Delibera Giunta N 034 Allegato

Piazza IV Novembre 67043 CELANO (AQ)
Tel. 0863 79541 - Fax 0863 792335

Nota legale: documento di interesse pubblico senza valore legale - I nomi non pubblici sono stati oscurati. Elaborazione digitale a cura di L F - 2011
Comune di Celano
PRIVACY
(D.L.vo N. 196/2003)
DISPOSIZIONI MINIME SULLA SICUREZZA E DOCUMENTO PROGRAMMATICO SULLA SICUREZZA rev. 2.0
Il presente documento si compone di n. 34 pagine (inclusa la presente)
Celano, 23 marzo 2011 Prot. nr.

Il Responsabile Incaricato di redigere il DPS
ARMANDO RAGLIONE ______________________

(firma)
PREMESSA

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Scopo di questo documento definire le politiche di sicurezza in materia di trattamento di dati personali, ed i criteri organizzativi per la loro attuazione. In particolare la stesura del Documento Programmatico sulla Sicurezza, individua, criteri tecnici e misure di sicurezza fisiche e logiche da adottare affinch siano rispettati gli obblighi, in materia di sicurezza del trattamento dei dati effettuato dal Comune di CELANO, previsti dal D.L.vo 30/06/2003 N. 196 "Codice in materia di protezione dei dati personali". Nel Documento Programmatico sulla Sicurezza, vengono individuati i seguenti criteri tecnici ed organizzativi per: 1. La protezione delle aree e dei locali interessati dalle misure minime di sicurezza, nonch le procedure per controllare laccesso delle persone autorizzate ai medesimi locali; 2. I criteri e le procedure per assicurare lintegrit dei dati; 3. I criteri e le procedure per la sicurezza della trasmissione dei dati, ivi compresi quelli per le redazioni di accesso per via telematica; 4. Lelaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuali. Il presente documento stato redatto da Armando Raglione, in qualit di incaricato per lanalisi e la redazione del DPS, che provvede a firmarlo in calce. Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente documento saranno rimosse nel pi breve tempo possibile. Il codice della Privacy (D.Lgs. 30 giugno 2003 n 196), entrato in vigore il 1 gennaio 2005, introduce una razionalizzazione della normativa previgente sui dati personali che trova, cos, una sistemazione organica ponendo il nostro Paese allavanguardia rispetto ai partners europei in quanto primo esempio di codice in materia di Privacy. Il codice va inquadrato nel contesto della crescente attenzione che il nostro Paese dedica da qualche anno al tema della protezione dei dati personali e deve essere, inoltre, considerato alla luce delle preoccupazioni che investono i pubblici amministratori nel momento in cui linformatica accresce il proprio ruolo nella gestione dei procedimenti: Come conciliare le-government con il diritto alla riservatezza? Come conciliare diritto di accesso e trasparenza amministrativa con la tutela dei dati personali? Analizziamo alcune innovazioni fondamentali che il nuovo Codice apporta al trattamento dei dati personali nella Pubblica Amministrazione. Esso fondamentalmente stabilisce alcuni principi generali.
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (art. 34, regola 19 Allegato B D.Lvo N. 196 del 30/06/2003) Allegato alla delibera di Giunta comunale del 26 marzo 2011 n 34
Pagina 2 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Lart. 1 enuncia un principio generale che era soltanto implicitamente desumibile dalla precedente normativa: recita, infatti, testualmente Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Il successivo art. 2 introduce quei concetti di semplificazione, armonizzazione ed efficacia gi propri di norme come la 241/1990, concernente il diritto di accesso ai documenti amministrativi; anche la trasparenza garantita, infatti la persona fisica cui i dati si riferiscono pienamente tutelata nei propri diritti non solo di accesso ma anche di controllo sulla provenienza dei dati posseduti dagli enti, con quali criteri e per quali fini essi vengono gestiti. Sostanzialmente, lelenco dei diritti che linteressato ha, resta immutato (diritto di cancellazione, di modifica, ecc.). Lart. 3 sancisce e generalizza il Principio di necessit, corollario dellalto livello di tutela che il codice vuole imprimere ai dati personali. Questo principio limita il trattamento dei dati personali ai soli dati necessari. Coloro che trattano dati devono, di conseguenza, utilizzare con moderazione le informazioni, evitando la raccolta e limpiego di quei dati che non siano effettivamente necessari e utilizzando, se sufficienti al trattamento, quei dati aventi caratteristiche non invasive della sfera personale (dati anonimi). Il Codice riserva una parte specifica alla statuizione di regole generali, valide per tutti i trattamenti: il trattamento deve essere lecito, corretto, connesso a scopi determinati, espliciti e legittimi, esatto, aggiornato, pertinente, completo, non eccedente rispetto agli scopi e protratto per il tempo strettamente necessario al raggiungimento dello scopo stesso, deve essere legato ad una informativa completa allinteressato, allatto della raccolta o successivamente in caso di raccolta presso terzi; inoltre si rammenta che le amministrazioni sono tenute a rendere oralmente o per iscritto tale informativa e che la stessa deve essere inserita nei moduli per le dichiarazioni sostitutive secondo il testo unico della documentazione amministrativa (DPR 445/2000), deve rispettare i codici di deontologia e buona condotta promossi dal Garante, condizione di liceit e correttezza del trattamento stesso relativamente a quei settori cui si riferiscono, deve sottostare a cautele particolari nel caso di cessazione del trattamento, deve adottare misure e accorgimenti a garanzia dellinteressato nel caso di trattamento di dati semisensibili, cio di trattamento di quei dati che comunque possono comportare rischi specifici per i diritti e le libert fondamentali dello stesso, comporta, inoltre, la generalizzata sanzione civilistica della Responsabilit per lesercizio di attivit pericolosa, art. 2050 c.c., nel caso di danno derivante da violazione di norme concernenti il trattamento, comprensiva anche del danno non patrimoniale. Alle norme generali valide per tutti i trattamenti il Codice affianca una serie di regole ulteriori operanti soltanto per i soggetti pubblici (artt. 18-22). Occorre rilevare a tal fine come, per quanto riguarda la disciplina dei trattamenti in ambito pubblico, il legislatore non abbia inciso particolarmente lasciando sostanzialmente inalterata la disciplina ricompressa nella L. 675/96 e nel D. Lgs. 135/99 contenete Disposizioni integrative della legge 675/96 sul
Pagina 3 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
