Documento riepilogativo sulla sicurezza

Allegato A)
alla determinazione organizzativa n. 110 del 30 marzo 2012
PROVINCIA DI VERONA
Documento riepilogativo sulla sicurezza
INDICE
Premessa ..............................................................................................................................................3
1.Gli obblighi in materia di trattamento dei dati personali..............................................................3
2.Scopo e obiettivi...........................................................................................................................5
3.Termini e definizioni....................................................................................................................5
4.Fonti normative.............................................................................................................................6
PARTE PRIMA....................................................................................................................................8
Misure generali.....................................................................................................................................8
1.Elenco dei trattamenti...................................................................................................................8
2.Analisi dei rischi alla sicurezza dei dati........................................................................................8
2.1 Criteri per l’individuazione e classificazione dei beni...............................................................8
2.2 Metodologia adottata per la valutazione dei rischi ...................................................................8
2.3 Valutazione dei rischi in merito al trattamento dati con strumenti elettronici ........................10
PARTE SECONDA............................................................................................................................11
La gestione dei rischi..........................................................................................................................11
1.La distribuzione dei compiti, responsabilità e misure organizzative..........................................11
2.Trattamenti affidati all’esterno ..................................................................................................12
3.Misure in essere e da adottare per la prevenzione dei rischi......................................................13
3.1 Trattamento dei dati su supporti informatici: misure adottate.................................................13
3.1.1 Trattamento dei dati su supporti informatici: misure da adottare........................................15
3.2 Trattamento dei dati su supporti analogici: misure adottate...................................................16
3.3 Protezione degli ambienti fisici ..............................................................................................17
3.3.1 Protezione degli ambienti fisici: misure adottate.............................................................17
3.4 Ulteriori misure di sicurezza ...................................................................................................17
4.Piano degli interventi formativi sulle misure di sicurezza..........................................................19
5.Conclusioni.................................................................................................................................19
Pag. 2 di 25
Premessa
1.
Gli obblighi in materia di trattamento dei dati personali
Il Decreto Legislativo 30 giugno 2003, n.196 garantisce che il trattamento dei dati personali si
svolga nel rispetto dei diritti delle persone fisiche, con particolare riferimento alla riservatezza e alla
identità delle persone, definendo alcuni principi generali in materia di protezione dei dati personali,
e precisamente:
–
l'obbligo di trattamento dei dati, di cui all'articolo 3, relativamente alla necessità di farsì che
i sistemi informativi e i programmi informatici siano configurati per ridurre al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento
quando le finalità perseguite nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalità che permettano di identificare
l'interessato solo in caso di necessità;
–
la trasparenza, di cui all'articolo 13, relativamente all'obbligo per il titolare del trattamento
dati di manifestare all'esterno e far conoscere una serie di elementi caratterizzanti la propria
attività di trattamento. Da qui, l'esigenza di provvedere alla notifica al Garante, nei casi
previsti dal decreto all'art. 37 del “codice della privacy”, e quella di fornire l'informativa
l'interessato;
–
l'obbligo di adozione delle misure minime di sicurezza, di cui agli articoli dal 31 al 36 e
all'allegato B, relativamente alle modalità di protezione dei dati personali, che prevede, tra
l'altro, l'obbligo di valutazione in process delle stesse e il relativo continuo adattamento
anche in base alle conoscenze acquisite con il progredire delle tecnologie, alla natura dei dati
e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
Il documento programmatico sulla sicurezza (D.P.S.), di cui all'articolo 34 del codice, viene
indicato come una delle sopracitate misure minime di cui si deve dotare ogni gestore di dati
personali. Tale documento descrive lo standard di sicurezza dei dati trattati detenuti dall'Ente ed
indica gli strumenti chiave per gestire al meglio tutti gli aspetti relativi alla sicurezza informatica
dei dati e delle risorse di elaborazione che necessitano di protezione.
Il decreto legge del 9 febbraio 2012, n. 5, “Disposizioni urgenti in materia di semplificazione e di
sviluppo”, è intervenuto nelle disposizioni del codice in materia di trattamento dei dati personali ed
in particolare negli obblighi relativi al sopracitato D.P.S., anche con lo scopo di assicurare,
nell’attuale eccezionale situazione di crisi internazionale e nel rispetto del principio di equità, una
riduzione degli oneri amministrativi per i cittadini e le imprese e la crescita, il sostegno e l'impulso
al sistema produttivo del Paese.
In particolare, l’articolo 45 del decreto semplificazioni, intervenendo sull’articolo 34 del codice
della privacy ha soppresso la lettera g) del comma 1 e, abrogando il comma 1-bis, ha eliminato
l’obbligo di aggiornamento del documento programmatico sulla sicurezza.
Il sopracitato decreto, tuttavia, ha abrogato esclusivamente la redazione e l’aggiornamento del DPS,
mantenendo invece e correttamente inalterati tutti i restanti obblighi previsti dal Codice della
Privacy, che rimangono pertanto in vigore. Tra questi l'obbligo dell'adozione di adeguate misure
minime di sicurezza.
Rimane, in particolare, obbligatorio adottare:
Pag. 3 di 25
–
–
–
–
–
le altre misure del Codice e del relativo all. B1,
le diverse designazioni e nomine (incaricati, amministratori di sistema, se del caso
responsabili interni e responsabili esterni),
gli obblighi di informativa ed eventuale consenso al trattamento (art. 13)
l’adozione delle misure previste da particolari provvedimenti generali dell’autorità Garante
(provvedimento videosorveglianza in primis, ma anche provvedimento amministratori di
sistema, uso di Internet e mail nei luoghi di lavoro ecc.)
previsioni specifiche previste nelle autorizzazioni generali o in provvedimenti simili
(autorizzazione al trattamento di dati genetici, dati relativi al traffico ecc.)
I suddetti adempimenti rimangono quindi in vigore non essendo venuti meno gli obblighi in
materia, ma restando l’art. 34 integralmente applicabile.
Chiarito, quindi, che se da un lato l'eliminazione del D.P.S. non equivale a eliminare le misure
minime di sicurezza, è necessario prevedere un documento che elenchi, riassuma e pianifichi, anche
in relazione ai rischi, le misure di sicurezza in materia di trattamento dei dati. Inoltre deve tener
traccia delle modifiche e delle evoluzioni a seconda dei dati trattati e degli strumenti utilizzati.
In suddetto documento, in sostanza, deve "misurare" la sicurezza fisica, logica, organizzativa
raggiunta dall'Ente nel trattamento dei dati personali e comprovare la conformità delle misure
adottate alla normativa vigente.
I titolari sono quindi tenuti necessariamente a ricorrere alla redazione di un "Documento
Riepilogativo" speculare all'ex DPS, ancorchè privo dei vincoli costrittivi del punto 19 all. B
Codice Privacy, provvedendo a predisporre:
1. i criteri di autenticazione ed autorizzazione informatica;
2. la gestione delle credenziali di autenticazione;
3. l'aggiornamento periodico (cadenza annuale) degli incarichi conferiti ai singoli addetti al
trattamento dei dati personali;
4. una più forte, precisa e puntuale attuazione di policy aziendale per l’utilizzo e protezione
degli strumenti elettronici e dei dati rispetto ai trattamenti;
5. l'adozione di procedure per la custodia di copie di backup;
6. una solida politica di disaster ricovery per il ripristino della disponibilità dei dati e dei
sistemi.
7. l'autorizzazione formale a gestire dati per i collaboratori esterni;
8. la formulazione di direttive per l’uso dei dati rivolte ai collaboratori;
9. la predisposizione di Informative per gli interessati, dipendenti e fornitori;
10. la predisposizione del consenso al trattamento dei dati;
11. l'attuazione del percorso di risposta alle istanze dell’interessato di cui all’art.7 D.Lgs.
196/03;
12. la verifica di pertinenza, esattezza, aggiornamento e rispetto alle finalità di raccolta dei dati
gestiti;
13. un’idonea regolamentazione, in forma specifica, per particolari modalità del trattamento dei
dati, (come ad esempio la video sorveglianza ed Amministratore di Sistema)
1
autenticazione informatica per l’accesso ai sistemi informativi, la creazione di diversi profili di autorizzazione e l’aggiornamento
annuale dei rispettivi ambiti di trattamento, le misure informatiche e procedurali per la difesa contro gli accessi non autorizzati ai dati e ai
sistemi, le misure per i trattamenti “cartacei” ecc.
Pag. 4 di 25
2.
