Il Ministro per la pubblica amministrazione e l’innovazione per rispondere alle richieste di chiarimento delle pubbliche amministrazioni, e dei comuni italiani in particolare, ha adottato un provvedimento contenente indicazioni su come deve essere un sito istituzionale di una PA e su come deve trattare i dati personali degli utenti. In particolare il provvedimento si occupa della Policy privacy dei siti web e della reperibilità sul web degli indirizzi di posta elettronica, nonché dell’uso dei cookies, dei tempi di conservazione dei dati comunicati alla PA ecc. Per maggiori informazioni consultate il sito del Garante privacy dove trovate pubblicato il provvedimento: http://www.garanteprivacy.it/garante/doc.jsp?ID=1826713.
]]>L’installazione di telecamere presso le scuole è possibile ma deve garantire il diritto alla privacy dello studente, prevedendo in tal senso alcuni accorgimenti. Ecco le condizioni sotto le quali la presenza di sistemi di videosorveglianza è ammessa: le telecamere devono essere indispensabili al fine di tutelare l’edificio ed i beni scolastici da atti vandalici (significa che nessuna altra misura è sufficiente a raggiungere il fine della tutela dei beni e della sicurezza); le riprese devono riguardare solo le aree interessate e le riprese devono effettuarsi negli orari di chiusura degli istituti; è vietato effettuare riprese durante le ore di attività extrascolastiche; se le telecamere inquadrano l’esterno degli edifici scolastici, l’angolo visuale deve essere delimitato alle sole parti interessate vicine all’edificio. Il mancato rispetto di quanto prescritto implica l’applicazione di una sanzione amministrativa.
]]>Essendoci arrivate decine di richieste di parere relative al mondo della scuola, vi segnaliamo l’opuscolo pubblicato dal Garante Privacy e relativo ai temi più importanti riguardanti la privacy e il trattamento dei dati personali degli studenti, quali: privacy negli esami e negli scrutini, privacy nei temi degli studenti, privacy e voti scolastici, recite gite scolastichee foto di classe e privacy, Videofonini, filmati, mms a scuola, telecamere a scuola e privacy, rilevatori di presenze di tipo biometrico e altro ancora.
http://www.garanteprivacy.it/garante/document?ID=1721480
Il decreto Milleproroghe definitivo, pubblicato sulla G.U. n. 48 del 27 febbraio 2010, proroga al primo gennaio 2011 l’effetto di pubblicità legale dell’albo pretorio online. Il novellato art. 32 obbliga dal gennaio 2011 le Amministrazioni a dotarsi di un albo pretorio da pubblicare sul sito internet, concedendo un po’ più di tempo per dotarsi di soluzioni adeguate per ottemperare alla legge. Fino al 31/12/2010 l’effetto di pubblicità legale rimane garantito dalla pubblicazione degli atti in forma cartacea (albo pretorio cartaceo).
]]>Come si apprende dal comunicato stampa del Garante Privacy del 23 febbraio 2009 sono stati prorogati al 30/06/09 i termini per gli adempimenti relativi all’Amministratore/i di sistema. Si tratta ricordiamo di adottare misure tecniche e organizzative che riguardano l’operato dell’amministratore come la redazione di un elenco con gli estremi identificativi degli amministratori di sistema e descrizione delle funzioni loro attribuite, la.registrazione degli accessi degli amministratori di sistema, la verifica almeno una volta all’anno dell’attività svolta e dell’amministratore (regole fissate nel provvedimento del 27 novembre 2008, leggi il nostro articolo Amministratori di sistema: ad aziende e PA 4 mesi di tempo per mettersi in regola).
]]>Approvato il piano delle ispezioni del Garante per la Privacy per i primi 6 mesi del 2009: banche, fisco e sistema sanitario nel mirino. I controlli si concentreranno sia nel settore pubblico che privato sull’adozione delle misure di sicurezza, sull’informativa da fornire ai cittadini e sul consenso da richiedere nei casi previsti dalla legge. Oltre 200 gli accertamenti ispettivi previsti che saranno realizzati anche attraverso il Nucleo Privacy della Guardia di Finanza.
