Le misure di sicurezza da adottare ai fini della Privacy Le misure di sicurezza ai fini privacy riducono al minimo la possibilità di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato ai dati stessi o di trattamento non consentito o non conforme alle finalità della loro raccolta. Tali misure di sicurezza sono caratterizzate da: - interventi organizzativi e tecnici che prevengono, contrastano o minimizzano gli effetti delle minacce; - periodiche attività di verifica e controllo che assicurano l’efficacia nel tempo delle misure adottate. Nel dossier X-Privacy le misure di sicurezza, individuate in base allanalisi dei rischi, sono elencate nella scheda Misure minime e idonee di sicurezza, adottate o da adottare - [B41] e si distinguono in: - MISURE IDONEE, quelle che tengono conto dei nuovi e più aggiornati standard di sicurezza; - MISURE MINIME, quelle che assicurano un livello minimo di protezione dei trattamenti. Chi tratta dati personali con strumenti elettronici, ha l’obbligo di adottare le seguenti misure minime: a. un sistema di autenticazione informatica, vale a dire: - l’obbligo per ogni incaricato di impiegare per uno o più trattamenti le proprie credenziali di autenticazione, cioè username e password riservate e note solo all’assegnatario; - l’obbligo per gli incaricati di mantenere segrete e riservate le proprie credenziali; - l’obbligo di usare passwords sufficientemente complesse (almeno otto caratteri alfanumerici, con maiuscole, minuscole e caratteri speciali, assenza di riferimenti riconducibili allincaricato), passwords da modificare al primo utilizzo e poi da modificare almeno ogni 6 mesi (3 mesi in presenza di dati sensibili e/o giudiziari); - l’obbligo di non riassegnare gli username ad altri incaricati, neppure in tempi diversi; - l’obbligo di disattivare le credenziali inutilizzate da almeno sei mesi (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica); - l’obbligo di disattivare le credenziali in caso di revoca dell’incarico del trattamento; - l’obbligo per gli incaricati di non lasciare incustodito e accessibile il proprio PC; - l’obbligo per il titolare di custodire in busta chiusa le password di accesso esclusivo ad un PC, ad un programma o ad una o più funzioni di un programma garantendone, nel contempo, la relativa segretezza e individuandone preventivamente i soggetti incaricati di tale custodia. b. un sistema di autorizzazione, da adottare in presenza di diversi ambiti di profili di autorizzazione, cioè: - prima di iniziare a trattare i dati è necessario individuare e configurare i profili di autorizzazione per un incaricato o per classi omogenee di incaricati, in modo da limitare laccesso ai soli dati necessari; - l’obbligo di verificare, almeno annualmente, la necessità o meno di mantenere i profili predisposti. c. altre misure di sicurezza, vale a dire: - l’obbligo di proteggere i dati personali contro i rischi di intrusione e di danneggiamento installando e aggiornando (con cadenza almeno semestrale) sistemi antivirus e firewall; - l’obbligo di aggiornare periodicamente i sistemi operativi e i programmi (almeno ogni 6 mesi in presenza di dati sensibili e/o giudiziari); - l’obbligo di eseguire il salvataggio dei dati con frequenza almeno settimanale. A cura del Dott. Perrone - Intrastudio Bologna ([email protected])
Posted on: Fri, 25 Oct 2013 16:02:29 +0000
Trending Topics
Recently Viewed Topics
© 2015