Scopo e obiettivi
Scopo del presente documento riepilogativo è quindi la ricognizione della situazione dell'Ente in
materia di sicurezza, anche al fine dell'adozione di:
− misure organizzative per una corretta gestione del trattamento dei dati;
− regole comportamentali per gli incaricati al trattamento;
− misure minime previste dalla normativa in materia;
− misure di protezione fisica degli accessi e di regole organizzative e comportamentali seguite
dal personale, definite nel presente documento e in eventuali ulteriori istruzioni operative e
regolamenti;
− criteri per il trattamento dei rischi residui al fine di ridurli ad un livello ritenuto accettabile;
Il presente documento riepilogativo sulla sicurezza, si propone quindi di:
− descrivere le misure adottate e pianificate al fine di garantire la riservatezza, l'integrità, la
disponibilità e l'autenticità dei dati trattati;
− contenere informazioni atte ad illustrare quanto realizzato e predisposto in materia di
sicurezza, sulla base dell'articolo 19 dell'allegato B al decreto legislativo del 30 giugno
2003, n.196
− evidenziare eventuali nuove esigenze o la necessità di adeguamenti, anche al fine di
garantire:
–
un sistema aggiornato di criteri di autenticazione ed autorizzazione informatica;
–
la redazione di idonee informative per gli interessati, i dipendenti e i fornitori2;
–
la predisposizione aggiornata del consenso al trattamento dati;
–
le nomine degli incarichi al trattamento dei dati personali nonché l'aggiornamento
periodico delle stesse3;
–
l’adozione delle misure previste da particolari provvedimenti generali dell’Autorità
Garante4;
–
la gestione di una privacy policy puntuale e precisa per l'utilizzo e la protezione degli
strumenti elettronici e dei dati rispetto ai trattamenti;
–
la gestione di un politica di disaster ricovery per il ripristino delle disponibilità dei dati e
dei sistemi.
3.
Termini e definizioni
Di seguito vengono riportate alcune definizioni, che verranno utilizzate nel presente documento:
− "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza
l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la
conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il
raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
− "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente
od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
2
Articolo 13 del decreto legislativo 30 giugno 2003, n. 196 e s.m.
Articolo 30 del decreto legislativo 30 giugno 2003, n.196 e s.m.
4
Disciplinare interno uso internet e posta elettronica previsto dall'articolo 154 comma 1, lett. c) del decreto legislativo
30 giugno 2003, n.196 e disciplinato con provvedimento del Garante 1 marzo 2007; prescrizioni in tema di
amministratori di sistema contenute nell'articolo 154 comma 1 lett. c) e h) del decreto legislativo 30 giugno 2003, n.196
e nel provvedimento generale del Garante 27 novembre 2008; prescrizioni in materia di videosorveglianza contenute
nell'articolo 154, comma 1, lettera c) del decreto legislativo 30 giugno 2003, n.196 e s.m., nonché nel provvedimento
generale del Garante 8 aprile 2010.
3
Pag. 5 di 25
−
−
−
−
−
−
−
−
−
−
−
−
−
−
4.
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i
dati personali idonei a rivelare lo stato di salute e la vita sessuale;
"dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma
1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario
giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale;
"misure minime": il complesso delle misure tecniche, informatiche, organizzative, logistiche
e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in
relazione ai rischi previsti nell'articolo 31;
"titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le
decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della sicurezza;
"responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati
personali;
"incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o
dal responsabile;
"interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i
dati personali;
"banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità
dislocate in uno o più siti;
"autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la
verifica anche indiretta dell'identità;
"credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa
conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
"parola chiave", componente di una credenziale di autenticazione associata ad una persona
ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
"profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una
persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad
essa consentiti;
"sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano
l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di
autorizzazione del richiedente.
'analisi dei rischi': attività che consiste nella valutazione sistematica dei rischi tramite:
− individuazione di tutte le risorse del patrimonio informativo;
− identificazione delle minacce a cui tali risorse sono sottoposte;
− identificazione delle vulnerabilità;
− definizione delle relative contromisure.
Fonti normative
Le disposizioni di legge principali concernenti la corretta gestione di sistemi informatici sono:
−
−
decreto legge del 9 febbraio 2012, n. 5, recante “Disposizioni urgenti in materia di
semplificazione e sviluppo”;
decreto legislativo del 30 giugno 2003, n.196, Codice in materia di protezione dei dati
personali e suo Disciplinare Tecnico, allegato B;
Pag. 6 di 25
−
−
−
−
−
decreto del Presidente della Repubblica del 20 dicembre 2000, n. 445, “Testo unico delle
disposizioni legislative e regolamentari in materia di documentazione amministrativa”;
legge del 23 dicembre 1993, n. 547, sui reati legati all'informatica, con modifiche al Codice
penale;
regio decreto del 22 aprile 1941, n. 633, e decreto legislativo del 29 dicembre 1992, n. 518,
sulla tutela del diritto di autore di software;
regolamento provinciale sul trattamento dei dati personali, approvato con deliberazione del
Consiglio provinciale n. 111 in data 7 dicembre 2005;
determinazione organizzativa n. 139 del 24 giugno 2011 del dirigente del servizio gestione
informatizzata dei flussi documentali e trattamento dati, sulla gestione informatizzata delle
nomine ad incaricati al trattamento dei dati personali e all'accesso alle banche dati esterne.
Pag. 7 di 25
PARTE PRIMA
Misure generali
1.
Elenco dei trattamenti
L'individuazione dei trattamenti effettuati dalla Provincia, è avvenuta utilizzando la ricognizione
generale di tutti i trattamenti di dati, ordinari, sensibili e giudiziari, effettuata presso tutte le strutture
della Provincia per la stesura del Regolamento sul trattamento dei dati personali5, a cui
espressamente si rimanda.
Il suddetto regolamento riporta puntualmente le risultanze delle schede di rilevazione dei dati e
disciplina il trattamento dei dati personali contenuti nelle banche dati ed archivi gestiti e utilizzati
dalla Provincia, anche in forma informatizzata.
Entro l'esercizio sarà modificato per adeguarlo alle recenti modifiche normative 6 ed, in particolare,
alla sostituzione del (non più obbligatorio) “Documento programmatico sulla sicurezza” con il
presente Documento riepilogativo in materia di sicurezza, che preveda e aggiorni annualmente le
misure minime di sicurezza.
2.
Analisi dei rischi alla sicurezza dei dati
Il presente capitolo definisce i criteri e le modalità operative adottate per individuare i beni da
proteggere e i rischi per la sicurezza delle aree, dei dati e delle modalità di accesso ai dati.
Le misure di sicurezza adottate dall'Ente e descritte nel presente documento hanno origine da una
attenta analisi dei rischi.
Tale analisi comporta una stima del rischio al fine di stabilire il livello di rischio accettabile, gli
interventi per eliminare o ridurre il rischio e per minimizzare le probabilità di accadimento.
2.1 Criteri per l’individuazione e classificazione dei beni
Le risorse da tutelare, al fine di adottare le misure di sicurezza, sono suddivise nelle seguenti
tipologie di beni: ambiente fisico; hardware,software, accesso ai dati.
Per ogni tipologia viene eseguita una analisi dei rischi.
I beni sono classificati in gruppi omogenei e viene riempita una scheda di rischio per ogni gruppo.
Vengono presi in considerazione, per:
− ambiente fisico: edifici; locali (eventualmente raggruppati) di ubicazione degli archivi
informatizzati, locali di conservazione dei dati cartacei;
− hardware: strumenti utilizzati (eventualmente raggruppati)
− software: software utilizzati (eventualmente raggruppati)
− accesso ai dati: interconnessione e stazioni di lavoro per l’accesso (eventualmente
raggruppati).
2.2 Metodologia adottata per la valutazione dei rischi
Per ogni bene individuato sono state definite ed identificate le diverse componenti dei rischi, e
precisamente:
− minacce, quali eventi che possono provocare un danno al bene, nel caso si verifichino, e a
fronte di ogni minaccia;
− impatti, quali conseguenze del verificarsi di una minaccia;
− valore dell'impatto, quale quantizzazione del danno (in una scala da 1 a 10) valutato sia da
un punto di vista quantitativo (costi di ripristino, giornate di lavoro …) che da un punto di
vista qualitativo (perdita di immagine, violazioni, perdita di operatività …)
5
Approvato con deliberazione del Consiglio provinciale n. 111 in data 7 dicembre 2005 e pubblicato sul portale della
Provincia, nella sezione “Statuto e regolamenti” della home page.
