|
AITSolutions fornisce la consulenza e servizi relativi alla redazione del DPS.
Perchè? entro il 31 marzo è obbligatorio l'aggiornamento annuale del Documento Programmatico sulla Sicurezza
contenente le informazioni sulle modalità di archiviazione dei dati sensibili e
sulle persone che vi hanno accesso; in alcuni casi il rinnovo del DPS
va effettuato anche in corso d’anno, ad esempio se viene acquistato un PC nuovo.
Valutazione del rischio informatico
La valutazione del Rischio Informatico Aziendale (BRP – Business Risk Profile)
viene effettuata tramite controlli operativi ed interviste ai referenti
informatici, analizzando sul posto i seguenti ambiti :
• Infrastruttura
• Applicazioni
• Operazioni
• Personale
Tale valutazione consente di identificare il rischio aziendale e le misure di
sicurezza da implementare per ottimizzare il livello di protezione interno ed
esterno dell’ organizzazione. A conclusione dell’analisi approndita del sistema
informativo, viene rilasciato un report cartaceo e digitale, utile a registrare
lo stato di salute del sistema informativo e confrontarlo con eventuali report
precedenti, in ottica di miglioramento continuo. Tale documentazione consente
anche di ottemperare al Dlgs 196/03, nell’ambito del controllo periodico della
sicurezza del sistema informatico, obbligatorio per Legge.
Le aree incluse nella valutazione sono :
• Infrastruttura
• Difesa perimetrale,autenticazione, gestione e monitoraggio, workstation
• Applicazioni – Distribuzione ed utilizzo, progettazione dell’applicazione,
archiviazione dati e comunicazioni
• Operazioni – Ambiente,protezione con politiche di sicurezza, backup e
ripristino, gestione patch ed aggiornamenti
• Persone – Requisiti ed assessment, criteri e procedure, formazione e
consapevolezza
Cos'è il DPS (sintesi)
La normativa sulla privacy prevede che ogni Azienda
debba adottare misure di sicurezza nel trattamento dei dati personali. Un primo
tipo di misure sono definite genericamente "idonee e preventive", finalizzate a
ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei
dati, di accesso non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta (art. 31 del Codice).
A questo primo
tipo, l'art. 33 aggiunge la seconda categoria delle "misure minime": i titolari
del trattamento sono, comunque, tenuti ad adottare uno specifico elenco di
misure minime (definite in particolare nell'allegato B al Codice della
privacy) volte ad assicurare, appunto, un livello minimo di protezione dei dati
personali.
Le misure di
sicurezza sono prevalentemente di carattere tecnico-operativo (password per
l'accesso ai trattamenti, salvataggio dei dati, protezione fisica dei supporti
magnetici e cartacei, ecc.) e logistico-organizzativo (assegnazione di
incarichi, istruzione e formazione) e competono a tutte le Aziende,
indipendentemente dal tipo di trattamenti effettuati.
Va, anzi,
chiarito che le misure di sicurezza devono essere approntate, non solo per i
trattamenti effettuati con strumenti elettronici, ma anche per quelli eseguiti
in forma cartacea.
Relativamente
al trattamento di dati personali effettuato con strumenti elettronici, l'art. 34
dispone che esso sia consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime:
a)
autenticazione informatica;
b) adozione di
procedure di gestione delle credenziali di autenticazione;
c)
utilizzazione di un sistema di autorizzazione;
d)
aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione
degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,
ad accessi non consentiti e a determinati programmi informatici;
f) adozione di
procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g) tenuta di
un aggiornato documento programmatico sulla sicurezza.
Per quanto
riguarda, invece, i trattamenti eseguiti senza l'ausilio di strumenti
elettronici, l'art. 35 prevede che lo stesso sia consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B,
le seguenti misure minime:
a)
aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b) previsione
di procedure per un'idonea custodia di atti e documenti affidati agli incaricati
per lo svolgimento dei relativi compiti;
c) previsione
di procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati.
In caso di
violazione dell'obbligo di adozione delle misure di sicurezza, l'art.
169 prevede l'arresto sino a due anni o l'ammenda da
diecimila euro a cinquantamila euro.
È però
consentito il cosiddetto "ravvedimento operoso": all'autore del reato viene
imposto un termine affinché provveda a mettersi in regola e, in caso positivo,
l'autore del reato è ammesso a pagare una somma pari al quarto del massimo
dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento
estinguono il reato.
Riepilogati
così i principi basilari che regolano le misure di sicurezza, un capitolo a
parte va riservato al DPS, documento programmatico sulla sicurezza: il DPS è, in sostanza, una relazione
scritta nella quale l'Azienda titolare dei trattamenti elenca e spiega le misure
di sicurezza adottate.
I contenuti
del DPS sono dettagliatamente descritti al punto 19 dell'allegato B; il
documento deve, pertanto, contenere:
1. l'elenco
dei trattamenti di dati personali;
2. la
distribuzione dei compiti e delle responsabilità nell'ambito delle strutture
preposte al trattamento dei dati;
3. l'analisi
dei rischi che incombono sui dati;
4. le misure
da adottare per garantire l'integrità e la disponibilità dei dati, nonché la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e
accessibilità;
5. la
descrizione dei criteri e delle modalità per il ripristino della disponibilità
dei dati in seguito a distruzione o danneggiamento;
6. la
previsione di interventi formativi degli incaricati del trattamento, per
renderli edotti dei rischi che incombono sui dati, delle
misure disponibili per prevenire eventi dannosi, dei profili della disciplina
sulla protezione dei dati personali più rilevanti in rapporto alle relative
attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi
sulle misure minime adottate dal titolare.
La formazione
è programmata già al momento dell'ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi
significativi strumenti, rilevanti rispetto al trattamento di dati personali;
7. la
descrizione dei criteri da adottare per garantire l'adozione delle misure minime
di sicurezza in caso di trattamenti di dati personali affidati, in conformità al
Codice, all'esterno della struttura del titolare.
In ragione di
questo, per così dire, "indice dei contenuti", si deve concludere che il DPS è
un documento complesso, la cui elaborazione non può essere improvvisata; la
scelta aziendale di predisporre il documento va, quindi, ben ponderata.
Va, infatti,
precisato che la redazione del DPS non è obbligatoria per tutte le Aziende e per
tutti i trattamenti: nonostante quanto indicato più sopra alla lettera g)
dell'art. 34, una più attenta lettura della norma porta a concludere che la
redazione del documento programmatico sulla sicurezza sia obbligatoria qualora
coesistano due condizioni:
1. l'Azienda
esegua trattamenti di dati sensibili o giudiziari;
2. tali
trattamenti siano effettuati mediante strumenti elettronici.
Qualora il DPS
venga predisposto, nella relazione accompagnatoria del bilancio d'esercizio, se
dovuta, va fatto riferimento all'avvenuta redazione o aggiornamento (punto 26
dell'allegato B).
|