ALLEGATO
B
DISCIPLINARE TECNICO
IN MATERIA DI MISURE MINIME
DI SICUREZZA
(Artt.
da 33 a 36 del codice)
Modalità tecniche da
adottare a cura del titolare, del responsabile ove designato e dell’incaricato,
in caso di trattamento con strumenti elettronici:
Sistema di autenticazione
informatica
1.
Il trattamento di dati
personali con strumenti elettronici è consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento di una procedura di
autenticazione relativa a uno specifico trattamento o a un insieme di
trattamenti.
2.
Le credenziali di
autenticazione consistono in un codice per l’identificazione dell’incaricato
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure
in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato,
eventualmente associato a un codice identificativo o a una parola chiave, oppure
in una caratteristica biometrica dell’incaricato, eventualmente associata a un
codice identificativo o a una parola chiave.
3.
Ad ogni incaricato sono
assegnate o associate individualmente una o più credenziali per
l’autenticazione.
4.
Con le istruzioni impartite
agli incaricati è prescritto di adottare le necessarie cautele per assicurare la
segretezza della componente riservata della credenziale e la diligente custodia
dei dispositivi in possesso ed uso esclusivo dell’incaricato.
5.
La parola chiave, quando è
prevista dal sistema di autenticazione, è composta da almeno otto caratteri
oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero
di caratteri pari al massimo consentito; essa non contiene riferimenti
agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al
primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento
di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni
tre mesi.
6.
Il codice per
l’identificazione, laddove utilizzato, non può essere assegnato ad altri
incaricati, neppure in tempi diversi.
7.
Le credenziali di
autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione
tecnica.
8.
Le credenziali sono
disattivate anche in caso di perdita della qualità che consente all’incaricato
l’accesso ai dati personali.
9.
Sono impartite istruzioni
agli incaricati per non lasciare incustodito e accessibile lo strumento
elettronico durante una sessione di trattamento.
10. Quando l’accesso ai dati e
agli strumenti elettronici è consentito esclusivamente mediante uso della
componente riservata della credenziale per l’autenticazione, sono impartite
idonee e preventive disposizioni scritte volte a individuare chiaramente le
modalità con le quali il titolare può assicurare la disponibilità di dati o
strumenti elettronici in caso di prolungata assenza o impedimento
dell’incaricato che renda indispensabile e indifferibile intervenire per
esclusive necessità di operatività e di sicurezza del sistema. In tal
caso la custodia delle copie delle credenziali è organizzata garantendo la
relativa segretezza e individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare tempestivamente
l’incaricato dell’intervento effettuato.
11.
Le disposizioni sul sistema
di autenticazione di cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati personali destinati alla
diffusione.
Sistema di
autorizzazione
12.
Quando per gli incaricati
sono individuati profili di autorizzazione di ambito diverso è utilizzato un
sistema di autorizzazione.
13.
I profili di autorizzazione,
per ciascun incaricato o per classi omogenee di incaricati, sono individuati e
configurati anteriormente all’inizio del trattamento, in modo da limitare
l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14.
Periodicamente, e comunque
almeno annualmente, è verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
15.
Nell’ambito
dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione
dell’ambito del trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici, la lista degli
incaricati può essere redatta anche per classi omogenee di incarico e dei
relativi profili di autorizzazione.
16.
I dati personali sono
protetti contro il rischio di intrusione e
dell’azione di programmi di cui all’art. 615-quinquies del codice penale,
mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza
almeno semestrale.
17.
Gli aggiornamenti periodici
dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti
elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso
di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno
semestrale.
18.
Sono impartite istruzioni
organizzative e tecniche che prevedono il salvataggio dei dati con frequenza
almeno settimanale.
Documento programmatico
sulla sicurezza
19.