trattamento dei dati sensibili da parte di soggetti pubblici. Nellart. 18 il legislatore codifica espressamente lesenzione dei soggetti pubblici dallonere di preventiva richiesta del consenso dellinteressato, in precedenza solo implicitamente desumibile dal vecchio testo normativo, salvo per quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici. Questo significa che il consenso non ha, di regola, per la P.A. alcuna utilit giuridica vanificando, dal punto di vista giuridico, quei comportamenti, talvolta riscontrati nella pratica, in cui i Comuni hanno ritenuto di rafforzare la liceit del trattamento richiedendo, per trattamenti dotati di per s dei requisiti di legge, anche il consenso dellinteressato. Larticolo in esame, inoltre, ribadisce che il trattamento dei dati personali consentito solo per lo svolgimento delle funzioni istituzionali: province e comuni, quindi, possono raccogliere e gestire dati personali comuni cio diversi da dati sensibili o giudiziari anche in assenza di norma di legge o di regolamento che preveda espressamente il trattamento specifico, ma solo nellambito delle proprie funzioni istituzionali. Regole differenti, invece, valgono per il trattamento dei dati sensibili e giudiziari ai quali vengono riservate una serie di cautele aggiuntive, rispetto ai dati ordinari, tra le quali, per citare qualche esempio, lutilizzo di tecniche di cifratura per i dati utilizzati con strumenti elettronici o la conservazione separata dei dati idonei a rivelare lo stato di salute o i dati giudiziari. Inoltre, il trattamento dei dati sensibili consentito solo se autorizzato da espressa previsione di legge in cui sono specificati i tipi di dati, le operazioni eseguibili e le finalit di rilevante interesse pubblico perseguite. In mancanza di una norma di legge che li specifichi, i tipi di dati e le operazioni eseguibili sono individuati dalle amministrazioni pubbliche con regolamento da adottare entro il 30 settembre 2004. Novit del codice che tale regolamento dora in poi, dovr conformarsi al parere espresso dal Garante anche su schemi tipo, pena lilliceit del trattamento eventualmente posto in essere. Significativa, anche se residuale, appare la possibilit, gi peraltro esistente nel D. Lgs. 135/99, di rivolgersi al Garante per chiedergli il riconoscimento della rilevante finalit pubblica di quegli ulteriori trattamenti che non siano stati dichiarati di rilevanza pubblica con norma di legge. Anche in tal caso, necessaria, da parte dei singoli enti, la regolamentazione dei tipi di dati e di operazioni utilizzabili. Per quanto riguarda le comunicazioni a terzi di dati, il Codice la consente solo quando ammessa da una norma di legge o di regolamento; se tuttavia la comunicazione dei dati rivolta ad altri soggetti pubblici, questa pu prescindere da unespressa previsione di legge o regolamento, ma deve essere comunque necessaria per lo svolgimento di funzioni istituzionali. In questo caso, necessaria una comunicazione al Garante e il trattamento potr essere iniziato solo decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione del Garante.
Pagina 4 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Per quanto riguarda la figura del titolare del trattamento, secondo linterpretazione sostenuta dal Garante, nella PA il titolare lEnte nel suo complesso. Il responsabile sar solitamente il Sindaco o il I Dirigente o colui che occupa posizioni organizzative, e che dovr ricevere istruzioni in materia da parte di chi rappresenta lAmministrazione. Alcune novit riguardano la normativa degli incaricati, che possono essere solo persone fisiche e non persone giuridiche, che possono essere designate anche per relationem mediante la documentata preposizione della persona fisica ad ununit per la quale individuato per iscritto lambito del trattamento consentito agli addetti allunit medesima. Neppure il nuovo codice detta specifiche disposizioni rispetto a soggetti, che pur estranei alla struttura organizzativa dellEnte svolgano per conto della P.A. attivit di trattamento. Si pensi ai commissari di concorso esterni, o ai collaboratori esterni del sistema informatico. Per tali soggetti, appare necessario che si operi una specifica e formale designazione a responsabile o ad incaricato per conto dellEnte, in modo da evitare paradossali complicazioni nello svolgimento delle attivit, quali ad esempio la necessit da parte di questi soggetti di richiedere preventivamente il consenso al trattamento dei dati. Ulteriore novit per la PA riguarda la notificazione al Garante del trattamento dei dati, essa, infatti, si riduce ulteriormente e rispetto alla precedente disciplina scompare del tutto la notificazione semplificata prevista dal vecchio art. 7 L. 675/96. Resta ladempimento della notificazione che per ridotta a talune tipologie di attivit di trattamento, elencate allart. 37 comma 1, le quali sembrerebbero estranee allente locale; tuttavia occorre operare una verifica concreta per escluderne lattinenza rispetto allEnte locale. La notificazione al Garante va effettuata soltanto per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questo impartite. Riformulata appare poi la disciplina concernente le misure di sicurezza, con lintroduzione del disciplinare tecnico in materia di misure minime di sicurezza (allegato B). Tali misure minime di sicurezza dovranno essere adottate salvo aver gi provveduto - da ogni Amministrazione entro il 31 dicembre 2005; tuttavia se lEnte dovesse disporre al momento di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte limmediata
Pagina 5 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
applicazione delle misure minime di sicurezza, il necessario adeguamento potr avvenire entro un anno dallentrata in vigore del codice.
Il titolare, nel frattempo, dovr adottare ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti, in modo da evitare, un incremento dei rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato ovvero di trattamento non consentito o non conforme alla finalit della raccolta. Sar necessario, inoltre, descrivere le ragioni di inadeguatezza tecnica delle apparecchiature in un documento a data certa da conservare presso lAmministrazione. Infine, qualora i dati trattati dovessero essere di tipo sensibile o giudiziario, il titolare del trattamento dovr redigere, entro il 31 marzo di ogni anno, un documento programmatico sulla sicurezza.
Pagina 6 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
PRINCIPI GENERALI
