Codice in materia di protezione dei dati personali
(D.L.vo n. 196 - 27 Giugno 2003)
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalità
tecniche da adottare a cura del titolare, del responsabile ove designato
e dell'incaricato, in caso di trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1.
Il trattamento di dati personali con strumenti elettronici è consentito agli
incaricati dotati di credenziali di autenticazione che consentano il superamento
di una procedura di autenticazione relativa a uno specifico trattamento o
a un insieme di trattamenti.
2.
Le credenziali di autenticazione consistono in un codice per l'identificazione
dell'incaricato associato a una parola chiave riservata conosciuta solamente
dal medesimo oppure in un dispositivo di autenticazione in possesso e uso
esclusivo dell'incaricato, eventualmente associato a un codice identificativo
o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una parola chiave.
3.
Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4.
Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie
cautele per assicurare la segretezza della componente riservata della credenziale
e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5.
La parola chiave, quando è prevista dal sistema di autenticazione, è composta
da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico
non lo permetta, da un numero di caratteri pari al massimo consentito; essa
non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata
da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi.
In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave
è modificata almeno ogni tre mesi.
6.
Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7.
Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate,
salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8.
Le credenziali sono disattivate anche in caso di perdita della qualità che
consente all'incaricato l'accesso ai dati personali.
9.
Sono impartite istruzioni agli incaricati per non lasciare incustodito e
accessibile lo strumento elettronico durante una sessione di trattamento.
10.
Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente
mediante uso della componente riservata della credenziale per l'autenticazione,
sono impartite idonee e preventive disposizioni scritte volte a individuare
chiaramente le modalità con le quali il titolare può assicurare la disponibilità
di dati o strumenti elettronici in caso di prolungata assenza o impedimento
dell'incaricato che renda indispensabile e indifferibile intervenire per
esclusive necessità di operatività e di sicurezza del sistema. In tal caso
la custodia delle copie delle credenziali è organizzata garantendo la relativa
segretezza e individuando preventivamente per iscritto i soggetti incaricati
della loro custodia, i quali devono informare tempestivamente l'incaricato
dell'intervento effettuato.
11.
Le disposizioni sul sistema di autenticazione di cui ai precedenti punti
e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei
dati personali destinati alla diffusione.
Sistema di autorizzazione
12.
Quando per gli incaricati sono individuati profili di autorizzazione di ambito
diverso è utilizzato un sistema di autorizzazione.
13.
I profili di autorizzazione, per ciascun incaricato o per classi omogenee
di incaricati, sono individuati e configurati anteriormente all'inizio del
trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare
le operazioni di trattamento.
14.
Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15.
Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici, la lista degli
incaricati può essere redatta anche per classi omogenee di incarico e dei
relativi profili di autorizzazione.
16.
I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
17.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire
la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati
almeno annualmente. In caso di trattamento di dati sensibili o giudiziari
l'aggiornamento è almeno semestrale.
18.
Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
19.
Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili
o di dati giudiziari redige anche attraverso il responsabile, se designato,
un documento programmatico sulla sicurezza contenente idonee informazioni
riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4.
le misure da adottare per garantire l'integrità e la disponibilità dei dati,
nonché la protezione delle aree e dei locali, rilevanti ai fini della loro
custodia e accessibilità;
19.5.
la descrizione dei criteri e delle modalità per il ripristino della disponibilità
dei dati in seguito a distruzione o danneggiamento di cui al successivo punto
23;
19.6.
la previsione di interventi formativi degli incaricati del trattamento, per
renderli edotti dei rischi che incombono sui dati, delle misure disponibili
per prevenire eventi dannosi, dei profili della disciplina sulla protezione
dei dati personali più rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure
minime adottate dal titolare. La formazione è programmata già al momento
dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni,
o di introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali;
19.7.
la descrizione dei criteri da adottare per garantire l'adozione delle misure
minime di sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all'esterno della struttura del titolare;
19.8.
per i dati personali idonei a rivelare lo stato di salute e la vita sessuale
di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura
o per la separazione di tali dati dagli altri dati personali dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20.
I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all' art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.
21.
Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso
dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare
accessi non autorizzati e trattamenti non consentiti.
22.
I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati
sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati
da altri incaricati, non autorizzati al trattamento degli stessi dati, se
le informazioni precedentemente in essi contenute non sono intelligibili
e tecnicamente in alcun modo ricostruibili.
23.
Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati
in caso di danneggiamento degli stessi o degli strumenti elettronici, in
tempi certi compatibili con i diritti degli interessati e non superiori a
sette giorni.
24.
Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano
il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo
22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto
dei medesimi dati dagli altri dati personali che permettono di identificare
direttamente gli interessati. I dati relativi all'identità genetica sono
trattati esclusivamente all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad
accedervi; il trasporto dei dati all'esterno dei locali riservati al loro
trattamento deve avvenire in contenitori muniti di serratura o dispositivi
equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25.
Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti
esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore
una descrizione scritta dell'intervento effettuato che ne attesta la conformità
alle disposizioni del presente disciplinare tecnico.
26.
Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio,
se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico
sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalità
tecniche da adottare a cura del titolare, del responsabile, ove designato,
e dell'incaricato, in caso di trattamento con strumenti diversi da quelli
elettronici:
27.
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo
ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni
di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito
dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati, la lista degli
incaricati può essere redatta anche per classi omogenee di incarico e dei
relativi profili di autorizzazione.
28.
Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari
sono affidati agli incaricati del trattamento per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati
fino alla restituzione in maniera che ad essi non accedano persone prive
di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29.
L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato.
Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate
e registrate.
Quando
gli archivi non sono dotati di strumenti elettronici per il controllo degli
accessi o di incaricati della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.