Imprese ed Aziende

Monday 17 May 2004

Garante per la protezione dei dati personali. Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza. Scheda informativa – 13 maggio 2004

Garante per la protezione dei dati personali. Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza.

Scheda informativa – 13 maggio 2004

PRIME RIFLESSIONI SUI CRITERI DI REDAZIONE

DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

(ART. 34 E REGOLA 19 DELL’ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI)

Bozza del 13 maggio 2004

1

Indice

Premessa 3

Elenco dei trattamenti di dati personali (regola 19.1.) 4

Contenuti

Informazioni essenziali

Tabella 1.1. Elenco dei trattamenti: informazioni di base

Tabella 1.2 Elenco dei trattamenti: descrizione degli strumenti utilizzati

Distribuzione dei compiti e delle responsabilità (regola 19.2.) 5

Contenuti

Informazioni essenziali.

Tabella 2.1. Organizzazione delle funzioni aziendali preposte ai trattamenti

Analisi dei rischi che incombono sui dati (regola 19.3.) 6

Contenuti

Informazioni essenziali

Tabella 3.1. Analisi dei rischi

Misure in essere e da adottare (regola 19.4.) 8

Contenuti

Informazioni essenziali

Informazioni descrittive analitiche delle misure di sicurezza

Tab. 4.1. Le misure di sicurezza adottate o da adottare

Tab. 4.2. Scheda descrittiva delle misure adottate

Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5.) 9

Contenuti

Informazioni essenziali

Pianificazione degli interventi formativi previsti (regola 19.6.) 11

Contenuti

Informazioni essenziali

Trattamenti affidati all’esterno (regola 19.7.) 11

Contenuti

Informazioni essenziali

Cifratura dei dati o separazione dei dati identificativi (regola 19.8.) 12

Contenuti

Informazioni essenziali

2

Premessa

Questo documento è frutto delle riflessioni di un gruppo di lavoro di esperti della sicurezza che

ha fornito un contributo ora aperto a suggerimenti, proposte ed eventuali critiche al fine di perfezionarlo,

entro il mese di maggio. Si avrà così una guida operativa, con alcune istruzioni e

tabelle fac-simile, per redigere un documento programmatico sulla sicurezza (Dps) quando questo

è necessario, a pena di sanzioni penali, ai sensi della regola 19 dell’Allegato B del Codice.

Il contributo mira, in particolare, a facilitare l’adempimento dell’obbligo da parte delle organizzazioni

di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze

specifiche.

La guida dovrebbe essere d’ausilio alla redazione del Dps ma non costituirà un riferimento

obbligato per chi deve ottemperare alla regola 19.

3

Struttura generale del documento

Per ogni regola sono riportate, di seguito, una o più tabelle precedute dalla descrizione dei campi

che le compongono.

Ogni tabella riporta una data di compilazione che può essere utile se la tabella è compilata in

data significativamente diversa (antecedente) rispetto alla redazione finale del Dps.

Elenco dei trattamenti di dati personali (regola 19.1)

Contenuti.

In questa sezione deve essere inserito l’elenco dei trattamenti effettuati dal titolare, direttamente

o attraverso collaborazioni esterne, con l’indicazione della natura dei dati trattati e

della struttura (o reparto, funzione, ufficio, …) interna od esterna che operativamente effettua

il trattamento. Nella redazione della lista può essere utile fare riferimento anche alle

informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato.

Informazioni essenziali.

Per ciascun trattamento è riportate le seguenti informazioni:

Identificativo del trattamento: consiste in un codice, facoltativo, ma utile per il titolare, in

quanto consente un’identificazione univoca e più rapida di ciascun trattamento nella compilazione

delle altre tabelle

Descrizione sintetica: descrive il trattamento in modo da consentire una comprensione

immediata della tabella.

Natura dei dati trattati: dovrà essere indicato se, tra i dati oggetto del singolo trattamento

elencato, sono presenti dati sensibili o giudiziari, oltre ad altri dati personali.

