Data protection

Gli obblighi del titolare riguardo all’adozione delle misure di sicurezza in materia di protezione dei dati personali.

Considerato che:

  • Con l’introduzione del Regolamento UE 2016/679 (di seguito, “GDPR”) è stabilito che ogni processo privacy deve tenere conto dei principi di Privacy By Design e By Default;
  • Il principio di Privacy by Design stabilisce l’obbligo per il titolare del trattamento (l’ente o l’azienda) che vuole avviare un nuovo trattamento di dati personali, di ideare il processo affinché sia, fin dall’inizio, conforme al GDPR;
  • Il principio Privacy by Default stabilisce che il trattamento non solo deve essere progettato sin dall’inizio nel rispetto delle regole contenute nel GDPR (in primis: la minimizzazione dei dati, la limitazione della conservazione, la liceità, la correttezza) ma anche che, per impostazione predefinita, siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento. In aggiunta, il titolare del trattamento deve applicare il criterio di necessità anche per la quantità di dati raccolti, per la portata del trattamento, per il periodo di conservazione e per l’accessibilità ai dati personali a un numero definito di persone fisiche;
  • Perché il titolare possa essere considerato conforme (accountable) nello sviluppo di nuovi prodotti e servizi, è tenuto ad adottare misure tecniche e organizzative adeguate a garantire che siano trattati esclusivamente i dati personali necessari al perseguimento delle finalità di quello specifico trattamento; alcune delle misure previste dall’art. 25 GDPR sono quelle relative alla pseudonimizzazione dei dati, alla segregazione e limitazione degli accessi delle persone fisiche ai dati;
  • Le misure appropriate per garantire il rispetto dei principi di privacy by design e by default devono essere applicate dal titolare del trattamento tenendo conto dei seguenti aspetti: a) lo stato dell’arte e i costi di attuazione; b) la natura, l’ambito di applicazione, il contesto e le finalità del trattamento; c) i rischi (con relative gravità e probabilità) per i diritti e le libertà delle persone.

Evidenziato che:

  • L’art. 32, paragrafo 4, GDPR, impone al titolare di assicurarsi che chiunque agisca sotto la propria responsabilità e abbia accesso ai dati personali non tratti tali dati se non istruito in tal senso;
  • il titolare per lo svolgimento delle operazioni di trattamento dei dati personali si è dotato di una Procedura per la gestione di accordi, nomine e designazioni e relativa attribuzione di responsabilità in base a quanto previsto dal GDPR; giusta Delibera del Direttore Generale n. 427 del 4.4.2019;
  • a tale proposito è prevista la nomina a Soggetto Autorizzato al Trattamento dei Dati personali con Delega (SATD), rispetto al quale è definito l’ambito del trattamento di sua competenza; lo stesso è ritenuto responsabile per il rispetto delle disposizioni di legge applicabili in materia di protezione dei dati personali e delle istruzioni impartite dal Titolare;
  • il SATD si impegna ad adottare le misure richieste dall’art. 32 del GDPR e le procedure in materia stabilite dal Titolare,
  • nello specifico, il SATD della UOC Sistemi Informativi (S.I.), con la firma della designazione si impegna, anche, a conformarsi al Provvedimento generale del Garante per la protezione dei dati personali (di seguito, “Garante”) del 27.11.20008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, come modificato dal provvedimento del Garante del 25.6.1009 e ad ogni altro pertinente provvedimento del Garante;
  • da quanto sopra riportato, ne discende che può ritenersi sussistente a carico del SATD della UOC S.I. l’obbligo di attivarsi, per le materie di sua competenza, per verificare la conformità della disciplina regolamentare interna della ASL di Pescara al vigente quadro normativo; oltre che un generale obbligo di vigilanza sul rispetto della predetta normativa;

Preso atto che il Responsabile della Protezione dei dati, nello svolgimento dei propri compiti, eseguiti ai sensi dell’art. 39 GDPR, ha trasmesso:

  • una comunicazione riguardante l’adozione di un Piano di disaster recovery e di business continuity; (cfr. nota prot. n. 52626/19 del 29.4.2019; nota prot. n. 136559/20 del 15.10.2020);
  • una comunicazione sulle misure di sicurezza da adottare ai sensi dell’art. 32 GDPR, (cfr. e.mail del 12.6.2019)
  • una comunicazione sulle carenze che affliggono il Sistema di sicurezza delle Informazioni; (cfr. e.mail del 14.8.2019; nota prot. n. 134476/21 del 8.10.2021);
  • una comunicazione sulla Sicurezza Informatica e sulla Sicurezza cibernetica; (cfr. e.mail del 26.11.2019)
  • una comunicazione circa la necessità del titolare del trattamento, di dotarsi di un sistema di Log Management; (cfr. nota prot. n. 105626/20 del 6.8.2020);
  • una comunicazione sulla Sicurezza informatica e la Pianificazione di emergenza, con relativo documento di Audit e suggerimenti operativi; (cfr. nota prot. n. 12815/23 del 9.2.2023);
  • un Audit condotto sulle Policy in materia di data retention, ove, a fronte di una serie di non conformità rilevate, si indicavano gli interventi correttivi da applicare; (cfr. nota prot. n. 15802/23 del 20.2.2023)
  • un Audit condotto sugli Amministratori di Sistema che aveva evidenziato una serie di non conformità con relativi interventi correttivi; (cfr. nota prot. n. 893/ALA del 23.6.2017; nota prot. n. 20223/23 6.3.2023 ed e.mail del 19.4.2023);
  • una comunicazione riguardante la gestione degli endpoint e le relative misure di sicurezza tecniche ed organizzative da applicare (cfr. nota prot. n. 30844/23 del 7.4.2023);
  • una richiesta rivolta alla UOC S. I., volta a colmare una serie di debiti informativi la cui conoscenza era propedeutica alla conduzione di un audit (cfr. nota prot. n. 83918/23 del 6.10.2023); ad oggi la richiesta non è stata riscontrata;
  • le risultanze dell’audit condotto al fine di valutare la conformità al GDPR da parte della ASL di Pescara e che da tale documento si evincono una serie di non conformità, che, per quanto di stretto interesse in questa sede, attengono alle misure tecniche per la protezione dei dati personali; (cfr. nota prot. n. 98278/23 del 21.11.2023);
  • comunicazione con la quale è stata trasmessa una ceck list propedeutica allo svolgimento di un Audit per la valutazione del rischio legato alla catena di fornitura informatica; (cfr. nota prot. n. 18635/24 del 20.2.2024);
  • comunicazione sugli attacchi Ransomware e le relative tecniche di difesa; (cfr. nota prot. n. 23809/24 del 5.3.2024);
  • l’Audit di prima parte condotto sul trattamento dei dati personali nella gestione dei contratti IT. comunicazione delle non adeguatezze. Comunicazione n. 26/2024 resa ai sensi dell’art. 39 del Regolamento UE 679/2016 (cfr. nota prot. n. 0024344/24 del 06/03/2024);
  • comunicazione riguardo all’obbligo in capo al titolare del trattamento di ricorrere all’uso della crittografia; 8nota prot. n. 29961/24 del 22.3.2024).

Atteso che:

  • Il Regolamento UE 2016/679, sanziona, ai sensi dell’art. 83, paragrafo 4, la mancata adozione di misure di privacy by design e by default con sanzioni fino a 10 milioni di euro.

Rilevato che:

  • Il trattamento dei dati personali da parte della ASL di Pescara viene svolto prevalentemente attraverso il ricorso a sistemi di elaborazione (trattamento cd automatizzato);
  • Le aree di valutazione che interessano gli ambienti di elaborazione e trattamento dati sono le seguenti: a) risorse di rete e tecniche (hardware e software); b) processi/procedure relativi all’operazione di trattamento dei dati; c) diverse parti e persone coinvolte nell’operazione di trattamento; settore di operatività e scala del trattamento.

Letto l’articolo 32 del GDPR Sicurezza del trattamento, che al paragrafo 1 recita quanto segue:

– “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”

Preso atto delle:

  • funzioni assegnate per competenza alla UOC Sistemi Informativi, a presidio della sicurezza delle informazioni e del rispetto della normativa in materia di protezione dei dati personali, ed alla luce dei compiti che il titolare del trattamento ha assegnato al Direttore UOC S.I., attraverso la designazione a soggetto Autorizzato al Trattamento dei Dati con delega (SATD), si riportano di seguito le misure da applicare nell’immediato fornendone evidenza all’Ufficio Privacy e Sicurezza delle Informazioni ed allo scrivente, in qualità di Responsabile per la protezione dei dati.

