Trattamenti con strumenti elettronici
Sistema di autenticazione informatica
- Accesso ai sistemi informatici per mezzo di credenziali di autenticazione
- Assegnazione individuale ad ogni incaricato di una o più credenziali per l’autenticazione.
- Istruzioni agli incaricati per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato,
Sistema di autorizzazione
- Assegnazione di profili di autorizzazione di ambito diverso se prvisto
- I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
- Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
- Aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
- I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
- Gli aggiornamenti periodici dei programmi per elaboratore
- Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
- I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’ art. 615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici.
- Istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
- Distruzione dei supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati
- Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
- Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all’articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. .
Misure di tutela e garanzia
- Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
- Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
Trattamenti senza l’ausilio di strumenti elettronici
- Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
- Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
- L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.