riservatezza e protezione dei dati personali negli enti ...€¦ · ambito di applicazione e...
TRANSCRIPT
Riservatezza e protezione dei dati personali negli enti locali in relazione
al codice Privacy:
l’esperienza del Comune di Treviglio
Ambito di applicazione e finalitàArt. 1 (Diritto alla protezione dei dati personali)Chiunque ha diritto alla protezione dei dati personali che lo riguardano
Il diritto alla protezione dei dati personali , quale prerogativa fondamentale della persona, è stato introdotto nell’ord inamento in attuazione dell’art. 8 della Carta dei diritti fondam entali dell’Unione Europea del 7.12.2000 e deve considerarsi quale diritt o autonomo e distinto rispetto al diritto alla riservatezza sostanziandosi nel diritto del suo titolare di conoscere e controllare la circolaz ione delle informazioni che lo riguardano.
Ambito di applicazione e finalità
Art. 2 (Finalità)
• diritto alla riservatezza• diritto all’identità personale • diritto alla protezione dei dati personali
Organizzazione
Trasparenza
Gestione delle informazioni
Sistemi informativi
Ottimizzare il rapporto con l’utenza
Dati Gestiti
� Definizione delle logicheorganizzative (tempi, ruoli, responsabilità) per la gestione delle informazioni cartacee
Obiettivo Finale
� Definizione delle logicheorganizzative (tempi, ruoli, responsabilità) per la gestione delle informazioni elettroniche
Efficienza Efficacia
Rispetto della
privacy
- Il contesto organizzativo -
� art. 3principio di necessità
� art. 11principi di:- finalità- liceità- proporzionalità: pertinenza e non eccedenza- correttezza e completezza
Principi generali
Qualunque informazione relativa a persona fisica, person a giuridica, ente od associazione, identificati o identificabili , anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Esempio: nome e cognome o denominazione; indirizzo o sede; codice fiscale; ma anche una foto, la registrazione della voce di una persona, la sua impronta digitale o vocale.
Definizioni e soggetti- Art. 4 Dato personale -
Quei particolari dati personali idonei a rivelare:
� origine: razziale ed etnica
� convinzioni: religiose, filosofiche o di altro genere
� opinioni: politiche, adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale
� stato di salute e vita sessuale
� anagrafe
� servizi alla persona, cultura, educazione, commercio, suap
� anagrafe, personale, servizi alla persona, cultura, polizia locale, commercio, suap
� polizia locale, personale, servizi alla persona, educazione
UFFICI COINVOLTI (esempi)
- Art. 4 Dato sensibile -
� polizia locale, commercio, suap,
anagrafe, contratti
� polizia locale, commercio, suap,
Quei particolari dati personali idonei a rivelare:
UFFICI COINVOLTI (esempi)
- Art. 4 Dato giudiziario -
� provvedimenti relativi a: condanne penali, procedimenti penali in corso, sanzioni amministrative derivanti da reati penali
� la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del Codice di Procedura Penale
Qualunque operazione o complesso di operazioni, effett uati anche
senza l'ausilio di strumenti elettronici, concernenti:
raccolta registrazione organizzazione
conservazione consultazione elaborazione
modificazione selezione estrazione
raffronto utilizzo interconnessione
blocco comunicazione diffusione
cancellazione distruzione
di dati, anche se non registrati in una banca di dati
- Art. 4 Trattamento dati personali -
Il dare conoscenza dei dati personali a uno o più sog getti determinati diversi dall‘Interessato, dal rappresentante del Titolare nel territorio dello Stato, dal Responsabile e dagli Incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Definizioni e soggetti- Art. 4 Comunicazione -
Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione
Esempio: pubblicazione albo pretorio; pubblicazione su sito internet
Definizioni e soggetti- Art. 4 Diffusione -
� Responsabile
� Amministratore di rete /sistema / database (fac.)
� Incaricato
TitolareComune di ………..
� Responsabile in outsourcing (fac.)
� Interessato
Cittadino; Dipendente; Fornitore
Definizioni e soggetti- I soggetti coinvolti nel trattamento -
L'interessato ha diritto di:
• ottenere informazioni e trattamenti specifici sui dat i personaliche lo riguardano (cfr. art. 13 – Informativa)
• opporsi al trattamento, per motivi legittimi, dei dati che lo riguardano
• ottenere cancellazione, trasformazione in forma anoni ma o blocco dei dati trattati in violazione di legge
• Cfr. Deliberazione del 23.12.2004 n. 14 “Contributo spese in caso di esercizio dei diritti dell'interessato” (G.U. 55 del 08.03.2005)
- Art.7 - Diritti dell’interessato -
� le finalità e le modalità del trattamento cui sono destinati i dati
� la natura obbligatoria o facoltativa del conferimento dei dati
� le conseguenze di un eventuale rifiuto di rispondere
� i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi
Regole generali per il trattamento dei dati
- Art. 13 - Informativa -
I soggetti pubblici devono richiedere il consenso?
