ࡱ> AC@2bjbj6<{{*  8H TpppppKKK8::::::/ j:KKKKK:ppOKRpp8K8pP:״$e0 @  (KKKKKKK::KKKKKKK KKKKKKKKK :Disciplinare Tecnico ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Artt. da 33 a 36 del codice) Trattamenti con strumenti elettronici Modalit tecniche da adottare a cura del titolare, del responsabile ove designato e dellincaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per lidentificazione dellincaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dellincaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dellincaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o pi credenziali per lautenticazione. 4. Con le istruzioni impartite agli incaricati prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dellincaricato. 5. La parola chiave, quando prevista dal sistema di autenticazione, composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili allincaricato ed modificata da questultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave modificata almeno ogni tre mesi. 6. Il codice per lidentificazione, laddove utilizzato, non pu essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualit che consente allincaricato laccesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando laccesso ai dati e agli strumenti elettronici consentito esclusivamente mediante uso della componente riservata della credenziale per lautenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalit con le quali il titolare pu assicurare la disponibilit di dati o strumenti elettronici in caso di prolungata assenza o impedimento dellincaricato che renda indispensabile e indifferibile intervenire per esclusive necessit di operativit e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente lincaricato dellintervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente allinizio del trattamento, in modo da limitare laccesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nellambito dellaggiornamento periodico con cadenza almeno annuale dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati pu essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dellazione di programmi di cui allart. 615-quinquies del codice penale, mediante lattivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilit di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari laggiornamento almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. lelenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilit nellambito delle strutture preposte al trattamento dei dati; 19.3. lanalisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire lintegrit e la disponibilit dei dati, nonch la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilit; 19.5. la descrizione dei criteri e delle modalit per il ripristino della disponibilit dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali pi rilevanti in rapporto alle relative attivit, delle responsabilit che ne derivano e delle modalit per aggiornarsi sulle misure minime adottate dal titolare. La formazione programmata gi al momento dellingresso in servizio, nonch in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire ladozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformit al codice, allesterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, lindividuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dellinteressato. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro laccesso abusivo, di cui all art. 615-ter del codice penale, mediante lutilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e luso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dellaccesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalit di cui allarticolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi allidentit genetica sono trattati esclusivamente allinterno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati allesterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dallinstallatore una descrizione scritta dellintervento effettuato che ne attesta la conformit alle disposizioni del presente disciplinare tecnico. 