6
Articolo 45 del decreto legge 9 febbraio 2012, n.5, disposizioni urgenti in materia di semplificazione e di sviluppo.
Pag. 8 di 25
livello della minaccia, quale probabilità (riportata in valori da 1 a 5) che si verifichi una
minaccia, indipendentemente dalle contromisure;
− livello della vulnerabilità, quale misura (in una scala da 1 a 3) della debolezza del bene,
tenendo conto delle misure adottate.
La valutazione del livello della minaccia, viene effettuata con la seguente scala, in base alla
frequenza ipotizzata per il verificarsi della minaccia:
1 = BB: molto basso = ci si aspetta una frequenza superiore a 10 anni
2 = B: basso = ci si aspetta una frequenza fra 3 anni e 10 anni
3 = M: medio = ci si aspetta una frequenza fra 1 anno e 3 anni
4 = A: alto = ci si aspetta una frequenza fra 1 mese e 1 anno
5 = AA: molto alto= ci si aspetta una frequenza inferiore a 1 mese
La valutazione del livello della vulnerabilità, viene effettuato in base alla seguente scala:
1 = B: Basso
2 = M: Medio
3 = A: Alto
In mancanza di altri elementi, l’individuazione dei rischi avviene utilizzando come criterio
l’esperienza maturata e la raccolta di dati statistici.
La misura del rischio viene poi calcolata per ogni impatto come funzione di valore, livello di
minaccia e livello di vulnerabilità.
La funzione di rischio adottata si basa su una matrice di valutazione del rischio che fornisce un
valore nel range [1:7] in funzione delle minacce, delle vulnerabilità e del valore del bene sopra
descritti.
−
Matrice di valutazione del rischio
Minacce
BB
BB
BB
B
B
B
M
M
M
A
A
A
AA
AA
AA
Vulner.
B
M
A
B
M
A
B
M
A
B
M
A
B
M
A
1
1
1
1
1
1
1
1
1
2
1
2
2
2
2
3
2
1
1
2
1
2
2
2
2
3
2
3
3
3
3
4
3
1
2
2
2
2
3
2
3
3
3
3
4
3
4
4
4
2
2
3
2
3
3
3
3
4
3
4
4
4
4
5
5
2
3
3
3
3
4
3
4
4
4
4
5
4
5
5
6
3
3
4
3
4
4
4
4
5
4
5
5
5
5
6
7
3
4
4
4
4
5
4
5
5
5
5
6
5
6
6
8
4
4
5
4
5
5
5
5
6
5
6
6
6
6
7
9
4
5
5
5
5
6
5
6
6
6
6
7
7
7
7
10
5
5
6
5
6
6
6
6
6
6
7
7
7
7
7
Valore
I risultati forniti dall’attività di analisi dei rischi costituiscono l’input di ingresso per la gestione del
rischio e dunque per definire e selezionare:
− le politiche di sicurezza
− le contromisure per ridurre il rischio ad un livello considerato accettabile dal Responsabile
del trattamento dei dati della “Struttura”
In funzione del valore numerico di Rischio, l'Ente adotta idonee misure di prevenzione e
protezione.
Una volta calcolato il valore del rischio, si pianificano le priorità di intervento al fine di installare
le contromisure adeguate per ridurre il rischio ad un livello considerato accettabile. E' opportuno
Pag. 9 di 25
rivedere l’analisi dei rischi con una frequenza annuale, in maniera tale che sia continuamente
aggiornata e quindi sia sempre possibile inserire eventuali nuove minacce e vulnerabilità.
Nei paragrafi successivi viene riportata la sintesi sull’analisi dei rischi effettuata per le diverse
tipologie.
2.3 Valutazione dei rischi in merito al trattamento dati con strumenti elettronici
La valutazione dei rischi effettuata nel 2009, evidenziava i rischi potenziali di cui alla tabella
seguente.
Eventi relativi a
comportamenti degli
operatori
Evento
sottrazione
di
credenziali
di
autenticazione
carenza
di
consapevolezza,
disattenzione o incuria
comportamenti sleali o fraudolenti
errore materiale
Eventi relativi agli
strumenti
Descrizione
integrità / riservatezza
violazione
disponibilità
violazione integrità
disponibilità
violazione integrità
disponibilità
violazione integrità
disponibilità
sottrazione di strumenti contenenti dati
Eventi relativi al
contesto
/
riservatezza
/
/
riservatezza
/
/
riservatezza
/
azione di virus informatici o di
violazione integrità / disponibilità
programmi suscettibili di creare danno
spamming o tecniche di sabotaggio
violazione disponibilità
malfunzionamento, indisponibilità o
violazione disponibilità
degrado degli strumenti
violazione integrità / riservatezza
accessi esterni non autorizzati
disponibilità
intercettazione di informazioni in rete
violazione riservatezza
accessi non autorizzati a locali/reparti violazione integrità
ad accesso ristretto
disponibilità
/
/
riservatezza
/
/
violazione riservatezza / disponibilità
eventi distruttivi, naturali o artificiali,
violazione integrità / disponibilità
dolosi, accidentali o dovuti ad incuria
guasto ai sistemi complementari
violazione disponibilità
(impianto elettrico, climatizzazione,…)
errori umani nella gestione della
sicurezza fisica
Tabella 1: Possibili eventi dannosi sul sistema informativo.
Le schede di rilevazione, compilate dagli uffici interessati, hanno consentito di effettuare un
censimento dei trattamenti all'interno della Provincia.
A seguito della suddetta analisi e valutazione, la Provincia ha individuato e adottato idonee misure
tecniche e organizzative,descritte nella parte seconda del presente documento.
Le suddette misure risultano ancora efficaci a garantire un adeguato livello di sicurezza dei dati.
Pag. 10 di 25
PARTE SECONDA
La gestione dei rischi
1. La distribuzione dei compiti, responsabilità e misure organizzative
L'organizzazione della Provincia, i compiti e le responsabilità della stessa rispetto ai trattamenti di
competenza sono contenuti nel regolamento sul trattamento dei dati personali, sopra citato, ed in
particolare nella Parte I, agli articoli 6, 7 e 8, a cui si rinvia, riguardanti rispettivamente:
il titolare;
il responsabile;
− gli incaricati del trattamento.
Con decreto Decreto n. 24 del 4 marzo 2011, il Presidente della Provincia ha provveduto a
nominare il responsabile generale e i responsabili verticali del trattamento, anche a seguito
dell'intervenuta riorganizzazione della macro-struttura. Il suddetto decreto, unitamente alle altre
informazioni in materia di tutela della riservatezza, è pubblicato sul portale internet della Provincia
e consultabile alla voce “Privacy” della home page.
Il dirigente coordinatore dell'Area di supporto giuridico amministrativi e del servizio gestione
informatizzata dei flussi documentali, che, dal 1 gennaio 2011, è responsabile anche del trattamento
dei dati, ha adottato una serie di misure organizzative volte a presidiare e garantire la corretta
gestione delle attività di trattamento dei dati da parte degli uffici provinciali, e precisamente:
−
−
1. istituzione del gruppo di lavoro per il trattamento dei dati;
2. ricognizione delle banche dati;
3. informatizzazione delle procedure di nomina degli incaricati al trattamento dei dati e
all'accesso alle banche dati esterne.
1.1 Istituzione di un gruppo di lavoro per il trattamento dei dati.
Con determinazione organizzativa n. 69 del 2 marzo 2011, il dirigente responsabile del servizio
gestione informatizzata dei flussi documentali e trattamento dati ha costituito il gruppo di lavoro
“trattamento dati” con gli obiettivi, tra gli altri, di:
− analizzare la documentazione in essere e verificare lo stato di attuazione dell’attività
relativa al trattamento dei dati;
− proporre le linee guida per la corretta gestione del trattamento dati nell’Ente;
− coordinare e supportare gli uffici provinciali in un’ottica di minimizzazione dei costi
amministrativi.
Il gruppo di lavoro ha evidenziato, tra l'altro, la necessità di introdurre una gestione informatizzata
sia per le nomine degli “Incaricati al trattamento” che per l'attribuzione degli accessi a banche dati
esterne al fine di agevolare i responsabili verticali nell'assegnazione dei suddetti incarichi e nonché
di permettere il corretto presidio della gestione delle attività inerenti gli incarichi al trattamento dati
effettuati nell'Ente.