Il presente Documento Programmatico sulla Sicurezza (D.P.S.) costituisce una misura minima di sicurezza inerente il trattamento con strumenti elettronici dei dati personali sensibili e giudiziari. Il D.P.S. contiene informazioni e prescrizioni in base a quanto previsto dal D. L.vo 196/2003, compreso lAllegato B (All.B) Disciplinare tecnico in materia di misure minime di sicurezza. Le prescrizioni sono estese ai trattamenti di dati personali effettuati con qualsiasi strumento. Attraverso le prescrizioni contenute nel D.P.S. lEnte persegue i seguenti obiettivi: 1. ottemperanza agli adempimenti stabiliti da norme giuridiche o da provvedimenti emanati dalle Autorit competenti; 2. diffusione della cultura della protezione delle risorse produttive; 3. evidenziazione dellimportanza strategica e del valore delle informazioni; 4. razionalizzazione ed ottimizzazione dellorganizzazione, delle funzioni, dei processi e delle attivit; 5. uniformit dei principi di trattamento delle informazioni e dei dati; 6. incentivazione al decentramento operativo; 7. efficacia dei processi e delle attivit trasversali alla struttura; 8. valorizzazione e responsabilizzazione del personale; 9. formazione permanente del personale. In base alle caratteristiche della struttura e dellorganizzazione dellEnte, alle attivit istituzionali svolte ed ai compiti e responsabilit dei Dirigenti, il D.P.S. indica i criteri programmatici cui i Dirigenti, cos come individuati successivamente, in qualit di Responsabili dei trattamenti, devono attenersi per garantire la protezione dei dati. Tale impostazione riflette larticolazione dellEnte in strutture operative connotate da specificit tali da non consentire la definizione di modalit standardizzate o centralizzate per quanto concerne il trattamento dei dati personali. Il D.P.S. redatto sulla base delle Disposizioni inerenti ladozione delle misure minime di sicurezza nel trattamento dei dati personali previste dagli articoli 33-36 e allegato B del D.Lgs. 196/03. Le citate disposizioni impongono la predisposizione e laggiornamento,
Pagina 7 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
con cadenza almeno annuale (entro il 31 marzo di ogni anno), di un Documento Programmatico sulla Sicurezza dei dati, per definire, sulla base dellanalisi dei rischi, della distribuzione dei compiti e delle responsabilit nellambito delle strutture preposte al trattamento dei dati stessi, i seguenti elementi: 1. lelenco dei trattamenti di dati personali; 2. la distribuzione dei compiti e delle responsabilit nellambito delle strutture preposte al trattamento dei dati; 3. lanalisi dei rischi che incombono sui dati; 4. le misure da adottare per garantire lintegrit e la disponibilit dei dati, nonch la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilit; 5. la descrizione dei criteri e delle modalit per il ripristino della disponibilit dei dati in seguito a distruzione o danneggiamento; 6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali pi rilevanti in rapporto alle relative attivit, delle responsabilit che ne derivano e delle modalit per aggiornarsi sulle misure minime adottate dal titolare. La formazione programmata gi al momento dellingresso in servizio, nonch in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 7. la descrizione dei criteri da adottare per garantire ladozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformit al codice, allesterno della struttura del titolare; 8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, lindividuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dellinteressato. Tale documento deve essere obbligatoriamente predisposto nel caso di trattamento di dati sensibili o giudiziari. Questo il caso di una Pubblica Amministrazione qual il Comune di Celano, che tratta, per la gestione delle incombenze di legge ed i servizi istituiti in favore della cittadinanza amministrata, una molteplicit di dati fra cui sicuramente dati definiti dalla normativa sensibili. In alcuni casi particolari il Comune si trova a dover gestire anche dati definiti dalla legge giudiziari per i quale la normativa citata impone ulteriori misure specifiche di sicurezza a salvaguardia della privacy degli interessati. Lattuazione delle prescrizioni contenute nel D.P.S. basata sul principio della documentazione e della certificazione. Tutte le attivit svolte per garantire la sicurezza dei dati personali devono essere svolte secondo
Pagina 8 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
procedure la cui conformit alle linee guida dellEnte, contenute nel D.P.S. o in altri atti, viene verificata dal Titolare, o dal suo delegato Responsabile.
Il presente documento dar conto di tutte le misure adottate in relazioni alla tipologia delle varie banche dati. La specifica di tutti gli elementi sopra elencati avverr mediante la strutturazione del presente documento nelle seguenti sezioni: 1. Censimento di tutti i trattamenti effettuati e delle banche dati costituite presso gli uffici comunali con la loro tipizzazione ai fine dellindividuazione di tutte le misure di sicurezza da adottare. 2. La descrizione delle modalit operative di gestione delle varie componenti e sistemi preposti alla gestione delle banche dati. 3. Analisi dei rischi connessi alla gestione delle banche dati, anche sulla scorta delle modalit operative di cui sopra. 4. Lindicazione di un piano delle principali misure di controllo necessarie per ciascun rischio individuato. 5. Una metodologia per la gestione del ciclo di vita delle varie banche dati, per la gestione di tutti i flussi informativi fra i soggetti implicati nella loro manipolazione e per la garanzia del rispetto delle misure individuate nel presente piano. 6. Un piano di verifiche ed aggiornamento periodico del piano stesso. 7. Un programma di informazione e formazione di tutti i soggetti interessati. Individuazione degli elementi per la redazione del DPS: Mediante la modulistica di cui allallegato A, sono state censite, le varie banche dati esistenti. Attraverso tale censimento possibile ricavare lelenco dei vari trattamenti di dati in essere e la loro relazione con le stesse banche dati. La modulistica consente anche di ottenere, per ciascuna banca dati rilevata, informazioni circa: 1. 2. 3. 4. 5. 6. 7. 8. Il trattamento/i per i quale viene impiegata la tipologia dei dati trattati i soggetti ai quali i dati si riferiscono le operazioni di trattamento eseguite su di esse la natura dei dati le modalit di trattamento dei dati contenuti con varie tipologie di strumenti e mezzi la normativa di riferimento dalla quale discende la necessit della costituzione della banca dati stessa le eventuali comunicazioni dei dati contenuti ad altri soggetti
Pagina 9 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
9. 10. 11. 12. 13. 14.
leventuale diffusione dei dati leventuale intervento di terzi nella manipolazione della banca dati la correttezza comportamentale nel trattamento dei dati contenuti i soggetti coinvolti, a vario titolo, nella manipolazione dei dati contenuti le modalit di gestione delle copie dei dati (ove necessarie) i trattamenti affidati allesterno dellEnte
Articolo 1 NORMATIVA DI RIFERIMENTO