MISURE TECNICHE:

  1. Individuare/definire/pianificare/attuare soluzioni atte a garantire una postura cybernetica della ASL di Pescara in linea con le prescrizioni normative e gli standard di settore;
  2. Definire, documentare e revisionare periodicamente una policy per il controllo degli accessi e una policy per la sicurezza delle password; avendo cura di indicare, almeno: – l’elenco dei meccanismi di controllo dell’integrità dei dati per verificare l’autenticità di SW, firmware e delle informazioni; – le politiche di sicurezza adottate per assegnare un meccanismo ad una risorsa e quali di questi meccanismi è applicato a quale risorsa, – i processi, le metodologie impiegate che concorrono al rispetto delle politiche di sicurezza;
  3. Adottare misure e meccanismi per la classificazione dei dati presenti nei sistemi informativi, prevedendo, altresì, la loro segregazione/separazione in base alle singole finalità per cui sono stati archiviati;
  4. Per ciascuna fornitura di beni, sistemi e servizi di information and communication technology (ICT) adottare le seguenti misure di sicurezza della catena di approvvigionamento, di cui si dovrà fornire evidenza nelle delibere di acquisto: a) fatti salvi documentati limiti tecnici, assicurare la diversificazione dei fornitori e la conseguente resilienza del bene ICT, b) valutare l’affidabilità tecnica dei fornitori e dei partner, con riferimento alle migliori pratiche in materia, tenendo conto almeno dei seguenti aspetti: – la qualità dei prodotti e delle pratiche di sicurezza cibernetica del fornitore e dei partner terzi, anche considerando il controllo degli stessi sulla propria catena di approvvigionamento e la priorità data agli aspetti di sicurezza; – la capacità del fornitore e dei partner terzi di garantire l’approvvigionamento, l’assistenza e la manutenzione nel tempo;
  5. Installare sw antivirus di ultima generazione, basato su tecniche di Intelligenza artificiale;
  6. Implementare tecniche di protezione (es. controllo di accesso, data loss prevention system, ecc.) in grado di inibire la sottrazione/perdita accidentale dei dati (data leak);
  7. Per le fasi di sviluppo e test utilizzare dati diversi dai dati di produzione; assicurare che gli ambienti di sviluppo/test/collaudo sono fisicamente separati da quelli di produzione al fine di ridurre i rischi di accesso non autorizzato o di modifiche all’ambiente di produzione;
  8. Utilizzare canali di comunicazione sicuri e cifrati per il trasferimento dei dati internamente ed esternamente alla ASL di Pescara (data in transit);
  9. Implementare soluzioni in grado di assicurare la cifratura dei dati, nelle modalità, sia “in use” che “at Rest”;
  10. Eseguire periodicamente Penetration Test/Vulnerability Test per dimostrare che il sistema informatico soddisfi i requisiti di sicurezza adeguati; dandone evidenza al titolare del trattamento; documentando i seguenti aspetti: a) descrizione generale delle tipologie di verifiche effettuate ed i relativi esiti, b) descrizione dettagliata delle vulnerabilità rilevate e il relativo livello di impatto sulla sicurezza; c) il livello di esposizione delle risorse del sistema cui è possibile accedere a seguito dello sfruttamento delle vulnerabilità; d) registro degli audit effettuati; e) relativa documentazione,
  11. Assicurare che l’accesso remoto ai server e ai sistemi sia eseguito attraverso connessioni di rete protette;
  12. Prevedere l’utilizzo di sistemi per la registrazione dei file di log, garantendone la protezione, al fine di evitare modifiche ed accessi non autorizzati agli stessi;
  13. attivare adeguati processi e policy per assicurare la Business Continuity in caso di incidenti e/o malfunzionamenti;
  14. Implementare e testare periodicamente un piano di Disaster Recovery con meccanismi di Backup e Restore dei dati;
  15. Prevedere soluzioni atte a garantire la minimizzazione dei diritti assegnati a ciascun utente;
  16. Implementare, a partire dai sistemi ritenuti più critici, soluzioni di autenticazione multifattoriali;
  17. Sottoporre i Server interni alla ASL di Pescara a Vulnerability Assessment (V.A.) prevedendo il ricorso ai conseguenti update;
  18. Sottoporre i Server esterni a V.A. prevedendo il ricorso ai conseguenti update;
  19. Per i Server gestiti dai Fornitori richiedere l’esecuzione tempestiva del patching in base alle vulnerabilità rilevate; Proteggere le configurazioni HW e SW sui dispositivi mobili;
  20. In riferimento alle Valutazioni d’impatto, condotte dal titolare ai sensi dell’art. 35 GDPR, rispetto alle quali siano state rilevate situazioni di non conformità, intervenire nel più breve tempo possibile (non oltre sette giorni dal ricevimento degli esiti della DPIA) per adottare le misure di sicurezza informatica di contenimento dei rischi;
  21. Ogni altra misura tecnica ritenuta necessaria a garantire la conformità del titolare del trattamento alla vigente normativa di settore.

