COMUNITÀ MONTANA VALTELLINA DI SONDRIO Via Nazario Sauro, Sondrio (SO)

(1)

COMUNITÀ MONTANA VALTELLINA DI SONDRIO Via Nazario Sauro, 33 – 23100 Sondrio (SO)

Telefono: +39 0342 210331 210332 – Fax: +39 0342 210334 http://www.cmsondrio.gov.it – E-mail: info@cmsondrio.gov.it

P.E.C.: protocollo.cm.sondrio@pec.regione.lombardia.it

Codice in materia di trattamento dei dati personali Misure minime di sicurezza attuate

DOCUMENTO DI SINTESI

(art. 34 e Allegato B, del D.lgs. 30 giugno 2003 n. 196)

COMUNITÀ MONTANA VALTELLINA DI SONDRIO Via Nazario Sauro, 33 – 23100 Sondrio (SO)

(2)

Codice in materia di trattamento dei dati personali Misure minime di sicurezza attuate

DOCUMENTO DI SINTESI

(art. 34 e Allegato B, del D.lgs. 30 giugno 2003 n. 196)

(3)

Revisione

Rev Data Descrizione

1 31/10/2004 Prima Stesura 2 31/03/2005 Seconda Stesura 3 20/03/2006 Terza Stesura 4 31/03/2007 Quarta Stesura 5 31/03/2008 Quinta Stesura 6 31/03/2009 Sesta Stesura 7 06/07/2010 Settima Stesura 8 18/01/2011 Ottava Stesura 9 27/03/2012 Nona Stesura 10 22/11/2013 Decima Stesura 11 17/10/2014 Undicesima Stesura

(4)

Premessa

Il Decreto Legislativo 30 giugno 2003, n. 196, intitolato “Codice in materia di protezione dei dati personali”, entrato in vigore il 1° gennaio 2004, riunisce in unico contesto la precedente Legge 675/1996 e tutti i decreti legislativi, regolamenti e codici deontologici che si sono succeduti dal 2003. Contiene anche importanti innovazioni che tengono conto della

“giurisprudenza” del Garante e della direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche.

Il Decreto Legge 06/12/2011 n. 201, in G.U. 06/12/2011 N. 284 “Disposizioni urgenti per la crescita, l’equità ed il consolidamento dei conti pubblici”, ha introdotto alcune modifiche al Codice Privacy, che prevedono tra l’altro la non obbligatorietà della stesura del DPS ed è rivolta esclusivamente a quei soggetti, sia pubblici sia privati, che utilizzano dati personali non sensibili per fini amministrativi e fiscali e che trattano come unici dati sensibili quelli relativi allo stato di salute o all’adesione ad organizzazioni sindacali nella gestione del personale.

È pertanto venuta meno solo una delle incombenze previste dall’art. 34 del D.lgs. 196/2003

“Trattamenti con strumenti elettronici”, che resta integralmente applicabile in quanto il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi

(5)

È stata pertanto effettuata, in collaborazione con Tecna S.r.l., una attività di audit sulle prescrizioni di legge e predisposta e redatta la presente documentazione di sintesi, che attesta e comprova l’adozione puntuale delle misure di cui all’art. 34 ed all’Allegato B

“disciplinare tecnico in materia di misure di sicurezza”, onde evitare le sanzioni penali ed amministrative per chi non le rispetta.

Riferimenti normativi

NC 1. Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei Dati Personali”;

NC 2. Decreto Legge 9 febbraio 2012, n. 5 “Disposizioni Urgenti in materia di semplificazione e di sviluppo”;

NC 3. Disciplinare tecnico in materia delle misure minime di sicurezza (Allegato B del D.l gs. n. 196 del 30/06/2003);

NC 4. Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati;

NC 5. Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.

NC 6. Decreto Legislativo n. 518 del 29 dicembre 1992 (Tutela del diritto di autore sul software)

NC 7. Legge n. 547 del 23 dicembre 1993 (Reati legati all’informatica – modifiche al Codice Penale)

NC 8. ISO/IEC 27001, l'unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un sistema di gestione per la sicurezza delle informazioni (ISMS). La norma è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati.