Oltre ai controlli programmati si darà corso anche alle ispezioni sollecitate da reclami e segnalazioni presentate al Garante.
Nel 2008 sono state applicate sanzioni per 1 milione 400mlia euro contro soggetti pubblici e privati quali: gestori telefonici, cliniche private, agenzie assicurative, soggetti pubblici che svolgono attività di riscossione, commercialisti, finanziarie, aziende che effettuano attività di vendita on line, scuole che raccolgono dati anche via Internet, centri medici di chirurgia estetica.
La maggior parte delle sanzioni amministrative sono state comminate per mancata informativa e per mancata adozione delle misure di sicurezza. I provvedimenti penali comminati hanno riguardato nello specifico: trattamento illecito di dati personali, false dichiarazioni al Garante, inadempimento di provvedimenti del Garante e mancata adozione di misure minime di sicurezza.
Il seguente articolo ha l’obiettivo di fornire alcune linee guida che un’organizzazione deve seguire per poter redigere un piano di Disater recovery e quindi poter gestire efficacemente, dalla attuazione del piano, una situazione di incidente/attacco/disastro. Non saranno trattati argomenti tecnici ma indicate procedure e metodologie per il piano di ripristino delle condizioni operative normali.
Il disastro per una azienda può avere facce e sfumature diverse, può colpire settori disparate (edifici, risorse umane, sistemi informatici, documentazione cartacea) e può causare una quantità di danni ingente, compromettendo a volte pesantemente l’ordinaria operatività dell’azienda.
Ritenersi in uno stato di sicurezza significa operare avendo ottenuto una ragionevole riduzione delle probabilità di accadimento (vulnerabilità) di una determinata minaccia la cui presenza espone i beni da proteggere a un certo rischio, appare quindi superfluo sottolineare come non esista un sistema informativo totalmente impenetrabile, ma misure di protezione che, in relazione al valore degli asset (beni) da proteggere, possono ritenersi sufficientemente affidabili.Per tutte le aziende pubbliche o private, attivare un piano di Disaster Ricovery e Business Continuity, è ritenuto quindi di vitale importanza. La continuità operativa ovvero “l’insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l’obiettivo di riportarlo alle condizioni antecedenti a un evento disastroso” deve infatti essere percepita come parte integrante della strategia aziendale.
Perché serve un piano?
1. perché altrimenti durante l’emergenza potremmo essere incapaci di reperire risorse
2. perché “durante” non siamo lucidi quanto “prima”
3. perché le persone sbagliano sotto stress
Le conseguenze del verificarsi di un evento a carattere disastroso possono essere classificate secondo il seguente schema:
§ danni diretti: danni materiali direttamente provocati dall’evento disastroso. Per esempio, un incendio può provocare la distruzione completa o parziale delle risorse elaborative utilizzate presso un centro di elaborazione dati;
§ danni indiretti: la mancata disponibilità di risorse limita la capacità operativa dell’organizzazione e genera ulteriori danni la cui entità è proporzionale al periodo di indisponibilità. Per esempio, le mancate vendite costituiscono un danno indiretto;
§danni conseguenti (o consequenziali): tutti i danni che sopravvivono al ripristino delle risorse rese indisponibili dal disastro. Per esempio, la perdita di quote di mercato generata dalla incapacità di soddisfare appieno le esigenze dei clienti.
Lo sviluppo di un piano di Disaster Recovery segue generalmente un percorso articolato nelle seguenti fasi:
1. analisi dei beni o asset da proteggere
2. analisi dei rischi
3. pianificazione e formalizzazione del PDR
4. collaudo
5. mantenimento
Individuazione dei beni da proteggere
Le risorse da proteggere possono variare a seconda del tipo di organizzazione, possiamo comunque distinguerle in due categorie: risorse tangibili e intangibili.