MISURE ORGANIZZATIVE:

  1. Pianificare una formazione (generale e specifica) per il personale assegnato alla UOC S.I., in materia di protezione dei dati e cybersicurezza, declinandolo a seconda del target di riferimento; redigere un documento aggiornato recante, per ogni utente in servizio presso la UOC S.I., quali istruzioni ha ricevuto;
  2. Stilare un Piano di risposta agli incidenti dettagliato che delinei le azioni da intraprendere in caso di attacco ransomware;
  3. Redigere il Piano strategico aziendale in materia di cybersicurezza; tenendo conto delle misure minime di sicurezza ICT per la pubblica Amministrazione, adottate da AGID;
  4. Adottare un Piano di gestione delle vulnerabilità che indichi: – le politiche di sicurezza adottate per gestire le vulnerabilità; – i processi, le metodologie e le tecnologie impiegate che concornno al rispetto delle politiche di sicurezza;
  5. Dotarsi di un documento recante i piani di risposta (incident responce e business continuity) e recupero (incident recovery e disaster recovery), che comprenda: – le politiche e i processi impiegati per identificare le priorità degli eventi; – le fasi di attuazione dei piani; – i ruoli e le responsabilità del personale; – i flussi di comunicazione e reportistica;
  6. Istituire un gruppo di risposta agli incidenti di sicurezza (CSIRT) o un gruppo di risposta alle emergenze informatiche (CERT) o aderire a un CSIRT/CERT collettivo;
  7. Definire regole per la gestione dei sistemi dismessi, attraverso un documento aggiornato, di dettaglio, che riporta almeno le seguenti informazioni: – le politiche di sicurezza adottate per il trasferimento fisico, la rimozione e la distruzione di dispositivi atti a memorizzare i dati; – i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza;
  8. Definire la gestione della catena di distribuzione (supply chain) determinando la suddivisione dei perimetri di responsabilità tra la ASL di Pescara, i Fornitori ed eventuali, partner terzi, da riverberare all’interno dei relativi contratti;
  9. Adottare regole per la redazione di contratti coni fornitori al fine di potere realizzare appropriate misure progettate per rispettare gli obiettivi del programma di cybersicurezza della ASL di Pescara e del Piano di gestione del rischio della catena di approvvigionamento cyber;
  10. Redigere una procedura formalizzata che indichi, almeno: – le politiche di sicurezza adottate per lo sviluppo di configurazioni di sistemi IT e il ricorso alle sole configurazioni adottate; l’elenco delle configurazioni IT impiegate; i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza;
  11. Predisporre un documento recante i processi di controllo della modifica delle configurazioni, che indichi, almeno: – le politiche di sicurezza adottate per l’aggiornamento delle configurazioni dei sistemi IT e per il controllo della modifica delle configurazioni in uso rispetto a quelle previste; – i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza;
  12. Redigere un documento che disciplini, in relazione ai dati, ai dispositivi e ai sistemi, i seguenti aspetti: – le politiche di sicurezza adottate per il backup delle informazioni; – i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza;
  13. Dotarsi di una procedura per assicurare la sicurezza e la resilienza di sistemi e asset, in coerenza con le relative politiche, procedure ed accordi;
  14. Adottare di una procedura che disciplini la rilevazione delle attività anomale e il loro impatto potenziale;
  15. Dotarsi di un sistema di asset management in grado di gestire l’elenco dei fornitori, dei contratti di acquisto e di assistenza tecnica e gli asset aziendali;
  16. Definire una policy per i servizi in Cloud;
  17. Ogni altra misura organizzativa ritenuta necessaria a garantire la conformità del titolare del trattamento alla vigente normativa di settore.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

applicazione-impianti-videosorveglianza
dati-personali-lavoratoredati-personali-lavoratore

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

impresa
La NIS 2 e i criteri per l’applicazione della clausola di salvaguardia. Cosa dice il DPCM n. 221/2024.
24 Aprile 2025
AI
Una bozza di Linee guida per promuovere l’uso efficiente e appropriato dell’intelligenza artificiale generativa nella Pubblica Amministrazione. I risultati raggiunti in Svezia.
5 Maggio 2025
cybersicurezza
Vademecum per la corretta applicazione delle misure di cybersicurezza: NIS 2 e D.Lgs. n. 138/2024, ad uso degli enti e delle aziende.
14 Aprile 2025

Start typing and press Enter to search