Il gruppo di lavoro proseguirà, anche per l'anno 2012, al fine di fornire supporto al servizio gestione
informatizzata dei flussi documentali e trattamento dati, in particolare il gruppo di lavoro potrà
occuparsi delle seguenti attività:
–
l'aggiornamento e pubblicazione dei documenti inerenti alla gestione del trattamento di
dati nell’ente:
–
la ricognizione delle banche dati, incaricati, trattamenti;
–
la definizione delle linee guida sulla tutela della riservatezza per la pubblicazione dei
documenti sul portale, all’albo pretorio on line, per gli operatori di protocollo;
–
la redazione di nota informativa da diffondere nell’ambito della newletter provinciale e
del bollettino diffuso dall’URP agli URP del territorio, in occasione degli adempimenti
utili.
Pag. 11 di 25
Inoltre, il gruppo di lavoro provvederà ad aggiornare i responsabili incaricati relativamente ad
eventuali variazioni rispetto alle disposizioni contenute nel presente documento in ottemperanza
alla normativa vigente.
1.2 Ricognizione delle banche dati
Sempre con determinazione organizzativa n. 69 del 2 marzo 2011, ha disposto la ricognizione delle
banche dati, degli incaricati e dei trattamenti, anche per superare la gestione cartacea degli incarichi
conferiti in relazione al trattamento dei dati, che nel tempo ha determinato difficoltà
nell'aggiornamento e presidi.
1.3 Informatizzazione delle procedure di nomina degli incaricati al trattamento dei dati e
all'accesso alle banche dati esterne
Con determinazione organizzativa n.139 del 24 giugno 2011, ha introdotto un sistema
informatizzato per la gestione e il presidio delle nomine ad incaricati del trattamento dati 7 nonché
per le nomine ad incaricati per accessi a banche dati esterne.
La completa informatizzazione delle operazioni relative alla gestione delle nomine degli incaricati
al trattamento dati agevola i responsabili verticali nell'assegnazione degli incarichi e permette un
corretto presidio delle relative attività garantendo, tra l'altro, la creazione di una specifica banca dati
contenente, fra l'altro, gli incarichi conferiti, le tipologie di trattamento previste, le istruzioni fornite
dai responsabili verticali agli incaricati del trattamento dei dati. I responsabili verticali, coordinati
dal responsabile generale, anche a conferma delle nomine già effettuate, hanno provveduto a
nominare formalmente “Incaricati del trattamento dei dati” i loro collaboratori e hanno impartito le
relative istruzioni mediante il nuovo sistema informatizzato. Con comunicazione del 22 agosto
2011, il responsabile generale ha validato i risultati dell'attività di ricognizione e aggiornamento
delle nomine degli “Incaricati del trattamento dati”.
Gli atti di nomina, in formato digitale, sono stati acquisiti al protocollo generale dell'Ente e
conservati a cura del servizio gestione informatizzata dei flussi documentali e trattamento dati.
2. Trattamenti affidati all’esterno
Nei casi in cui la Provincia affida a terzi attività che comportano il trattamento di dati, di cui sia
titolare la Provincia, si richiama il disposto di cui all’articolo 9 del “Regolamento del trattamento
dei dati personali”. In particolare, nel contratto di affidamento, oltre alla nomina del contraente
quale “responsabile esterno”del trattamento dati, vengono indicate le seguenti norme cui attenersi
nel trattamento stesso:
− impegno a comunicare per iscritto alla Provincia, nella persona del responsabile del
contratto, l'amministratore di sistema individuato dall'affidatario e i collaboratori del
responsabile esterno, nominati incaricati del trattamento dei dati;
− trattamento dei dati ai soli fini dell’espletamento dell’incarico ricevuto;
− adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;
− impegno a relazionare periodicamente sulle misure di sicurezza adottate e ad informare
immediatamente il titolare del trattamento in caso situazioni anomale o di emergenza;
− rispetto delle istruzioni pubblicate sul portale alla pagina iniziale, voce “Privacy”, oltre a
quelle specifiche fornite dal responsabile nell’esecuzione del contratto.
I responsabili verticali verificano, per i contratti di competenza in essere e di successiva stipula, il
puntuale rispetto degli adempimenti connessi e conseguenti alla nomina del contraente quale
“responsabile esterno del trattamento dei dati”.
7
Articolo 30, decreto legislativo 30 giugno 2003, n.196, codice in materia di protezione dei dati personali.
Pag. 12 di 25
3.
Misure in essere e da adottare per la prevenzione dei rischi
Scopo del presente paragrafo è descrivere le misure adottate e le eventuali ulteriori misure di
sicurezza da adottare, formalizzate in un piano operativo per la loro messa in funzione. In
particolare, le azioni necessarie per l’adozione di idonee misure di sicurezza riguardano:
− prevenzione: attività che permette di ridurre/impedire gli incidenti di sicurezza, agendo
direttamente sulla diminuzione delle probabilità di manifestazione reale di tali incidenti;
− protezione: attività che permette di ridurre/eliminare la gravità degli effetti nocivi
dell’accadimento negativo.
Dopo aver individuato e valutato i fattori di rischio connessi alle risorse e ai beni da proteggere,
vengono identificate le misure di prevenzione e protezione più idonee ad eliminare o ridurre il
rischio al livello ritenuto accettabile.
Le misure intraprese o in programma sono sia tecniche che organizzative che di verifica.
In particolare, ai sensi delle normative vigenti in materia di privacy, la Provincia ha individuato
alcune regole generali al fine di garantire una corretta e prudente gestione dei dati e un adeguato
controllo dei possibili eventi dannosi, e precisamente:
− gli archivi o gli armadi contenenti dati sensibili o giudiziari sono chiusi a chiave;
− i dati sono custoditi con cura negli armadi e nei contenitori;
− la qualità dei locali, nonché degli armadi e dei contenitori ove sono conservati i dati, è
ragionevolmente adeguata a preservare l’integrità degli stessi dai rischi legati a eventi
distruttivi, accidentali, dolosi o dovuti a incuria (i locali sono dotati di impianti di allarme
antincendio e armadi ignifughi per casi particolari, ad esempio cartelle sanitarie dei
dipendenti);
− i documenti che contengono dati non rimangono mai incustoditi su scrivanie o tavoli di
lavoro;
− i dati personali non sono condivisi, comunicati o inviati a terzi, se non previa autorizzazione;
− i documenti inviati via fax dopo la trasmissione vengono archiviati allegando il rapporto di
trasmissione stampato dall’apparecchio;
− l’accesso ai locali dopo l’orario di chiusura è consentito al personale addetto alle pulizie o
ad altri interventi sull’edificio (operai, elettricisti, ecc.), munito di cartellino di
identificazione.
3.1 Trattamento dei dati su supporti informatici: misure adottate
Dall’analisi della tabella 5, di cui al precedente paragrafo 2.1, risulta evidente che l’unico rischio
serio rilevabile è a carico delle postazioni individuali per accessi non autorizzati. Tale rischio è
contrastato tramite attività di prevenzione volte ad abbattere la probabilità di accadimento
dell’evento, agendo soprattutto nell’ambito della sicurezza fisica dei locali.
Per quanto riguarda la sicurezza degli accessi logici, sono in atto le misure minime previste
dall'allegato B al Dlgs 196/03 sui sistemi di autenticazione informatica.
In materia di trattamento dei dati conservati su supporti informatici è doverosa una attenta analisi
per la gestione degli stessi mediante il sistema di protocollo informatico e flussi documentali e per il
quale si rinvia all'allegato n. 1.
Inoltre si evidenzia che, con determinazione organizzativa del segretario direttore generale n. 25 del
24 giugno 2009, sono stati nominati gli “amministratori di sistema”, che operano secondo quanto
previsto dal provvedimento del Garante del 27 novembre 2008, che dovrà essere opportunamente
mantenuta aggiornata.
La tabella seguente illustra le misure in essere per l’abbattimento dei rischi.
Pag. 13 di 25
Trattamenti interessati
Misure
Descrizione
rischi
contrastati
Dati
giudiziari
Struttura o
Misure già
persone
in essere
addette
Formulazione di regole tecniche e
comportamentali di gestione degli
account utente
sottrazione di
credenziali di 466
autenticazione
79
115
X
U.O.
Informatica
sottrazione di
Implementazione e verifica delle
credenziali di 466
regole tecniche di gestione account
autenticazione
79
115
X
U.O.
Informatica
Formulazione di regole tecniche e
comportamentali di gestione degli
account amministrativi
sottrazione di
credenziali di 466
autenticazione
79
115
X
U.O.