Struttura di riferimento: indica la struttura (o reparto, funzione, ufficio, ecc.) all’interno

della quale viene realizzato il trattamento. Il livello di sintesi utilizzato è stabilito dal titolare.

Ad esempio, in caso di strutture complesse, è possibile indicare la macro-struttura

(direzione del personale) oppure uffici specifici (uff. paghe, ufficio sviluppo risorse, ufficio

controversie sindacali, ecc.)

Altre funzioni che concorrono al trattamento: nel caso in cui un trattamento, per essere completato,

comporti l’attività di diverse strutture è opportuno indicare oltre quella che primariamente

detiene la responsabilità dell’attività, anche quelle che concorrono, siano esse

interne od esterne all’organizzazione del titolare.

Banca dati: il nome o l’identificativo dell’eventuale banca dati (ovvero del data base o dell’archivio

informatico) in cui sono contenuti i dati che sono trattati. Uno stesso trattamento

può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso elencare

le banche.

4

Ubicazione fisica dei supporti di memorizzazione: contiene l’indicazione del luogo in cui

risiedono fisicamente i dati, cioè dove si trova (in quale sede, centrale o periferica, presso

quale fornitore di servizi, etc.) l’elaboratore sui cui dischi sono memorizzati, i luoghi di

conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, Cd, ecc.).

Il livello di dettaglio deve essere funzionale alla esigenze della politica della sicurezza da

definire.

Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati

dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino,

ecc.

Tipologia di interconnessione: descrizione sintetica e qualitativa della rete informatica che

collega i dispositivi d’accesso utilizzati dagli incaricati ai dati: rete locale, Extranet,

Internet, ecc.

Tabella 1.1. Elenco dei trattamenti: informazioni di base.

Tabella 1.2. Elenco dei trattamenti: descrizione degli strumenti utilizzati

Distribuzione dei compiti e delle responsabilità (regola 19.2)

Contenuti.

In questa sezione è costruita una mappa che associa ad ogni struttura (o reparto, dipartimento,

ufficio) i trattamenti da questa effettuati, descrivendo sinteticamente l’organizzazione

della struttura medesima e le relative responsabilità. Ci si può riferire anche ad analoghe

documentazioni già predisposte dal titolare (ordinamenti, ordini di servizio, regolamenti

interni).

5

Identificativo

del Trattamento

Descrizione

sintetica

Natura dei dati

trattati

Struttura

di riferimento

Altre strutture

(anche esterne) che

concorrono al trattamento

Descrizione

degli strumenti

utilizzai

S G

Data di aggiornamento:

Identificativo

del trattamento

Eventuale banca dati Ubicazione fisica dei

supporti di memorizzazione

Tipologia di

dispositivi di accesso

Tipologia di

interconnessione

Data di aggiornamento:

Informazioni essenziali.

Struttura aziendale: contiene lo stesso identificativo utilizzato nella sezione precedente.

Responsabile della struttura: indica il ruolo o la qualifica del dirigente o del responsabile

della struttura (non deve essere confuso il responsabile del trattamento ai sensi dell’art. 29).

Trattamenti operati dalla struttura: contiene, se necessario su più righe per ciascuna struttura,

i trattamenti per i quali la struttura ha la primaria responsabilità.

Compiti della struttura: contiene una descrizione sintetica dei compiti assegnati alla struttura

in ciascuno dei trattamenti di competenza. Ad esempio: acquisizione e caricamento

dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati

nel trattamento, gestione tecnica operativa della base dati (salvataggi, ripristini,

ecc.).

Tabella 2.1. Strutture preposte ai trattamenti.

Analisi dei rischi che incombono sui dati (regola 19.3)

Contenuti

Individuare i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutarne

le possibili conseguenze e la gravità e porli in correlazione con misure previste.

