 |
| Informazioni e Documenti sulla Privacy |
| Il DPS - Documento Programmatico sulla Sicurezza |
|
Il DPS è, probabilmente, la misura di sicurezza più nota! Come si
redige un DPS? Quali sono i fattori da considerare? Che cos'è
l'Analisi dei rischi? |
|
|
|
|
| Esclusivamente il titolare dei dati sensibili
trattati in formato elettronico redige, entro il
31 marzo di ogni anno, il Documento
Programmatico sulla Sicurezza. Il DPS deve prevedere
obbligatoriamente delle voci delle quali offriamo una breve
descrizione e spiegazione |
Elenco trattamento dati
personali.
Che tipo di dati trattiamo? Identifichiamoli, esplicitiamone le
finalità e le modalità di trattamento; definiamo, inoltre, delle
procedure che ci permettano di chiarire quali uffici accedono a
quali tipi di dati. Potrebbe essere utile realizzare delle griglie o
tabelle sinottiche, piuttosto che sviluppare un testo. Se l'elenco è
vasto ed articolato si può pensare di abbinare delle griglie, al
testo. Tale elenco si può sviluppare così:
1. Tipo dati (Nome, Indirizzo, email, ...)
2. Interessato (clienti, personale, fornitori, ...)
3. Natura dei dati (personali, sensibili, ...)
4. Strumenti (PC: gestionale, cartaceo, ...)
5. Finalità (contrattuali, commerciali, comunicazione, ...)
6. Struttura (amministrazione, contabilità, ...)
A seconda della grandezza della struttura (nostri uffici) o della
quantità dei trattamenti si può pensare di organizzare delle tabelle
che procedano filtrando i campi per macrocategoria: il filtro
"ufficio" si dovrebbe rivelare ottimale nella stragrande maggioranza
dei casi. |
Distribuzione dei compiti e
delle responsabilità nell'ambito delle strutture preposte al
trattamento dei dati.
Si tratta di abbinare un profilo (incaricato contabilità, ad
esempio) ad una serie di trattamenti (cartaceo e/o informatizzato)
consentiti su una serie di dati. Cioè stabilire chi ha accesso a
quali dati. Anche in questo caso si consiglia far seguire una
tabella sinottica del tipo:
1. Incaricato Contabile
2. Ufficio Clienti
3. Software foglio di calcolo
4. Dati: nome, ragione sociale, partita IVA
con un documento avente la caratteristica del mandato o del
regolamento, attraverso il quale il titolare stabilisca ordini e
doveri:
"L'incaricato presiede a... (i dati contabili), ha il dovere di...
(trattarli con diligenza), non può... (divulgarli a terzi non
autorizzati)" |
Analisi dei rischi
Deve consentire di individuare immediatamente le criticità, con
riferimento ai rischi sia elettronici che fisici, supportando
l'adozione di procedure tese ad implementare le misure di sicurezza
(è in pratica una valutazione ex ante). Si consiglia di redigerla
sotto forma di tabella sinottica.
1. Categoria rischio (fisico, informatico, ...)
2. Tipologia rischio (furto, sottrazione delle password, ...)
3. Gravità (lieve, grave, ...)
4. Contromisura (porte antincendio, divieto di scrivere su carta la
password)
Si consiglia di accompagnare la tabella con una descrizione sia del
rischio, che della misura adottata, nonché di esplicitare i criteri
che ci portano a definire la gravità del rischio. |
Misure da adottare per
garantire l'integrità e la disponibilità dei dati, nonché la
protezione delle aree e dei locali, rilevanti ai fini della loro
custodia e accessibilità.
Questa misura ha carattere prevalentemente descrittivo e
prescrittivo (ovvero ci consente di spiegare cosa facciamo).
Ad esempio, alla voce virus, possiamo contrapporre l'utilizzo
obbligatorio di software antivirus, regolarmente installato sulle
macchine.
Il DPS deve avere carattere sostanziale, non formale (qualora
fossimo chiamati a rispondere per danno patrimoniale dovremmo
dimostrare di esserci comportati in modo corretto e coscienzioso),
quindi non basta installare l'antivirus, ma bisogna ordinare una
procedura di scansione, che venga effettivamente realizzata, e sulla
quale noi, come titolari, o il responsabile, dobbiamo vigilare.
Può essere a tal fine utile redigere una tabella d'impatto delle
misure, che moltiplichi, ad esempio, il peso del rischio della
tabella precedente (analisi dei rischi) con il peso della
contromisura adottata (che potrebbe essere un indicatore della
probabilità dell'evento o un indicatore d'impatto della
contromisura)
- Gravità*probabilità=rischio
- Gravità*contromisura=rischio
Naturalmente dobbiamo descrittivamente e ragionevolmente motivare le
nostre valutazioni. Ovvero creare una scala dei rischi in base a
delle argomentazioni chiare e condivisibili da chiunque si trovi a
leggere il nostro DPS.
Qualora il rischio continui ad essere alto, anche a fronte della
contromisura adottata dovremmo:
1. programmare azioni di contromisura
2. motivare la mancata adozione di contromisure attraverso
un'analisi costi-benefici.
3. motivare la mancata adozione di contromisure, in quanto la sola
contromisura adottabile non è un obbligo di legge ed è un rischio
tollerato o calcolato.
Si osservi che si devono chiarire le procedure per recuperare i dati
in caso di incidente che ne mini la disponibilità con riferimento al
ripristino degli stessi in tempi comunque non superiori ai 7 giorni
(vedi le altre misure di sicurezza). |
| Ma quali sono questi rischi che dobbiamo pesare? |
Il garante ha prodotto dei modelli di tabelle per DPS
facilmente consultabili sul suo sito istituzionale. Vi diamo qualche
idea: dividete i rischi fra quelli che possono essere originati
dagli operatori, dal contesto ambientale e dalle minacce
informatiche tout court.