D. L.vo n. 196 del 30/06/2003; D. L.vo n. 123 / 1997; D. L.vo n. 255 / 1997; D. L.vo n. 135 / 1998; D. L.vo n. 171 / 1998; D. L.vo n. 389 / 1998; D. L.vo n. 51 / 1999; D. L.vo n. 135 / 1999; D. L.vo n. 281 / 1999; D. L.vo n. 282 / 1999; D.P.R. n. 318 / 1999; Legge n. 675 / 1996; Legge n. 325 / 2000;
Articolo 2 DEFINIZIONI E RESPONSABILIT

DEFINIZIONI DATI ANONIMI: I dati che in origine, o a seguito di trattamento, non possono essere associati a un interessato identificato o identificabile. DATI PERSONALI: Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Pagina 10 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
DATI IDENTIFICATIVI: I dati personali che permettono lidentificazione diretta dellinteressato. DATI SENSIBILI: I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonch i dati personali idonei a rivelare lo stato di salute e la vita sessuale. DATI GIUDIZIARI: I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualit di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. RESPONSABILIT TITOLARE: Il titolare del trattamento l'Ente (Comune di Celano) e la titolarit esercitata dal rappresentante legale (Il Sindaco o il I Dirigente o soggetto individuato nello statuto), tra i compiti che la legge gli assegna e che non sono delegabili, prevista la vigilanza sul rispetto da parte dei Responsabili delle proprie istruzioni, nonch sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il titolare il soggetto che assume le decisioni sulle modalit e le finalit del trattamento. Il Titolare: - nomina i Responsabili, interni ed esterni, del trattamento. - informa tempestivamente i Responsabili, tramite il Gruppo di lavoro per lapplicazione della normativa sulla protezione dei dati personali, circa le variazioni delle norme in materia di trattamento di dati personali, nonch in merito alle regole che definiscono i compiti degli stessi; - assume, su proposta dei Responsabili, le decisioni in ordine alle finalit del trattamento, ivi compreso il profilo della sicurezza; - acquisisce le relazioni annuali dei Responsabili circa i trattamenti effettuati; - effettua, attraverso lUnit Organizzativa Gabinetto del Sindaco, controlli sulloperato dei Responsabili, anche verificando la conformit al D.P.S.
Pagina 11 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
delle procedure adottate; coordina lapplicazione delle misure di sicurezza; emana annualmente il D.P.S. ed eventuali allegati.
RESPONSABILE DEL TRATTAMENTO: Il soggetto preposto dal titolare al trattamento dei dati personali. La designazione di un responsabile facoltativa e non esonera da responsabilit il titolare, il quale ha comunque l'obbligo di impartirgli precise istruzioni e di vigilare sull'attuazione di queste. Il responsabile deve essere un soggetto che fornisce, per esperienza, capacit e affidabilit, idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile del trattamento dei dati personali, ai fini della sicurezza, ha le responsabilit indicate nella lettera di incarico. Il Responsabile: - individua le norme di legge o di regolamento, ovvero i fini istituzionali o le rilevanti finalit di interesse pubblico, in base ai quali deve o pu essere effettuato un trattamento di dati personali; - formula proposte al Titolare circa le decisioni da assumere in ordine alle finalit del trattamento, ivi compreso il profilo della sicurezza; - effettua le comunicazioni e realizza gli altri adempimenti previsti dalla normativa vigente nei confronti del Garante per la Protezione dei Dati Personali o di altri organismi ispettivi; - istituisce e gestisce le banche di dati di competenza, redigendone lelenco; - classifica i dati in base alla loro tipologia, nel momento in cui vengono acquisiti o generati, ovvero ne viene modificata la struttura in seguito a trattamento; - individua i trattamenti di competenza, redigendone lelenco; - stabilisce le procedure e le modalit di effettuazione dei trattamenti, individuando gli strumenti utilizzabili; - predispone la scheda per linformativa ed attua tutti gli accorgimenti per garantire lesercizio dei diritti dellinteressato; - individua i luoghi fisici in cui sono allocate le banche di dati ed in cui vengono effettuati i trattamenti; - individua gli Obiettivi di Intervento (O.I.); - effettua lAnalisi dei Rischi (A.R.); - ottempera alle disposizioni del D.P.S.; - adotta le misure minime di sicurezza previste dalla norma e tutti gli altri accorgimenti necessari per prevenire la distruzione, la perdita o lalterazione dei dati, laccesso ed i trattamenti non autorizzati o non conformi alle finalit del trattamento, nonch per assicurarne la disponibilit ai fini del trattamento e per garantire lesercizio dei diritti dellinteressato; - definisce i profili degli Incaricati in base alla necessit di accedere ai dati e di effettuare i trattamenti;
Pagina 12 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
nomina per iscritto gli Incaricati, in base alle funzioni ed ai trattamenti effettuati dagli uffici; nomina almeno un Referente per la protezione dei dati personali; definisce i programmi di formazione degli Incaricati, secondo i principi espressi nel D.P.S.; effettua controlli sui trattamenti di competenza, compresi quelli esternalizzati; comunica tempestivamente al Titolare situazioni di criticit o di rischio a carico dei dati personali e dei trattamenti di competenza; elabora, entro il 31 Gennaio di ogni anno, una relazione riferendo al Titolare in merito alla gestione dei dati personali effettuata dalla struttura di competenza nel corso dellanno precedente e formulando, se del caso, osservazioni e proposte; collabora alla definizione dei provvedimenti del Titolare in materia di trattamento dei dati, ivi compresa la nomina di Responsabili di trattamento esterni allEnte; individua e nomina per iscritto i soggetti esterni Incaricati di trattamento e definisce modalit e standard, sia tecnici che organizzativi, per leffettuazione dei trattamenti medesimi, accertando che le prescrizioni siano formalmente accettate e sostanzialmente applicate dai soggetti esterni; stabilisce i casi in cui i dati devono essere comunicati, nonch le relative modalit di comunicazione; concorda formalmente, in caso di trattamento congiunto con strutture interne facenti capo ad altri Responsabili, procedure, modalit di trattamento, strumenti utilizzabili, operazioni eseguibili e misure di sicurezza, sulla base delle competenze attribuite dallAmministrazione alle singole strutture; attua quanto non sia espressamente previsto dal presente D.P.S. al fine di garantire la puntuale applicazione della normativa in materia di trattamento e protezione dei dati
REFERENTE: Il Referente: - svolge attivit di consulenza alla struttura di appartenenza; - svolge, su delega del Responsabile, attivit di coordinamento allinterno della struttura di competenza; - effettua interventi di formazione interna; - mantiene rapporti con il Gruppo di lavoro per lapplicazione della normativa sulla protezione dei dati personali, facendo da tramite tra questultimo ed il Responsabile di riferimento. GRUPPO DI LAVORO: Il Gruppo di lavoro per lapplicazione della normativa sulla protezione dei dati
Pagina 13 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
personali: - informa tempestivamente i Responsabili, attraverso i Referenti, circa le variazioni delle norme in materia di trattamento di dati personali, nonch in merito alle regole che definiscono i compiti degli stessi; - collabora con i Responsabili o altri soggetti alla predisposizione di atti dellEnte; - effettua attivit di consulenza allinterno dellEnte; - mantiene rapporti con i Referenti e, tramite questi, con i Responsabili; - contribuisce a pianificare gli interventi di formazione nei casi previsti allart. 6 del presente DPS. INCARICATO: Ai Responsabili del trattamento affidato il compito di nominare, con comunicazione scritta, uno o pi Incaricati del trattamento dei dati. La nomina di ciascun Incaricato del trattamento dei dati deve essere effettuata con lettera dincarico in cui sono specificati i compiti che gli sono affidati. Gli Incaricati del trattamento devono ricevere idonee ed analitiche istruzioni scritte, anche per gruppi omogenei di lavoro, sulle mansioni loro affidate e sugli adempimenti cui sono tenuti. Agli incaricati deve essere assegnata una parola chiave e nei casi di cui lart. 4 del DPR 318/99 un codice identificativo personale. La nomina degli Incaricati del trattamento deve essere controfirmata dallinteressato per presa visione e copia della stessa deve essere conservata a cura del Responsabile del trattamento per la sicurezza in luogo sicuro. La nomina degli Incaricati a tempo indeterminato, e decade per revoca, per sue dimissioni, o con il venir meno dei compiti che giustificavano il trattamento dei dati personali. Agli Incaricati del trattamento il Responsabile deve consegnare copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina. INTERESSATO: Il soggetto al quale si riferiscono i dati personali.
AMMINISTRATORE DI SISTEMA: Il soggetto cui conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l'utilizzazione. In questo contesto l'amministratore di sistema assume anche le funzioni di amministratore di rete, ovvero del soggetto che deve sovrintendere alle risorse di rete e di consentirne l'utilizzazione.
Pagina 14 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
L'amministratore deve essere un soggetto fornito di esperienza, capacit e affidabilit nella gestione delle reti locali. Ai fini della sicurezza l'amministratore di sistema ha le responsabilit indicate nella lettera di incarico. RESPONSABILE DELLA SICUREZZA INFORMATICA: Il soggetto preposto dal titolare alla gestione della sicurezza informatica. La designazione di un responsabile facoltativa e non esonera da responsabilit il titolare, il quale ha comunque l'obbligo di impartirgli precise istruzioni e di vigilare sull'attuazione di queste. Il responsabile deve essere un soggetto fornito di esperienza, capacit e affidabilit nella gestione delle reti locali. Ai fini della sicurezza il responsabile del sistema informativo ha le responsabilit indicate nella lettera di incarico. RESPONSABILE DELLE COPIE DI SICUREZZA: Il soggetto cui conferito il compito di utilizzare le procedure per la generazione e la custodia di copie di sicurezza dei dati (Backup), nonch il ripristino della disponibilit dei dati e dei sistemi entro tempi certi e compatibili con i diritti degli interessati, non superiori a sette giorni. Il soggetto altres responsabile della custodia e delluso dei supporti removibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti, esso dispone anche di istruzioni per riutilizzare o distruggere i supporti removibili sui quali sono registrati tali dati. CUSTODE DELLE PASSWORD: Il soggetto cui conferito la gestione delle password degli incaricati del trattamento dei dati in conformit ai compiti indicati nella lettera di incarico. LAmministratore di sistema deve informare il Custode delle password della responsabilit che gli stata affidata in relazione a quanto disposto dalla normativa in vigore, ed in particolare di quanto stabilito dal DPR 318/99. La nomina del Custode delle Password a tempo indeterminato, e decade per revoca o dimissioni dello stesso, essa pu comunque essere revocata in qualsiasi momento dallAmministratore di sistema senza preavviso ed essere affidata ad altro soggetto.
Articolo 3 INFORMAZIONI SULLANALISI DEI RISCHI (ALL. B 19.3)

