Gestione degli adempimenti amministrativi da assolvere
ai sensi della legge n. 675/96

Soggetti


I principali soggetti interessati al processo di valutazione degli adempimenti derivanti dall'applicazione della legge n. 675/96 sono:

top management aziendale
unità di valutazione
sviluppatore (eventuale)
unità organizzativa


Il top management aziendale definisce gli indirizzi strategici per la gestione dei trattamenti di dati personali, individuando le finalità degli stessi ed assicurando l'effettiva adozione dei giusti parametri di valutazione e certificazione (eventuale) del sistema informativo, nonché l'adozione delle misure di vigilanza e revisione del sistema.

Sceglie l'unità di valutazione.


L'unità di valutazione determina le necessità organizzative per l'intervento di valutazione e stima le necessità finanziarie per la realizzazione del programma di lavoro e la gestione degli adempimenti.

Sceglie l'unità organizzativa.

L'unità di valutazione coinvolge nella sua attività di pre-valutazione le seguenti funzioni aziendali:

funzione marketing
funzione produzione
funzione gestione del personale
funzione gestione del patrimonifunzione sicurezza sul lavoro

Nell'unità di valutazione è presente una risorsa con competenza giuridico-legale .

L'unità di valutazione può essere assistita da uno sviluppatore con il compito di realizzare prodotti o sistemi hardware-software dedicati.


L'unità organizzativa predispone un "programma di lavoro" e individua gli strumenti di intervento per l'attuazione degli adempimenti.


Processo


Fase 1 - i soggetti responsabili

1. il top management aziendale individua le strategie di intervento in ordine alle finalità e modalità del trattamento, ivi compreso il profilo della sicurezza.


  1. il top management aziendale individua il titolare del trattamento.

    1. 1 redazione delle deleghe e del mansionario

  2. il top management aziendale individua il responsabile o i responsabili del trattamento

    1. 1 redazione delle deleghe e del mansionario

  3. Il top management aziendale sceglie l'unità di valutazione


Fase 2 - aspetti funzionali ed organizzativi


1. L'unità di valutazione individua le necessità dell'intervento, individua il budget stimato per la pre-valutazione.

  1. L'unità di valutazione individua i dati da proteggere.

  2. L'unità di valutazione avvia un procedimento di pre-valutazione.

    1. 1 individuazione degli obiettivi da raggiungere.
    2. 2 individuazione e scelta della unità organizzativa.

      1. 2.1 individuazione del responsabile del trattamento.
      2. 2.2 individuazione delle risorse umane dedicate.
      3. 2.3 individuazione dei ruoli e delle competenze.
      4. 2.4 individuazione degli incaricati e redazione dei mansionari.

  3. L'unità organizzativa predispone un programma di intervento.

    1. 1 L'unità organizzativa sottopone all'unità di valutazione il programma di intervento.
    2. 2 L'unità di valutazione esamina il programma di intervento ed indica, nel caso, i correttivi da apportare. In mancanza approva il programma, altrimenti lo risottopone all'unità organizzativa.
    3. 3 L'unità di valutazione individua il budget per l'attuazione del programma di intervento.
    4. 4 L'unità di valutazione individua la funzione di vigilanza nella fase di attuazione del programma di intervento.

  4. Avvio delle fasi a regime.
Fase 3 - Notifiche dei trattamenti e richieste di autorizzazioni al Garante

1. Notifica dei trattamenti.

    1. 1 redazione ed inoltro della notifica al Garante.
    2. 2 redazione ed inoltro della notifica per trasferimento tranfrontaliero dei dati.
    3. 3 redazione ed inoltro della notifica per cessazione dei trattamenti.

  • Monitoraggio dei trattamenti per variazione degli elementi di notifica.

    1. 1 redazione ed inoltro di nuova notifica al Garante per variazioni.

  • Richiesta di autorizzazioni al Garante.

    1. 1 acquisizione dell'autorizzazione per trattamento dati sensibili.
    2. 2 acquisizione dell'autorizzazione per trasferimento tranfrontaliero dei dati.