Sono risorse tangibili:
computer
dati riservati
backup e archivi
manuali, guide, libri
tabulati
applicazioni software
dispositivi hardware
dispositivi di comunicazione
Sono risorse intangibili:
sicurezza e salute del personale
privacy degli utenti
password personali
immagine pubblica e reputazione dell’azienda
soddisfazione dei clienti
Oltre all’individuazione delle risorse è utile stabilire, ad esempio per le applicazioni, quali sono prioritarie per l’attuazione dei processi aziendali e il loro tempo massimo di indisponibilità e inoperabilità sopportabile dall’azienda per non perdere credibilità e posizione sul mercato. Si possono ad esempio prendere come riferimento i tempi di altre aziende dello stesso settore e poi calibrarli in relazione alle esigenze della propria azienda. Questo valore potrà essere utilizzato nell’analisi dei rischi per determinare i tempi massimi di ripristino delle applicazioni e degli accessi ai dati.
Il Codice in materia di protezione dei dati personali prescrive infatti al punto 23 dell’Allegato B l’obbligo di adottare misure idonee a garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi e compatibili con i diritti degli interessati e non superiori a sette giorni.
L’elemento fondamentale del ripristino in caso di disastro è quello della salvaguardia e disponibilità dei dati; infatti non è possibile ripristinare alcun servizio i cui dati non siano disponibili, cioè non siano stati copiati al pianificato livello di aggiornamento (back-up) e trasportati con il mezzo più conveniente in una sede diversa e opportunamente protetta (sito alternativo).
Questo riguarda tutte le categorie di dati: quelli applicativi, ma anche le versioni correnti di tutto il software sia applicativo che di sistema. In particolare riguarda i dati vitali, quei dati cioè la cui disponibilità e il cui corretto livello di aggiornamento, sono indispensabili all’erogazione dei servizi informatici fondamentali per la continuità operativa dell’azienda.
Per quanto riguarda il back-up è bene stabilire chi è il responsabile delle copie di sicurezza, in che modo vanno prodotte, chi le custodisce e dove. Si ricorda che le copie di sicurezza devono essere testate per verificarne l’efficienza ed evitare l’impossibilità di rimediare a un eventuale danneggiamento dei dati originali.
Non ci soffermeremo in questa sede a individuare i possibili supporti di back-up dei dati utilizzabili.
Analisi dei rischi
La fase di analisi dei rischi è finalizzata all’identificazione dei rischi potenziali, alla valutazione della probabilità e all’individuazione delle strategie di gestione che si ritiene opportuno utilizzare nei confronti di ciascun rischio. La scelta della strategia è condizionata dalla probabilità e dal livello di gravità dell’evento, dal rapporto tra investimento richiesto dall’implementazione e danno economico provocato dall’evento.
È noto che la valutazione del rischio comporta gravi lacune nell’abito della valutazione dei rischi operativi catastrofici in quanto è impossibile identificare tutte le minacce (alluvioni, inondazioni, terremoto, perturbazioni elettromagnetiche, valanghe) anche se andrebbero considerate per prime le minacce derivanti dalla collocazione territoriale dell’azienda, inoltre le stime delle probabilità rappresentano solo tentativi e si basano su informazioni storiche a volte inesatte. Tuttavia focalizzandosi sulle funzioni più urgenti, la valutazione del rischio può essere ridotta a un ambiente più gestibile.
Oltre alle minacce naturali si devono individuare minacce dovute a comportamenti umani (atti terroristici, furti, atti vandalici, spionaggio, distrazione, imperizia, errori accidentali o con colpa), minacce logiche (introduzione di codici maligni come virus, worm, malware, spamming, accessi non consentiti da parte di persone esterne o interne all’organizzazione, intercettazioni, alterazione o cancellazione del contenuto delle comunicazioni, frodi informatiche) e minacce tecnologiche
(indisponibilità della rete o di altri servizi quali telefono, elettricità, acqua, corti circuiti, bug del software).