Entro il 31 marzo di ogni
anno, il titolare di un trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni
riguardo:
19.1. l’elenco dei trattamenti di
dati personali;
19.2. la distribuzione dei compiti
e delle responsabilità nell’ambito delle strutture preposte al trattamento dei
dati;
19.3. l’analisi dei rischi che
incombono sui dati;
19.4. le misure da adottare per
garantire l’integrità e la disponibilità dei dati, nonché la protezione delle
aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e
delle modalità per il ripristino della disponibilità dei dati in seguito a
distruzione o danneggiamento di cui al successivo punto
23;
19.6. la previsione di interventi
formativi degli incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei
profili della disciplina sulla protezione dei dati personali più rilevanti in
rapporto alle relative attività, delle responsabilità che ne derivano e delle
modalità per aggiornarsi sulle misure minime adottate dal titolare. La
formazione è programmata già al momento dell’ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi
strumenti, rilevanti rispetto al trattamento di dati
personali;
19.7. la descrizione dei criteri
da adottare per garantire l’adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al codice, all’esterno
della struttura del titolare;
19.8. per i dati personali idonei
a rivelare lo stato di salute e la vita sessuale di cui al punto 24,
l’individuazione dei criteri da adottare per la cifratura o per la separazione
di tali dati dagli altri dati personali dell’interessato.
Ulteriori misure in caso di
trattamento di dati sensibili o giudiziari
20. I dati sensibili o
giudiziari sono protetti contro l’accesso abusivo, di cui all’ art.
615-ter del codice penale, mediante l’utilizzo di idonei strumenti
elettronici.
21.
Sono impartite istruzioni
organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui
sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti
non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari
se non utilizzati sono distrutti o resi
inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non
autorizzati al trattamento degli stessi dati, se le informazioni precedentemente
in essi contenute non sono intelligibili e tecnicamente in alcun modo
ricostruibili.
23. Sono adottate
idonee misure per garantire il ripristino dell’accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti elettronici, in tempi
certi
compatibili con i diritti degli interessati e non
superiori a sette giorni.
24. Gli organismi sanitari e gli
esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a
rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o
banche di dati con le modalità di cui all’articolo 22, comma 6, del codice,
anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli
altri dati personali che permettono di identificare direttamente gli
interessati. I dati relativi all’identità genetica sono trattati esclusivamente all’interno di locali
protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti
specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei
locali riservati al loro trattamento deve avvenire in contenitori muniti di
serratura o dispositivi equipollenti; il trasferimento dei dati in formato
elettronico è cifrato.
Misure
di tutela e garanzia
25. Il
titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni
alla propria struttura, per provvedere alla esecuzione riceve dall’installatore
una descrizione scritta dell’intervento effettuato che ne attesta la conformità
alle disposizioni del presente disciplinare tecnico.
26. Il
titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se
dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico
sulla sicurezza.
Modalità
tecniche da adottare a cura del titolare, del responsabile, ove designato, e
dell’incaricato, in caso di trattamento con strumenti diversi da quelli
elettronici:
27. Agli incaricati sono
impartite istruzioni scritte finalizzate al controllo ed alla custodia, per
l’intero ciclo necessario allo svolgimento delle operazioni di trattamento,
degli atti e dei documenti contenenti dati personali. Nell’ambito
dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione
dell’ambito del trattamento consentito ai singoli incaricati, la lista degli
incaricati può essere redatta anche per classi omogenee di incarico e dei
relativi profili di autorizzazione.
28. Quando
gli atti e i documenti contenenti dati personali sensibili o giudiziari sono
affidati agli incaricati del trattamento per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e custoditi dagli
incaricati fino alla restituzione in maniera che ad essi non accedano persone
prive di autorizzazione, e sono restituiti al termine delle operazioni
affidate.
29. L’accesso
agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e
registrate. Quando gli archivi non sono dotati di strumenti elettronici per il
controllo degli accessi o di incaricati della vigilanza, le persone che vi
accedono sono preventivamente autorizzate.
ALLEGATO
C)
TRATTAMENTI
NON OCCASIONALI EFFETTUATI
(Artt.
46 e 53 del codice)