Informatica
Implementazione delle regole
tecniche di gestione degli account
amministrativi
sottrazione di
credenziali di 466
autenticazione
79
115
X
U.O.
Informatica
Sistema di videosorveglianza ai
piani e all’esterno dell’edificio di
via delle Franceschine
accessi non
autorizzati a
locali/reparti
ad accesso
ristretto
175
26
31
X
Servizio
contratti
accessi non
Servizio di sorveglianza effettuato
autorizzati a
da personale specializzato
locali/reparti
all’interno dell’edificio di via delle
ad accesso
Franceschine
ristretto
175
26
31
X
Servizio
contratti
Dati
Dati
ordinari sensibili
Tabella 2: Azioni in essere o da adottare per l’abbattimento dei rischi.
Le misure elencate nella suddetta tabella sono di seguito dettagliate.
a) Formulazione di regole tecniche e comportamentali di gestione degli account utente
Le regole tecniche e comportamentali per la gestione degli account utente sono definite dalla
procedura dell’unità operativa informatica UOINF-01 “assegnazione e gestione degli account di
dominio”.
b) Implementazione e verifica delle regole tecniche di gestione account utente
Le regole individuate dalla citata procedura UOINF-01 sono in vigore dal 1 gennaio 2006,
sfruttando le impostazioni presenti all’interno dei software di sistema, che consentono una
automazione delle restrizioni e delle verifiche previste.
c) Formulazione di regole tecniche e comportamentali di gestione degli account amministrativi
Le regole tecniche e comportamentali per la gestione degli account amministrativi sono definite
dalla procedura dell’unità operativa informatica UOINF-02 “assegnazione e gestione degli
account amministrativi”.
d) Implementazione delle regole tecniche di gestione degli account amministrativi
Le regole individuate dalla citata procedura UOINF-02 sono in vigore dal 1 gennaio 2006, e
sono state adeguate alle disposizioni del provvedimento del Garante del 27 novembre 2008,
anche sfruttando alcune impostazioni presenti all’interno dei software di sistema. Gli
amministratori di sistema operano secondo quanto previsto dalla procedura e dal citato
provvedimento.
e) Servizi di videosorveglianza e di sorveglianza con personale specializzato
Dal 2008 è stato attivato un servizio di sorveglianza con personale specializzato per l’interno
dell’edificio di via delle Franceschine. Lo stesso anno, è stato attivato il sistema di
videosorveglianza per l’esterno dell’edificio di via delle Franceschine e in particolare, la zona
perimetrale sotto il porticato, il cortile interno, la zona interna adiacente l’ingresso principale.
Pag. 14 di 25
3.1.1 Trattamento dei dati su supporti informatici: misure da adottare
a) Servizio di sorveglianza sanitaria e sicurezza sui luoghi di lavoro
Sono in fase di adozione alcune misure che, attraverso l'ausilio delle tecnologie informatiche,
migliorano l'organizzazione della formazione, tenuta e conservazione della documentazione
relativa alla sorveglianza sanitaria sui dipendenti provinciali, sulla base del decreto legislativo 9
aprile 2008, n. 81, come modificato dal decreto legislativo 3 agosto 2009, n. 106.
In particolare, sono state create, a cura del responsabile dell'ufficio sicurezza, cartelle
informatizzate per ciascuna struttura organizzativa, con accesso limitato ai soli dirigenti datori di
lavoro e ai soggetti espressamente abilitati dagli stessi. All'interno delle cartelle, il responsabile
dell'ufficio sicurezza ha pubblicato la documentazione tecnica amministrativa relativa alle varie
sedi provinciali. Il responsabile dell'ufficio sicurezza provvederà anche a pubblicare i giudizi di
idoneità alla mansione dei dipendenti facenti capo a ciascuno dei dirigenti.
b) Servizio di videosorveglianza stradale e tracciamento targhe
In rapporto alle acquisizioni già intervenute da parte della Polizia provinciale (telecamere, server,
client), in data 9 settembre 2011, è stata sottoscritta la Convenzione tra la Prefettura di Verona e
la Provincia di Verona per far gestire alle Forze dell'Ordine gli apparati e gli accessi ai data base
ministeriali.
e) Criteri e modalità di ripristino della disponibilità dei dati
Il ripristino della disponibilità dei dati è gestito tramite procedure di backup effettuate sui server
provinciali e pianificando opportune prove di ripristino dei dati.
Le modalità di gestione del backup per il protocollo informatico sono descritte dalla procedura
dell’unità operativa informatica UOINF-04 “procedura di backup del protocollo informatico”,
mentre le modalità di gestione degli altri backup del sistema informativo provinciale sono
descritte dalla procedura dell’unità operativa informatica UOINF-05 “procedura di gestione dei
backup”.
La tabella seguente schematizza i criteri utilizzati per il salvataggio dati su ogni server, il luogo
di custodia delle copie e la struttura incaricata alla gestione dei backup:
Server
Criteri e procedure per il
salvataggio
Protocollo informatico Vedi procedura UOINF-04
Luogo di custodia
delle copie
Uffici assistenza
informatica
Uffici risorse umane
Struttura o persona
incaricata
Assistenza Informatica /
Gestore protocollo
Servizio risorse umane
AS400
Backup completo giornaliero.
File Server
backup completo 1 volta la
Uffici assistenza
settimana, incrementale giornaliero informatica
Assistenza Informatica
DB Server
backup completo 1 volta la
Uffici assistenza
settimana, incrementale giornaliero informatica
Assistenza Informatica
Web Server
backup completo 1 volta la
Uffici assistenza
settimana, incrementale giornaliero informatica
Assistenza Informatica
Uffici assistenza
informatica
Uffici assistenza
informatica
Assistenza Informatica
Domain Server
backup completo 1 volta la
Uffici assistenza
settimana, incrementale giornaliero informatica
Assistenza Informatica
Server SICG
backup completo 1 volta la
Uffici assistenza
settimana, incrementale giornaliero informatica
Assistenza Informatica
Mail Server
Server urbanistica
backup completo 1 volta la
settimana, incrementale giornaliero
backup completo 1 volta la
settimana, incrementale giornaliero
Assistenza Informatica
Tabella 3: Schema di backup e ripristino dei dati.
Pag. 15 di 25
f) Disaster recovery
L'unità operativa autonoma informatica sta redigendo uno studio di fattibilità per la definizione
delle soluzioni tecnologiche necessarie al fine di assicurare la continuità delle attività e il
ripristino dei dati in caso di evento disastroso.
g) Utilizzo della posta elettronica e della rete Internet nel rapporto di lavoro
Nel corso del 2009 la Provincia, in adesione al disposto di cui alle “Linee guida del Garante per
posta elettronica ed internet” (approvate con deliberazione n. 13 del 1 marzo 2007 – G.U. n. 58
del 10 marzo 2007) ha provveduto a redigere il “Disciplinare interno per l’utilizzo degli
strumenti e dei servizi informatici”.
La redazione del documento ha comportato il coinvolgimento delle strutture organizzative
coinvolte ed, in particolare, dell’unità operativa autonoma informatica.
Il testo del disciplinare, prima dell’approvazione, è stato sottoposto all’esame delle
rappresentanze sindacali che, in data 28 maggio 2009, hanno sottoscritto l’accordo sul medesimo
testo.Acquisito l’accordo con le organizzazioni sindacali, con decreto del Presidente n. 60 dell’8
giugno 2009, è stato approvato il “Disciplinare interno per l’utilizzo degli strumenti e dei servizi
informatici (internet, posta elettronica, telefonia, localizzazione automezzi di servizio, postazioni
informatiche)”.
Il disciplinare è pubblicato sul portale della Provincia.
3.2 Trattamento dei dati su supporti analogici: misure adottate
Dall’analisi degli eventi dannosi che possono verificarsi sui dati conservati su supporto cartaceo è
stato riscontrato che la maggior probabilità di perdita totale o parziale dei caratteri di sicurezza è
connessa ad una custodia deficitaria del dato.
I criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati alle misure di
sicurezza, nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi
sono illustrati nella tabella seguente:
Trattamenti dati sensibili e giudiziari
Misure
Descrizione rischi
contrastati
Formulazione di regole
tecniche e
comportamentali 
Sottrazione, manomissione,
distruzione, divulgazione a
terzi del dato conservato su
documento cartaceo.
Controllo accessi
Sottrazione, manomissione,
distruzione, divulgazione a
terzi del dato conservato su
documento cartaceo.
