DPS: Documento Programmatico sulla Sicurezza

Dal 1.1.2004 è in vigore il nuovo Testo Unico in materia di tutela di dati personali che introduce
novità riguardo agli adempimenti sulla privacy da parte delle aziende.

La nuova normativa obbliga tutte le aziende all'adozione di specifiche misure organizzative e di
sicurezza nel trattamento di dati personali e sensibili, al fine di evitare pesanti sanzioni
amministrative e penali.

L'introduzione delle nuove indicazioni normative implica un conseguente adeguamento
dell'organizzazione aziendale sia a livello informatico che procedurale, con la redazione del
"Documento Programmatico sulla Sicurezza" che deve essere predisposto entro il
30 GIUGNO 2005
(il termine inizialmente previsto per l'adeguamento era il 31/12/2004).

Tale documento prevede l'elenco dei trattamenti dei dati personali, l'organigramma del sistema
di gestione dei dati, l'analisi dei rischi che incombono sui dati, le misure tecniche da adottare al fine
di garantire l'integrità e la disponibilità dei dati, le procedure per il ripristino dei dati, la descrizione
degli interventi formativi rivolti agli incaricati del trattamento. Gli stessi incaricati sono nominati
con uno specifico atto. Questo adempimento richiede la forma scritta e deve essere aggiornato ogni
anno entro il 30 SETTEMBRE (solo per il 2005, negli anni successivi il dps dovrà essere
aggiornato entro il 31 marzo)

Date importanti

  9 / 11 / 2004

varato il decreto legge che rimanda al 30/06/2005 il termine ultimo per
l'adeguamento alla nuova normativa sulla Privacy.

 
31 / 12 / 2004

termine per l'adeguamento delle nuove misure minime di sicurezza (articoli da 33 a
35 e all'allegato B) che non erano previste dalla precedente disciplina (decreto del Presidente
della Repubblica 28 luglio 1999, n. 318). --rimandato al 30/06/2005--

 
31 / 03 / 2005

aggiornamento Documento Programmatico sulla Sicurezza

 
30 / 06 / 2005

termine per l'adeguamento delle nuove misure minime di sicurezza (articoli da 33 a
35 e all'allegato B) che non erano previste dalla precedente disciplina (decreto del Presidente
della Repubblica 28 luglio 1999, n. 318).

 
30 / 09 / 2005

termine per l'adeguamento degli strumenti elettronici che, per obiettive ragioni
tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime.

Links

Privacy Italia - DPS gratis online


Punto Informatico - L'ennesima proroga del DPS

Misure minime

Trattamenti con strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato,
in caso di trattamento con strumenti elettronici:

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento di una procedura di autenticazione
relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo
di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice
identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per
l'autenticazione.

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per
assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei
dispositivi in possesso ed uso esclusivo dell'incaricato.

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto
caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri
pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed
è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di
trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,
neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato
l'accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento
elettronico durante una sessione di trattamento.

10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso
della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive
disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare
la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento
dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di
operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è
organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento
effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è
utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai
soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni
per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza

15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi
omogenee di incarico e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui
all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di
strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con
frequenza almeno settimanale.

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo:

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del
codice penale, mediante l'utilizzo di idonei strumenti elettronici.

21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti
rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non
consentiti.

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi
inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento
degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e
tecnicamente in alcun modo ricostruibili.

23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti
degli interessati e non superiori a sette giorni.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati
idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con
le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento
disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli
interessati. I dati relativi
all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei
dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura
o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria
struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta
dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente Misure minime.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta,
dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Trattamenti senza l'ausilio di strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato,
in caso di trattamento con strumenti diversi da quelli elettronici:

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti
contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale
dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli
incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli
incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono
controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano
persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse,
a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non
sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le
persone che vi accedono sono preventivamente autorizzate.

FAQ

1) D. È sufficiente prevedere interventi formativi per i responsabili?

R. No, non è sufficiente. La formazione va fatta in favore degli incaricati con la
partecipazione di questi ad idonei eventi formativi.
Gli incaricati dovranno partecipare periodicamente ed in modo continuativo nel tempo a tali
eventi.

2) D. Il singolo incaricato deve operare sempre sul medesimo PC?

R. No, l'incaricato può operare su qualunque PC, ma dovrà accedere con il proprio sistema di
autenticazione (es. codice + parola chiave) e sfruttando il proprio profilo di autorizzazione.

3) D. Se si trattano solo dati personali non sensibili, è obbligatoria la parola chiave?

R. Si, la parola chiave rimane obbligatoria; cambia solo la frequenza con cui deve essere
variata, che passa da 3 a 6 mesi.

4) D. Può uno stesso incaricato avere più parole chiave?

R. Si, poiché si rafforzano ulteriormente le misure di sicurezza. Il codice utente è invece
univoco.

5) D. Posso inserire una password inferiore a 8 caratteri?

R. Si, ma solo se lo strumento elettronico che si utilizza prevede un numero inferiore ad 8
caratteri. In questo caso si dovrà comunque utilizzare il numero massimo di caratteri previsto
dallo strumento elettronico.

6) D. Il DPS deve essere riscritto tutti gli anni?

R. Il DPS non deve essere totalmente riscritto tutti gli anni ma deve invece essere
aggiornato entro il 31-03 di ogni anno.

7) D. Coloro che saranno assunti dopo il 31-12-2004 dovranno essere formati?

R. Si, la formazione è tassativamente obbligatoria anche dopo il 31-12-2004: la formazione
deve essere costante e continuativa nel tempo.
Network Professionale Torreggiani - Grasselli:
via Piccard 16/g - 42100 Reggio Emilia - Tel. 0522/30.11.69 - fax 0522/38.79.96

8) D. Può essere nominata incaricato una divisione operativa od una filiale secondaria
dell'azienda?

R. No, poiché l'incaricato può essere solo una persona fisica a differenza del titolare e del
responsabile che invece possono essere anche soggetti diversi dalla persona fisica.

9) D. Chi deve redigere il DPS?

R. Devono redigere il DPS tutti coloro che trattano dati sensibili con strumenti elettronici; il
DPS è comunque fortemente consigliato anche per tutti gli altri.

10) D. La notifica, ove dovuta, può essere inviata anche per fax o lettera
raccomandata?

R. No, la notifica, nei rari casi in cui è dovuta, può essere inviata solo in modo telematico con
firma digitale. Non sono ammesse altre modalità di invio.

11) D. Come può essere dimostrata l'avvenuta formazione?

R. Ad esempio con idonei certificati rilasciati da soggetti esterni all'azienda (organizzatori dei
corsi) che attestino l'avvenuta partecipazione al corso di formazione.

12) D. Può un titolare essere anche responsabile?

R. Si. In particolare nelle piccole strutture (pensiamo ad esempio allo studio professionale
individuale), il titolare potrà essere anche responsabile ed incaricato contemporaneamente.

13) D. Quando è obbligatorio fare i salvataggi?

Solo se si trattano dati sensibili?
R. I salvataggi sono sempre obbligatori, sia che si trattino dati personali che dati sensibili.
Devono essere fatti con cadenza almeno settimanale e con gli strumenti ritenuti più idonei
caso per caso: si potranno quindi usare cd, nastri, penne usb, ecc.