II
DOCUMENTO PROGRAMMATICO PER LA SICUREZZA
Linee guida per la compilazione del documento programmatico sulla sicurezza
Il documento programmatico sulla sicurezza definisce le politiche di sicurezza adottate dal titolare
in materia di trattamento dei dati personali. Nel documento programmatico si esplicitano le misure
di sicurezza adottate e quelle che si intende adottare per garantire un adeguato livello di protezione
per i dati personali al cui trattamento si procede.
Il documento programmatico, pertanto, presenta in primo luogo un'analisi della situazione aziendale
attuale e dei trattamenti in corso presso il titolare. Punto di partenza del documento programmatico
è la descrizione del sistema informatico presente nell'impresa, sia nelle sue componenti hardware
che in quelle software, e la definizione di un elenco dei trattamenti di dati personali riferibili al
titolare.
La redazione del documento programmatico, inoltre, consiste in un processo dinamico: oltre ad una
descrizione delle misure in essere, infatti, il titolare esplicita le misure che intende adottare nel
quadro di un piano di riferimento per garantire la sicurezza dei dati.
Parte 1 - Analisi situazione aziendale
1) Descrizione del Sistema Informatico Aziendale
Il capitolo presenta gli elementi fondamentali del sistema informatico aziendale, con particolare
riguardo alle misure di sicurezza in base al punto 19 del disciplinare tecnico allegato al d.lgs.vo n.
196/2003.
In particolare, deve essere descritta l’architettura del sistema, individuando tutte le sue componenti,
quali ad es. :
Hardware

Server e sistemi multiutenti presenti in azienda con i relativi sistemi operativi utilizzati

Reti locali ed altri sistemi di collegamento di terminali

Elaboratori portatili

Unità di accesso per gli utenti (terminali, personal computer, workstation, stampanti,
telefax)

Dispositivi di connessione verso l’esterno, per singoli utenti o condivisi tra più utenti

Collegamenti del sistema ad apparecchiature di produzione, rilevatori di presenze, od altri
dispositivi di acquisizione dati
Software

Applicazioni di tipo gestionale

Applicazioni di office automation

Applicazioni tecniche o grafiche (CAD/CAM, progettazione, ecc.)

Sistemi di posta elettronica e strumenti di navigazione in Internet

Siti Internet interni o in hosting o housing presso provider

Altri casi .............................................................................
2) Analisi dei trattamenti dei dati personali
(punto 19.1 del disciplinare tecnico allegato al d.lgs.vo n. 196/2003)
Si devono considerare tutti i trattamenti di dati personali (sensibili e non) effettuati in azienda. Si
ricorda che la definizione di trattamento è ampia (cfr. art. 4 lett. a) del Codice, secondo la quale è
trattamento dei dato ogni operazione (…) concernente la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione dei dati).
Si procederà dunque ad un censimento dei trattamenti individuando, per ogni categoria, le modalità
specifiche di trattamento e descrivendo le tipologie di dati considerati.
Il livello di cautele da adottare per predisporre misure di sicurezza idonee varia a seconda della
tipologia di dati che vengono trattati. Tali misure, pertanto, dovranno assumere un carattere
crescente a seconda che si tratti di dati personali comuni, giudiziari, sensibili oppure sulla salute o
sulla vita sessuale o riguardanti il menoma (i dati appartenenti a queste ultime tre categorie
ricevono una specifica disciplina nel disciplinare tecnico). Nell’effettuare il censimento dei
trattamenti interni alla struttura, pertanto, sarà opportuno specificare la natura dei dati al cui
trattamento si procede
Particolare attenzione va posta all’utilizzo dei prodotti di office automation, data la libertà d’azione
che tali prodotti concedono agli utenti con riferimento tanto al contenuto dei documenti generati
quanto alla loro gestione.
La presentazione dovrà essere il più possibile completa, illustrando anche eventuali applicazioni
che, pur non riguardando dati personali, sono gestite mediante il sistema informatico aziendale.
Nella sezione dovranno essere individuate ed elencate le “banche dati” realizzate con le specifiche
applicazioni in uso ( ad es. clienti/fornitori; dipendenti; curricula...) nonché le finalità di
trattamento.
In modo analogo dovrà essere effettuata l’analisi degli archivi cartacei.
3) La distribuzione di compiti e responsabilità all'interno della struttura
Sarà necessario esplicitare gli elementi portanti della struttura organizzativa aziendale in materia di
privacy, menzionando i soggetti che hanno specifiche responsabilità nel trattamento dei dati
personali.
Si ricorda che il Codice contiene disposizioni specifiche in materia di organizzazione interna e
disciplina le figure del responsabile (art. 29) e dell'incaricato al trattamento dei dati personali (art.
30).
La nomina di uno o più responsabili, in particolare, consente al titolare di razionalizzare la struttura
interna delegando parzialmente compiti e responsabilità.
In particolare, nella sezione vengono evidenziati:

Il “titolare del trattamento” dei dati

Il/i “responsabile/i del trattamento” dati, se esistenti (*)

Il “responsabile dei sistemi informativi” se esistente (*)

Gli “incaricati del trattamento” suddividendoli per classi omogenee a seconda delle tipologie
di trattamento dei dati a cui accedono e dei diversi profili di autorizzazione.