LAnalisi dei Rischi (A.R.) ha natura dinamica e permanente. Viene predisposta al fine di mettere in relazione le risorse da proteggere, i rischi da cui sono interessate e le misure di sicurezza da adottare.
Pagina 15 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
LA.R. viene obbligatoriamente effettuata negli stessi casi in cui obbligatorio procedere con la formazione degli Incaricati. LA.R. dei rischi prevede: 1. la classificazione del dato; 2. la valutazione del dato in base alla sua criticit (giuridica, economica, produttiva, immateriale); 3. la contestualizzazione del dato allinterno dellarchitettura del sistema informativo, con principale riferimento alla sua localizzazione, elaborazione e comunicazione/trasmissione; 4. la definizione degli O.I. e della loro vulnerabilit; 5. lindividuazione delle minacce di cui sono oggetto gli O.I.; 6. lanalisi delle possibili modalit di accadimento delle minacce, in base alla loro natura (accidentale, colposa o dolosa) e origine (esterna o interna); 7. la considerazione e la misurazione delle conseguenze in caso di accadimento dellevento dannoso; 8. la definizione, su base probabilistica, del livello di rischio; 9. la definizione di una scala di priorit in merito alladozione di misure di sicurezza.
Articolo 4 INFORMAZIONI SULLE MISURE DA ADOTTARE PER GARANTIRE LINTEGRIT E LA DISPONIBILIT DEI DATI, NONCH LA PROTEZIONE DELLE AREE E DEI LOCALI RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILIT (ALL. B 19.4)
Le misure di sicurezza vengono applicate al fine di garantire lintegrit, la disponibilit e la riservatezza dei dati, con particolare riguardo alla prevenzione. Per ogni O.I., individuato in base alla posizione fisica e logica delle banche dati e dei trattamenti nellambito del sistema informativo, devono essere indicati, conseguentemente alleffettuazione dellA.R.: - il codice della banca di dati; - il codice del trattamento; - la tipologia della misura adottata (tecnica, informatica, organizzativa, logistica, procedurale); - gli strumenti e le procedure adottate, nonch gli scopi perseguiti; - la stima del rischio residuo. Ogni O.I. pu comprendere pi banche di dati e trattamenti. La protezione dellO.I. deve essere ottimizzata al fine di perseguire congiuntamente la sicurezza delle persone e delle risorse materiali e immateriali a fronte di minacce di natura accidentale, colposa o dolosa, nonch di origine interna o esterna.
Pagina 16 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 5 INFORMAZIONI SU CRITERI E MODALIT PER IL RIPRISTINO DELLA DISPONIBILIT DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO (ALL. B. 19.5)
Il Responsabile garantisce la disponibilit dei dati adottando misure idonee per la loro duplicazione e per il ripristino delle banche di dati. I criteri e le modalit per il ripristino della disponibilit dei dati, considerata lAnalisi dei Rischi, sono riferiti a: - idoneit delle strutture (rispetto delle destinazioni duso, adeguamento, compartimentazione, fruizione, gestione delle attivit, gestione degli accessi); - adozione di procedure per il controllo degli accessi alle risorse fisiche e logiche, per la duplicazione dei dati, per il ripristino delle banche di dati e, nei casi in cui possibile, per la rigenerazione dei dati; - adozione di procedure per la duplicazione, informatizzata o mista, dei dati, nonch per la custodia separata delle banche di dati; - acquisizione, gestione e aggiornamento di tecnologie e di strumenti per il ripristino delle banche di dati; - controllo e manutenzione dei supporti di memoria e degli strumenti di trattamento.
Articolo 6 INFORMAZIONI SULLA PREVISIONE DEGLI FORMATIVI DEGLI INCARICATI (ALL. B. 19.6) INTERVENTI
I Responsabili, di concerto con gli Uffici dellEnte preposti alla formazione del personale, organizzano gli interventi formativi per gli Incaricati di trattamento ed i Referenti. Nel Documento Programmatico sulla Sicurezza sono riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. Si descrivono sinteticamente gli obiettivi e le modalit dellintervento formativo, in relazione a quanto previsto dalla regola 19.6 dellallegato B del D.lgs. 196 del 2003, si individuano le classi omogenee di incarico a cui lintervento destinato e/o le tipologie di incaricati interessati, anche in
Pagina 17 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
riferimento alle strutture di appartenenza, si indicano poi anche i tempi previsti per lo svolgimento degli interventi formativi. In questo quadro il D.lgs n. 196 del 2003 ha poi introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso lobbligo di riferire nella Relazione di accompagnamento di ciascun bilancio di esercizio, circa lavvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura minima o che sia comunque adottato. (regola 26 Allegato B). Gli interventi di formazione, limitatamente al personale interessato, sono obbligatori nei seguenti casi: modificazione o integrazione della normativa di riferimento (*); modificazione o integrazione delle norme dellEnte (*); variazione della struttura organizzativa dellEnte; ridefinizione delle competenze delle Direzioni e delle strutture subordinate; adozione di nuove procedure per la sicurezza dei dati (*); variazioni interne di una struttura; assunzione di personale (*); passaggio di categoria; variazione di qualifica; trasferimento ad altro Ufficio; assegnazione ad altro incarico o mansione; istituzione di nuovi trattamenti; variazione o aggiornamento dei trattamenti; istituzione di nuove procedure; variazione o aggiornamento di procedure; adozione di nuovi strumenti di trattamento; adozione di nuovi strumenti per la sicurezza dei dati (*).
Gli interventi di formazione sono improntati al principio del pi ampio decentramento, attraverso lausilio dei Referenti. Nei casi contrassegnati con lasterisco (*), data la trasversalit delle materie, la formazione viene pianificata con il contributo del Gruppo di lavoro per lapplicazione della normativa sulla protezione dei dati personali. Il Responsabile predispone il piano di formazione e registra i corsi di formazione effettuati, dandone conto al Titolare. Nel caso in cui non ricorrano i presupposti per effettuare interventi di formazione, il Responsabile effettua opera di sensibilizzazione del personale, per iscritto e con cadenza almeno semestrale, richiamando i principi cui si ispira la normativa in materia, i provvedimenti delle Autorit competenti, le regole dellEnte e le prescrizioni contenute nel presente Documento Programmatico sulla Sicurezza.
Pagina 18 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 7 INFORMAZIONI SUI CRITERI DA ADOTTARE PER GARANTIRE LADOZIONE DELLE MISURE MINIME DI SICUREZZA IN CASO DI TRATTAMENTI DI DATI PERSONALI AFFIDATI, IN CONFORMIT AL CODICE, ALLESTERNO DELLA STRUTTURA DEL TITOLARE (ALL. B. 19.7)
Nel caso di trattamenti affidati allesterno della struttura del Titolare, il Responsabile inserisce nel Capitolato Speciale le clausole indicanti le direttive cui il soggetto esterno deve attenersi, specificando lobbligo di conformit a quanto previsto nel presente D.P.S.. Le clausole devono prevedere lobbligo di adottare autonomamente le misure minime di sicurezza previste dalla normativa vigente. Le clausole devono evidenziare la facolt dellEnte di effettuare controlli, a seguito dei quali possono essere applicate penali ovvero pu essere risolto il contratto. In base allA.R., il trattamento effettuato dal soggetto esterno deve garantire lo stesso livello di sicurezza previsto per lo stesso tipo di dati trattati allinterno.
Articolo 8 INFORMAZIONI SUI CRITERI DA ADOTTARE PER LA CIFRATURA O LA SEPARAZIONE DEI DATI PERSONALI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA SESSUALE (DATI ULTRASENSIBILI) DAGLI ALTRI DATI PERSONALI DELLINTERESSATO (ALL. B. 19.8)
Il Responsabile, con riguardo ai dati personali sensibili idonei a rivelare lo stato di salute e la vita sessuale dellInteressato, individua le banche di dati ed i relativi trattamenti. Redige procedure per limitare i trattamenti ai soli casi indispensabili per lo svolgimento delle funzioni istituzionali e per gli adempimenti previsti da leggi o da regolamenti. Individua gli Incaricati del trattamento e ne descrive analiticamente i compiti, in base alle operazioni autorizzate. Disciplina laccesso ai dati da parte degli Incaricati, sulla base del principio della necessit di sapere e del minimo privilegio. In caso di trattamento informatizzato, il Responsabile utilizza gli strumenti applicativi necessari per crittografare i dati sensibili idonei a rivelare lo stato di salute e la vita sessuale. In caso di trattamento cartaceo, provvede a separare fisicamente e a custodire separatamente i dati personali da quelli ultrasensibili. AllInteressato viene abbinato un codice identificativo che consenta di unificare le informazioni contenute in archivi separati. Nei documenti contenenti dati sensibili idonei a
Pagina 19 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
rivelare lo stato di salute e la vita sessuale lInteressato individuabile solamente mediante il codice sopra menzionato.
Articolo 9 TITOLARE, RESPONSABILI, INCARICATI

