e-DPS.it - Il Documento Programmatico sulla Sicurezza On Demand di archebit spa
Login Password
[Password dimenticata?]
  Cos'è il DPS;Chi deve redigere il DPSCome si fa il DPSFrequently Asked QuestionsLink utili sulla PrivacyContattiContatti
 

Domande frequenti

Quale normativa regola oggi la tutela dei dati personali?
Il Codice di Tutela dei Dati Personali, emanato con DPR n. 196 del 30 Giugno 2003, ed entrato in vigore il 1 gennaio 2004. Il Codice riunisce in unico contesto (Testo Unico) la legge madre sulla protezione dei dati (675/1996) e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni che tengono conto della “giurisprudenza” del Garante e della direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche. e-DPS è sempre al passo con la piu' recente normativa.

Quali importanti innovazioni contiene il nuovo Codice sulla Privacy?
Il Testo Unico innova la normativa precedente, in vigore ormai da diversi anni, adeguandola ai mutamenti tecnologici avvenuti e all'esperienza acquisita, e fornisce, fra l'altro, due indicazioni fondamentali :

  • viene confermato l'insieme di requisiti che il sistema informativo aziendale deve possedere per fornire un livello minimo di tutela dei dati personali in esso contenuti (“misure minime di sicurezza”, presenti in parte nel DPR 318/99);
  • si stabilisce che l'insieme così definito di misure non è sufficiente, ma è solamente necessario a definire la struttura del sistema (“insieme idoneo di misure” secondo la normativa): l'effettiva struttura deve essere definita caso per caso, come risultante di un processo di analisi che coinvolge l'intero modello di business aziendale.

Cosa deve contenere il DPS?

  • l'elenco dei trattamenti di dati personali
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati
  • l'analisi dei rischi che incombono sui dati
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali rilevanti ai fini della loro custodia e accessibilità
  • la descrizione dei criteri e delle modalità di ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento
  • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare
  • per i dati personali sensibili, idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato

Quali sono i ruoli previsti dal Codice sulla Privacy?
Secondo l'art. 4:
Titolare : la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, compreso il profilo della sicurezza.
Responsabile : la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione ed organismo preposti dal titolare al trattamento dei dati personali. I compiti affidati al responsabile sono specificati analiticamente per iscritto.
Incaricati : le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
Interessato : la persona fisica, la persona giuridica, l'ente o l'associazione a cui si riferiscono i dati personali.

Possono esistere altri ruoli non previsti dal nuovo Codice?
I seguenti ruoli non sono previsti obbligatoriamente dal nuovo Codice, ma è possibile e soprattutto utile regolamentarli ai fini del raggiungimento e del mantenimento delle misure minime di sicurezza:
Responsabile Ufficio Operativo : l'incaricato che per ruolo o livello assume la responsabilità della corretta applicazione di funzioni e/o procedure nell'ambito del proprio Ufficio Operativo. I compiti affidati al Responsabile dell'Ufficio Operativo sono specificati analiticamente per iscritto nel Manuale delle istruzioni e procedure.
Addetti alla custodia delle parole chiave : persone incaricate per iscritto alla custodia delle parole chiave o ad accedere alle informazioni a esse relative.
Amministratori di sistema : soggetti cui è conferito il compito di sovrintendere alle risorse del sistema operativo e/o di gestione dei data base e di gestirne l'utilizzo.
Incaricati della manutenzione : persone addette alla manutenzione dell'hardware, del software applicativo e del software di base degli elaboratori sui quali sono memorizzati i dati personali sensibili.

Cosa devono garantire le misure minime di sicurezza, obbligatorie secondo il Codice sulla Privacy?
L'Articolo 31 del Codice dispone che i dati personali debbano essere custoditi e controllati in modo da ridurre al minimo i rischi di:

  • distruzione o perdita, anche accidentale
  • accesso non autorizzato
  • trattamento non consentito o conforme alla finalità della raccolta

Come individuate le misure minime di sicurezza?
Al fine di assicurare l'integrità dei dati trattati ed impedirne la comunicazione e/o diffusione non autorizzata, e-DPS elabora con l'azienda una precisa Politica di Sicurezza basata sull'adozione di misure di tipo fisico, logico ed organizzativo .
Tali misure hanno il compito di garantire sia i minimi requisiti di sicurezza a norma, sia un livello idoneo di sicurezza relativamente alle tipologie dei dati trattati dall'azienda, alle modalità di trattamento e agli strumenti utilizzati.