Misure già in essere
Istruzioni ai Responsabili
Verticali e agli Incaricati
del trattamento dei dati,
pubblicate sulla pagina
iniziale del portale alla
voce “Privacy”.
Custodia dei dati in
Sottrazione, manomissione, Dotazione di armadi con
armadi dotati di chiusura distruzione, divulgazione a chiusura a chiave presso
a chiave
terzi del dato conservato su alcuni settori dell’Ente.
documento cartaceo.
Formazione dei
dipendenti incaricati del
trattamento dei dati
Identificazione del
personale addetto alle
pulizie, che accede ai locali
dell’Ente dopo l’orario di
chiusura munito di
cartellino.
Sottrazione, manomissione, Interventi formativi per la
distruzione, divulgazione a totalità del personale
terzi del dato conservato su provinciale attraverso
documento cartaceo.
convegni e corsi sulla
normativa del trattamento
dei dati personali.
Misure da adottare
Richiami periodici a
tutto il personale
Pianificazione per i
neoassunti e sulle
regole della
riservatezza
nell'utilizzo del
protocollo informatico
Pag. 16 di 25
3.3 Protezione degli ambienti fisici
Il presente paragrafo descrive le misure di sicurezza adottate per:
− prevenire accessi fisici non autorizzati all’edificio ed ai locali che devono essere protetti;
− prevenire danni o interferenze nei locali ove si svolgono attività di trattamento dai dati
personali;
− garantire e mantenere la sicurezza e l’integrità delle apparecchiature e degli impianti, al fine
di evitare guasti che possono causare interruzione al funzionamento continuo delle attività.
3.3.1 Protezione degli ambienti fisici: misure adottate
Di seguito sono sinteticamente riportati i criteri tecnici ed organizzativi per la protezione delle aree
e dei locali interessati alle misure di sicurezza nonché le procedure per controllare l’accesso delle
persone autorizzate ai locali medesimi.
a) Controllo di accesso ai locali
Il locale adibito a CED (locale server) è posto presso la sede di via delle Franceschine, che è
sorvegliata in orario lavorativo, e soggetto ad accesso limitato. La porta tagliafuoco di accesso al
locale è mantenuta costantemente chiusa a chiave.
Il locale è dotato di gruppi di continuità, condizionatore e di sensore allarme incendio ed
estintore.
Il locale presso cui si trova il server AS400 è posto presso la sede centrale di via S. Maria Antica,
che è sorvegliata 24 ore su 24 da un corpo di guardia, e collocato in un corridoio soggetto ad
accesso limitato, il cui accesso è protetto da un cancello in ferro grigliato, mantenuto chiuso a
chiave.
Il locale è dotato di gruppi di continuità, condizionatore e di sensore allarme incendio
b) Autorizzazioni all’ingresso nei locali
Hanno accesso al locale server: gli addetti all’Unità Operativa Informatica e gli addetti del
servizio di assistenza informatica. Le chiavi sono custodite presso il servizio di assistenza
informatica.
Hanno accesso al locale in cui si trova il server AS400: gli addetti all’Unità Operativa
Informatica e gli addetti del servizio di assistenza informatica, gli addetti del servizio risorse
umane, questi ultimi solo per la giornaliera sostituzione delle cassette a nastro per il salvataggio
dei dati dalle unità di backup presenti sui minisistemi.
Le chiavi sono collocate in luogo protetto presso il servizio risorse umane. Copia delle chiavi è in
possesso dell’Unità Operativa Informatica.
c) Altre misure di protezione passiva degli edifici o dei locali
Viene prevista la possibilità estendere anche ad altri edifici provinciali le misure di difesa
passiva degli edifici sperimentate a palazzo Scaligero, che implicano indirettamente anche
protezione di documenti o supporti informatici, quali sistemi di videosorveglianza e/o accessi
controllati da tessere di riconoscimento.
3.4 Ulteriori misure di sicurezza
a) Accesso a banche dati interne alla Provincia
Con la direttiva del direttore generale n.1 del 13 febbraio 2012, relativa a misure organizzative
per l'applicazione delle nuove disposizioni in materia di certificati e dichiarazioni sostitutive, è
stato previsto, tra l'altro, il censimento delle banche dati dell'Ente che potrebbero essere
accessibili per via telematica alo scopo di automatizzare le verifiche in merito a certificati e
dichiarazioni sostitutive. I risultati della ricognizione effettuata dall'U.O. autonoma informatica
hanno rilevato che attualmente non esistono banche dati accessibili dall'esterno, ed esiste una
Pag. 17 di 25
sola banca dati, relativa al trasporto privato, che potrebbe essere ristrutturata per consentire un
accesso dall'esterno.
b) Accesso a banche dati esterne alla Provincia
Con determinazione organizza n.139 del 26 giugno 2011 è stata fatta una ricognizione dei
dipendenti abilitati ad accedere a banche dati esterne alla Provincia. In particolare è stato
introdotto un sistema interamente informatizzato per la nomina degli incaricati agli accessi
esterni e la definizione dei compiti e limiti di ciascun accesso. I responsabili verticali, quindi,
hanno provveduto, attraverso il sistema informatizzato, alla nomina dei dipendenti abilitati agli
accessi esterni, con espressa indicazione delle finalità relative al trattamento per cui è assegnata
la password d’accesso o è stata prevista l’abilitazione.
E' prevista una ricognizione annuale con conseguente aggiornamento del data base delle banche
dati e dei relativi accessi.
Gli atti di nomina, in formato digitale e acquisiti al protocollo generale dell'Ente sono conservati
a cura del servizio gestione informatizzata dei flussi documentali e trattamento dati.
c) Pubblicazione degli atti sul sito della Provincia
Con determinazione organizzativa del segretario direttore generale, a firma congiunta con i
dirigenti dell'UO autonoma informatica e del servizio gestione informatizzata dei flussi
documentali e trattamento dati, n. 185 del 28 settembre 2011 è stato disposta, tra l'altro,
l'attivazione del servizio di Albo Pretorio on-line, al fine di adempiere agli obblighi normativi in
materia. L'attivazione del suddetto servizio ha comportato la necessità di provvedere alla
definizione di regole e modalità per garantire la corretta gestione dell'albo anche al fine di
garantire una corretta gestione del trattamento dei dati in esso contenuti.
Con determinazione organizzativa n. 31 del 16 gennaio 2012 è stato approvato il disciplinare
contenente le regole di dettaglio per le modalità di pubblicazione degli atti nell'albo pretorio on
line. La pubblicazione degli atti all’Albo pretorio informatico costituisce una forma di diffusione
di dati personali consentita nei casi e secondo i limiti della legge e dei regolamenti della
Provincia. Il diritto alla riservatezza delle persone è garantito attraverso il principio di pertinenza
e non eccedenza dei dati pubblicai. La responsabile del servizio gestione informatizzata dei
flussi documentali e trattamento dati, vigila sul corretto funzionamento dell'Albo e sul rispetto
delle disposizioni contenute nel disciplinare.
Il suddetto disciplinare affianca e completa il “Documento per la pubblicazione di documenti sul
portale”, approvato con direttiva del segretario direttore generale n. 18 del 2008, che individua e
raccoglie le istruzioni da impartire alle strutture organizzative dell’Ente ai fini della corretta
pubblicazione di atti, determinazioni e deliberazioni sul sito della Provincia. Più precisamente il
documento ha lo scopo di individuare i limiti alla pubblicazione, con riferimento alla pertinenza,
non eccedenza e alla temporaneità della pubblicazione. L'intento è quello di disciplinare
l'informazione nell'Ente, al fine di renderla compatibile con il diritto alla riservatezza dei dati
personali.
Il disciplinare per la pubblicazione degli atti sull'Albo pretorio on-line è pubblicato sul sito della
Provincia alla sezione relativa all'albo stesso.
Il “Documento per la pubblicazione dei documenti sul portale” è pubblicato sul portale alla
sezione “privacy”- “istruzioni generali”.
e) Misure connesse alla “Sorveglianza sanitaria e sicurezza nei luoghi di lavoro” (ai sensi del
Decreto legislativo n. 81 del 9 aprile 2008 e successive modificazioni).
L'attività relativa alla sorveglianza sanitaria e sicurezza nei luoghi di lavoro è realizzata,
nell'Ente, in modo accentrato tramite un ufficio “sicurezza” (U.O. Tutela, salute e sicurezza nei
luoghi di lavoro) che collabora con i datori di lavoro, individuati nei dirigenti “responsabili
verticali”, e con due figure professionali esterne, rappresentate dal Responsabile della Sicurezza
e dal Medico Competente. In adesione a quanto previsto dall'articolo 53 del Decreto legislativo
n. 81/2008 “Tenuta documentazione”, la Provincia consente l'accesso ai dati solo ai datori di
Pag. 18 di 25
lavoro, ai soggetti espressamente abilitati dai datori di lavoro e al responsabile dell'ufficio
preposto alla sicurezza.