Titolare del trattamento: Responsabile del trattamento dei dati: Filippo PICCONE Giampiero ATTILI Daniela DI CENSO Federico DAULERIO Armando RAGLIONE Armando RAGLIONE Franca CAPALDI Armando RAGLIONE
Amministratore del Sistema Informativo: Responsabile della sicurezza informatica: Custode delle password: Responsabile delle copie di sicurezza:
Incaricati del trattamento dei dati: Incaricati dell'assistenza e della manutenzione degli strumenti elettronici:
vedere allegato
non individuato
Articolo 10
Pagina 20 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
ANALISI DEI RISCHI

L'analisi dei rischi consente di acquisire consapevolezza e visibilit sul livello di esposizione al rischio del proprio patrimonio informativo e avere una mappa preliminare dell'insieme delle possibili contromisure di sicurezza da realizzare. L'analisi dei rischi consiste nella: individuazione di tutte le risorse del patrimonio informativo; identificazione delle minacce a cui tali risorse sono sottoposte; identificazione delle vulnerabilit; definizione delle relative contromisure. La classificazione dei dati in funzione dell'analisi dei rischi risulta la seguente: DATI ANONIMI, ovvero la classe di dati a minore rischio, per la quale non sono previste particolari misure di sicurezza; DATI PERSONALI:
o
o
Dati Personali Semplici, ovvero la classe di dati a rischio Intermedio; Dati Personali Sensibili/Giudiziari, ovvero la classe di dati ad alto rischio; Dati Personali Sanitari, ovvero la classe di dati a rischio altissimo.
Articolo 11 INDIVIDUAZIONE DELLE RISORSE DA PROTEGGERE

Le risorse da proteggere sono: personale; dati/informazioni; documenti cartacei; hardware; software; apparecchiature di comunicazione; manufatti vari; servizi; apparecchiature per l'ambiente; immagine del municipio.
Per ulteriori dettagli vedere gli Allegati
Articolo 12 INDIVIDUAZIONE DELLE MINACCE

Nella tabella seguente sono elencati gli eventi potenzialmente in grado di
Pagina 21 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
determinare danno a tutte o parte delle risorse indicate all'articolo 3.
Rischi
Terremoto Inondazione Uragano Fulmine Bombardamento Fuoco
Deliberato
X
Accidentale Ambientale
X X X X X
X X
X X
Rischi
Uso di armi Danno volontario Interruzione di corrente Interruzione di acqua Interruzione di aria condizionata Guasto hardware Linea elettrica instabile Temperatura e umidit eccessive Polvere Radiazioni elettromagnetiche Scariche elettrostatiche Furto Uso non autorizzato dei supporti di memoria Deterioramento dei supporti di memoria Errore del personale operativo Errore di manutenzione Masquerading dell'identificativo dell'utente Uso illegale di software Software dannoso
Deliberato
X
X X X
X X X X X X X X
X X X X X X X X X
Rischi
Esportazione/importazione illegale di
Deliberato
X
Pagina 22 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
software Accesso non autorizzato alla rete Uso della rete in modo non autorizzato Guasto tecnico di provider di rete Danni sulle linee Errore di trasmissione Sovraccarico di traffico Intercettazione (Eavesdropping) Infiltrazione nelle comunicazioni Analisi del traffico Indirizzamento non corretto dei messaggi Reindirizzamento dei messaggi Ripudio Guasto dei servizi di comunicazione X X X X X X X X X X X X X X X X
Rischi
Mancanza di personale Errore dell'utente Uso non corretto delle risorse Guasto software Uso di software da parte di utenti non autorizzati Uso di software in situazioni non autorizzate
Deliberato
X X X X X
X X X X X X
Per ulteriori dettagli delle minacce relative all'aspetto informatico vedere l'Allegato
Pagina 23 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 13 INDIVIDUAZIONE DELLE VULNERABILIT

Nelle tabelle seguenti sono elencate le vulnerabilit del sistema informativo che possono essere potenzialmente sfruttate qualora si realizzasse una delle minacce indicate nell'articolo 4. Infrastruttura
Mancanza di protezione fisica dell'edificio (porte finestre ecc.) Mancanza di controllo di accesso Linea elettrica instabile Locazione suscettibile ad allagamenti Climatizzazione dei locali insufficiente
Hardware
Mancanza di sistemi di rimpiazzo Suscettibilit a variazioni di tensione Suscettibilit a variazioni di temperatura Suscettibilit a umidit, polvere, sporcizia Suscettibilit a radiazioni elettromagnetiche Manutenzione insufficiente Carenze di controllo di configurazione (update/upgrade dei sistemi)
Comunicazioni
Linee di comunicazione non protette Giunzioni non protette Mancanza di autenticazione Trasmissione password in chiaro Mancanza di prova di ricezione/invio Presenza di linee dial-up (con modem) Traffico sensibile non protetto
Gestione inadeguata della rete Connessioni a linea pubblica non protette Connessione HDSL a consumo
Pagina 24 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Documenti cartacei
Locali documenti non protetti Carenza di precauzioni nell'eliminazione Non controllo delle copie
Software
Interfaccia uomo-macchina complicata Mancanza di identificazione / autenticazione Mancanza del registro delle attivit (log) Errori noti del software Tabelle di password non protette Carenza/Assenza di password management
Personale
Mancanza di personale Mancanza di supervisione degli esterni Formazione insufficiente sulla sicurezza Mancanza di consapevolezza Uso scorretto di hardware/software Carenza di monitoraggio
Scorretta allocazione dei diritti Mancanza di politiche per i di accesso mezzi di comunicazione Carenza di controllo nel Procedure di reclutamento caricamento e uso di software inadeguate Permanenza di sessioni aperte senza utente Carenza di controllo di configurazione Carenza di documentazione Mancanza di copie di backup Incuria nella dismissione di supporti riscrivibili
Pagina 25 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 14 INDIVIDUAZIONE DELLE CONTROMISURE

