentidi mansioni, o di introduzione di nuovi significativistrumenti, rilevanti rispetto al trattamento di dati personali.
Decreto legislativo 30 giugno 2003, n. 196
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Dalla teoria alla pratica
Relatore: Ing.Alberto Piamonte
55
Il trattamento dei dati personali
si svolge nel rispetto della dignità dell’interessato, con particolare riferimento:
alla riservatezza,
all’identità personale
al diritto alla protezione dei dati personali.
• è disciplinato assicurando:
un elevato livello di tutela dei diritti e delle libertà
nel rispetto dei principi disemplificazione,armonizzazione edefficacia
Diritti dell’interessato e responsabilità del Titolare nel trattamento Dati Personali
Titolare diritti
Rischi Responsabilità Attività pericolosa
57
Art. 15 - Danni cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.
(Attività pericolosa e conseguente applicazione dell’inversione dell’onere della prova: non basta adottare le misure di sicurezza ma bisogna anche essere in grado di provarne l’adozione. V. 81/08)
Catena delle responsabilità
Dato Personale
• è sempre associato ad un suo utilizzo lecitodefinito da modalità e finalitàdel trattamento.
• Va protettodai rischi
• Ha un Titolare Il Titolare (direttamente o tramite
Responsabili)
• Adottaopportuni Strumenti / Misure di Sicurezza (Fisiche, Logiche, Organizzative)
• Definiscele Regole (Policy di Sicurezza)
• Informa(Forma) gli incaricati che sono quindi responsabili di :
L’incaricato deve
• Utilizzare/Applicaregli strumenti a disposizione
• Rispettarele regole
• Segnalaresituazioni anomale
Gli Incarichi al trattamento informano sull’ambito di liceità e spostano su chi tratta il dato parte della responsabilità di eventuali illeciti.
Gestione del Rischio
Conseguenze bassa
alta
lievi gravi
Probabilità
Riduco
media
sensibili
Evito
Accetto Trasferisco
Come si gestisce il rischio ?
Elusione rinuncia all’attività
Prevenzione riduzione della probabilità dell’evento
Protezione minimizzare le conseguenze ad evento avvenuto Trasferimento
Assicurativo
Non assicurativo (contrattuale: LdS) Ritenzione
Consapevole (rischio accettato)
Inconsapevole
■ Mancata identificazione del rischio
■ Sottovalutazione dell’entità del rischio
■ Sopravvalutazione dell’efficacia delle misure
EVENTO
DANNO
CONSEGUENZA
Incarico … …
… … Nomina Responsabile
… … … …
Domanda :
• La Sicurezza dei Dati riguarda tre aspetti:
• Riservatezza
• Integrità
• Disponibilità
Quale dei tre è il più importante per il :
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI ?
I DATI PERSONALI oggetto del trattamento
sono
Custoditi Controllati
Anche in relazione alle
Conoscenze acquisite in base al progresso tecnico
Natura dei
dati Caratteristiche del trattamento
i RISCHI di
Preventive Idonee
In modo da ridurre al minimo mediante l’adozione di misure di
sicurezza
①
①
①
① Distruzione o perdita anche accidentale
②
②
②
② Accesso non
autorizzato
③③③
③ Trattamento
non consentito
④④
④④ Trattamento non
conforme alle finalità
Art 31 – Obblighi di Sicurezza
Oops! Ho appena cancellato tutti i suoi files.
Per favore può ripetermi tutto quello che mi ha detto nell’ultimo anno di analisi?
Privacy non è solo riservatezza (
come molti pensano
) !Misure minime, adeguate e responsabilità
Equilibrio tra costi e benefici
IMPATTO
MISURE DI CONTROLLO/ PROTEZIONE
Controlli eccessivi rispetto ai rischi:
sistema di controllo non ottimale Rischi eccessivi:
Responsabilità penalmente perseguibile !
Livello ragionevole di rischio residuo: Responsabilità civile con inversione onere prova
Misure minime di Sicurezza (Art. 33) Misure idonee di Sicurezza (Art 31)
Criminalità informatica
(non c’entra con la Privacy, ma . . . . esiste !)
Alcuni articoli del codice penale modificati :
Art. 615-quinquies. – Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. ……
…. reclusione fino a due annie con la multa sino a euro 10.329.
Art. 635-quater. – Danneggiamento di sistemi informatici o telematici…..
….reclusione da uno a cinque anni.
Art. 635-quinquies. – Danneggiamento di sistemi informatici o telematici di pubblica utilità …..