Qual è la metodica di e-DPS nell'analisi dei rischi?
Derivata dallo standard BS7799, successivamente ISO 7799 parte 1, e-DPS analizza gli aspetti di:
sicurezza fisica ( vigilanza dell'ufficio in cui sono conservati i dati sensibili, ingresso controllato nei locali ove ha luogo il trattamento, sistema di allarme e/o di sorveglianza antintrusione negli uffici, registrazione degli accessi agli uffici, ecc. );
sicurezza logica (definizione della catena di responsabilità, i dentificazione e autentificazione degli Incaricati e/o Utenti, controllo degli accessi a dati e programmi, registrazione degli accessi, ecc. );
sicurezza organizzativa (a nalisi dei rischi, prescrizione linee guida di sicurezza, piano di disaster recovery, ecc. ).

E' obbligatorio un piano di formazione del personale?
Si. e-DPS definisce un piano di formazione che, come richiesto dal Codice sulla Privacy, ha l'obiettivo di istruire e sensibilizzare le risorse incaricate al trattamento nei confronti dei rischi che incombono sui dati stessi, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
Il piano di formazione e-DPS mira altresì alla sensibilizzazione dei partecipanti mediante la redazione di un manuale contenente le regole, le istruzioni e le procedure introdotte in azienda.

Come posso diminuire i tempi e i costi di formazione e di aggiornamento del personale?
e-DPS ti offre Policy On Demand , uno strumento di e-learning semplice da usare e completamente autonomo per la formazione degli incaricati e del personale aziendale. Con Policy On Demand il responsabile della sicurezza aziendale crea e pianifica lezioni e questionari profilati per verificare l'aggiornamento del personale.

Cosa si intende per ‘trattamento di dati'?
Qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.

Cosa si intende nella normativa con ‘Dati personali'?
Secondo il Codice sulla Privacy, con 'Dato Personale' si intende qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Cosa si intende nella normativa con ‘Dati sensibili'?
Sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.

L’uso dei log è legittimo?
La diatriba tra chi ritiene legittimo l’uso dei log e chi al contrario lo giudica illegale nasce dal fatto che nel nostro ordinamento non è disciplinata direttamente la questione.
In sostanza, è un diritto del lavoratore non subire controlli occulti ma è anche diritto del datore di lavoro poter verificare la destinazione delle risorse aziendali (internet compresa, poiché rappresenta un costo).

Come operare il controllo tramite log?
Alcuni programmi possono verificare sia genericamente la totalità dei siti visitati senza indicare la singola postazione dell’utente, sia andando a controllare esattamente la postazione da cui la connessione è partita, la tipologia di sito navigato, le pagine viste la durata di consultazione.
In entrambi i casi, e in particolare nel secondo, appare corretto che il datore di lavoro dia comunicazione ai dipendenti prima di installare i software di log e soprattutto che questa installazione sia giustificata da obiettivi precisi, e non da una generica attività di controllo (per esempio, nel caso di connessioni a pagamento che stravolgono la media della bolletta telefonica, o quando sia necessario rintracciare soggetti che approfittando dell’anonimato “aziendale” compiono reati via web)
In questo modo, una volta che il dipendente sia avvertito dell’attivazione di log, potrà decidere in autonomia se lasciar monitorare le proprie navigazioni o riservare le navigazioni personali ad ambienti privati.
Quindi, perché non si creino in azienda controproducenti tensioni tra dipendenti e datore di lavoro, e per non rischiare interventi da parte dell’autorità giudiziaria, sarà il datore di lavoro stesso a indicare sempre le finalità di raccolta, i tempi di conservazione e di destinazione dei dati raccolti tramite i log, nel contempo limitandone la visibilità solo a soggetti autorizzati.

archebit spa