- Artt. 18 a 22 - Principi per i trattamenti effettuati da soggetti pubblici -
NO
Regole per i soggetti pubblici
• ai soggetti pubblici (esclusi gli enti pubblici eco nomici ) NON serve il consenso
• qualunque trattamento di dati personali da parte di s oggetti pubblici è consentito soltanto per lo svolgimento del le funzioni istituzionali
• il trattamento di dati personali diversi da quelli se nsibili e giudiziari è consentito per lo svolgimento delle funzi oni istituzionali, anche in mancanza di una norma di leg ge o di regolamento che lo preveda espressamente
- Artt. 18 a 22 - Principi per i trattamenti effettuati da soggetti pubblici -
Regole per i soggetti pubblici
Art. 19 - DATI “COMUNI”
comunicazione ad altri soggetti pubblici
in assenza di norma di legge e di regolamento , è ammessa solo se:
• è necessaria allo svolgimento di funzioni istituziona li
• si effettua comunicazione al Garante e sono decorsi 45 gg. dal ricevimento (da parte del Garante) della comunicazione , salvo diversa determinazione anche successiva del Garante
- Artt. 18 a 22 - Principi per i trattamenti effettuati da soggetti pubblici -
Regole per i soggetti pubblici
Art. 19 - DATI “COMUNI”comunicazione a privati o enti pubblici economici;
diffusione
sono ammesse solo se previste da norme di legge o reg olamento
- Artt. 18 a 22 - Principi per i trattamenti effettuati da soggetti pubblici -
Regole per i soggetti pubblici
Artt. 20, 21 - DATI SENSIBILI / GIUDIZIARIIl trattamento è consentito solo se autorizzato da esp ressa disposizione di legge (o provvedimento del Garante) i n cui sono specificati:
� i tipi di dati trattabili� le operazioni eseguibili� le finalità di rilevante interesse pubblico perseguite
Esempio. Provvedimento del Garante per dati giudiziari: Autorizzazione n. 7 capo IV p.to 2 per trattamenti necessari ad accertare requisiti morali di soggetti che partecipano a gare, in adempimento a Codice Appalti
- Artt. 18 a 22 - Principi per i trattamenti effettuati da soggetti pubblici -
Regole per i soggetti pubblici
Artt. 20, 21 - DATI SENSIBILI / GIUDIZIARI
In assenza di individuazione dei dati sensibili / g iudiziari e delle operazioni eseguibili nella disposizione di legge, i l trattamento èconsentito solo adottando un apposito Regolamento
- Artt. 18 a 22 - Principi per i trattamenti effettuati da soggetti pubblici -
Regole per i soggetti pubblici
Art. 20, 21 - DATI SENSIBILI / GIUDIZIARI
Se il trattamento non è previsto da una disposizione di legge, èconsentito solo:� se viene richiesta al Garante l'individuazione delle attività, tra
quelle demandate dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato (ai sensi dell’art. 26, c. 2) il trattamento dei dati sensibili
- Artt. 18 a 22 - Principi per i trattamenti effettuati da soggetti pubblici -
Regole per i soggetti pubblici
Art. 22 - STATO DI SALUTE / VITA SESSUALE
I dati sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo.
Anche quando sono tenuti in elenchi, registri o banch e di dati non in formato elettronico valgono le modalità di trattamento previste precedentemente per il trattamento di dati sensibili/ giudiziari.