…reclusione da tre a otto anni.
… se conabuso della qualità di operatore del sistema, e pene vengono aumentate.
Come procedere ?
Punti fermi:
1. Non commettere errori (gravi) 2. Non investire troppo
3. Trovare un giusto punto di equilibrio i quale, oltre che al rispetto della Legge, conduca anche ad una riduzione dei Rischi(ROSI).
Come ?
rischio costo
Risk based approach !
1. Identificate tutti i processi / pratiche (oppure selezionateli da un elenco completo) svolti nel vostro ufficio
2. Fate un elenco di quelli (quasi tutti) che trattano dati personali.
3. Avete l’elenco completo dei Trattamenti di cui siete Titolare e potete procedere sistematicamente (se ne avete dimenticati
…… avete un problema: non di Privacy !) 1 - Una conoscenza base della materia
2 - Un esempio (affidabile) di come redigere il DPS 3 - Un indice secondo il quale procedere
Schema di riferimento
Dati personali
TRATTAMENTO
Incaricato
Incaricato IncaricatoIncaricato IncaricatoIncaricato IncaricatoIncaricato Il Titolare
Il Titolare
Responsabile Esterno Responsabile
Esterno
Responsabile Interno Responsabile
Interno
Piattaforme Amm. di Sistema
interno Amm. di Sistema
interno Amm. di Sistema
esterno Amm. di Sistema
esterno
Interessati
Informazioni che servono per :
• I Capitoli del Documento Programmatico
– Elenco dei trattamenti di dati personali (regola 19.1) – Distribuzione dei compiti e delle responsabilità (regola 19.2) – Analisi dei rischi che incombono sui dati (regola 19.3) – Misure in essere e da adottare (regola 19.4)
– Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) – Pianificazione degli interventi formativi previsti (regola 19.6) – Trattamenti affidati all’esterno (regola 19.7)
– Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
• Altri adempimenti
– Responsabili (interni ed esterni) – Incaricati
– Amministratori di Sistema
Dati personali
TRATTAM ENTO Inc aric ato
Inc aric ato Inc aric atoInc aric ato Inc aric atoInc aric ato Inc aric atoInc aric ato
Piattaforme
Amm. di Siste ma inte rno Amm. di Siste ma inte rno Amm. di Siste ma e ste rno Amm. di Siste ma e ste rno Interessati
Analisi dei rischi che incombono sui dati (regola 19.3)
• L’esempio di DPS contiene un elenco di possibili eventi da prendere in considerazione
• Valutate ogni evento (probabilità ed impatto) e chiedetevi se siete preparati a fronteggiarlo.
• Eventualmente aggiungete eventi non contenuti nella lista, ma per i quali avete preso iniziative. Indicarli nel DPS può essere prova della vostra “Diligenza” (v. art 15)
Misure in essere e da adottare (regola 19.4)
• Indicate, a fronte degli eventi considerati, le misure di sicurezza prese o che intendete prendere.
ed, in conclusione :
• Avete raccolto sistematicamente tutte le informazioni necessariealla compilazione del DPS e per gli altri adempimenti (incarichi, ecc)
• Potete :
– Dimostrarne laqualità
– Procedere negli anni successivi a semplici aggiornamenti – Applicabile ad altri contesti di conformità (231, ecc.)
– Utilizzarli per procedure automatizzateper i vari adempimenti
• … avete anche un quadro completo di quali risorseinterne ed esterne utilizzate, per quali processi / pratichee di quali rischi correte(check-up della situazione aziendale)
• Potete predisporre un calendario per la formazione
Vediamo, un esempio pratico
… avete anche, e soprattutto, investito in sicurezza !
Grazie per l’attenzione !
D.Lgs. n. 196/03
Codice in materia di protezione dei dati personali
Il caso pratico
Relatore: Dott. Stefano Sardi
Documento Programmatico per la Sicurezza
• Capitoli:
– Elenco dei trattamenti di dati personali (regola 19.1)
– Distribuzione dei compiti e delle responsabilità (regola 19.2) – Analisi dei rischi che incombono sui dati (regola 19.3) – Misure in essere e da adottare (regola 19.4)
– Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)
– Pianificazione degli interventi formativi previsti (regola 19.6) – Trattamenti affidati all’esterno (regola 19.7)
– Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
Dati personali
TRATTAM ENTO Inc aric ato
Inc aric ato Inc aric atoInc aric ato Inc aric atoInc aric ato Inc aric atoInc aric ato
L’AziendaIl Titolare L’AziendaIl Titolare
Re spo nsabile Este rno
Re spo nsabile Este rno Re spo nsabile Inte rnoRe spo nsabile Inte rno
Piattaforme
Amm. di Siste ma inte rno Amm. di Siste ma inte rno Amm. di Siste ma e ste rno Amm. di Siste ma e ste rno Interessati
Da dove partire?