Le informazioni sono conservate sia su supporto cartaceo che informatico.
La comunicazione delle informazioni che attengono alla sorveglianza sanitaria avviene sempre
su supporto cartaceo, con trasmissione in busta sigillata “riservata”, al dipendente direttamente
interessato.
La comunicazione del Medico Competente relative al referto delle visite e/o degli accertamenti
sanitari effettuati viene fatta all'interessato sempre in busta chiusa riservata.
Il documento relativo al giudizio di “idoneità totale” alla mansione, di “idoneità parziale”
(temporanea o permanente) con o senza prescrizioni e/o limitazioni, di “inidoneità” (temporanea
o permanente) viene protocollato con modalità riservata e assegnazione esclusiva all'u.o. Tutela
salute e sicurezza nei luoghi di lavoro. La comunicazione del giudizio di idoneità all'interessato
è fatto in busta chiusa riservata. La stessa comunicazione viene fatta anche al dirigente datore di
lavoro con posta elettronica.
4.
Piano degli interventi formativi sulle misure di sicurezza
Gli interventi formativi in materia di sicurezza si inseriscono nel programma annuale della
formazione del personale provinciale.
A tal proposito, il piano annuale 2012 di formazione del personale provinciale approvato dal
segretario direttore generale, con determinazione n. 587 del 14 febbraio 2012, prevede, nell'ambito
degli interventi formativi che saranno organizzati per gli operatori del protocollo informatico
(Folium) e dell'archivio, di affrontare, tra l'altro, le tematiche relative al trattamento dei dati presenti
nei documenti acquisiti al protocollo e alla gestione delle autorizzazioni di accesso dei documenti
stessi, nonché dell'archivio.
Infatti è necessario che gli operatori siano consapevoli dei rischi che incombono sui dati e pertanto
informati sulle misure di sicurezza e sulle rispettive responsabilità.
Devono, inoltre, essere in possesso di competenze tecniche volte a valutare e ridurre al minimo i
rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della raccolta.
5.
Conclusioni
Stante le disposizioni dell'articolo 45 del decreto legge 9 febbraio 2012, n.5, il presente documento
diviene un utile strumento di sintesi, da tenere aggiornato annualmente, anche in relazione alle
modifiche delle tipologie dei dati trattati e degli strumenti utilizzati.
Pag. 19 di 25
Allegato n. 1
al Documento riepilogativo sulla sicurezza
Il sistema di protocollo informatico e gestione
dei flussi documentali
Linee guida in materia di sicurezza
Premessa
La Provincia ha attivato, dal 1 gennaio 2004, il protocollo informatico mediante l'acquisizione di
specifico software proprietario corrispondente alle prescrizioni normative previste dal DPR
445/2000 e ha definito nel Manuale di gestione del protocollo informatico, approvato con
deliberazione di giunta provinciale n. 327 del 30 dicembre 2003 e aggiornato con deliberazione di
giunta provinciale n.108 del 4 giugno 2009, le attività di registrazione, classificazione, gestione ed
archiviazione dei documenti, oltre che la gestione dei flussi documentali e dei procedimenti
amministrativi della Provincia di Verona.
1. Standard di sicurezza
La circolare 21 giugno 2001, n. AIPA/CR/31 - Art. 7, comma 6, del decreto del Presidente del
Consiglio dei ministri del 31 ottobre 2000, recante Regole tecniche per il protocollo informatico di
cui al DPR 20 ottobre 1998, n. 428, a proposito dei requisiti minimi di sicurezza dei sistemi
operativi disponibili commercialmente, stabilisce che «l’Autorità per l’informatica nella pubblica
amministrazione compila e mantiene aggiornata la lista dei sistemi operativi disponibili
commercialmente che soddisfano i requisiti minimi di sicurezza e la rende pubblica sul proprio sito
internet». In tal senso, si è determinato che la lista dei sistemi operativi disponibili
commercialmente che soddisfano i requisiti minimi di sicurezza, è costituita da quelli conformi
almeno alle specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC e
loro successive evoluzioni.
I criteri ITSEC (Information Technology Security Evaluation Criteria), sono documenti di
definizione degli standard di valutazione della sicurezza informatica messi a punto da alcuni paesi
Europei e in parte fanno riferimento ad analoghe norme (TCSEC) definite dal Ministero della
Difesa degli Stati Uniti. Concernono principalmente le misure di sicurezza tecniche per far fronte al
rischio informatico, ma prendono in considerazione anche alcuni aspetti non tecnici, quali le
disposizioni per un impiego operativo sicuro relative al personale, alla sicurezza fisica e
organizzativa.
Il sistema di protocollo informatico, mediante l’adozione di un insieme di misure organizzative e
tecnologiche, garantisce all’utente tutti i servizi previsti e solo quelli, nei tempi e nelle modalità
definite.
L'applicativo risponde ai requisiti di sicurezza previsti dalla normativa e garantisce che le
informazioni siano disponibili, integre, riservate e che per i documenti informatici sia assicurata la
autenticità, la non ripudiabilità, la validità temporale, l’estensione della validità temporale.
I dati, in relazione alle conoscenze acquisite in base al progresso tecnico, alla loro natura e alle
specifiche caratteristiche del trattamento, vengono custoditi in modo da ridurre al minimo, mediante
l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità
della raccolta.
L'applicativo assicura:
− l’univoca identificazione ed autenticazione degli utenti;
− la protezione delle informazioni relative a ciascun utente nei confronti degli altri;
− la garanzia di accesso alle risorse esclusivamente agli utenti abilitati;
− la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in
modo tale da garantirne la identificazione.
Il sistema di protocollo informatico consente, inoltre:
− il controllo differenziato dell’accesso alle risorse del sistema per ciascun utente o gruppo
di utenti;
− il tracciamento di qualsiasi evento di modifica delle informazioni trattate e
l’individuazione del suo autore;
− la protezione delle registrazioni da modifiche non autorizzate;
Pag. 21 di 25
la creazione del registro di protocollo giornaliero esportabile in formato immodificabile
e riproducibile anche su supporto cartaceo.
Il sistema controlla, ai fini della protezione da eventuali utilizzi non previsti, anche i tempi di
mancata attività di registrazione. Il mancato utilizzo del programma per detto periodo comporta la
disconnessione dell’utente. Lo stesso dovrà allora ricollegarsi al sistema di protocollo,
ripresentando le proprie credenziali.
Inoltre ogni registrazione sul protocollo informatico produce un apposita informazione sul sistema
centrale che viene accodata in una base dati accessibile esclusivamente al relativo motore. Ogni
azione operativa effettuata mediante il programma informatico viene registrata su una apposita
traccia che consente la completa ricostruzione cronologica di ogni registrazione.
−
2. Misure di prevenzione dei rischi
L’azione di controllo del rischio si esprime con la messa in esercizio di una serie di misure
classificate e dettagliate come segue:
1. misure di sicurezza organizzative:
− gestione degli accessi;
− assegnazione degli incarichi;
− altre istruzioni interne;
− formazione;
− verifiche periodiche sui dati;
− distruzione controllata dei supporti;
2. misure di sicurezza logiche:
− identificazione e autenticazione utente;
− controllo degli accessi ai dati e programmi;
− politica antivirus;
− firma digitale, crittografia;
− monitoraggio sessioni di lavoro;
− disponibilità del software e dell’hardware;
− back up giornaliero;
3. misure di sicurezza fisiche:
− vigilanza della sede;
− ingresso controllato nei locali;
− sistemi di allarme e/o antintrusione;
− registrazione degli accessi;
− custodia in armadi, classificatori non accessibili;
− casseforti;
− dispositivi antincendio nella sala server;
− continuità alimentazione elettrica;
− controllo operato addetti manutenzione;
− verifica di leggibilità dei supporti.
2.1 Codici identificativi per l’utilizzo dell’elaboratore
A ciascun utente o incaricato all'utilizzo del sistema di protocollo informativo è attribuito un codice
identificativo personale per l’utilizzazione dell’applicativo. Lo stesso codice non è, neppure in
tempi diversi, assegnabile a persone diverse.