Le contromisure individuano le azioni che si propongono al fine di annullare o di limitare le vulnerabilit e di contrastare le minacce, esse sono classificabili nelle seguenti tre categorie: contromisure di carattere fisico; contromisure di carattere procedurale; contromisure di carattere elettronico/informatico.
Contromisure di carattere fisico Le apparecchiature informatiche critiche (server di rete, computer utilizzati per il trattamento dei dati personali o sensibili/giudiziari e apparecchiature di telecomunicazione, dispositivi di copia) e gli archivi cartacei contenenti dati personali o sensibili/giudiziari sono situati in locali ad accesso parzialmente controllato, nel senso che i locali ospitanti le attrezzature e gli archivi cartacei sono accessibili attraverso una normale porta dingresso chiusa a chiave con normale serratura; i locali ad accesso controllato sono all'interno di aree sotto la responsabilit dei Dirigenti dei settori di appartenenza; i responsabili dei trattamenti indicati nell'allegato sono anche responsabili dell'area in cui si trovano i trattamenti; i locali ad accesso controllato sono chiusi anche se presidiati, le chiavi sono custodite a cura dei responsabili di competenza; l'ingresso ai locali ad accesso controllato possibile solo dall'interno dell'area sotto la responsabilit dei Dirigenti di ogni settore di appartenenza; i locali sono provvisti di estintore (lamministrazione provveder a breve ad installare dei sistemi antintrusione cos come degli allarmi antincendio); sono programmati interventi atti a dotare i locali ad accesso controllato di porte blindate, armadi ignifughi, impianti elettrici dedicati, sistemi di condizionamento, apparecchiature di continuit elettrica (La funzionalit del server principale comunque soddisfatta
Pagina 26 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
da un solido Gruppo Statico di Continuit, lAmministrazione al fine di garantire la perfetta funzionalit del Sistema Informatico ha in programma di integrare e perfezionare la dotazione della sala CED). Contromisure di carattere procedurale l'ingresso nei locali ad accesso controllato consentito solo alle persone autorizzate; il responsabile dell'area ad accesso controllato deve mantenere un effettivo controllo sull'area di sua responsabilit; nei locali ad accesso controllato esposta una lista delle persone autorizzate ad accedere, che periodicamente controllata dal responsabile del trattamento o da un suo delegato; i visitatori occasionali della aree ad accesso controllato sono accompagnati da un incaricato; per lingresso ai locali ad accesso controllato necessaria preventiva autorizzazione da parte del Responsabile del trattamento e successiva registrazione su apposito registro; controllata lattuazione del piano di verifica periodica sull'efficacia degli allarmi e degli estintori; lingresso in locali ad accesso controllato da parte di dipendenti o estranei per operazioni di pulizia o di manutenzione avviene solo se i contenitori dei dati sono chiusi a chiave e i computer sono spenti oppure se le operazioni si svolgono alla presenza dellIncaricato del trattamento di tali dati; il protocollo riservato, accessibile solo al Titolare e al Responsabile del trattamento conservato (indicare dove); inoltre per il trattamento dei soli dati cartacei sono adottate le seguenti disposizioni: o si accede ai soli dati strettamente necessari allo svolgimento delle proprie mansioni; o si utilizzano archivi con accesso selezionato; o atti e documenti devono essere restituiti al termine delle operazioni; o fatto divieto di fotocopiare/scannerizzare documenti senza l'autorizzazione del responsabile del trattamento; o fatto divieto di esportare documenti o copie dei medesimi all'esterno dell'Ente senza l'autorizzazione del responsabile del trattamento, tale divieto si estende anche all'esportazione telematica; o il materiale cartaceo asportato e destinato allo smaltimento dei rifiuti deve essere ridotto in minuti frammenti.
Pagina 27 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Contromisure di carattere elettronico/informatico Vedere lAllegato.
Articolo 15 NORME PER IL PERSONALE

Tutti i dipendenti concorrono alla realizzazione della sicurezza, pertanto devono proteggere le risorse loro assegnate per lo svolgimento dell'attivit lavorativa e indicate nell'articolo 3, nel rispetto di quanto stabilito nel presente documento.
Articolo 16 INCIDENT RESPONSE E RIPRISTINO

Vedere lAllegato
Articolo 17 PIANO DI FORMAZIONE

La formazione degli incaricati viene effettuata allingresso in servizio, allinstallazione di nuovi strumenti per il trattamento dei dati, e comunque con frequenza annuale. Le finalit della formazione sono: sensibilizzare gli incaricati sulle tematiche di sicurezza, in particolar modo sui rischi e sulle responsabilit che riguardano il trattamento dei dati personali; proporre buone pratiche di utilizzo sicuro della rete; riconoscere eventuali anomalie di funzionamento dei sistemi (hardware e software) correlate a problemi di sicurezza. Nozioni di base sulla struttura informatica dellEnte Profili previsti allinterno dellEnte Le competenze e responsabilit di ogni singolo profilo Le misure disponibili per prevenire eventi dannosi Le sanzioni previste dalla normativa in caso di non rispetto delle norme sulle misure minime di sicurezza nel trattamento dei dati
Pagina 28 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Le responsabilit e le modalit per laggiornamento delle misure minime adottate
Formazione specifica relativamente alla legge sulla Privacy D.Lgs. 196/03 stata effettuata negli anni scorsi; (LAmministrazione a comunque disposto un piano formativo integrativo con cadenza annuale, relativamente alla Privacy, allInformatica, ed alla cura degli aspetti comportamentali riferiti in particolare al rapporto con i cittadini). In ogni caso, i Responsabili, ove richiesto, per i nuovi assunti o ove se ne ravvisi la necessit, provvederanno ad organizzare riunioni per lillustrazione e la diffusione degli accorgimenti ad adottare in tema di sicurezza. I soggetti responsabili del trattamento provvederanno, anche per tramite gli amministratori di sistema, a informare gli incaricati: 1. della presenza dei virus negli elaboratori dellufficio 2. di prassi da parte del personale non conformi alle disposizioni di sicurezza 3. della periodica necessit di variazione delle parole chiave da parte degli incaricati 4. della disponibilit di programmi di aggiornamento relativi allantivirus
Il piano prevede inoltre la pubblicazione di normativa ed ordini di servizio in apposita bacheca situata allingresso principale di ogni sede degli edifici Comunali.
Articolo 18 AGGIORNAMENTO DEL PIANO

Il presente piano soggetto a revisione annua obbligatoria con scadenza entro il 31 marzo, ai sensi dell'art. 19 allegato B del D.L.vo 30/06/2003 N. 196. Il piano deve essere aggiornato ogni qualvolta si verificano le seguenti condizioni: modifiche all'assetto organizzativo dellEnte ed in particolare del sistema informativo (sostituzioni di hardware, software, procedure, connessioni di reti, ecc.) tali da giustificare una revisione del piano; danneggiamento o attacchi al patrimonio informativo dellEnte tali da dover correggere ed aggiornare i livelli minimi di sicurezza previa analisi dell'evento e del rischio.
Pagina 29 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 19 PROTEZIONE DELLE AREE E DEI LOCALI

Nella sede centrale viene effettuato un controllo degli accessi da parte di personale addetto, il Pubblico viene ammesso solo nelle ore di ricevimento. Negli uffici non ci sono sistemi anti-intrusione. Il sistema informatico nella sua componente principale (CED) ubicato in un apposito locale sito al primo piano delledificio principale. Esso attualmente non risponde ai requisiti minimi di sicurezza imposti dal D.Lgs 196/03, infatti manca di: Dispositivo antincendio Porte e finestre supportate da dispositivi anti-intrusione Inoltre laccesso al suddetto locale consentito anche a persone non pertinenti lattivit di gestione del sistema. I supporti di Backup sono insufficenti, non vi sono armadi ignifughi e/o di sicurezza ne per supporti cartacei ne per supporti magnetici. Le chiavi di ingresso negli edifici e nei locali riservati sono custodite da personale incaricato, tuttavia non ci sono precise norme a riguardo. Tutte le risorse idonee ad una corretta gestione dei sistemi di sicurezza e protezione delle aree e dei locali sono quindi carenti. LAmministrazione comunale in ogni caso impegnata costantemente al fine di ottemperare completamente agli adempimenti previsti dal D.Lgs 196/03.
Pagina 30 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 20 SICUREZZA DEL SOFTWARE

Presso ciascun servizio sar consentita linstallazione elusiva delle seguenti tre categorie di software: a. b. c. Software commerciale, dotato di licenza duso Software realizzato specificamente per lAmministrazione Software realizzato specificamente per Servizio a livello locale
Linstallazione di software diversi da quelli indicati va autorizzata dallAmministratore di Sistema. Il software deve essere installato solo da supporti fisici originali o dei quali sia nota la provenienza. I Responsabili del trattamento con cadenza annuale devono comunicare allAmministratore di Sistema lelenco dei software presenti sulle macchine assegnate al loro ufficio e rispondono dei software presenti sulle medesime. Tramite lAmministratore del sistema si provveder alla distribuzione di un software antivirus aggiornato con cadenza annuale per le macchine non in rete. Per le macchine in rete si provveder ugualmente con cadenza annuale ad aggiornare il sistema antivirus centralizzato. Sia gli utenti delle macchine collegate in rete, che i PC non in rete (Stand alone), non sono abilitati come amministratori delle macchine e per poter installare software occorre lautorizzazione del Responsabile del trattamento. Lautorizzazione deve essere comunicata allAmministratore di sistema che provvede tramite i propri incaricati. Per linstallazione di applicativi occorre lautorizzazione del Responsabile del trattamento in forma scritta avanzata allAmministratore di sistema.
Pagina 31 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 21 DATI PRESENTI SU ELABORATORI CONNESSI IN RETE