Informazioni essenziali

Elenco degli eventi: contiene l’elenco degli eventi che possono generare danni e che comportano

quindi rischi per la sicurezza dei dati personali. L’elenco identifica pertanto diversi

eventi che possono rilevare per l’analisi dei rischi per la sicurezza dei dati personali. Nella

tabella riportata nel seguito è proposta una lista esemplificativa di eventi, da prendere in

considerazione eventualmente solo come base di partenza.

Impatto sulla sicurezza dei dati: contiene la descrizione delle principali conseguenze individuate

per la sicurezza dei dati, in relazione a ciascun evento ed una valutazione della gra-

6

Struttura Responsabile Trattamenti operati

dalla struttura

Compiti della struttura

Data di aggiornamento:

vità delle stesse, anche in relazione alla probabilità stimata dell’evento. In questo modo

consente di formulare un indicatore qualitativo di gravità omogeneo per i diversi eventi che

deve essere esplicitato.

Rif. misure d’azione: contiene il riferimento alla contromisura adottata.

Nota: l’analisi dei rischi può essere condotta utilizzando metodi di complessità diversa.

L’approccio descritto vuole consentire una prima riflessione in contesti che, per dimensioni, per

complessità organizzativa ridotta o per altre ragioni, non richiedano analisi più articolate.

Nel seguito è riportata una tabella che può facilitare l’organizzazione delle informazioni

richieste.

Tabella 3.1. Analisi dei rischi

7

Evento Impatto sulla sicurezza dei dati Rif. misure d’azione

Comportamenti

degli operatori

furto di credenziali

di autenticazione

Descrizione Gravità stimata

carenza di consapevolezza,

disattenzione o incuria

comportamenti sleali

o fraudolenti

errore materiale

Eventi relativi

agli strumenti

azione di virus informatici

o di codici malefici

spamming o altre tecniche

di sabotaggio

malfunzionamento, indisponibilità

o degrado degli strumenti

accessi esterni non autorizzati

intercettazione di

informazioni in rete

Eventi relativi

al contesto

accessi non autorizzati

a locali/reparti ad accesso ristretto

asportazione e furto

di strumenti contenenti dati

eventi distruttivi, naturali

o artificiali, dolosi, accidentali

o dovuti ad incuria

guasto ai sistemi complementari

(impianto elettrico,

climatizzazione, …)

errori umani nella gestione

della sicurezza fisica

Misure in essere e da adottare (regola 19.4).

Contenuti

In questa sezione devono essere riportate, in forma sintetica, le misure in essere e da adottare

a contrasto dei rischi individuati dall’analisi dei rischi. Per misura qui si intende non

solo lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare

o ridurre gli effetti relativi ad una specifica minaccia ma anche tutte quelle attività di

verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. Senza procedure di controllo

periodico, infatti, nessuna misura può essere considerata completa.

Le misure da adottare possono essere inserite anche in una apposita sezione dedicata ai programmi

di miglioramento della sicurezza.

Informazioni essenziali.

Misure: la descrizione sintetica della misura di sicurezza adottata.

Rischio contrastato: per ogni misura è necessario indicare il riferimento all’elemento dell’analisi

dei rischi che ha motivato l’adozione della misura in oggetto.

Data base/trattamento interessato: riportare l’identificativo del (dei) data base o dell’archivio

informatizzato e dei trattamenti interessati per ciascuna delle misure adottate

È da notare che determinate misure possono non essere riconducibili a specifici trattamenti

o basi di dati.

Rif. Scheda analitica: contiene il riferimento eventuale ad una scheda analitica descrittiva

della misura, eventualmente compilata anche utilizzando la successiva tabella 4.2.

Data di effettività: per ogni misura è necessario indicare la data a partire dalla quale la misura

è operativa o se già operativa una dicitura standard (ad es.: “in essere”).

Periodicità e modalità dei controlli: contiene l’indicazione della periodicità con cui sono

verificate la funzionalità e l’efficienza della misura in questione e della struttura operativa

che ne ha la responsabilità.