- Artt. 18 a 22 - Principi per i trattamenti effettuati da soggetti pubblici -
Regole per i soggetti pubblici
INTEGRITÀGestione accurata e completadelle informazioni, salvaguardia dell’esattezza dei dati, difesa da manomissioni o modifiche
RISERVATEZZAGaranzia che i dati siano accessibili solo alle persone autorizzate e preventivamente identificate, chegli accessi siano controllati
DISPONIBILITÀ(dei dati)Garanzia che i dati siano accessibili quando necessario
SICUREZZA D
EI DATI
Misure di sicurezza
Minime
Previste per i trattamenti
elettronici e non; il Codice
individua le Misure minime,
il Disciplinare tecnico (all. “B“
del Codice, aggiornato dal
legislatore) ne definisce le
modalità di attuazione
La violazione delle misure minime
=> sanzioni penali
Idonee
Definite in relazione a:
� natura dei dati
� progresso tecnico
� caratteristiche del trattamento
� per custodire e controllare i dati
riducendo i principali rischi
individuati
La violazione delle misure
� idonee => sanzioni civili
Misure di sicurezza
Lo scenario di partenza:
• 6 sedi sul territorio
• 15 server
• 150 Personal Computer
• PC diversi, portatili, blackberry
• Diverse esigenze: biblioteca, uffici
tecnici
• Utenti non dipendenti: volontari,
consulenti, etc…
29
La differenza tra ieri e oggi:
evoluzione delle minacce
• Ieri:
– Fatto per scherzo
– Semplici
– Molto tempo per diffondersi
– Scelta dell’obiettivo casuale
• Oggi:
– Fatto per guadagnare
– Sempre più sofisticati
– Diffusione immediata
– Scelta dell’obiettivo mirata
Il Comune di Treviglio
• Manuale con regole di buon comportmento
• Formazione:
• Spiegare il manuale• Istruire gli utenti• Condividere regole, problemi e soluzioni
• Individuazione dei vincoli
Tecnologia Presente in Comune� mix di prodotti riconosciuti ed affidabili (open source)
� Nessun costo di licenze
� Possibilità di espandere e personalizzare il sistema
� Flessibilità� Nessun supporto
� Necessità di competenze (consulenze)
Come li utilizziamo?
ESIGENZE:
• Inventario Hardware/Software..• Ticket System.• Gestione Contratti.• Monitoraggio logico e fisico.
INVENTARIO
COSA SI PUO’ INVENTARIARE:
• Hardware.• Software.• Licenze.• Apparati.• Monitor.• Telefonia su IP.• Ecc.
GESTIONE CONTRATTI
Correlazione di dati per la registrazione di contratti per:
• Fornitore.• Assets.• Costi.• Rinnovi.• SLA.
Necessità del Comune
� Unica interfaccia (open source) anche per:� Archivio dei log file (2 copie)
� Profilo diverso per amministratore e auditor
� Profilo auditor solo in visualizzazione� Rapido accesso anche per non tecnici
Sicurezza
Business e rischi in forte aumento
�Utilizzo non sicuro o non conforme deicomputer aziendali
�Accesso di guest non rilevato, non autorizzato o non sicuro
�Non verificata la sicurezza e la conformitàalle policies
Problema Soluzione
Garantire la conformitàdelle policy sui computer
�Policy basate su CHI,COSA e COME
�Rilevare, autorizzaree controllare i guest
�Report sulle attività e sulla conformità alle
policy
Desktop
Problema Soluzione
Perdita di sicurezza, controllo e produttività
�Protezione anti-malware out-of-date, firewall disabilitati o patch non applicate
�Utilizzo di applicazioniproibite
�Riconfigurazione non autorizzata dei computer
Check continui sulleconformità dei computer
�Risoluzione automaticadelle non conformità
�Rilevamento automaticodelle patch e signatures
�Rilevamento deicomputer
sconosciuti
Network
Problema Soluzione
Accessi non controllatial network aziendale
�Accesso alla reteaziendale non autorizzato
�Performance e disponibilità della retecompromessa
�Accesso alle risorsedell’azienda non segnalato in alcun modo
Controllo degli accessisenza modifiche allarete
�Reti remote e locali, connesse via cavo o wifi
�Nessun impatto sulleperformance della rete
�Report sullo stato degliaccessi alla rete
Regole di utilizzo
• L'incaricato deve ricevere istruzioni e responsabilità prima che inizi ad usare i sistemi
• I sistemi devono essere preparati primadi essere usati
• Si devono fare i backup– Almeno ogni settimana
• Conservare in modo sicuro le password “indispensabili”– P.e. in cassaforte
43
• Il “codice identificativo” univoco– Non riutilizzare username!
• Gestione delle password– Lunghezza minima
– Modifica almeno ogni sei mesi (ogni 3 per dati sensibili e giudiziari)
• Custodia degli strumenti– Per esempio: sul PC potrebbe
anche bastare lo screen-saver automatico con password (purché il timeout sia congruo con l'analisi dei rischi)
• Gestione incaricati per classi omogenee d'autorizzazione
44