ALLEGATO B
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalita' tecniche da adottare a cura del titolare, del responsabile
ove designato e dell'incaricato, in caso di trattamento con
strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici e'
consentito agli incaricati dotati di credenziali di autenticazione
che consentano il superamento di una procedura di autenticazione
relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un dispositivo
di autenticazione in possesso e uso esclusivo dell'incaricato,
eventualmente associato a un codice identificativo o a una parola
chiave, oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una parola
chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente
una o piu' credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati e' prescritto di
adottare le necessarie cautele per assicurare la segretezza della
componente riservata della credenziale e la diligente custodia dei
dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando e' prevista dal sistema di
autenticazione, e' composta da almeno otto caratteri oppure, nel caso
in cui lo strumento elettronico non lo permetta, da un numero di
caratteri pari al massimo consentito; essa non contiene riferimenti
agevolmente riconducibili all'incaricato ed e' modificata da
quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei
mesi. In caso di trattamento di dati sensibili e di dati giudiziari
la parola chiave e' modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non puo'
essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei
mesi sono disattivate, salvo quelle preventivamente autorizzate per
soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della
qualita' che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante una
sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici e'
consentito esclusivamente mediante uso della componente riservata
della credenziale per l'autenticazione, sono impartite idonee e
preventive disposizioni scritte volte a individuare chiaramente le
modalita' con le quali il titolare puo' assicurare la disponibilita'
di dati o strumenti elettronici in caso di prolungata assenza o
impedimento dell'incaricato che renda indispensabile e indifferibile
intervenire per esclusive necessita' di operativita' e di sicurezza
del sistema. In tal caso la custodia delle copie delle credenziali e'
organizzata garantendo la relativa segretezza e individuando
preventivamente per iscritto i soggetti incaricati della loro
custodia, i quali devono informare tempestivamente l'incaricato
dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai
precedenti punti e quelle sul sistema di autorizzazione non si
applicano ai trattamenti dei dati personali destinati alla
diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di
autorizzazione di ambito diverso e' utilizzato un sistema di
autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per
classi omogenee di incaricati, sono individuati e configurati
anteriormente all'inizio del trattamento, in modo da limitare
l'accesso ai soli dati necessari per effettuare le operazioni di
trattamento.
14. Periodicamente, e comunque almeno annualmente, e' verificata la
sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno
annuale dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici, la lista degli incaricati puo' essere redatta
anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione
e dell'azione di programmi di cui all'art. 615-quinquies del codice
penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti
a prevenire la vulnerabilita' di strumenti elettronici e a
correggerne difetti sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno
semestrale.
18. Sono impartite istruzioni organizzative e tecniche che
prevedono il salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento
di dati sensibili o di dati giudiziari redige anche attraverso il
responsabile, se designato, un documento programmatico sulla
sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilita'
nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrita' e la
disponibilita' dei dati, nonche' la protezione delle aree e dei
locali, rilevanti ai fini della loro custodia e accessibilita'; 19.5.
la descrizione dei criteri e delle modalita' per il ripristino della
disponibilita' dei dati in seguito a distruzione o danneggiamento di
cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono sui dati,
delle misure disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali piu' rilevanti
in rapporto alle relative attivita', delle responsabilita' che ne
derivano e delle modalita' per aggiornarsi sulle misure minime
adottate dal titolare. La formazione e' programmata gia' al momento
dell'ingresso in servizio, nonche' in occasione di cambiamenti di
mansioni, o di introduzione di nuovi significativi strumenti,
rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire
l'adozione delle misure minime di sicurezza in caso di trattamenti di
dati personali affidati, in conformita' al codice, all'esterno della
struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e
la vita sessuale di cui al punto 24, l'individuazione dei criteri da
adottare per la cifratura o per la separazione di tali dati dagli
altri dati personali dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili o
giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso
abusivo, di cui all'art. 615-ter del codice penale, mediante
l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la
custodia e l'uso dei supporti rimovibili su cui sono memorizzati i
dati al fine di evitare accessi non autorizzati e trattamenti non
consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se
non utilizzati sono distrutti o resi inutilizzabili, ovvero possono
essere riutilizzati da altri incaricati, non autorizzati al
trattamento degli stessi dati, se le informazioni precedentemente in
essi contenute non sono intelligibili e tecnicamente in alcun modo
ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o degli
strumenti elettronici, in tempi certi compatibili con i diritti degli
interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei a rivelare lo stato di
salute e la vita sessuale contenuti in elenchi, registri o banche di
dati con le modalita' di cui all'articolo 22, comma 6, del codice,
anche al fine di consentire il trattamento disgiunto dei medesimi
dati dagli altri dati personali che permettono di identificare
direttamente gli interessati. I dati relativi all'identita' genetica
sono trattati esclusivamente all'interno di locali protetti
accessibili ai soli incaricati dei trattamenti ed ai soggetti
specificatamente autorizzati ad accedervi; il trasporto dei dati
all'esterno dei locali riservati al loro trattamento deve avvenire in
contenitori muniti di serratura o dispositivi equipollenti; il
trasferimento dei dati in formato elettronico e' cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi
di soggetti esterni alla propria struttura, per provvedere alla
esecuzione riceve dall'installatore una descrizione scritta
dell'intervento effettuato che ne attesta la conformita' alle
disposizioni del presente disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del
bilancio d'esercizio, se dovuta, dell'avvenuta redazione o
aggiornamento del documento programmatico sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalita' tecniche da adottare a cura del titolare, del responsabile,
ove designato, e dell'incaricato, in caso di trattamento con
strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate
al controllo ed alla custodia, per l'intero ciclo necessario allo
svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali. Nell'ambito dell'aggiornamento
periodico con cadenza almeno annuale dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati, la lista degli
incaricati puo' essere redatta anche per classi omogenee di incarico
e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali
sensibili o giudiziari sono affidati agli incaricati del trattamento
per lo svolgimento dei relativi compiti, i medesimi atti e documenti
sono controllati e custoditi dagli incaricati fino alla restituzione
in maniera che ad essi non accedano persone prive di autorizzazione,
e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari
e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario
di chiusura, sono identificate e registrate. Quando gli archivi non
sono dotati di strumenti elettronici per il controllo degli accessi o
di incaricati della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.