Informazioni descrittive analitiche delle misure di sicurezza

Oltre alle informazioni sintetiche sopra riportate può essere utile compilare, per ciascuna

misura una scheda analitica contenente un maggior numero di informazioni, utili nella

gestione operativa della sicurezza ed, in particolare, nelle attività di verifica e controllo.

Queste schede sono a formato libero e le informazioni utili devono essere decise in funzione

della specifica misura. A puro titolo di esempio, potranno essere inserite informazioni

relative a:

– la minaccia che si intende contrastare

– la tipologia della misura di sicurezza (preventiva, di contrasto, di contenimento degli

effetti, …)

– le informazioni relative alla responsabilità della attuazione e della gestione della specifica

misura

– i tempi di validità delle scelte adottate (contratti esterni, aggiornamento di prodotti,

ecc.)

8

– gli ambiti a cui si applica (ambiti fisici: un reparto, un edificio, … – o logici: una procedura,

un’applicazione, …)

– …

È comunque opportuno mantenere l’indicazione di chi ha compilato la scheda e della data

in la compilazione è stata terminata.

Nel seguito sono riportate due tabelle che possono facilitare l’organizzazione delle informazioni

richieste.

Tab. 4.1. Le misure di sicurezza adottate o da adottare

(*) Indicare anche la data se individuata

Tab. 4.2. Scheda descrittiva delle misure adottate

Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)

Contenuti

In questa sezione sono descritti i criteri e le procedure adotti per il salvataggio dei dati e

per il loro ripristino in caso di danneggiamento o di inaffidabilità della base dati.

L’importanza di queste attività deriva direttamente dalla eccezionalità delle situazioni in cui

il ripristino ha luogo: è essenziale che quando sono necessarie le copie dei dati siano disponibili

e le procedure efficaci.

Informazioni essenziali.

Data base: contiene l’identificativo del data base o dell’archivio interessato.

9

Misura Rischio

contrastato

Trattamento

interessato

Eventuale

banca dati

interessata

Rif. scheda

analitica

Misura

già in essere

Misura

da adottare (*)

Periodicità

e responsabilità

dei controlli

Data aggiornamento:

Scheda nr. Compilata da Data di compilazione

Misura

Descrizione sintetica

Elementi descrittivi

Data aggiornamento:

Dati sensibili o giudiziari contenuti: contiene l’elenco dei dati sensibili o giudiziari contenuti

nel database o archivio.

Criteri individuati per il salvataggio (procedure operative in essere): contiene una descrizione

della tipologia di salvataggio e della frequenza con cui viene effettuato.

Ubicazione di conservazione delle copie: contiene l’indicazione del luogo fisico in cui sono

custodite le copie dei dati salvate.

Struttura operativa o persona incaricata del salvataggio: contiene il nominativo della persona

incaricata di effettuare il salvataggio e/o di controllarne l’esito o del coordinatore del

gruppo preposto.

Tab. 5.1.

Per quanto riguarda il ripristino, le informazioni essenziali sono le seguenti:

Data base/archivio: contiene l’identificativo del data base o dell’archivio interessato.

Scheda operativa: contiene il riferimento alla scheda operativa che descrive la procedura di

ripristino

Pianificazione delle prove di ripristino: contiene l’indicazione delle date in cui si prevede di

effettuare dei test di efficacia delle procedure i salvataggio/ripristino dei dati adottate.

Tab. 5.2.

10

Salvataggio

Data base Dati sensibili

o giudiziari contenuti

Criteri individuati per il salvataggio

(procedure operative in essere)

Ubicazione

di conservazione

delle copie

Struttura operativa

incaricata

del salvataggio

Data di aggiornamento

Rispristino

Data base/archivio Scheda operativa Pianificazione delle prove di ripristino

Data aggiornamento:

Pianificazione degli interventi formativi previsti (regola 19.6)

Contenuti

In questa sezione sonoriportate le informazioni necessarie per disporre di un quadro sintetico

dell’impegno formativo che si prevede di sostenere in attuazione della normativa.

Informazioni essenziali.