Fase 4 - Rapporti con l'interessato

1. Raccolta del consenso presso l'interessato.

    1. 0 predisposizione della modulistica.
    2. 1 raccolta del consenso all'inizio del trattamento.
    3. 2 raccolta del consenso per trattamento dati sensibili.
    4. 3 raccolta del consenso per comunicazione/diffusione dei dati.

  • Informazione dell'interessato.

    1. 0 predisposizione della modulistica.
    2. 1 informativa al momento della raccolta.
    3. 2 informativa al momento della comunicazione/diffusione dei dati.

  • Riscontro delle istanze dell'interessato.

    1. 0 predisposizione della modulistica e del sistema di gestione.
    2. 1 riscontro delle istanze.
    3. 2 effettuazione dei correttivi al trattamento sulla base delle istanze.
    4. 3 gestione degli interventi sul Garante.
    5. 4 gestione del contenzioso per intervento degli interessati.


Fase 5 - Realizzazione dei sistema di protezione dei dati

Riferimenti

1. Regolamento per l'individuazione delle misure minime di sicurezza.

2. Metodologia per la valutazione del livello di protezione dei dati secondo il sistema ITSEC.

3. Metodologia di progettazione del sistema di protezione

Definizioni

Banca dati: qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento.

Trattamento: qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione la conservazione, l'eleborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati personali.

Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.

Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

Incaricato: addetti alla elaborazione dei dati su istruzione del titolare e del responsabile.

Interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.

Comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dell'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Diffusione: il dare conoscenza dei dati personali a uno o più soggetti indeterminati diversi dell'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.

Blocco: la conservazione di dati personali con sospensione temporanea di ogni altra operazione di trattamento.


Parte II

Realizzazione del sistema di protezione dei dati


Soggetti

I principali soggetti partecipanti al processo di valutazione della sicurezza dei sistemi informativi sono:

top management aziendale
unità di valutazione
sviluppatore
unità di intervento
unità per le procedure di certificazione (eventuale)
ente di accreditamento (eventuale)
ente di certificazione (eventuale)

Il top management aziendale definisce gli indirizzi strategici per l'applicazione dello schema di intervento assicurando l'effettiva adozione dei giusti parametri di valutazione e certificazione del sistema informativo, nonché la vigilanza e la revisione del sistema.
Sceglie l'unità di valutazione.

L'unità di valutazione determina le necessità per l'intervento di valutazione e fissa i requisiti del sistema di sicurezza. Individua le necessità finanziarie stimate per l'adozione del sistema di sicurezza.
Sceglie l'unità di intervento.

L'unità di valutazione coinvolge nella sua attività le seguenti funzioni aziendali:

funzione marketing
funzione produzione
funzione gestione del personale
funzione gestione del patrimonifunzione sicurezza sul lavoro

L'unità di valutazione può essere assistita da uno sviluppatore con il compito di realizzare prodotti o sistemi hardware/software dedicati.

L'unità di intervento predispone il "programma di intervento" e gli strumenti per la sicurezza del sistema informativo.
L'unità di intervento è indipendente dalle altre funzioni dell'azienda.

L'unità per le procedure di certificazione (eventuale) valuta e sottopone a monitoraggio il sistema di sicurezza e predispone un "rapporto di certificazione" da sottoporre all'ente di accreditamento.

L'ente di accreditamento (eventuale) è indipendente dall'azienda, esamina il "rapporto di certificazione" e verifica che il sistema sia conforme alle procedure di sicurezza operativa ed alle norme tecniche.

L'ente di certificazione (eventuale) attesta la corrispondenza del sistema di sicurezza alle procedure di sicurezza operativa secondo lo standard ISO Guide 25 e EN 45001.
Processo



Valutazione e Certificazione
Le indicazioni che seguono riportano le principali fasi del processo di valutazione e certificazione dei prodotti e dei sistemi di sicurezza.

