ALLEGATO
B
DISCIPLINARE TECNICO
IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt.
da 33 a 36 del codice)
Trattamenti con strumenti
elettronici
Modalità tecniche da adottare a cura del
titolare, del responsabile ove designato e dell'incaricato, in caso
di trattamento con strumenti elettronici:
Sistema di
autenticazione informatica
1.
Il trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di autenticazione
che consentano il superamento di una procedura di autenticazione
relativa a uno specifico trattamento o a un insieme di trattamenti.
2.
Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un dispositivo
di autenticazione in possesso e uso esclusivo dell'incaricato,
eventualmente associato a un codice identificativo o a una parola
chiave, oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una parola
chiave.
3.
Ad ogni incaricato sono assegnate o associate individualmente una o
più credenziali per l'autenticazione.
4.
Con le istruzioni impartite agli incaricati è prescritto di
adottare le necessarie cautele per assicurare la segretezza della
componente riservata della credenziale e la diligente custodia dei
dispositivi in possesso ed uso esclusivo dell'incaricato.
5.
La parola chiave, quando è prevista dal sistema di
autenticazione, è composta da almeno otto caratteri oppure,
nel caso in cui lo strumento elettronico non lo permetta, da un
numero di caratteri pari al massimo consentito; essa non contiene
riferimenti agevolmente riconducibili all'incaricato ed è
modificata da quest'ultimo al primo utilizzo e, successivamente,
almeno ogni sei mesi. In caso di trattamento di dati sensibili e di
dati giudiziari la parola chiave è modificata almeno ogni tre
mesi.
6.
Il codice per l'identificazione, laddove utilizzato, non può
essere assegnato ad altri incaricati, neppure in tempi diversi.
7.
Le credenziali di autenticazione non utilizzate da almeno sei mesi
sono disattivate, salvo quelle preventivamente autorizzate per soli
scopi di gestione tecnica.
8.
Le credenziali sono disattivate anche in caso di perdita della
qualità che consente all'incaricato l'accesso ai dati
personali.
9.
Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante una
sessione di trattamento.
10.
Quando l'accesso ai dati e agli strumenti elettronici è
consentito esclusivamente mediante uso della componente riservata
della credenziale per l'autenticazione, sono impartite idonee e
preventive disposizioni scritte volte a individuare chiaramente le
modalità con le quali il titolare può assicurare la
disponibilità di dati o strumenti elettronici in caso di
prolungata assenza o impedimento dell'incaricato che renda
indispensabile e indifferibile intervenire per esclusive necessità
di operatività e di sicurezza del sistema. In tal caso la
custodia delle copie delle credenziali è organizzata
garantendo la relativa segretezza e individuando preventivamente per
iscritto i soggetti incaricati della loro custodia, i quali devono
informare tempestivamente l'incaricato dell'intervento effettuato.
11.
Le disposizioni sul sistema di autenticazione di cui ai precedenti
punti e quelle sul sistema di autorizzazione non si applicano ai
trattamenti dei dati personali destinati alla diffusione.
Sistema
di autorizzazione
12.
Quando per gli incaricati sono individuati profili di autorizzazione
di ambito diverso è utilizzato un sistema di autorizzazione.
13.
I profili di autorizzazione, per ciascun incaricato o per classi
omogenee di incaricati, sono individuati e configurati anteriormente
all'inizio del trattamento, in modo da limitare l'accesso ai soli
dati necessari per effettuare le operazioni di trattamento.
14.
Periodicamente, e comunque almeno annualmente, è verificata la
sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
Altre misure di sicurezza
15.
Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale
dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici, la lista degli incaricati può essere
redatta anche per classi omogenee di incarico e dei relativi profili
di autorizzazione.
16.
I dati personali sono protetti contro il rischio di intrusione e
dell'azione di programmi di cui all'art. 615-quinquies del codice
penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
17.
Gli aggiornamenti periodici dei programmi per elaboratore volti a
prevenire la vulnerabilità di strumenti elettronici e a
correggerne difetti sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento è
almeno semestrale.
18.
Sono impartite istruzioni organizzative e tecniche che prevedono il
salvataggio dei dati con frequenza almeno settimanale.
Documento
programmatico sulla sicurezza
19.
Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati
sensibili o di dati giudiziari redige anche attraverso il
responsabile, se designato, un documento programmatico sulla
sicurezza contenente idonee informazioni riguardo:
19.1.
l'elenco dei trattamenti di dati personali;
19.2.
la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei dati;
19.3.
l'analisi dei rischi che incombono sui dati;
19.4.
le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree
e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5.
la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento di cui al successivo punto 23;
19.6.
la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono sui dati,
delle misure disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali più
rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per
aggiornarsi sulle misure minime adottate dal titolare. La formazione
è programmata già al momento dell'ingresso in servizio,
nonché in occasione di cambiamenti di mansioni, o di
introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali;
19.7.
la descrizione dei criteri da adottare per garantire l'adozione delle
misure minime di sicurezza in caso di trattamenti di dati personali
affidati, in conformità al codice, all'esterno della struttura
del titolare;
19.8.
per i dati personali idonei a rivelare lo stato di salute e la vita
sessuale di cui al punto 24, l'individuazione dei criteri da adottare
per la cifratura o per la separazione di tali dati dagli altri dati
personali dell'interessato.
Ulteriori misure in caso di
trattamento di dati sensibili o giudiziari
20.
I dati sensibili o giudiziari sono protetti contro l'accesso abusivo,
di cui all' art. 615-ter del codice penale, mediante l'utilizzo di
idonei strumenti elettronici.
21.
Sono impartite istruzioni organizzative e tecniche per la custodia e
l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine
di evitare accessi non autorizzati e trattamenti non consentiti.
22.
I supporti rimovibili contenenti dati sensibili o giudiziari se non
utilizzati sono distrutti o resi inutilizzabili, ovvero possono
essere riutilizzati da altri incaricati, non autorizzati al
trattamento degli stessi dati, se le informazioni precedentemente in
essi contenute non sono intelligibili e tecnicamente in alcun modo
ricostruibili.
23.
Sono adottate idonee misure per garantire il ripristino dell'accesso
ai dati in caso di danneggiamento degli stessi o degli strumenti
elettronici, in tempi certi compatibili con i diritti degli
interessati e non superiori a sette giorni.
24.
Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei a rivelare lo stato di
salute e la vita sessuale contenuti in elenchi, registri o banche di
dati con le modalità di cui all'articolo 22, comma 6, del
codice, anche al fine di consentire il trattamento disgiunto dei
medesimi dati dagli altri dati personali che permettono di
identificare direttamente gli interessati. I dati relativi
all'identità genetica sono trattati esclusivamente all'interno
di locali protetti accessibili ai soli incaricati dei trattamenti ed
ai soggetti specificatamente autorizzati ad accedervi; il trasporto
dei dati all'esterno dei locali riservati al loro trattamento deve
avvenire in contenitori muniti di serratura o dispositivi
equipollenti; il trasferimento dei dati in formato elettronico è
cifrato.
Misure di tutela e garanzia
25.
Il titolare che adotta misure minime di sicurezza avvalendosi di
soggetti esterni alla propria struttura, per provvedere alla
esecuzione riceve dall'installatore una descrizione scritta
dell'intervento effettuato che ne attesta la conformità alle
disposizioni del presente disciplinare tecnico.
26.
Il titolare riferisce, nella relazione accompagnatoria del bilancio
d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza.
Trattamenti senza
l'ausilio di strumenti elettronici
Modalità tecniche da
adottare a cura del titolare, del responsabile, ove designato, e
dell'incaricato, in caso di trattamento con strumenti diversi da
quelli elettronici:
27.
Agli incaricati sono impartite istruzioni scritte finalizzate al
controllo ed alla custodia, per l'intero ciclo necessario allo
svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali. Nell'ambito dell'aggiornamento
periodico con cadenza almeno annuale dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati, la lista degli
incaricati può essere redatta anche per classi omogenee di
incarico e dei relativi profili di autorizzazione.
28.
Quando gli atti e i documenti contenenti dati personali sensibili o
giudiziari sono affidati agli incaricati del trattamento per lo
svolgimento dei relativi compiti, i medesimi atti e documenti sono
controllati e custoditi dagli incaricati fino alla restituzione in
maniera che ad essi non accedano persone prive di autorizzazione, e
sono restituiti al termine delle operazioni affidate.
29.
L'accesso agli archivi contenenti dati sensibili o giudiziari è
controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di
chiusura, sono identificate e registrate. Quando gli archivi non sono
dotati di strumenti elettronici per il controllo degli accessi o di
incaricati della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.
| 