Corso di formazione: riporta l’identificativo del corso di formazione.

Descrizione sintetica: contiene la descrizione sintetica degli obiettivi del corso.

Classi di incarico interessate: contiene l’elenco delle classi omogenee di incarico a cui il corso

è destinati e/o le tipologie di incaricati interessati.

Numero di incaricati interessati: contiene il numero di addetti interessati dal corso.

Numero di incaricati già formati/da formare nell’anno: contiene l’indicazione del numero di

addetti già formati negli anni precedenti e quelli di cui si prevede la formazione nell’anno

in corso.

Tab. 6.1.

Trattamenti affidati all’esterno (regola 19.7)

Contenuti

Obiettivo di questa sezione è redigere un quadro sintetico delle attività trasferite a terzi che

comportano il trattamento di dati personali con l’indicazione sintetica del quadro contrattuale

in cui tale trasferimento si inserisce, in riferimento alla protezione dei dati personali.

Informazioni essenziali

Attività delegata: contiene l’identificativo dell’attività che è stata oggetto di delega a terzi.

Descrizione sintetica: contiene una descrizione sintetica dell’attività.

Dati personali, sensibili o giudiziari interessati: contiene l’elenco dei dati personali, sensibili

o giudiziari oggetto di trattamento per la realizzazione dell’attività delegata.

11

Corso

di formazione

Descrizione

sintetica

Classi di incarico

interessate

Numero di

incaricati interessati

Numero di incaricati già

formati/da formare nell’anno

Calendario

Data aggiornamento:

Soggetto delegato: riporta l’identificativo della società o del consulente a cui è stato affidato

l’incarico.

Descrizione dei criteri per garantire l’adozione delle misure: perché sia garantito un adeguato

trattamento dei dati è necessario che il soggetto esterno a cui viene affidato il trattamento

si assuma alcuni impegni su base contrattuale.

Il soggetto cui le attività sono affidate dichiara:

1. di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto,

sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione

dei dati personali;

2. di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali

3. di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati

personali o di integrarle nelle procedure già in essere.

4. di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare

immediatamente il proprio committente in caso di situazioni anomale o di emergenze

5. di riconoscere il diritto del committente a verificare periodicamente l’applicazione

delle norme di sicurezza adottate.

In questa casella sono riportati gli impegni contrattualmente assunti nel caso specifico.

Date delle verifiche: contiene l’indicazione del numero e delle date delle verifiche previste.

Tab. 7.1.

Cifratura dei dati o separazione dei dati identificativi (regola 19.8)

Contenuti.

In questa sezione devono essere rappresentate le modalità di protezione adottate per i dati

per cui è richiesta la cifratura o la separazione fra dati identificativi e dati personali, nonché

i criteri e le modalità con le quali viene assicurata la sicurezza di tali trattamenti.

Si ricorda che questo punto riguarda gli organismi sanitari e gli esercenti professioni sanitarie

(art. 24).

12

Attività

esternalizzata

Descrizione

sintetica

Dati personali, sensibili

o giudiziari interessati

Soggetto

esterno

Descrizione dei criteri per l’adozione

delle misure

Data di aggiornamento:

Informazioni essenziali.

Dato: contiene l’identificativo di un insieme di informazioni personali tra loro coerenti.

Protezione scelta: riporta la tipologia di protezione adottata, scelta fra quelle indicate dal

Codice o in base a considerazioni specifiche del titolare.

Data di effettività: contiene la data a partire dalla quale le misure adottate sono diventate

operative.

Tecnica adottata: contiene una descrizione sintetica tecnica ed eventualmente organizzativa

della misura adottata. Ad esempio, in caso di utilizzo di crittografia, le modalità di conservazione

delle chiavi e le procedure di utilizzo delle stesse.

Tab. 8.1.

13

Dato Protezione scelta

(Cifratura/Separazione)

Data di effettività Tecnica adottata

Descrizione Informazioni utili

Data aggiornamento: