Il "Certificato di Conformità" alle misure minime delle Privacy, è un documento che deve rilasciare il soggetto esterno quando installa le misure minime. Per esempio, quando installa il firewall nella rete locale.

Se hai di recente fatto installare una delle misure minime previste dal Disciplinare Tecnico, da un soggetto esterno, ti sei preoccupato del Certificato di Conformità?

a)  Non ho installato misure minime attraverso un soggetto esterno

b)  Si, ho chiesto ed ottenuto il Certificato di Conformità

c)  Ho chiesto ma non ho ancora ottenuto il Certificato di Conformità

d)  No, non ho neanche chiesto il Certificato di Conformità

L'aggiornamento dei programmi per elaboratore per correggere le vulnerabilità è un'operazione obbligatoria. La legge prevede che sia svolto tra sei mesi ed un anno, ma il buon senso ci indica che dovrebbe essere fatto non appena disponibili le correzioni!

Prendiamo per esempio il caso del sistema operativo dei computer, disponi di strumenti o di procedure che garantiscono l'aggiornamento del sistema operativo su tutti gli elaboratori, con regolarità?

a)  Non eseguo trattamento con strumenti elettronici

b)  Si, posso garantire che l'aggiornamento viene effettuato con regolarità

c)  Si, eseguo l'aggiornamento manuale dei computer ma non posso garantirne la regolarità

d)  No, non posso garantire in alcun modo che l'aggiornamento viene effettuato

La "Notificazione Telematica" è un adempimento da fare nei confronti del Garante, in casi specifici come per esempio il trattamento dei dati genetici (cfr. Art. 37). Per completare la Notificazione Telematica è necessaria anche la "Firma Digitale".

I casi previsti dall'articolo per fare la Notificazione ti riguardano? Se devi notificare al Garante, disponi della firma digitale per completare l'adempimento?

a)  Non so ancora se rientro nei casi previsti dall'articolo della legge

b)  No, non rientro nei casi in cui si deve fare la Notificazione

c)  Si rientro nei casi in cui si deve notificare ma non dispongo della firma digitale

d)  Ho correttamente completato la Notificazione

E' necessario esercitare il "controllo generale della sicurezza". Questo controllo riguarda la sicurezza dei dati personali, degli strumenti e dei locali. Gli ambiti da controllare sono quindi quello fisico, quello informatico e quello organizzativo.

Saresti in grado di effettuare il "controllo generale della sicurezza" in ciascun ambito: fisico, informatico ed organizzativo? Saresti in grado di dimostrarlo con strumenti o procedure?

a)  No, non sono in grado di portare a termine un controllo generale sulla sicurezza

b)  Non dispongo di strumenti elettronici ed i trattamenti svolti, non sono così complessi da richiedere una certificazione

c)  Si, sono in grado di effettuare e certificare il controllo generale della sicurezza in ogni ambito

d)  Sono in grado di effettuare un controllo generale della sicurezza in tutti gli ambiti tranne in quello informatico

Se la password è usata come credenziale di autenticazione è necessario che rispetti determinate caratteristiche. Per esempio la lunghezza deve essere otto caratteri od il massimo consentito dallo strumento elettronico.

Puoi garantire che tutte le password dei sistemi operativi, della posta elettronica e dei programmi gestionali sono almeno di otto caratteri oppure in alternativa il massimo consentito?

a)  Si, ho impostato la caratteristica della lunghezza minima delle password almeno a 8 caratteri e dove necessario il massimo consentito dallo strumento

b)  Non dispongo di strumenti elettronici per effettuare trattamento

c)  No, non posso garantirlo per uno o più tipi di programma (OS, Gestionale e Email)

d)  Non ho impostato la lunghezza minima delle password / Ho un solo PC per lavorare senza password / Non posso settare la lunghezza minima

Se si usano le password, è obbligatorio nominare per iscritto, la figura dell' "Incaricato della custodia delle password". Nella realtà questa figura coincide spesso con "l'amministratore di rete" o con chi dispone degli "account" di amministratore.

Hai nominato ed istruito la figura dell'"Incaricato della custodia delle password"?

a)  Si, ho nominato ed istruito questa figura

b)  Non uso le password per l'autenticazione

c)  Ho nominato la figura ma non per iscritto, né l'ho istruita dei suoi compiti

d)  No, non ho nominato questa figura

Il Titolare deve relazionarsi tanto all'esterno quanto all'interno della propria struttura, quando tratta dati personali altrui. Per farsi aiutare e per garantirsi può utilizzare le "Lettere di Responsabilità", al dipendente ed al soggetto esterno.

Hai inviato le "Lettere di Responsabilità" al dipendente ed al soggetto esterno?

a)  Si, ho nominato ed inviato le lettere di responsabilità sia all'interno sia all'esterno della struttura

b)  Ho nominato alcuni responsabili, ma non ho inviato le lettere di responsabilità

c)  Ho deciso di non nominare nessun responsabile del trattamento, ma all'esterno comunico "dati sensibili"

d)  Ho deciso di non nominare nessun responsabile, poiché l'ho valutato non necessario per i miei trattamenti

Tra gli adempimenti più importanti della Privacy c'è l'"Informativa", da rendere al soggetto interessato, cioè quello dal quale si raccolgono i dati. Tutti i Titolari di trattamento devono fare Informativa, secondo le caratteristiche previste dalla legge.

Hai fatto l'"Informativa" all'interessato?

a)  Ho reso l'Informativa ai sensi della vecchia legge 675/96 ed i contenuti non sono cambiati

b)  No, non ho ancora reso l'Informativa a nessun interessato dal mio trattamento

c)  Sì, ho recentemente reso l'Informativa completa a tutti gli interessati dal mio trattamento

d)  Ho reso l'Informativa ai sensi della vecchia legge 675/96, ma le informazioni comunicate sono cambiate

I "Profili di Autorizzazione" del sistema informatico devono permettere all'incaricato di trattare i dati personali di sua stretta competenza. Questi profili spesso coincidono con l'organigramma aziendale e devono essere aggiornati almeno annualmente.

I "Profili di autorizzazione" degli incaricati coincidono coi trattamenti realmente svolti?

a)  Si usano profili di autorizzazione, ma non sono aggiornati

b)  Si, i profili di autorizzazione informatica degli incaricati del trattamento coincidono con la normale operatività

c)  Non ho strumenti elettronici / Nella mia Azienda non ritengo necessari i profili di autorizzazione

d)  No, tutti gli incaricati possono accedere a tutti i dati sensibili e/o giudiziari messi in condivisione in rete

L'uso dei "Firewall" permette di difendere gli strumenti elettronici e quindi i dati personali in essi contenuti, principalmente dal rischio di accesso non autorizzato, che è anche un reato penale. Essi sono obbligatori se si trattano dati sensibili.

Disponi di "Firewall"?

a)  Si, dispongo di un firewall software e non professionale

b)  Non dispongo di strumenti elettronici / Non tratto dati sensibili

c)  Si, dispongo di uno o più firewall, tra hardware software (anche in architettura)

d)  No, non dispongo di firewall ma tratto dati sensibili (cfr. Definizione)

Le "minacce informatiche" sono numerose ed altrettanto numerosi sono gli specifici programmi di protezione, diversi dall'anti-virus, come per esempio Anti-spam, Anti-spyware ecc.

Usi altri programmi di protezione?

a)  No, ho solo l'Antivirus

b)  Si, dispongo di altri specifici programmi di protezione

c)  Si, oltre all'Antivirus uso un Antispam o altro software, in ogni caso non ho una copertura completa

d)  Non dispongo di dispositivi elettronici per il trattamento dei dati

L'obbligo di redigere il "Documento Programmatico sulla Sicurezza" (cd. D.P.S.) è solo per i Titolari che trattano dati personali con strumenti elettronici. Per esempio emissione di fattura con un programma di fatturazione.

Hai fatto il D.P.S.?

a)  Ho il DPS scritto ai sensi della vecchia legge, ma tuttora non è aggiornato

b)  No, non ho ancora provveduto alla scrittura del DPS

c)  Si, ho scritto ed aggiornato il DPS

d)  Non sono tenuto a redigere DPS

Le 7 "Autorizzazioni Generali", rilasciate annualmente dal Garante, permettono il trattamento dei dati sensibili o giudiziari solo a certe categorie di Titolari. Se un Titolare non rientra nel quadro dell'autorizzazione deve adeguarsi in altro modo.

Hai controllato di rientrare almeno in una delle 7 "Autorizzazioni Generali"?

a)  Non tratto dati sensibili o giudiziari

b)  Si, rientro in almeno una delle 7 Autorizzazioni Generali

c)  No, non ho ancora controllato se rientro nel quadro delle Autorizzazioni

d)  Si, ho controllato rientro nel quadro delle Autorizzazioni, ma non ho finito di adeguare gli altri adempimenti come l'Informativa

Tra i maggiori rischi in ambito informatico c'e' quello dei "computer virus". Per proteggere i dati personali la legge obbliga ad usare e costantemente aggiornare l'Antivirus. La caratteristica opzionale è la centralizzazione dell'aggiornmento.

Hai installato su tutti i computer l'Antivirus?

a)  Si ho installato l'Antivirus su tutti i computer e li aggiorno costantemente

b)  Si, ho installato l'Antivirus. Non su tutti i computer della rete locale / Non sono costantemente aggiornati.

c)  Non dispongo di strumenti elettronici

d)  No, non ho installato l'Antivirus

Il Titolare, per impartire istruzioni ed illustrare le misure minime, può usare le "lettere generali d'incarico". Le lettere possono essere inviate tanto a personale interno quanto a personale esterno alla struttura.

Se sei un Titolare hai distribuito le "lettere generali d'incarico"?

a)  Si, ho distribuito precise ed aggiornate lettere generali di incarico tanto all'esterno quanto all'esterno della struttura

b)  Si ho distribuito le lettere ma non sono aggiornate o complete oppure non tengono conto degli incarichi specifici della struttura

c)  No, non ho ancora distribuito le lettere generali di incarico.

d)  No, ho usato il metodo della "preposizione ad una unità operativa"

Sebbene gli "UPS" (o simili) siano considerati dalla legge una misura idonea, sono dispositivi molto diffusi che proteggono i computer da sbalzi o assenza di corrente. Questi dispositivi devono essere accuratamente configurati e dimensionati.

Usi gli UPS o dispositivi simili?

a)  No, non utilizzo gli UPS

b)  Non dispongo di strumenti elettronici

c)  Si utilizzo un UPS, non saprei dire se è adeguatamente dimensionato

d)  Si utilizzo gli UPS, sulla maggior parte dei computer o sui computer "strategici"

Il cosiddetto "Dominio" informatico permette la semplice realizzazione di molte delle misure minime, che riguardano i computer. Nella pratica è fortemente consigliato per la gestione centrale di tutti i computer collegati in rete locale.

Il Dominio è presente e configurato secondo i requisiti del Disciplinare Tecnico (Allegato B)?

a)  Non dispongo di strumenti elettronici

b)  Si, adotto un Dominio informatico correttamente configurato rispetto alla legge

c)  Si, adotto un Dominio informatico ma non l'ho ancora configurato rispetto al Disciplinare Tecnico

d)  No, non adotto un Dominio

I Supporti Rimovibili che contengono dati sensibili o giudiziari devono essere opportunamente controllati e trattati con tecniche informatiche in specifici casi, per esempio il riutilizzo per altri scopi od il prestito ad altri incaricati del trattamento

Controlli ed eventualmente tratti opportunamente (wipe) i supporti rimovibili (floppy, cdrom, hard disk, penne USB ecc.)?

a)  Si, controllo e tratto opportunamente i supporti rimovibili

b)  Si, controllo e custodisco adeguatamente i supporti rimovibili ma non mi preoccupo delle tecniche informatiche

c)  Non dispongo di strumenti elettronici

d)  No, non controllo né custodisco né tratto i supporti rimovibili

Il ripristino di dati sensibili, giudiziari e strumenti elettronici è obbligatorio entro sette giorni dall'interruzione del servizio. Le misure del ripristino non sono state elencate, quindi la scelta è libera ed in generale facile da realizzare.

Puoi garantire il ripristino di dati e degli strumenti elettronici entro sette giorni?

a)  No, non posso garantire il ripristino né dei dati né degli strumenti elettronici

b)  Posso garantire il ripristino dei dati ma non degli strumenti elettronici

c)  Non dispongo di strumenti elettronici

d)  Si, posso garantire il ripristino dei dati e degli strumenti entro sette giorni

L'adempimento del "Consenso" è in generale obbligatorio per i soggetti privati, ma esistono numerosi casi di esclusione. In ogni caso deve essere libero, documentato, non tacito, espresso dall'Interessato e deve viaggiare insieme all'Informativa.

Sei in regola con il "Consenso dell'interessato"?

a)  Ho fatto l'Informativa, ma non sono riuscito ad ottenere o documentare il Consenso

b)  So per certo che non devo ottenere il Consenso per i trattamenti che svolgo

c)  Cosa è il Consenso?

d)  Si, sono in regola con tutte le caratteristiche del Consenso

Il salvataggio dei dati personali anche detto Backup è una tra le misure minime più importanti, infatti è la sola riportata nel DPS (insieme al ripristino). Può essere messa in pratica con numerose strategie, ma è necessaria una fase di progettazione.

Fai il Backup almeno settimanalmente, di tutte le basi di dati informatiche?

a)  No, non faccio Backup / Lo faccio utilizzando la stesso PC dove si trovano i dati originali

b)  Non dispongo di strumenti elettronici

c)  Si, faccio il Backup settimanalmente

d)  Si faccio Backup, ma non settimanalmente