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio desercizio, se dovuta, dellavvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Trattamenti senza lausilio di strumenti elettronici Modalit tecniche da adottare a cura del titolare, del responsabile, ove designato, e dellincaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per lintero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nellambito dellaggiornamento periodico con cadenza almeno annuale dellindividuazione dellambito del trattamento consentito ai singoli incaricati, la lista degli incaricati pu essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. Laccesso agli archivi contenenti dati sensibili o giudiziari controllato. Le persone ammesse, a qualunque titolo, dopo lorario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.      |}: ` (##+ +-7--222222222222hjhU h JCJh J56\ h J5 h J5\h J5CJ\h J  |}: ` h : Ffo}pd,$d,a$(N\!"##$k%&'+ +L,--7--/e12222d,2222222222222d 4&P 1h/R . A!"# $% ^ 666666666vvvvvvvvv666666>6666666666666666666666666666666666666666666666666hH6666666666666666666666666666666666666666666666666666666666666666662 0@P`p2( 0@P`p 0@P`p 0@P`p 0@P`p 0@P`p 0@P`p8XV~_HmHnHsHtHF`F Normale$da$_HmHsHtH xx Titolo 12$$ & FB@&]^B`5@B*CJKHaJphTT Titolo 2,Chapter Number/Appendix Letter,chn,h2,Level 2 Topic Heading,H21,Chapter Number/Appendix Letter1,chn1,Chapter Number/Appendix Letter2,chn2,H22,Chapter Number/Appendix Letter3,chn3,H23,Chapter Number/Appendix Letter4,chn4,H24,h21,chn5,H25,h22,H2$$ & F8h@&]^8`5@CJ\aJnn Titolo 32$$ & FX@&]^`X5@CJ\aJLA L Car. predefinito paragrafo\i\ 0Tabella normale :V 44 la 4k 4 0 Nessun elenco L>@L Titolo$$@&5CJKH\aJNP@N Corpo del testo 2$da$CJ>B> Corpo del testoxPK![Content_Types].xmlj0Eжr(΢Iw},-j4 wP-t#bΙ{UTU^hd}㨫)*1P' ^W0)T9<l#$yi};~@(Hu* Dנz/0ǰ $ X3aZ,D0j~3߶b~i>3\`?/[G\!-Rk.sԻ..a濭?PK!֧6 _rels/.relsj0 }Q%v/C/}(h"O = C?hv=Ʌ%[xp{۵_Pѣ<1H0ORBdJE4b$q_6LR7`0̞O,En7Lib/SeеPK!kytheme/theme/themeManager.xml M @}w7c(EbˮCAǠҟ7՛K Y, e.|,H,lxɴIsQ}#Ր ֵ+!,^$j=GW)E+& 8PK!HRtheme/theme/theme1.xmlYMoE#F{oc'vGuرHF[xw;jf7q7J\ʯ AxgfwIFPA}H1^3tH6r=2%@3'M 5BNe tYI?C K/^|Kx=#bjmo>]F,"BFVzn^3`ե̳_wr%:ϻ[k.eNVi2],S_sjcs7f W+Ն7`g ȘJj|l(KD-ʵ dXiJ؇kZov[fDNc@M!͐,a'4Y_wp >*D8i&X\,Wxҕ=6.^ۄ Z *lJ~auԙՍj9 !bM@-U8kp0vbp!H#m|&HyȝC)^+Ikio ,A*k,GMg,JnO#KtZ妇|1ikBԥ0 jW¦l|Vn[u~3j ȦyK$rzQL -V 5-nhxL|UviE>fO(8B#6¯S ܣioWnsΊ|{epv4Y%W:.t0O%Jݍq7ŔRN)z?@G\׶Dž8t4~_`zd kH*N69mYiHE=hK&NaV.˒eLFԕU{D vEꦛdmNU(CNޜR콶3a3/TU-!޲!ljUJ[A++T[Xs/7s b1p߃eBoC  d%;x 'hIF'|I{Z.3WSÎBWCdO(, Q݃@o)i ~SFρ(~+ѐnPK! ѐ'theme/theme/_rels/themeManager.xml.relsM 0wooӺ&݈Э5 6?$Q ,.aic21h:qm@RN;d`o7gK(M&$R(.1r'JЊT8V"AȻHu}|$b{P8g/]QAsم(#L[PK-![Content_Types].xmlPK-!֧6 +_rels/.relsPK-!kytheme/theme/themeManager.xmlPK-!HRtheme/theme/theme1.xmlPK-! ѐ' theme/theme/_rels/themeManager.xml.relsPK] * < 2228@0(  B S  ?@BQS********* *********p$!P^`P56CJOJQJ^JaJo(.@@^@`56CJOJQJ^JaJo(.08^`0o(..`^``o(... ^`o( ....  ^`o( ..... p^`o( ...... ` ^``o(....... 0@ ^0`o(........p$!^}c J**@*X@UnknownG*Ax Times New Roman5Symbol3. *Cx ArialA$BCambria Math"q;7;7ds$Mds$M! 20**- 3QHX $P^2!xxDisciplinare Tecnicofabiocalenda Oh+'0@x    (08Disciplinare TecnicofabioNormalcalenda2Microsoft Office Word@Ik@Ҧ״@Ҧ״ds$՜.+,0 hp  Vuoti A PerdereM* Disciplinare Tecnico Titolo  !"#$%&'()*+,-./12345679:;<=>?BRoot Entry F@[<״D1Table WordDocument6<SummaryInformation(0DocumentSummaryInformation88CompObj}  F+Documento di Microsoft Office Word 97-2003 MSWordDocWord.Document.89q