(6)

NC 9. DigitPA:

- Codice dell’Amministrazione Digitale: Decreto legislativo 7 marzo 2005, n.

82 pubblicato in G.U. del 16 maggio 2005, n. 112 - S.O. n. 93 “Codice dell’amministrazione digitale” aggiornato dal D.lgs. n. 159 del 4 aprile 2006 pubblicato in G.U. del 29 aprile 2006, n. 99 – S.O. n. 105

“Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82 recante codice dell’amministrazione digitale”

- Legge 9 gennaio 2004, n. 4 “Disposizioni per favorire l'accesso dei soggetti disabili agli strumenti informatici”

- Circolare 1° dicembre 2011, n. 58 Attività di DigitPA e delle Amministrazioni ai fini dell’attuazione degli adempimenti previsti dall’articolo 50 - bis (Continuità Operativa) del «Codice dell’Amministrazione Digitale» (D.lgs. n. 82/2005 così come modificato dal D.lgs. 235/2010).

(7)

Codice in materia di protezione dei dati personali Titolo III - Regole generali per il trattamento dei dati

N. Titolo Misure Adottate

Conforme Non Conforme

Art 13

Informativa

L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.

La Comunità Montana ha provveduto a realizzare una Informativa Generale, contenente:

a) le finalità e le modalità per cui si utilizzano i dati che riguardano l'interessato;

b) la natura del conferimento;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti ai quali i dati possono essere comunicati ed i flusso dei dati all'interno del trattamento;

e) i diritti dell’interessato in riferimento a tali informazioni e come esercitarli;

f) gli estremi identificativi del Titolare e del Responsabile.

Copia dell’Informativa Generale è esposta all’Albo.

(cfr Allegato Generale “Informativa Generale”)



(8)

Codice in materia di protezione dei dati personali

TITOLO IV - SOGGETTI CHE EFFETTUANO IL TRATTAMENTO

Art 28

Titolare del trattamento - Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.

Comunità Montana Valtellina di Sondrio – Tiziano Maffezzini (Presidente).



Art 29

Responsabile del trattamento 1. Il responsabile è designato dal

titolare facoltativamente.

2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.

Sono stati designati quali Responsabili del trattamento:

- Elena Castellini (Area Amministrativa);

- Antonella Corlatti (Area Economico – Finanziaria);

- Cinzia Leusciatti (Area Agricoltura);

- Paolo Ferrari (Area Tecnica).

(cfr Allegato Generale “Lettera di incarico Responsabile trattamento dati”)



(9)

Art 30

Incaricati del trattamento

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.

Sono stati designati quali Incaricati del trattamento i dipendenti come da allegato “Prospetto Database per Referenti”.

(cfr Allegato Generale “Lettera di incarico trattamento dati”).



Amministratore di Sistema

Con la definizione di

"Amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

È stato designato quale Amministratore di Sistema il signor Pier Paolo Branchi.

(cfr Allegato Generale “Lettera di incarico Amministratore di Sistema”).



(10)

Responsabili Esterni

L’espressione “Responsabile Esterno”, non è esplicitamente prevista nel Codice Privacy, ma deriva dall’interpretazione dottrinale degli articoli 4 comma 1 punto g e 29 del D.lgs. 196/03.

Tali articoli, infatti, delineano la figura del “Responsabile del Trattamento” non facendo menzione alcuna al fatto che esso sia interno (Responsabile Interno) o esterno (Responsabile Esterno) all’Ente. La distinzione nasce pertanto da un’esigenza puramente organizzativa e di inquadramento contrattuale di tutti quei soggetti preposti dal titolare al trattamento di dati personali.

Sono stati designati:

Medico Competente: Dottor Alfredo Leoni – Via Nani, 40/b – 23100 Sondrio (SO).

Sicurezza Luoghi di Lavoro: Tecna S.r.l. – Piazza Campello, 3 – 23100 Sondrio (SO).

