Doc-Privacy
Informazioni e Documenti sulla Privacy
Il DPS - Documento Programmatico sulla Sicurezza
Il DPS è, probabilmente, la misura di sicurezza più nota! Come si redige un DPS? Quali sono i fattori da considerare? Che cos'è l'Analisi dei rischi?
 
Esclusivamente il titolare dei dati sensibili trattati in formato elettronico redige, entro il 31 marzo di ogni anno, il Documento Programmatico sulla Sicurezza. Il DPS deve prevedere obbligatoriamente delle voci delle quali offriamo una breve descrizione e spiegazione
Elenco trattamento dati personali.
Che tipo di dati trattiamo? Identifichiamoli, esplicitiamone le finalità e le modalità di trattamento; definiamo, inoltre, delle procedure che ci permettano di chiarire quali uffici accedono a quali tipi di dati. Potrebbe essere utile realizzare delle griglie o tabelle sinottiche, piuttosto che sviluppare un testo. Se l'elenco è vasto ed articolato si può pensare di abbinare delle griglie, al testo. Tale elenco si può sviluppare così:
1. Tipo dati (Nome, Indirizzo, email, ...)
2. Interessato (clienti, personale, fornitori, ...)
3. Natura dei dati (personali, sensibili, ...)
4. Strumenti (PC: gestionale, cartaceo, ...)
5. Finalità (contrattuali, commerciali, comunicazione, ...)
6. Struttura (amministrazione, contabilità, ...)
A seconda della grandezza della struttura (nostri uffici) o della quantità dei trattamenti si può pensare di organizzare delle tabelle che procedano filtrando i campi per macrocategoria: il filtro "ufficio" si dovrebbe rivelare ottimale nella stragrande maggioranza dei casi.
Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati.
Si tratta di abbinare un profilo (incaricato contabilità, ad esempio) ad una serie di trattamenti (cartaceo e/o informatizzato) consentiti su una serie di dati. Cioè stabilire chi ha accesso a quali dati. Anche in questo caso si consiglia far seguire una tabella sinottica del tipo:
1. Incaricato Contabile
2. Ufficio Clienti
3. Software foglio di calcolo
4. Dati: nome, ragione sociale, partita IVA
con un documento avente la caratteristica del mandato o del regolamento, attraverso il quale il titolare stabilisca ordini e doveri:
"L'incaricato presiede a... (i dati contabili), ha il dovere di... (trattarli con diligenza), non può... (divulgarli a terzi non autorizzati)"
Analisi dei rischi
Deve consentire di individuare immediatamente le criticità, con riferimento ai rischi sia elettronici che fisici, supportando l'adozione di procedure tese ad implementare le misure di sicurezza (è in pratica una valutazione ex ante). Si consiglia di redigerla sotto forma di tabella sinottica.
1. Categoria rischio (fisico, informatico, ...)
2. Tipologia rischio (furto, sottrazione delle password, ...)
3. Gravità (lieve, grave, ...)
4. Contromisura (porte antincendio, divieto di scrivere su carta la password)
Si consiglia di accompagnare la tabella con una descrizione sia del rischio, che della misura adottata, nonché di esplicitare i criteri che ci portano a definire la gravità del rischio.
Misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità.
Questa misura ha carattere prevalentemente descrittivo e prescrittivo (ovvero ci consente di spiegare cosa facciamo).
Ad esempio, alla voce virus, possiamo contrapporre l'utilizzo obbligatorio di software antivirus, regolarmente installato sulle macchine.
Il DPS deve avere carattere sostanziale, non formale (qualora fossimo chiamati a rispondere per danno patrimoniale dovremmo dimostrare di esserci comportati in modo corretto e coscienzioso), quindi non basta installare l'antivirus, ma bisogna ordinare una procedura di scansione, che venga effettivamente realizzata, e sulla quale noi, come titolari, o il responsabile, dobbiamo vigilare.
Può essere a tal fine utile redigere una tabella d'impatto delle misure, che moltiplichi, ad esempio, il peso del rischio della tabella precedente (analisi dei rischi) con il peso della contromisura adottata (che potrebbe essere un indicatore della probabilità dell'evento o un indicatore d'impatto della contromisura)
- Gravità*probabilità=rischio
- Gravità*contromisura=rischio
Naturalmente dobbiamo descrittivamente e ragionevolmente motivare le nostre valutazioni. Ovvero creare una scala dei rischi in base a delle argomentazioni chiare e condivisibili da chiunque si trovi a leggere il nostro DPS.
Qualora il rischio continui ad essere alto, anche a fronte della contromisura adottata dovremmo:
1. programmare azioni di contromisura
2. motivare la mancata adozione di contromisure attraverso un'analisi costi-benefici.
3. motivare la mancata adozione di contromisure, in quanto la sola contromisura adottabile non è un obbligo di legge ed è un rischio tollerato o calcolato.