Individuate le minacce, bisogna stimare le conseguenze che il disastro provocherebbe considerando il tempo massimo necessario per far ripartire il sistema e individuando i sistemi e dati che devono essere ripristinati con precedenza sugli altri.
Relativamente ai dati si può ipotizzare la seguente scala di valori decrescente per ordine di importanza:
“dati sensibili del personale, dei fornitori, dei clienti e di terzi con i quali l’azienda ha istaurato rapporti d’affari;
dati critici dell’azienda (fatturato, bilancio, rendiconti, piani di marketing e strategie di mercato, dati “proprietari” e “scientifici” quali know-how, brevetti, licenze software);
dati giudiziari e dunque relativi al contenzioso tra azienda e terzi personale, fornitori, creditori, clienti, P.A., aziende concorrenti);
dati comuni del personale, dei collaboratori, dei fornitori o dei clienti, (partita I.V.A., data di nascita, residenza, numeri telefonici non presenti in pubblici elenchi o numeri di cellulare, indirizzi e-mail );
dati comuni del personale, dei clienti o di terzi che si possono attingere a fonti pubbliche (numeri telefonici inseriti in pubblici elenchi ).”
Relativamente alle applicazioni è sicuramente prioritario ripristinare per primi i file di istallazione del sw, le misure di protezione logica (firewall, intrusione detection, antivirus), le credenziali di autenticazione per l’accesso ai sistemi e i file di configurazioni della rete preventivamente backuppati.
Seguirà a breve un altro articolo sull’argomento. La redazione.
]]>
Il riferimento normativo per le Pubbliche Amministrazioni (PA) per la realizzazione e la gestione del loro sito web istituzionale è il Codice dell’Amministrazione Digitale (CAD - Dlgs. 7 marzo 2005, n. 82, integrato dal Dlgs. 4 aprile 2006, n. 159).
I temi trattati dal Codice sono molti (tra cui l’obbligatorietà del sito web per ogni ente), indicazioni su contenuti dei siti, accessibilità, usabilità, reperibilità, gestione dei dati, gestioni degli accessi, ed il Codice precisa che il sito di un PA deve avere come caratteristiche la “completezza di informazione, chiarezza di linguaggio, affidabilità, semplicità di consultazione, qualità, omogeneità ed interoperabilità”. Oltre al CAD sono da considerarsi ovviamente la normativa sul diritto d’autore e quella sulla privacy.
Andiamo con ordine
1) Contenuti del sito web
L’articolo 57 del Codice indica rigorosamente il contenuto che un sito di una PA dovrebbe avere. Tanto per avere un’idea si parla di trasparenza dell’organizzazione interna, intendendosi con questo che le responsabilità attribuite devono essere esplicitate sul sito web, con ogni informazione relativa ai procedimenti di ciascun ufficio. Tali procedimenti si auspica che siano gestibili dal cittadino on line e si prevede comunque che, anche ove non lo siano, sia possibile almeno ricavare on line tutti gli elementi necessari a completare il procedimento (istruzioni, materiale di riferimento, modulistica da stampare o compilare on lien ecc.).
2) Modulistica on line
Buone notizie in materia di modulistica per i cittadini e le imprese: se entro fine 2007 le PA non riusciranno a garantire modulistica esauriente e ben esplicitata sul sito, gli interessati avranno diritto di completare il procedimento senza presentare alcuna documentazione.
3) Scelta dei servizi da erogare on line a favore di imprese e cittadini
Nella scelta dei servizi da erogare via web il CAD stabilisce il ricorso a criteri di valutazione quali: efficacia, economicità ed utilità (oltre a doversi rispettare i princìpi di eguaglianza e non discriminazione, tenendo presenti le dimensioni dell’utenza, la frequenza dell’uso e l’eventuale destinazione all’utilizzazione da parte di categorie in situazioni di disagio).