R.S.P.P.: Gianluca Pini - Tecna S.r.l. – Piazza

Campello, 3 – 23100 Sondrio (SO).

Revisore dei conti: Dott.ssa Marina Piasini – Via Cesura, 8–23100 Sondrio (SO).

Gestione Canile: Intrecci Società Cooperativa Sociale–

Strada della Tunda,8 – 23037 Tirano (SO).

Veterinario Canile: Dottoressa Paola Lenatti – Via V Alpini, 44 – 23023 Chiesa in Valmalenco (SO).

Gestione Telesoccorso: Centro 24 Ore Scs – Via San

Secondo, 3 – 10128 Torino (TO).



(11)

Guardie Ecologiche: Elenco

“Guardie Ecologiche”

[Allegati Generali].

Addetti Antincendio: Elenco

“Addetti Antincendio”

[Allegati Generali].

Assistenza Informatica: A.P.

SYSTEMS S.r.l. – Piazza Suor

Michelina, 2/3

– 20011

Corbetta (MI).

Portale Sovracomunale: Ing.

Maurizio Masci – Via Fiorenza, 1 – 23026

Ponte in

Valtellina (SO).

Impresa Pulizie: Cooperativa Verde – Via San

Colombano, 2

– 23010

Postalesio (SO).

(cfr Allegato Generale “Lettera di nomina Titolare/Responsabile Esterno”).

(12)

SISTEMA DI AUTENTICAZIONE INFORMATICA

N.

Codice in materia di protezione dei dati personali

B. Disciplinare tecnico in materia di misure minime di sicurezza

Misure Adottate

B

01 Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

L’accesso alle postazioni informatiche per il trattamento di dati personali è consentito solo agli incaricati del trattamento dotati di credenziali di autenticazione.

(cfr Allegato Generale “Regolamento dell’Ente per l’utilizzo degli strumenti informatici”)

È stato inoltre implementato Microsoft Active Directory, che centralizza la gestione dei profili degli utenti. Lo strumento permette la gestione della lista degli incaricati al trattamento dei dati in relazione al profilo di autorizzazione ed al conseguente ambito di trattamento consentito (cfr Allegato Generale “Il Codice in materia di trattamento dei dati personali e le ricadute sui sistemi informatici delle aziende e delle Pubbliche Amministrazioni” – Microsoft Novembre 2004).



B

02 Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

L’accesso alle postazioni informatiche è protetto da un codice identificativo associato ad una parola chiave riservata conosciuta solamente dall’incaricato del trattamento.

Il codice identificativo è composto secondo la seguente sintassi:

 Nome.Cognome (ad esempio:

Paolo.Ferrari –

Elena.Castellini).



B 03

Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.

A ciascun incaricato del trattamento è assegnata individualmente una credenziale per l’autenticazione.



B

04 Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in

Agli incaricati del trattamento dei dati vengono fornite informazioni ed istruzioni per assicurare la segretezza della parola chiave direttamente sulla lettera di incarico.



(13)

N.

Misure Adottate

B

05 La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

La parola chiave prevista dal sistema di autenticazione è composta da almeno otto caratteri alfanumerici.

Ciascun incaricato del trattamento può modificare la parola chiave in autonomia.

La parola chiave per l’accesso alla rete scade in automatico e deve essere modificata dall’utente ogni 90 giorni.



B

06 Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

Il codice per l’identificazione dell’incaricato per il trattamento è univoco e non viene assegnato ad altri incaricati, neppure in tempi diversi.



B

07 Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate a cura dell’Amministratore di Sistema.



B

08 Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.

Le credenziali di autenticazione sono disattivate anche in caso di perdita della qualità.



B

09 Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

Agli incaricati per il trattamento sono state impartite istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento direttamente sulla lettera di incarico “in caso di interruzione, anche temporanea, del lavoro verificare che i dati trattati non siano accessibili a terzi non autorizzati”.

Inoltre su tutte le postazioni è stato attivato lo screen-saver con protezione di password, temporizzato



(14)

N.