Il “custode delle credenziali”,

Gli eventuali prestatori di servizi che trattano all’esterno dell’impresa dati per conto della
stessa impresa (consulenti elaborazione paghe, professionisti, società di certificazione del
bilancio, società di assistenza software, ...)
Il documento potrà contenere, in allegato, gli atti di nomina dei responsabili, amministratori di
sistema, le istruzioni scritte comunicate agli incaricati (nominative, ripartite per funzione, area ...)
ed al custode delle chiavi.
(*) per queste figure la nomina è facoltativa
4) L'analisi dei rischi che incombono sui dati (*)
Nel documento programmatico vanno esplicitate le misure minime da adottare a garanzia
dell'integrità e della disponibilità dei dati. La fase di analisi dei rischi svolge un ruolo centrale nella
definizione del documento programmatico per predisporre misure tali da garantire la sicurezza dei
dati trattati.
I possibili rischi che gravano sui dati (direttamente o, indirettamente se riferiti alle strutture
mediante le quali si procede al trattamento) sono numerosi e difficilmente catalogabili.
Essi possono essere ricondotti alle seguenti categorie:

danneggiamento e/o sottrazione delle strutture di hardware;

danneggiamento (doloso, colposo o accidentale) del server, del software e dei dati contenuti
al loro interno;

conseguenze negative di ogni tipo derivanti da accessi non autorizzati (di soggetti con
profilo diverso di autorizzazione o di altri soggetti esterni alla struttura);

distruzione, alterazione, diffusione e/o comunicazione non autorizzata dei dati, anche di
quelli meramente personali.
* Per l’attività di analisi dei rischi, seguire gli adempimenti descritti nel capitolo precedente
Parte II: Misure di sicurezza adottate o da adottare
5) Misure per garantire l’integrità e la disponibilità dei dati
Lo sviluppo di questa sezione rappresenta diretta conseguenza dell'attività di individuazione dei
rischi svolta nella parte precedente. Si dovranno individuare misure tali da garantire l'integrità dei
dati e la loro disponibilità, nonché la protezione delle strutture in cui i dati vengono custoditi e
mediante le quali si accede agli stessi (punto 19.4 del disciplinare tecnico).
Dopo aver definito le misure necessarie, pertanto, si espliciteranno le modalità in cui le misure
minime di sicurezza vengono realizzate nella realtà organizzativa dell'impresa.
In particolare, per quanto riguarda le misure minime per il trattamento effettuato con strumenti
informatici, le disposizioni del Codice impongono di individuare:

le credenziali di autenticazione (scegliendo tra le seguenti tipologie previste nel disciplinare
tecnico) e le modalità di gestione delle stesse;

un sistema di autorizzazione, definendo i profili per classi e mantenendoli aggiornati;

criteri di utilizzo e di aggiornamento dei programmi antivirus;

le regole relative all'impiego dei programmi di antintrusione

le modalità di esecuzione degli aggiornamenti/upgrade dei programmi.
6) Criteri per la protezione delle aree e dei locali
Quanto ai criteri per la protezione delle aree e dei locali (rif. punto 19.4 del disciplinare tecnico)
essi sono assai vari ed andranno individuati a seconda della strumentazione posseduta e delle
circostanze presenti nel caso concreto.
Potranno essere evidenziate una o più delle seguenti misure per la protezione fisica dei server e
dei singoli elaboratori situati nei locali dell'azienda:

Localizzazione e limitazioni all’accesso del server

Sistemi di registrazione degli accessi e delle uscite dei dipendenti e del personale esterno

Sistemi di chiusura dei locali, sia in generale, sia nello specifico dei locali ove sono
custoditi i sistemi

Presenza di un custode

Esistenza di un servizio di vigilanza esterna

Dispositivi antincendio (estintori, manichette, impianti di rilevazione e/o spegnimento
automatico)

Dispositivi antintrusione (specifici o generali per tutto l’edificio/stabilimento)

Custodia in armadi o classificatori non accessibili

Modalità di custodia delle chiavi

Rilevazione trattamenti biometrici

Alimentazione: presenza di gruppi di continuità, sistemi collegati e tempi di
funzionamento garantiti

