- Il Documento Programmatico sulla Sicurezza (DPS) ai sensi del D.lgs 196/2003 allegato B – capo secondo art.34, comma 1 lettera g è un documento che entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato. Di fatto, il DPS è indispensabile per dimostrare “a terzi” l’applicazione delle misure “idonee” quando si utilizzano strumenti informatici. Il documento viene messo a disposizione di tutti i soggetti incaricati, interni ed esterni, al trattamento dei dati personali e tutti sono tenuti a rispettare quanto in esso previsto, al fine di salvaguardare il trattamento dei dati, intendendo per trattamento dei dati, così come disposto dall’art. 4:
“qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l‘organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.”
Il Documento Programmatico sulla Sicurezza:
-
identifica tutti i trattamenti gestiti, sia mediante l’uso di strumenti elettronici, sia mediante l’uso di strumenti non elettronici;
-
evidenzia i compiti e le responsabilità relative a tutti i soggetti preposti al trattamento dei dati, consentendo in tal modo di avere un quadro completo dell’organizzazione attualmente adottata;
-
riporta una dettagliata analisi dei rischi che incombono sui dati e delle misure già adottate e quelle da adottare per garantirne l’integrità, nonché tutte le misure adottate per la protezione dei locali nei quali vengono trattati i dati;
-
evidenzia i criteri e le procedure adottate per le copie di sicurezza e il ripristino dei dati trattati;
-
dettaglia la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
-
la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare consente;
-
in presenza di trattamenti affidati all’esterno, di identificare il soggetto destinatario di tali dati nonché le misure adottate o da adottare dallo stesso;
-
riporta i criteri e le procedure adottate per la cifratura o la separazione dei dati idonei a rilevare lo stato di salute e la vita sessuale dell’interessato.
Tale documento deve essere obbligatoriamente predisposto nel caso di trattamento di dati sensibili o giudiziari. Questo è il caso di una Pubblica Amministrazione che tratta, per la gestione delle incombenze di legge ed i servizi istituiti in favore della collettività amministrata, una molteplicità di dati fra cui sicuramente dati definiti dalla normativa “sensibili”. In alcuni casi particolari una pubblica amministrazione si trova a dover gestire anche dati definiti dalla legge“giudiziari” per i quale la normativa citata impone ulteriori misure specifiche di sicurezza a salvaguardia della privacy degli interessati.
- Il dps deve contenere ai sensi del dettame normativo previsto dal D.lgs 196/2003 i seguenti punti:
- 19.1. l’elenco dei trattamenti di dati personali;
- 19.2. la distribuzione dei compiti e delle responsabilità;
- 19.3. l’analisi dei rischi che incombono sui dati;
- 19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, (compresa protezione la protezione fisica);
- 19.5. la descrizione delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
- 19.6. la previsione di interventi formativi degli incaricati del trattamento;
- 19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti affidati all’esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
- 19.1 Elenco dei trattamenti di dati personali
- In questa sezione vengono indicati i database, dove sono “ospitati” e su quali macchine. Inoltre vengono definite le modalità dei trattamenti, le Finalità dei trattamenti (Chi interagisce con i trattamenti esterni ed interni?), i profili di autorizzazione dei vari Responsabili/Incaricati. L’elenco dei trattamenti viene normalmente effettuato utilizzando un questionario distribuito a varie strutture dell’Ente/Azienda. La redazione del questionario è compito particolarmente delicato ed è usualmente “one shot” in quanto occorre disporre del mandato del Top Management
-
19.2 Distribuzione dei compiti e delle responsabilità
-
Vengono individuati i responsabili dei sistemi di autenticazione, autorizzazione, antivirus, anti-intrusione, business continuity, backup and recovery, etc, il Responsabile del DPS. Si possono utilizzare anche specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), indicando le precise modalità per reperirli. Allegati (possibili): istruzioni agli Incaricati, custode delle password, continuità dell’accesso anche in assenza prolungata degli incaricati
-
19.3 Analisi dei rischi che incombono sui dati
-
Elenco dei rischi e Business Impact Analisys (BIA), in particolare per:
1) Distruzione o perdita accidentale dei dati;
2) Accessi non autorizzati;
3) Perdita dell’integrità dei dati;
4) Indisponibilità dei sistemi;
5) Contromisure per ogni rischio;
6) Rischio residuo;
Esempi di rischi
Guasto ai sistemi complementari (energia, condizionamento, etc.)
Sottrazione delle credenziali di autenticazione
Carenza di consapevolezza
Comportamenti sleali o fraudolenti
- Errori materiali
- Malware (virus, spamming, etc.)
- Intercettazioni di informazioni in rete
- Accessi non autorizzati ai locali
- Furto di documenti o di hw
- Eventi distruttivi naturali (terremoti, incendi, alluvioni)
Errori umani nella gestione della sicurezza fisica)
19.4 Misure in essere e da adottare
Occorre indicare, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati e cioè:
-
la minaccia che si intende contrastare;
-
la tipologia della misura (preventiva, di contrasto, di contenimento degli effetti ecc.);
-
le informazioni relative alla responsabilità dell’attuazione e della gestione della misura;
-
i tempi di validità delle scelte (contratti esterni, aggiornamento di prodotti, ecc.);
-
gli ambiti cui si applica (ambiti fisici -un reparto, un edificio, ecc.– o logici – una procedura, un’applicazione, ecc.-)
19.5 Criteri e modalità di ripristino della disponibilità dei dati
Occorre indicare i criteri e le procedure adottati per il backup e il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati
Business continuity
Disaster Recovery
19.6 Pianificazione degli interventi formativi previsti
Gli interventi formativi devono riguardare:
-
Conoscenza dei rischi;
-
Responsabilità;
-
Contromisure adottate;
-
Codice di comportamento.
Devono essere erogati al personale prima dell’entrata in servizio o del cambio di mansioni
19.7 Trattamenti affidati all’esterno
Occorre fornire un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione del quadro giuridico o contrattuale (nonché organizzativo e tecnico) Occorre fornire ai terzi il proprio DPS e risulta necessario predisporre un opportuno piano di verifica e controllo.
19.8 Cifratura o separazione dei dati identificativi
In questa sezione occorre descrivere le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura -o la separazione fra dati identificativi e dati sensibili-, nonché i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie (regola 24).
Scrivi un commento
Accedi per poter inserire un commento