Individuazione dei trattamenti
Processi - Trattamenti
Processi Sottoprocessi
Trattamento Strutture di riferi-
mento / responsabili Banca di dati - (C) cartacei - (I) informa-
tizzati
Natura dei
dati Strumenti utilizzati / Dispositivi d'acces- so/Interconnessione
Ubicazione
Finalità interne esterne P S G
P1 - Predispo- sizione dichia- razioni fiscali
P1.1 - Modello 730
Acquisizione e In- serimento dati
Dott. Commer- cialista Mario
Rossi Dott.
Bianchi Modelli CUD
(C) X X Archivio 1 Ufficio A
Fatture (C) X Archivio 2 Ufficio A
Ricevute (C) X Archivio 4 Ufficio A
Contratto (C) X Archivio 3 Ufficio A
Modelli 730 (C) X Archivio 1 Ufficio A
Modelli CUD (I) X X
Server 1 Ufficio X Applicativo XY Ufficio X
Modelli 730 (I) X
Server 1 Ufficio X Applicativo XY Ufficio X
Invio telematico all'Amministrazione
Finanziaria
Dott. Commer- cialista Mario
Rossi
Modelli 730 (I) X X
Server 1 Ufficio X Applicativo XY Ufficio X
Archiviazione mo- delli
Dott. Commer- cialista Mario
Rossi
Modelli 730 (C) X Archivio 1 Ufficio A
Modelli 730 (I) X
Server 1 Ufficio X Applicativo XY Ufficio X
Documento Programmatico per la Sicurezza
• Capitoli:
– Elenco dei trattamenti di dati personali (regola 19.1)
– Distribuzione dei compiti e delle responsabilità (regola 19.2) – Analisi dei rischi che incombono sui dati (regola 19.3) – Misure in essere e da adottare (regola 19.4)
– Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)
– Pianificazione degli interventi formativi previsti (regola 19.6) – Trattamenti affidati all’esterno (regola 19.7)
– Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
Dati personali
TRATTAM ENTO Inc aric ato
Inc aric ato Inc aric atoInc aric ato Inc aric atoInc aric ato Inc aric atoInc aric ato
L’Azienda Il Titolare L’Azienda Il Titolare
Re spo nsabile Este rno
Re spo nsabile Este rno Re spo nsabile Inte rnoRe spo nsabile Inte rno
Piattaforme
Amm. di Siste ma inte rno Amm. di Siste ma inte rno Amm. di Siste ma e ste rno Amm. di Siste ma e ste rno Interessati
Tipo Evento Descrizione Probabilità dell'evento
Gravità delle conseguenze
Rischio (da 1 a 9) intrinseco attuale pianificato
Comportamenti degli operatori
Carenza di consapevo- lezza, disattenzione o incuria
La mancata preparazione e defini- zione di ruoli e responsabilità può avere conseguenze sulla corretta gestione dei dati e sistemi.
medio alto 6 2 2
Comportamenti sleali o fraudolenti
La mancanza di strumenti di con- trollo e di adeguate misure sanzio- natorie può avere conseguenze sul- la corretta gestione dei dati e si- stemi
medio alto 6 3 1
Errore materiale
La mancata preparazione e di si- stemi di protezione può avere con- seguenze sulla corretta gestione dei dati e sistemi
basso basso 1 1 1
Furto di credenziali di autenticazione
Il furto di credenziali consente comportamenti scorretti o fraudo- lenti attribuendone la responsabilità ad altri
medio alto 6 5 5
Modifica deliberata e non autorizzata di dati residenti su archivi in- formatici
Questa minaccia riguarda l'abuso delle autorizzazioni rilasciate per modificare impropriamente dati cri- tici (anche per la sicurezza).
basso alto 3 1 1
Social Engineering
Un esterno carpisce informazioni dal personale su come penetrare nel sistema, su come usare il si- stema, sulla sua architettura, sui processi che esegue.
basso alto 3 2 2
Analisi del rischio
CONSEGUENZE bassa
alta
lievi gravi
PROBABILITA’
Riduco
media
sensibili
Evito
Accetto Trasferisco