Fase 1 - strategia organizzativa

1. il top management aziendale individua le strategie di intervento in ordine alle finalità e modalità del trattamento, ivi compreso il profilo della sicurezza.

  1. il top management aziendale individua il titolare del trattamento.

    1. 1 redazione delle deleghe e del mansionario

  2. il top management aziendale individua il responsabile o i responsabili del trattamento

    1. 1 redazione delle deleghe e del mansionario

  3. Il top management aziendale sceglie l'unità di valutazione


Fase 2 - processo di valutazione e certificazione

  1. L'unità di valutazione identifica le necessità dell'intervento, ottiene il budget stimato per l'effettuazione della valutazione

  2. L'unità di valutazione sceglie l'unità di intervento

  3. Viene avviato un procedimento di pre-valutazione

  4. 1 L'unità di intervento individua i gli "obiettivi" da raggiungere per la sicurezza del sistema informativo ed il "livello di protezione" che si vuole conseguire.
  5. 2 L'unità di valutazione individua i "punti critici"
  6. 3 L'unità di intervento predispone un programma di intervento
  7. 4 L'unità di intervento sottopone all'unità per le procedure di certificazione il programma di intervento e l'individuazione dei "punti critici"

  8. L'unità per le procedure di certificazione approva l'avvio del processo di valutazione (eventuale)

  9. 1 L'unità per le procedure di certificazione prepara il "rapporto di certificazione" e il certificato.
  10. 2 L'ente di accreditamento esamina il "rapporto di certificazione" e, se lo ritiene idoneo, accredita il sistema per la certificazione.


  1. Si procede alla valutazione formale (eventuale)

  2. 1 L'unità di valutazione individua le alternative praticabili e il supporto tecnico necessario.
  3. 2 L'unità di intervento sceglie tra le alternative disponibili sulla base delle necessità riscontrate.
  4. 3 L'unità di intervento testa il sistema.
  5. 4 L'unità di intervento redige un rapporto dei problemi riscontrati sottoponendoli all'unità di valutazione per la risoluzione. Successivamente l'unità di valutazione reinteressa l'unità di intervento per la verifica. I passaggi 5.1 - 5.2 - 5.3 - 5.4 vengono eseguiti per le volte necessarie.
  6. 5 L'unità di intervento sottopone un "rapporto di valutazione" all'unità per le procedure di certificazione.

  7. Si procede alla certificazione (eventuale)

Definizioni



Certificazione: emissione di un certificato rilasciato da un ente di certificazione con il quale l'unità di valutazione può documentare che il Sistema di Valutazione è conforme alle Procedure di Sicurezza Operativa ed al "livello di protezione" scelto

Rapporto di certificazione: conferma che la valutazione è stata condotta in maniera accettabile, contiene il riepilogo dei risultati di valutazione e accerta il livello di protezione scelto per il sistema.

Alter:native praticabili : sono tutti gli elementi prodotti o usati durante la fase di sviluppo del sistema (incluso il sistema stesso) che richiedeno un esame nel processo di valutazione stesso. Deve essere ricompreso ogni elemento anche immateriale, come la formazione, il supporto e l'accesso ai computers.

Rapporto dei problemi riscontrati: è prodotto da coloro che procedono alla valutazione per segnalare specifici problemi del sistema, mediante l'identificazione dei problemi di sicurezza riscontrati e i suggerimenti per la loro risoluzione

Rapporto di valutazione: è prodotto dall'unità di intervento per l'unità per le procedure di certificazione. Contiene la specifica delle azioni di valutazione e la dichiarazione della corrispondenza del Sistema alle necessità riscontrate. Identifica il "livello di protezione" del sistema di valutazione.

Sistema:: caratteristiche di sicurezza di un sistema/prodotto con il quale si intende assicurare la riservatezza, l'integrità e la protezione dalla perdita di dati di un sistema o di un prodotto

Programma di Lavoro: Definisce e giustifica gli interventi necessari affinché la valutazione corrisponda ai requisiti dei Criteri di Valutazione ed allo Schema di Intervento