Avremo vari rischi, da ricondurre alla propria macrocategoria:
sottrazione di credenziali di autenticazione, carenza di
consapevolezza, disattenzione, incuria, comportamenti sleali e
fraudolenti, virus, malware, troiani, spamming, intercettazioni di
informazioni in rete, sottrazione di strumenti contenenti dati,
furto, incendio, inondazione... insomma sbizzarritevi ma fate
un'analisi seria e chiara. |
Formazione
Il DPS deve contenere precise indicazioni circa "la previsione di
interventi formativi degli incaricati del trattamento, per renderli
edotti dei rischi che incombono sui dati, delle misure disponibili
per prevenire eventi dannosi, dei profili della disciplina sulla
protezione dei dati personali più rilevanti in rapporto alle
relative attività, delle responsabilità che ne derivano e delle
modalità per aggiornarsi sulle misure minime adottate dal titolare.
La formazione è programmata già al momento dell'ingresso in
servizio, nonché in occasione di cambiamenti di mansioni o di
introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali"
La formazione può essere affidata a strutture esterne o a personale
qualificato interno. Ciò che conta è che il DPS deve prevedere
necessariamente l'adozione di interventi formativi mirati (semmai
rimandando ai piani di formazione che genericamente si fanno in
azienda. |
Descrizione dei criteri da
adottare per garantire l'adozione delle misure minime di sicurezza
in caso di trattamenti di dati personali affidati, in conformità al
codice, all'esterno della struttura del titolare
Innanzitutto tale struttura esterna va nominata responsabile del
trattamento. |
| Ma quali sono queste responsabilità? |
Dipende: tanto più il responsabile ci è lontano tanto
più vale la pena aumentarne la responsabilità fino a farla quasi
coincidere con quella del titolare!
Va precisato che la lettera di nomina è un atto bilaterale col quale
il responsabile deve accettare i doveri che il titolare gli affida.
Perché il responsabile è tale non solo di fronte alla legge, come
tutti, ma di fronte al titolare, che per non essere colpevole di
omissione di vigilanza, deve approntare una stringente procedura di
controllo.
Di solito un'azienda nomina responsabile il dirigente o il direttore
di un'altra azienda o filiale presso la quale deve essere garantita
la sicurezza informatica e logistica. Il responsabile avrà degli
obblighi coincidenti con quelli del titolare, ed in più dovrà
sottostare ai controlli o ai particolari protocolli aziendali che il
Titolare gli ordina di osservare. In pratica la condizione di questo
responsabile è anche più gravosa di quella del titolare!
(Un'azienda può comunque nominare dei responsabili "light", laddove,
per esempio, in un'unica struttura, voglia organizzare più centri di
responsabilità, ai quali affidare un numero più ristretto di
compiti).
Ma è ovvio che nel caso in cui ti affidi ad una struttura esterna
che tratta dati di tua titolarità (non tanto tuoi dati, ma dati di
terzi a te affidati!), bisogna espressamente prevedere nel proprio
DPS aziendale una serie di regole stringenti e severe.
Per esempio si potrebbe inserire fra le clausole di risoluzione del
contratto il mancato rispetto delle misure di legge. O comunque
incassare una dichiarazione, in sede di scelta del partner in
outsourcing, in cui la parte, ovvero il responsabile, dichiari di
aver ottemperato agli obblighi di legge, si vincola al rispetto del
segreto d'ufficio, etc.
Visto che il titolare deve vigilare sul responsabile, tale persona
fisica o giuridica dovrà periodicamente confermare la propria
conformità alle norme di legge e alla tua privacy policy. Per
tutelarti può essere utile richiedergli dei report annuali di
conformità! |
| Ma come faccio a controllare il medico 626! |
Non ti preoccupare, non devi controllarlo!
Bisogna precisare che i professionisti appartenenti agli ordini,
nell'ambito delle loro mansioni d'ufficio, come commercialista,
consulente del lavoro, medico 626, sono autonomi titolari. Sarebbe
un po' difficile obbligare il commercialista ai tuoi controlli! |
| Ma mica devo controllare il mio provider internet? |
| La stessa cosa dicasi per i provider internet a cui
puoi affidare i tuoi dati. Sono autonomi titolari. |
Ulteriori misure in caso di
trattamento di dati sensibili o giudiziari
I dati sensibili o giudiziari devono essere protetti contro
l'accesso abusivo, di cui all'art. 615-ter del codice penale,
mediante l'utilizzo di idonei strumenti elettronici. L'azienda o lo
studio devono, quindi, dotarsi di adeguati software antivirus,
firewall, antispyware, etc.
Devono essere impartite istruzioni organizzative e tecniche per la
custodia e l'uso dei supporti rimovibili su cui sono memorizzati i
dati al fine di evitare accessi non autorizzati e trattamenti non
consentiti. Lo puoi scrivere nel DPS o nelle lettere di nomina agli
incaricati
I supporti rimovibili contenenti dati sensibili o giudiziari se non
utilizzati sono distrutti o resi inutilizzabili, ovvero possono
essere riutilizzati da altri incaricati, non autorizzati al
trattamento degli stessi dati, se le informazioni precedentemente in
essi contenute non sono intelligibili e tecnicamente in alcun modo
ricostruibili. |
Vedi Indici Misure Minime di Sicurezza -
Articoli Privacy |
|