I codici identificativi personali sono assegnati e gestiti in modo che sia prevista la disattivazione in
caso di:
− perdita della qualità che consentiva l’accesso al sistema;
− mancato utilizzo per un periodo superiore ai sei mesi.
Pag. 22 di 25
2.2 Protezione del sistema operativo
Il sistema operativo è protetto contro il rischio di intrusione ad opera di programmi di cui
all’articolo 615 quinquies del codice penale (virus), mediante idonei programmi (antivirus), la cui
efficacia ed il cui aggiornamento sono verificati con cadenza quotidiana.
2.3 Modalità di accesso e trattamento dei documenti
L’attività di protocollazione implica il trattamento, la conservazione temporanea in attesa dello
smistamento e della fascicolazione di documenti. Sono adottate le misure minime di sicurezza come
riportato nella tavola che segue:
Documenti con dati personali Documenti con dati sensibili
Conservazione dei
documenti
Archivi
Archivi
Accesso agli archivi
Accesso selezionato
Accesso selezionato e controllato
Gestione accesso archivi
Identificazione e registrazione
accessi fuori orario
Trattamento dei documenti
In contenitori muniti di serratura
Copie e riproduzioni
Come gli originali
Come gli originali
Per quanto riguarda i documenti informatici, si fa riferimento alla normativa in vigore.
La Provincia implementerà la propria piattaforma tecnologica per supportare il progetto di gestione
documentale previsto dall’art. 50 comma 3 del D.P.R. 445/2000, con lo scopo di facilitare e favorire
l’accesso alle informazioni disponibili sui procedimenti e sui documenti protocollati. Nel seguito le
indicazioni di riferimento per quanto riguarda i documenti informatici che pervengono nelle more
dell’avviamento dei progetti di cui sopra.
2.4 Abilitazione per l’accesso all’uso delle funzionalità del programma
L’accesso al sistema avviene in due momenti:
− autenticazione
− autorizzazione
L’autenticazione si esprime mediante richiesta di identificativi personali costituiti da nome
dell’utente (username) e parola chiave (password).
L’autorizzazione consiste in un insieme di funzionalità operative rese disponibili all’utente,
selezionate tra tutte quelle previste dalla procedura informatica.
Il gruppo di autorizzazioni estratte dall’insieme di funzionalità generali della procedura si definisce
‘Ruolo’, che definisce il livello di accessibilità alle informazioni registrate dei singoli utenti e le
modalità di utilizzo dell'applicativo.
Sono stati definiti i seguenti ruoli che come detto sono costituiti da un sottoinsieme delle
funzionalità possibili, e precisamente:
1. utente: è il soggetto destinatario o mittente della documentazione gestita. Sono utenti, in
linea generale tutti i dipendenti della Provincia, tutti gli amministratori provinciali e tutti
coloro che collaborano con l’Ente a seguito di preciso incarico professionale conferito in via
continuativa.
2. operatore di protocollo: è il soggetto incaricato delle operazioni di registrazione di
protocollo dei documenti in entrata e in uscita.
3. operatore di protocollo avanzato: è il soggetto incaricato delle operazioni di registrazione di
protocollo dei documenti in ingresso e in uscita. L'operatore di protocollo avanzato ha la
responsabilità dell'attività di protocollazione all'interno di ciascun servizio ed è il riferimento
per gli operatori di protocollo per quanto concerne le attività di classificazione ed
assegnazione.
Pag. 23 di 25
4. responsabile: è il soggetto, indicato dal dirigente del settore/servizio, che accede, in
consultazione, all'intero registro ufficiale di protocollo;
5. amministratore e amministratore di AOO: sono i soggetti deputati alla gestione degli accessi
al sistema;
6. sistemista: è il soggeto incaricato dal dirigente a presidiare la corretta funzionalità
dell'applicativo.
Si forniscono, infine, le definizioni delle funzioni più importanti:
− visibilità: possibilità per un utente abilitato di visualizzare una registrazione di protocollo;
− inserimento: possibilità per un utente abilitato di inserire i dati e provvedere ad una
registrazione di protocollo ed alla gestione del documento;
− modifica: possibilità per un utente abilitato di modificare i dati gestionali di una
registrazione di protocollo, con l’esclusione dei dati obbligatori;
− annullamento: possibilità per un utente abilitato (specificamente il Responsabile del
protocollo informatico) di annullare una registrazione.
In particolare, la procedura di annullamento di una registrazione di protocollo è dettata dall’art. 54
del DPR 445/2000. Le informazioni annullate devono rimanere memorizzate nella base dati per
essere sottoposte alle elaborazioni previste dalla procedura. La procedura indica quali registrature
siano state annullate sia nelle liste che nell’ispezione della registratura stessa.
Alla data, solo gli operatori del servizio gestione informatizzata dei flussi documentali e trattamento
dati sono è abilitati a effettuare gli annullamenti. Pertanto, la necessità di annullare una registratura
deve essere comunicata e motivata al Responsabile del servizio, il quale provvede ad effettuare
l’operazione di annullamento allegando le indicazioni previste (utente, data, ora, estremi del
provvedimento di autorizzazione, causale).
Particolare menzione meritano, infine, i documenti classificati come riservati, per la tipologia di dati
in essi contenuti, per i cui è necessaria la registrazione a protocollo. La possibilità di effettuare tali
registrazioni è riferita ad una particolare autorizzazione dell’utente. La registrazione particolare è
sottesa dalle stesse regole di visibilità del protocollo generale. Il registro giornaliero dei protocolli
riservati viene effettuato direttamente dal settore cui si riferisce. Sul registro di protocollo generale,
le registrazioni di protocollo riservato sono rappresentate in modo coperto. Sono cioè evidenziati
solo i riferimenti alla registrazione intesa nei termini di data di riferimento, numero di protocollo,
struttura organizzativa competente.
2.5 Sicurezza nella trasmissione di documenti informatici
Lo scambio di documenti tra le altre amministrazioni e la Provincia può avvenire tramite messaggi
sicuri trasmessi mediante il sistema di posta certificata.
La Provincia ha istituito la casella ufficiale di Posta Elettronica AOO, [email protected], registrata all’indice delle pubbliche amministrazioni presso il Centro tecnico del
CNIPA.
2.6 Procedure di emergenza in caso di impossibilità di utilizzo dell'applicativo: il registro di
protocollo di emergenza
Nelle situazioni di emergenza nelle quali non sia possibile utilizzare il protocollo informatico, ogni
evento deve essere registrato su un supporto alternativo, denominato Registro di emergenza. Ogni
registro di emergenza si rinnova ogni anno solare e, pertanto, inizia il 1° gennaio e termina il 31
dicembre di ogni anno.
Si tratta di un registro cartaceo sul quale devono essere riportate la causa, la data e l’ora di inizio
dell’interruzione, nonché la data e l’ora di ripristino della piena funzionalità del sistema, nonché
eventuali annotazioni ritenute rilevanti dal responsabile del protocollo informatico.
Il Registro di Emergenza viene a configurarsi come un repertorio del protocollo unico: ad ogni
registrazione recuperata dal registro di emergenza sarà attribuito un nuovo numero di protocollo,
seguendo senza soluzioni di continuità la numerazione del protocollo informatico unico raggiunta al
Pag. 24 di 25
momento dell’interruzione del servizio. A tale registrazione sarà associato anche il numero di
protocollo e la data di registrazione del relativo protocollo di emergenza.
L'utilizzo di tale registro deve essere disposto mediante determinazione organizzativa del
responsabile del servizio.
Una volta ripristinata la piena funzionalità del sistema, il responsabile del servizio provvede alla
chiusura del registro di emergenza, annotando su ciascuno il numero di registrazioni effettuare e la
data e ora di chiusura.
L’utente incaricato, alla ripresa della piena funzionalità del sistema di protocollo informatico,
provvede a riversare sul programma stesso tutte le registrazioni già eseguite manualmente sul
registro di emergenza.
I documenti annotati nel registro di emergenza e trasferiti nel protocollo informatico unico
recheranno, pertanto, due numeri: uno del protocollo di emergenza e uno del protocollo informatico
unico. Al numero attribuito dal registro di emergenza si fa riferimento per l’avvio dei termini del
procedimento amministrativo.
3. Responsabile del servizio
Posizione funzionale particolare è quella del Responsabile del servizio per la tenuta del protocollo
informatico, per la gestione dei flussi documentali e degli archivi, i cui compiti sono puntualmente
descritti all'articolo 5 del sopracitato manuale di gestione del protocollo informatico.
Pag. 25 di 25