Il Responsabile del trattamento, con la collaborazione dellAmministratore di sistema, mantiene unelenco da aggiornare con cadenza semestrale, di tutte le attrezzature informatiche dellEnte nel quale viene riportato la loro ubicazione fisica e la loro destinazione. I Responsabili del trattamento sono responsabili di tutte le attrezzature informatiche a loro affidate. I Responsabili del trattamento devono comunicare tempestivamente allAmministratore di sistema la modifica delle attrezzature informatiche sia in termini logistici che in termini di destinazione. LAmministratore di sistema individua i volumi logici o le aree di disco da sottoporre a Backup, effettuate dallincaricato con cadenza settimanale, sui vari server e dellunit centrali. Laccesso alla rete possibile soltanto attraverso la credenziale di autenticazione rilasciata dallAmministratore di sistema a dalla persona incaricata su richiesta scritta dei Responsabili dei trattamenti.
Articolo 22 DATI PRESENTI SU ELABORATORI STAND ALONE

Per i dati presenti su PC stand alone sar cura del Responsabile del trattamento stabilire: a. I dati da sottoporre a backup b. La frequenza con cui deve avvenire (non inferiore a 7 giorni) c. Di destinare un bene provvisto di chiave per conservare le copie d. Il numero delle copie da effettuare ogni volta e. Di individuare lincaricato del trattamento a cui verr assegnato il compito di effettuare le copie Tutte le chiavi vanno custodite dal personale delegato dal Responsabile del trattamento.
Pagina 32 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 23 SISTEMA DI MONITORAGGIO

LAmministrazione sta provvedendo a mettere in atto un processo di controllo e verifica della sicurezza del sistema Informatico, attraverso lutilizzo di appositi strumenti a livello di sistema , di gestione delle basi dati e di applicazioni.
Articolo 24 CONTROLLO DEGLI ACCESSI

LAmministrazione comunale attraverso degli interventi mirati, sta provvedendo affinch il sistema informatico comunale venga dotato di tutti i dispositivi per renderlo sicuro ed efficiente. Tutte le stazioni di lavoro costituite da PC dovranno essere protette da password di accensione. Ad ogni utente potr essere attribuito un identificativo (credenziale di autenticazione) costituito da minimo 8 caratteri. Ogni utente ha lobbligo di modificare la password attribuitagli dallAmministratore del Sistema o dal Responsabile delle Password per il primo accesso. La password va modificata con cadenza trimestrale, e dovr essere composta sempre da minimo 8 caratteri. Il processo di autenticazione consentir di ottenere uno specifico insieme di privilegi di accesso ed utilizzo, denominato profilo, rispetto alle risorse del sistema informatico. A ciascun profilo sar associato un gruppo di utenti che condividono gli stessi privilegi di accesso e utilizzo. Il Responsabile del trattamento fornisce allAmministratore di sistema i nominativi e la qualifica degli utenti autorizzati (incaricati dei trattamenti), nonch i loro privilegi di utilizzo del sistema informatico.
Pagina 33 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Articolo 25 ELENCO ALLEGATI COSTITUENTI QUESTO DOCUMENTO

PARTE
INTEGRANTE
DI
Allegato 1 - elenco trattamenti dei dati Allegato 2 - minacce hardware, minacce rete, minacce dati trattati, minacce supporti Allegato 3 - misure di carattere elettronico/informatico, politiche di sicurezza, incident response e ripristino Allegato 4 - regolamento per l'utilizzo della rete Allegato 5 uso del proxy Lettere di incarico per Incaricati al trattamento dei dati Lettera di incarico per i Responsabili del trattamento Lettera di incarico per il custode delle password Lettera di incarico per l'amministratore di sistema, e per il responsabile della sicurezza informatica. Lettera di incarico per il Responsabile delle copie di salvataggio
Il presente Documento Programmatico sulla Sicurezza deve essere divulgato e illustrato a tutti gli incaricati.
Celano, 23 marzo 2011 LIncaricato alla Redazione (Armando Raglione) ______________________

(firma)
Nota: Fonti di documentazione Il modello di documento programmatico sulla sicurezza stato predisposto consultando le seguenti fonti: http://www.garanteprivacy.it http://www.osservatoriotecnologico.net Sicurezza informatica ECDL IT Administrator Modulo 5 Testo di riferimento per la certificazione EUCIP - McGraw Hill ISBN 88-3864333-4 Tabelle Minacce e vulnerabilit Cap.1
Pagina 34 di 35

Tel. 0863 79541 - Fax 0863 792335
Comune di Celano
Il regolamento per l'utilizzo della rete stato derivato dal documento proposto alla Giornata di studio CISEL 0203G286 CISEL Centro Studi per gli Enti Locali Maggioli
Pagina 35 di 35

Delibera Giunta N 034 Allegato

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Delibera Giunta N 034 Allegato

Caricato da

Copyright:

Formati disponibili

Piazza IV Novembre 67043 CELANO (AQ)

Tel. 0863 79541 - Fax 0863 792335

Celano, 23 marzo 2011 Prot. nr.

ARMANDO RAGLIONE ______________________

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

9. 10. 11. 12. 13. 14.

Articolo 1 NORMATIVA DI RIFERIMENTO

Articolo 2 DEFINIZIONI E RESPONSABILIT

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 3 INFORMAZIONI SULLANALISI DEI RISCHI (ALL. B 19.3)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 9 TITOLARE, RESPONSABILI, INCARICATI

Piazza IV Novembre 67043 CELANO (AQ)

ANALISI DEI RISCHI

Articolo 11 INDIVIDUAZIONE DELLE RISORSE DA PROTEGGERE

Per ulteriori dettagli vedere gli Allegati

Articolo 12 INDIVIDUAZIONE DELLE MINACCE

Piazza IV Novembre 67043 CELANO (AQ)

determinare danno a tutte o parte delle risorse indicate all'articolo 3.

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 13 INDIVIDUAZIONE DELLE VULNERABILIT

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 14 INDIVIDUAZIONE DELLE CONTROMISURE

Piazza IV Novembre 67043 CELANO (AQ)

Piazza IV Novembre 67043 CELANO (AQ)

Contromisure di carattere elettronico/informatico Vedere lAllegato.

Articolo 15 NORME PER IL PERSONALE

Articolo 16 INCIDENT RESPONSE E RIPRISTINO

Articolo 17 PIANO DI FORMAZIONE

Piazza IV Novembre 67043 CELANO (AQ)

Le responsabilit e le modalit per laggiornamento delle misure minime adottate

Articolo 18 AGGIORNAMENTO DEL PIANO

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 19 PROTEZIONE DELLE AREE E DEI LOCALI

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 20 SICUREZZA DEL SOFTWARE

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 21 DATI PRESENTI SU ELABORATORI CONNESSI IN RETE

Articolo 22 DATI PRESENTI SU ELABORATORI STAND ALONE

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 23 SISTEMA DI MONITORAGGIO

Articolo 24 CONTROLLO DEGLI ACCESSI

Piazza IV Novembre 67043 CELANO (AQ)

Articolo 25 ELENCO ALLEGATI COSTITUENTI QUESTO DOCUMENTO

Celano, 23 marzo 2011 LIncaricato alla Redazione (Armando Raglione) ______________________