Privacy
Contatto del DPO (nuovo regolamento privacy)
È stato nominato un Responsabile della Protezione dei Dati (DPO/RPD) che potrete contattare per domande sulla policy e le prassi privacy adottate all’indirizzo e-mail dpo@art39-gdpr.it
INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI
Il D.Lgs. del 30 giugno 2003, n. 196, entrato in vigore il 01/01/2004, prevede, tra le "misure minime di sicurezza", il "documento programmatico sulla sicurezza" (DPS), da adottarsi per coloro che trattano dati sensibili o giudiziari, attraverso l'utilizzo di sistemi informatici. Tale documento, rientrando tra le misure cosiddette "minime", deve essere aggiornato o adottato entro il 30 giugno 2004, se non si vuole incorrere in sanzioni di tipo penale. Su tal punto il Garante per la Privacy ha affermato che: "(.) l'omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell'Allegato B) del Codice, costituisce anche reato (.)".
Il documento programmatico sulla sicurezza deve contenere idonee informazioni riguardanti:
2. l'elenco dei trattamenti di dati personali;
3. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
4. l'analisi dei rischi che incombono sui dati;
5. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
6. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (.);
7. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
8. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
9. per i dati personali idonei a rilevare lo stato di salute e la vita sessuale (.), l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Tale documento non deve essere trasmesso al Garante, come invece deve avvenire per tutte quelle fattispecie rientranti nell'art. 37 del "Codice della Privacy", in tema di notifica del trattamento dei dati personali.
Cosa dice l'informativa per il trattamento dei dati personali?
Gli adempimenti inerenti la sicurezza dei dati e dei sistemi informatici, in particolare l'allegato B (Disciplinare tecnico in materia di misure minime di sicurezza) prevede, tra le modalità tecniche da adottare in caso di trattamento con l'ausilio di strumenti elettronici, il ricorso a sistemi di autenticazione informatica e di autorizzazione degli incaricati, mediante codice di identificazione personale ( username ) e parola chiave ( password ). Questo rende non utilizzabili alcuni Sistemi operativi quali: Windows 95, Windows 98 e Windows ME; con l'obbligo quindi di migrare verso i più recenti Windows 2000, Windows XP o passare alla piattaforma LINUX.
Sarebbe possibile comunque mantenere i vecchi S.O. sopra citati se si dotassero i PC di dispositivi di autenticazione come smart card ; o con l'impiego delle tecnologie biometriche per la loro elevata capacità di verificare l'identità tramite il riconoscimento delle impronte digitali, dell'iride, del timbro di voce e perfino dei tratti somatici del volto.
Quest'ultima eventualità sarebbe comunque da scartare in quanto Windows 95, 98, Me non possono essere protetti in maniera adeguata poiché la libreria di rete Tcp/Ip del sistema operativo è molto fragile ed insicura nelle versioni di Windows nate prima dell'era INTERNET e quindi facilmente attaccabile dall'esterno.
Un'altra considerazione da fare riguarda la connessione a INTERNET . Essa è divenuta il canale principale per la propagazione di virus e worm che oltre a rallentare il PC, mettono a rischio la privacy. Il FIREWALL neutralizza la maggior parte di queste minacce sorvegliando i dati scambiati con la rete INTERNET e bloccando tuttociò che non è autorizzato.
La scelta del tipo di FIREWALL più adatto è guidata dal tipo di connessione a INTERNET e dal sistema Operativo dei computer da proteggere.
Esistono due tipi di FIREWALL: quelli di rete, che proteggono un'intera rete locale, e quelli individuali, che proteggono un solo computer.
I FIREWALL di rete sono realizzati con apparecchi autonomi, software installati su Server dedicati o moduli software installati nel router di accesso a INTERNET.
I FIREWALL individuali sono semplici programmi installati su PC.
Quali adottare nelle nostre strutture?
• I FIREWALL di rete sono sicuramente i più sicuri anche se più costosi; con uno solo di questi strumenti si possono proteggere tutti i PC collegati in rete.
• Se, per esempio, nella vostra Scuola avete 3 accessi ad INTERNET:
• 1 per la rete di SEGRETERIA
• 1 per la rete DIDATTICA
• 1 per il collegamento di un singolo PC alla RUPAR
potreste inserire due FIREWALL di rete, uno per la rete di Segreteria ed uno per la rete DIDATTICA; per quanto riguarda il terzo collegamento, alla RUPAR, la scelta cadrebbe su un FIREWALL individuale.
Quali ulteriori interventi sono quindi necessari?
- Verificare che tutti i PC siano dotati di S.O. Windows 2000 o XP o LINUX, in alternativa predisporre i PC di autenticazione d'accesso tramite sistemi di riconoscimento biometrici o smart card.
- Dotare tutti i PC con accesso ad INTERNET di un FIREWALL (di rete o individuale).
- Installare su tutti i PC un software ANTIVIRUS, aggiornandolo regolarmente.
- Installare un Proxy Server per il controllo ed il monitoraggio degli accessi ad INTERNET.
Per poter ottemperare a quanto stabilito dal D. Legge n. 196 del 30 giugno 2004 sono stati predisposti i seguenti moduli, liberamente scaricabili.