Misure Adottate

B

10 Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata

assenza o impedimento

dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

In caso prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, è dato incarico all’Amministratore di Sistema di resettare la password dell’incaricato in modo da potere avere accesso ai suoi archivi ai dati e agli strumenti elettronici della Comunità Montana.

Sarà cura dell’Amministratore di Sistema informare l'incaricato dell'intervento effettuato, affinché lo stesso possa nuovamente modificare la componente riservata della credenziale per l'autenticazione.



B 11

Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

I trattamenti di dati personali effettuati non sono destinati alla diffusione.



(15)

SISTEMA DI AUTORIZZAZIONE

N.

Misure Adottate

B

12 Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

Per gli incaricati del trattamento sono individuati profili di autorizzazione ed è utilizzato un sistema di autorizzazione.



B

13 I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento.

È stato pertanto predisposto il

“Prospetto database per referenti”, allegato al presente Documento di Sintesi.

Il Presidente ed il Segretario hanno possibilità di consultare tutte le banche dati della Comunità Montana; il Presidente in quanto Titolare del trattamento, il Segretario in quanto anche componente del nucleo di valutazione, della delegazione di parte pubblica nelle contrattazioni decentrate ed eventualmente in qualità di titolare dell'ufficio disciplinare.



B

14 Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

La sussistenza per la validazione delle condizioni per la conservazione dei profili di autorizzazione è verificata con cadenza annuale - contestualmente alla revisione del presente Documento di Sintesi – con la validazione del “Prospetto database per referenti”.



(16)

ALTRE MISURE DI SICUREZZA

N.

Misure Adottate

B

15 Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Con cadenza almeno annuale viene effettuata la revisione dei trattamenti e degli incarichi affidati ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici. La lista degli incaricati non viene redatta per classi omogenee di incarico.



B

16 I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615- quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

Le postazioni informatiche sono protette dall’attivazione del software AVG per la rilevazione dei virus informatici. L’aggiornamento delle definizioni dei virus avviene in automatico in modo tale che risulti costantemente aggiornato con le nuove caratteristiche di virus definiti. Gli incaricati del trattamento non hanno i necessari privilegi per disinstallare l’antivirus dalle loro stazioni di lavoro.

Le connessioni avvengono con linea ADSL WiFi EOLO dedicata che consente a tutti i computer connessi con la rete interna di accedere ad Internet. La presenza del Proxy/Firewall Kerio Control (su Virtual Appliance) impedisce l’accesso ai dati dall’esterno. La gestione del router e della rete è affidata all’Amministratore di Sistema.

Sono state create 3 VLAN per la garantire la sicurezza della trasmissione dei dati:

 Comunità Montana Valtellina di Sondrio;

 Consorzio Media Valtellina Trasporto Gas;

 Telecamere.

È inoltre presente una rete locale, gestita separatamente dalle VLAN



(17)

N.

Misure Adottate

B

17 Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

Il sistema informativo dell’Ente è composto da SAN, Server, PC, costituita da:

 n° 5 server fisici

1. IBM E-Server X-Series 226 (Microsoft Windows Server 2003 R2);

2. Gateway GR360F1 (VmWare VSphere – RAM 66GB – 2 HD da 146GB);

4. HP Proliant DL360G7 (VmWare VSphere – RAM 24GB – 4 HD da 450GB);

6. ACER AR 385 (VmWare VSphere – RAM 128GB – 2 HD da 300GB);

 n° 1 server fisico c/o Aruba S.P.A.;

 n° 1 SAN Hitachi Gateway (14 HD da 450 GB);

 n° 1 SAN HP MSA2040 (24 HD da 900 GB);

 n° 1 NAS/SAN QNAP (8 HD da 2 TB);

 circa 26 postazioni client dotate di sistema operativo Microsoft Windows 7 Professional;



(18)

N.

Misure Adottate

 Dati locali su server e su PC in LAN;

 Standard ETHERNET 1000 Mbit/s verso postazioni client.