Si osservi che si devono chiarire le procedure per recuperare i dati in caso di incidente che ne mini la disponibilità con riferimento al ripristino degli stessi in tempi comunque non superiori ai 7 giorni (vedi le altre misure di sicurezza).
Ma quali sono questi rischi che dobbiamo pesare?
Il garante ha prodotto dei modelli di tabelle per DPS facilmente consultabili sul suo sito istituzionale. Vi diamo qualche idea: dividete i rischi fra quelli che possono essere originati dagli operatori, dal contesto ambientale e dalle minacce informatiche tout court.
Avremo vari rischi, da ricondurre alla propria macrocategoria: sottrazione di credenziali di autenticazione, carenza di consapevolezza, disattenzione, incuria, comportamenti sleali e fraudolenti, virus, malware, troiani, spamming, intercettazioni di informazioni in rete, sottrazione di strumenti contenenti dati, furto, incendio, inondazione... insomma sbizzarritevi ma fate un'analisi seria e chiara.
Formazione
Il DPS deve contenere precise indicazioni circa "la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali"
La formazione può essere affidata a strutture esterne o a personale qualificato interno. Ciò che conta è che il DPS deve prevedere necessariamente l'adozione di interventi formativi mirati (semmai rimandando ai piani di formazione che genericamente si fanno in azienda.
Descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare
Innanzitutto tale struttura esterna va nominata responsabile del trattamento.
Ma quali sono queste responsabilità?
Dipende: tanto più il responsabile ci è lontano tanto più vale la pena aumentarne la responsabilità fino a farla quasi coincidere con quella del titolare!
Va precisato che la lettera di nomina è un atto bilaterale col quale il responsabile deve accettare i doveri che il titolare gli affida.
Perché il responsabile è tale non solo di fronte alla legge, come tutti, ma di fronte al titolare, che per non essere colpevole di omissione di vigilanza, deve approntare una stringente procedura di controllo.
Di solito un'azienda nomina responsabile il dirigente o il direttore di un'altra azienda o filiale presso la quale deve essere garantita la sicurezza informatica e logistica. Il responsabile avrà degli obblighi coincidenti con quelli del titolare, ed in più dovrà sottostare ai controlli o ai particolari protocolli aziendali che il Titolare gli ordina di osservare. In pratica la condizione di questo responsabile è anche più gravosa di quella del titolare!
(Un'azienda può comunque nominare dei responsabili "light", laddove, per esempio, in un'unica struttura, voglia organizzare più centri di responsabilità, ai quali affidare un numero più ristretto di compiti).
Ma è ovvio che nel caso in cui ti affidi ad una struttura esterna che tratta dati di tua titolarità (non tanto tuoi dati, ma dati di terzi a te affidati!), bisogna espressamente prevedere nel proprio DPS aziendale una serie di regole stringenti e severe.
Per esempio si potrebbe inserire fra le clausole di risoluzione del contratto il mancato rispetto delle misure di legge. O comunque incassare una dichiarazione, in sede di scelta del partner in outsourcing, in cui la parte, ovvero il responsabile, dichiari di aver ottemperato agli obblighi di legge, si vincola al rispetto del segreto d'ufficio, etc.
Visto che il titolare deve vigilare sul responsabile, tale persona fisica o giuridica dovrà periodicamente confermare la propria conformità alle norme di legge e alla tua privacy policy. Per tutelarti può essere utile richiedergli dei report annuali di conformità!
Ma come faccio a controllare il medico 626!
Non ti preoccupare, non devi controllarlo!
Bisogna precisare che i professionisti appartenenti agli ordini, nell'ambito delle loro mansioni d'ufficio, come commercialista, consulente del lavoro, medico 626, sono autonomi titolari. Sarebbe un po' difficile obbligare il commercialista ai tuoi controlli!
Ma mica devo controllare il mio provider internet?
La stessa cosa dicasi per i provider internet a cui puoi affidare i tuoi dati. Sono autonomi titolari.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
I dati sensibili o giudiziari devono essere protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. L'azienda o lo studio devono, quindi, dotarsi di adeguati software antivirus, firewall, antispyware, etc.

Devono essere impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Lo puoi scrivere nel DPS o nelle lettere di nomina agli incaricati

I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
Doc-Privacy.it © 2006-2015 Deucalione

Informativa Privacy - Mappa Sito - Note e Avvertenze