Upload
luigina-serafini
View
214
Download
0
Embed Size (px)
Citation preview
Progetto Impresa
D. Lgs 196/2003D. Lgs 196/2003
Codice in materia di protezione dei dati personali.
Principi generali
Chiunque ha diritto alla protezione dei dati personali che lo riguardano
Garanzia delle libertà fondamentali
Semplificazione delle modalità di trattamento e comunicazione
Progetto Impresa
I sistemi informativi ed i programmi informatici devono ridurre al minimo l’uso dei dati personali
Il “trattamento” dei dati è ammesso sia con che senza l’ausilio di sistemi elettronici
“Dato personale” è qualunque informazione relativa a persona fisica o giuridica
“Dato identificativo” permette l’identificazione del soggetto
D. Lgs 196/2003D. Lgs 196/2003
Progetto Impresa
“Dato sensibile”: origine razziale, etnica
religiosa, filosofica, politica, partitica, sindacale, appartenenza ad ogni tipo di associazione, dati sulla salute e sessualità
L’azienda che tratta dati deve darsi un’organizzazione che tuteli la tenuta, anche obbligatoria, dei dati relativi all’”interessato”
D. Lgs 196/2003D. Lgs 196/2003
Progetto Impresa
“Titolare”: persona fisica o giuridica cui compete decidere sulle finalità del trattamento
“Responsabile”: persona fisica o giuridica preposto al trattamento dei dati
“Incaricati”: persone fisiche autorizzate a compiere operazioni di trattamento dei dati
“Comunicazione”: comunicare i dati dell’interessato a soggetti diversi
D. Lgs 196/2003D. Lgs 196/2003
Progetto Impresa
“Misure minime”: misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza nel trattare i dati
“Strumenti elettronici”
gli elaboratori, i loro programmi, e qualunque dispositivo elettronico per il trattamento.
D. Lgs 196/2003D. Lgs 196/2003
Progetto Impresa
D. Lgs 196/2003D. Lgs 196/2003
“Credenziali di autenticazione”: dispositivi assegnati in esclusiva ad una persona per il trattamento
“Parola chiave”: da modificare almeno ogni 6 mesi
“Profilo di autorizzazione”: insiemi di informazioni per definire quali dati può trattare la persona
“Sistema di autorizzazione”: insie-me delle procedure
Progetto Impresa
L’interessato ha diritto di conoscere: l’origine dei dati Finalità e modalità del
trattamento Logica applicata se
trattati elettronicamente
Estremi di titolare-responsabile-incaricati
L’interessato ha diritto di ottenere: Aggiornamento e
rettifica dei dati Cancellazione di quelli
trattati in violazione L’attestazione che le
precedenti operazioni sono state compiute
D. Lgs 196/2003D. Lgs 196/2003
Progetto Impresa
I dati personali devono essere: Trattati lecitamente e
correttamente Raccolti e registrati per
scopi determinati Esatti e aggiornati Pertinenti Conservati per un
tempo congruo
L’interessato è informato preventivamente circa: Finalità e modalità Natura obbligatoria o
facoltativa Conseguenze del rifiuto
a rispondere I suoi diritti, chi è il tito-
lare ed il responsabile L’obbligo di legge per il
trattamento senza consenso
D. Lgs 196/2003D. Lgs 196/2003
Progetto Impresa
I dati sensibili possono essere trattati solo con il consenso scritto dell’interessato a meno che non sia per leggi sulla sicurezza del lavoro (necessaria la previa autorizzazione del Garante)
Trattamento informatico: Consentito solo ad
incaricati dotati di credenziali (codice + parola chiave)
Assicurare la segre- tezza e diligente cu-stodia della componente della credenziale
D. Lgs 196/2003D. Lgs 196/2003
Progetto Impresa
“Parola chiave” di otto caratteri e non deve contenere riferimenti a dati personali dell’incaricato
Va cambiata al primo utilizzo ed ogni 6 mesi
Vanno date precise istruzioni per non lasciarle incustodite
Predisporre idonee e corrette procedure per identificare il sistema di autenticazione
Identificare i profili di autorizzazione per ogni incaricato
Revisione annuale dell’intero sistema
D. Lgs 196/2003D. Lgs 196/2003
Progetto Impresa
Il codice + la password devono essere conosciuti solo dall’incaricato.
Ogni incaricato può avere + credenziali
E se non usate per almeno 6 mesi vanno disattivate
Si devono dare istruzioni per non lasciare incustodito o accessibile il PC durante l’uso dei dati
Vanno date istruzioni scritte in caso di lunga assenza dell’incaricato
D. Lgs 196/2003D. Lgs 196/2003Allegato B – Criteri minimi di sicurezzaAllegato B – Criteri minimi di sicurezza
Progetto Impresa
D. Lgs 196/2003D. Lgs 196/2003Allegato B – Criteri minimi di sicurezzaAllegato B – Criteri minimi di sicurezza
Se ci sono profili di autorizzazione diversi occorre un sistema di autenticazione
Annualmente si verbalizza la verifica del sistema di autorizzazione
I dati personali devono essere protetti dal rischio di intrusione mediante idonei strumenti elettronici da aggiornare almeno ogni 6 mesi
Le istruzioni devono prevedere salvataggio dei dati settimanalmente
Progetto Impresa
D. Lgs 196/2003D. Lgs 196/2003Allegato B – Criteri minimi di sicurezzaAllegato B – Criteri minimi di sicurezza
Entro ogni 31 marzo il titolare redige il documento program-
matico sulla sicurezza che riguarda
l’elenco dei trattamenti dei dati
distribuzione di compiti e responsabilità
Analisi dei rischi che incombono sui dati
Le misure adottate, ecc.