Il server 1viene utilizzato per il backup su data cartridge.

I server 6 e 7 sono in cluster.

I server 2, 3, 4, 5, 6, 7, 8 ad oggi ospitano 40 macchine virtuali.

Gli aggiornamenti periodici dei sistemi avvengono automaticamente mediante il servizio di Microsoft denominato WSUS (Windows Server Update Services), che, su Active Directory, distribuisce in automatico su tutte le postazioni della rete gli aggiornamenti dei Sistemi e degli applicativi Microsoft.

La sala server è dotata di impianto antincendio a spegnimento automatico con gas inerte HFC 125.

Gli aggiornamenti sono verificati dall’Amministratore di Sistema con cadenza semestrale.

(19)

N.

Misure Adottate

B

18 Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Viene effettuato, a cura dell’Amministratore di Sistema, il salvataggio dei dati e delle configurazioni del server. Il backup viene così effettuato con l’ausilio di procedure automatizzate:

 Tutti i giorni alle ore 22.00 - salvataggio totale delle macchine virtuali su SAN QNAP da 16TB [14 HD da 450GB ciascuno]

(data retention 15 giorni + 1 settimanale x 8 settimane + 1 mensile x 6 mesi + 1 quadrimestrale + 1 annuale);

 Domenica - salvataggio totale delle macchine virtuali su NAS QNAP da 16TB c/o la Comunità Montana Valtellina di Tirano (data retention 15 giorni);

 Dal lunedì al venerdì alle ore 11.00 - salvataggio dei soli database e dei repository dei software su nastro; 1 set x 5 data cartridge Ultrium LTO/2 200-400 + 1 data cartridge Ultrium LTO/2 200-400 mensile in banca.

I log della corretta esecuzione dei salvataggi vengono visualizzati sulla

postazione informatica

dell’Amministratore di Sistema, che provvede periodicamente ad effettuare prove di ripristino dei dati.



B 19

Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza

Non applicabile in quanto emendato dal D.L. 06/12/2011 n. 201



(20)

ULTERIORI MISURE IN CASO DI TRATTAMENTO DI DATI SENSIBILI O GIUDIZIARI

N.

Misure Adottate

B

20 I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.

Le postazioni informatiche sono protette contro l’accesso abusivo dal sistema di autenticazione informatica.

È stato redatto ed approvato il 20/12/2005 l’Allegato Generale

“Regolamento per il Trattamento dei Dati Sensibili e Giudiziari”.

È stato inoltre redatto ed approvato il 05/04/2005 l’Allegato Generale

“Regolamento dell’Ente relativo all’utilizzo degli Strumenti Informatici”.



B 21

Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

Agli incaricati del trattamento dei dati vengono fornite informazioni ed istruzioni per la custodia dei supporti removibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti direttamente sulla lettera di incarico (“Evitare di asportare supporti informatici o cartacei contenenti dati personali provenienti dai database aziendali, senza espressa autorizzazione del Titolare”).



B

22 I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

In conformità a quanto disposto, i supporti magnetici contenenti dati personal sono riutilizzati previa cancellazione del contenuto.



(21)

N.

Misure Adottate

B

23 Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

La soluzione per il Disaster Recovery è focalizzata sulla salvaguardia del dato e sulla garanzia di poter ripristinare il supporto informatico in tempi certi non superiori ai sette giorni, disposizione prevista alla lettera f) dell'art. 34 e ripresa in dettaglio ai punti 18 e 23 del Disciplinare Tecnico, riguarda l'obbligatorietà di effettuare, almeno con frequenza settimanale, copie di backup dei dati contenuti nei propri sistemi informatici. La disponibilità dei dati in seguito a distruzione o danneggiamento è compito esclusivo dell’Amministratore di Sistema.



B

24 Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Non applicabile.

(22)

MISURE DI TUTELA E GARANZIA

N.

Misure Adottate

B

25 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico

La manutenzione ordinaria dei sistemi informatici è effettuata direttamente dall’Amministratore di Sistema.

