Azioni

 

Misure minime e misure idonee

 

Che differenza c’e’ fra le misure minime di sicurezza e le misure idonee e preventive di sicurezza?

 

Misure minime di sicurezza (art. 33)

 

Vanno comunque e sempre adottate, sono specificate nell'allegato B e la mancata adozione e' sanzionata con l'arresto sino a 2 anni o l'ammenda dai 10.000 ai 50.000 euro (art. 169).

 

Sono differenti a seconda se i dati sono trattati con o senza strumenti elettronici:

  1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

    1. aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

    2. previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

    3. previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

  2. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

    1. autentificazione informatica;
      (l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità)
      E’ indispensabile avere procedure informatiche per il trattamento dei dati che consentano l’accesso agli stessi solo ed esclusivamente tramite autenticazione informatica (Utente e Password).

    2. adozione di procedure di gestione delle credenziali di autenticazione;
      (i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica).
      Sostanzialmente una procedura di gestione degli Utenti e delle Password ad esempio:

      1. Non è possibile utilizzare più di una volta la medesima password neanche per utenti diversi e neanche in tempi diversi.

      2. La password non può essere più corta di 8 caratteri.

      3. La password non può contenere caratteri non alfanumerici.

    3. utilizzazione di un sistema di autorizzazione
      (L’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente)
      Trattasi dell’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti.
      Ad esempio per ogni utente si può stabilire un diverso profilo d’autorizzazione consentendo quindi di determinare per ogni archivio:

      1. Il diritto di lettura

      2. Il diritto di variazione

      3. Il diritto di inserimento

      4. Il diritto di cancellazione

    4. aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici.
      (Gestione delle scadenze)
      Dovrebbe essere possibile stabilire ad esempio:

      1. L’obbligo di  modifica della password al primo accesso alle procedure.

      2. verifica della durata massima di un codice di accesso in giorni.

      3. ecc. ecc.

    5. protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici.
      (soluzioni di protezione hardware e software)
      Sono ad esempio:

      1. Firewall (sistemi di protezione da intrusioni nella rete).

      2. Protezioni software per impedire l’accesso al database da programmi esterni.

      3. Sistemi anti-virus.

    6. adozione di procedure per la custodia delle copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. (Procedure Backup e Restore dei dati)

      1. Deve essere consentito di eseguire la copia su qualsiasi supporto (es. CD o DVD) in maniera completamente automatica, inserendosi come procedura automatica all’interno dello scadenzario gestito dal sistema operativo. Il responsabile delle copie deve poi prendere il supporto e custodirlo in un luogo sicuro.

      2. Deve essere previsto un ripristino in tempi brevissimi di una copia effettuata.

      3. I dati devono essere protetti da password e criptati in maniera che nessuno, venendo in possesso della copia, possa utilizzarla per scopi non leciti.

    7. tenuta di un aggiornato Documento Programmatico sulla Sicurezza.
      (DPS)
      È il documento redatto dal Responsabile o dal Titolare del trattamento dei dati che deve contenere tutte le informazioni riguardo a ciò che il titolare ha posto in essere per evitare i rischi che incombono sui dati personali, le tutele adottate nella conservazione degli archivi, e le misure assunte contro l’accesso abusivo ai dati da parte di persone non autorizzate.
      Deve contenere informazioni “idonee” tra le quali:

      1. L’elenco dei trattamenti di dati personali.

      2. La distribuzione di compiti e responsabilità.

      3. L’analisi dei rischi.

      4. Le misure adottate per garantire l’integrità e la disponibilità dei dati.

      5. La descrizione dei criteri per il salvataggio e il ripristino dei dati.

      6. I criteri in caso di trattamenti di dati personali affidati a terzi.

      7. I criteri da adottare per la cifratura o per la separazione da altri dati dei dati sensibili.

Misure idonee e preventive (art. 31) 

 

Sono un obbligo più generale, vale a dire che oltre le misure minime di sicurezza vanno adottate anche le misure idonee e preventive per custodire e controllare i dati in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, d’accesso n  on autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.