Climatizzazione dei locali

..........................................................
Si ricorda, inoltre, che le misure di sicurezza vanno adottate non solo in riferimento agli
elaboratori presenti nell'azienda ma anche in riferimento ad altri strumenti elettronici (computer
palmari, notebook etc.) detenuti a vario titolo da responsabili e/o incaricati sui quali transitano
dati personali.
Potranno essere evidenziate una o più delle seguenti misure per la protezione delle infrastrutture
di rete:

Sistemi di Firewall software o hardware

Limitazioni di routing

Disposizioni organizzative di limitazione dell’utilizzo di Internet (prescrizioni
sull’utilizzo della rete Internet e della posta elettronica da inserire nelle istruzioni
scritte agli incaricati)

Controlli sui software di comunicazione sui computer degli utenti (ad es. accesso
remoto)
7) Criteri e modalità per assicurare l’integrità dei dati e la disponibilità in caso di
distruzione o danneggiamento.
In questa sezione (punto 19.5 del disciplinare tecnico) vanno definiti i criteri e le procedure per
assicurare l’integrità e la disponibilità dei dati in caso di loro distruzione e/o danneggiamento. Il
disciplinare tecnico, infatti, dispone l'adozione di procedure in grado di garantire il ripristino dei
dati nel caso di danni a questi ultimi o alle strutture mediante le quali si procede al trattamento.
Andranno pertanto descritte:
1. le modalità di backup dei dati e la sua conservazione:

Procedure per l’esecuzione dei backup

Procedure per l’archiviazione dei backup

Tipi e numero di copie dei backup eseguiti

Utilizzo di casseforti od armadi ignifughi per l’archiviazione dei backup

Criteri di rotazione dei dispositivi e di eliminazione dei dispositivi obsoleti

Procedure per la verifica della registrazione dei backup

Presenza di un responsabile per l’esecuzione e la verifica dei backup

Procedure di riutilizzo controllato dei supporti di memorizzazione
2. le procedure per il ripristino dei dati:


Piano di disaster recovery e/o business continuity
Ulteriori accorgimenti tecnici per il salvataggio dei dati (sistemi dotati di mirroring, in
RAID, di tipo hot-swap, dotati di alimentazione ridondante, sistemi in cluster)
8) La previsione di interventi formativi per gli incaricati del trattamento
Gli adempimenti in termini di formazione (punto 19.6 del disciplinare tecnico) nei confronti degli
incaricati devono essere definiti in maniera specifica. Nella sezione del documento programmatico,
pertanto, si dovrà definire il numero, le tipologie ed i contenuti degli incontri formativi a cui si
intende procedere.
Si tratta, in generale, di avviare un processo di introduzione e diffusione della cultura della
sicurezza informatica, ovvero, in senso stretto, di formazione finalizzata alla diffusione e
conoscenza delle misure di sicurezza adottate in Azienda.
●
Tipologia e contenuto della formazione
●
Destinatari
●
Conservazione della documentazione consegnata
●
Pianificazione “indicativa” degli incontri previsti
Sarà opportuno conservare tutta la documentazione di cui ci si è avvalsi nell'attività di formazione e
prevedere sistemi per registrare la partecipazione, così da poter provare l'avvenuta formazione degli
incaricati.
Il disciplinare tecnico dispone che la formazione debba avere carattere di periodicità ed essere
fornita in determinate occasioni (attribuzione dell'incarico; cambiamento del profilo di
autorizzazione; introduzione di nuovi strumenti, rilevanti rispetto al trattamento di dati personali)
9) Criteri per garantire l'adozione delle misure minime nel caso di trattamenti affidati
all’esterno della struttura
Il disciplinare tecnico (punto 19.7) impone di descrivere i criteri da adottare per garantire il rispetto
delle misure minime nel caso in cui alcuni trattamenti (o parti di esso) siano effettuati all'esterno
della struttura.
Una modalità per garantire l’adozione di misure minime da parte dei soggetti esterni è di
predisporre apposite clausole contrattuali mediante le quali concordare determinati comportamenti
in materia di sicurezza nel trattamento dei dati.
10) Criteri da adottare per la cifratura dei dati
Il disciplinare tecnico (punto 19.8) impone infine agli esercenti la professione sanitaria (si pensi, a
tal proposito, al medico aziendale) di individuare i criteri per la separazione dei dati personali idonei
a rivelare lo stato di salute e la vita sessuale da quelli identificativi dell’interessato.
I criteri per la separazione sono indicati nell’art 22 del codice e consistono, ad esempio, nella
crittografia delle informazioni o nella cifratura dei dati identificativi, quando trattati
elettronicamente, oppure nella conservazione in registri separati quando trattati senza l’ ausilio di
strumenti elettronici.