Per tutti gli interventi tecnici straordinari effettuati da personale esterno alla struttura, sono stati redatti e conservati, a cura dell’Amministratore di Sistema, i report di intervento.

L’Amministratore di Sistema è sempre presente durante gli interventi effettuati da soggetti esterni.



B

26 Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza

Non applicabile in quanto emendato dal D.L. 06/12/2011 n. 201.



(23)

TRATTAMENTI SENZA L'AUSILIO DI STRUMENTI ELETTRONICI

Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:

N.

Misure Adottate

B

27 Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati

personali. Nell'ambito

dell'aggiornamento periodico con

cadenza almeno annuale

dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione

Agli incaricati del trattamento dei dati vengono fornite informazioni ed istruzioni per il controllo e la custodia dei documenti contenenti dati personali direttamente sulla lettera di incarico (“Custodire con cura, secondo le istruzioni contestualmente impartite, i documenti che Le vengono affidati”).



B

28 Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate

Gli atti e i documenti contenenti dati personali sensibili o giudiziari dei dipendenti sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti.

Tutti i documenti e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate.



B

29 L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

Agli incaricati del trattamento dei dati vengono fornite informazioni ed istruzioni per il controllo e la custodia dei documenti contenenti dati personali direttamente sulla lettera di incarico (“l'accesso ai dati è autorizzato limitatamente all'espletamento delle proprie mansioni ed esclusivamente negli orari di lavoro”).



(24)

ALTRI ADEMPIMENTI

Rif. Adempimento Misure Adottate

Conforme Non Conforme Non Applicabile

Codice in materia di protezione dei dati personali Art. 37.

Notificazione del trattamento. Si è provveduto ad inviare al Garante per la protezione dei dati personali la prima Notificazione del trattamento dei dati personali (numero di iscrizione al Registro dei trattamenti al numero 2010082400168555).



Codice in Autorizzazione del Ministero del 

materia di protezione dei dati

Lavoro e delle Politiche Sociali – Divisione Territoriale del personali Lavoro

Capo III Videosorve glianza Legge 20/05/70 n. 300 Art.

4.

D.Lgs. Attuazione della direttiva La Sede è dotata di cablaggio 

26/10/201

0 N. 198. 2008/63/CE relativa alla concorrenza sui mercati delle

Strutturato classificato come

“Categoria 5E”.

apparecchiature terminali di telecomunicazioni.

(25)

Rif. Adempimento Misure Adottate

Conforme Non Conforme Non Applicabile

Provvedim ento del Garante 27/11/200 8 doc. web n.

1577499

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008

In ottemperanza a quanto previsto dal Provvedimento del Garante per la Protezione dei dati personali del 27/11/2008, dovranno essere adottate misure ed accorgimenti prescritti ai titolari dei trattamenti con strumenti elettronici relativamente alle attribuzioni di Amministratore di Sistema.



Formazione Dovranno essere pianificate

attività di formazione sul

“Trattamento dei dati a seguito dell’entrata in vigore del Decreto Legislativo 30 giugno 2003, n. 196”. Per gli adempimenti successivi a tale decreto si dovranno prevedere interventi formativi degli incaricati al trattamento dei dati da predisporre al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.



Sito Web All’interno del sito web nella

pagina “Contatti”

(http://www.cmsondrio.it/cmso ndrio.html), in corrispondenza del form di acquisizione dati, è stata pubblicata l’informativa sul trattamento dei dati personali. Conformemente a quanto previsto dalle previsioni del D.lgs. 196/2003 è stata inoltre prevista una sezione per la Privacy Policy.



(26)

PER VERIFICA

PER APPROVAZIONE

Tiziano Maffezzini

Titolare del trattamento Firma

Paolo Ferrari

Responsabile del trattamento

Area Tecnica Firma

Elena Castellini

Responsabile del trattamento

Area Amministrativa Firma

Pier Paolo Branchi

Amministratore di Sistema Firma

Massimo Castelli

Tecna S.r.l. Firma