4) Modalità di accesso ed identificazione
Il principio di non discriminazione impone che il sito della PA sia accessibile per tutte le categorie di utenti, con particolare attenzione alle categorie disagiate. Oltre agli opportuni accorgimenti tecnici per rendere fruibile il sito a tutti, si dovranno affiancare al web anche altri strumenti come il telefono.
Per quanto riguarda l’identificazione per accedere ad alcune sezioni del sito per ora sono sufficienti user id e password, gradita la firma digitale e auspicato l’uso della CIE Carta d’Identità Elettronica.
Privacy
5) Privacy
Per quanto riguarda la privacy, il relativo Codice (D lgs. 196/2003) necessaria la presenza (visibile) dell’informativa, un avviso al navigante che descrive le modalità di trattamento dei dati da parte della PA (in particolare chi è il titolare, come avviene il trattamento, per quali fini è obbligatorio, a chi sono comunicati i dati, quali sono i diritti del cittadino ecc.). Se si impiegano cookies, il loro utilizzo deve essere dichiarato e spiegato.
In tema di responsabilità sarebbe opportuno pubblicare on line la lista aggiornata dei responsabili privacy, nonché un modulo standard per l’inoltro di istanze alla PA in materia di privacy.
6) Copyright
Valgono le norme generali sul diritto d’autore. Un argomento specifico è il “riuso” regolato dall’art. 50 del CAD secondo il quale i dati delle Pa devono essere resi disponibili e accessibili per la fruizione e riutilizzazione da parte delle altre pubbliche amministrazioni e dei privati.
Direttive ministeriali utili
Da citare la “Direttiva per la qualità dei servizi on line e la misurazione della soddisfazione degli utenti”, che fornisce indicazioni per migliorare la qualità e promuovere l’utilizzo dei servizi on line, attraverso la rilevazione delle esigenze degli utenti e promuove l’impiego di strumenti di misurazione della soddisfazione del “cliente cittadino”.
Trasparenza e riservatezza, attenzione ad entrambi i fattori da parte delle Pubbliche Amministrazioni.
Questo sia per le deliberazioni affisse all’albo pretorio che nei documenti accessibili al pubblico o su internet.
Il provvedimento si intitola “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali”.
Talvolta la pubblicazione di atti implica l’emergere di informazioni sensibili su condizioni di salute, handicap o situazioni di disagio di cittadini (vedi documenti sull’assegnazione di alloggi popolari, assistenza e contributi, ammissione di minori agli asili nido ecc.).
Prima di pubblicare gli atti (anche su internet) la PA deve valutare se i dati in pubblicazione sono dati pertinenti e non eccedenti rispetto alle finalità di trasparenza che l’ente intende raggiungere. I dati sensibili e giudiziari possono essere diffusi solo se realmente indispensabili e se l’ente abbia adottato il regolamento previsto dal Codice sull’uso di questi dati. É sempre vietato diffondere informazioni sulla salute.bNel caso di internet, una volta terminato il periodi di pubblicazione i dati devono essere spostati in una parte del sito dove non siano più rintracciabili dai motori di ricerca esterni.
Anche per i beneficiari di crediti, sussidi o sovvenzioni, limiti nella conoscibilità dei dati: possono essere pubblicati i nominativi dei beneficiari e la data di nascita senza diffondere però indirizzi, codici fiscali, coordinate bancarie o informazioni sulla loro vita privata.
Le graduatorie dei vincitori dei pubblici concorsi possono essere pubblicate integralmente anche on line, ma per accedere agli elaborati, ai verbali o ai titoli posseduti devono prevedersi accessi limitati (user id e password, numero di protocollo ad esempio).
]]>
Roma, 10 mag. (Apcom) – La protezione dei dati personali non è un vincolo ma un fattore di crescita e di garanzia per i cittadini. Ne è convinto Franco Pizzetti, presidente dell’Autorità garante per la protezione dei dati personali che intervenuto a un convegno al Forum P.A. ha definito la norma che obbliga la Pubblica amministrazione alla protezione dei dati personali “un fatto di crescita nel settore dei servizi, di garanzia, di sicurezza per i cittadini”.
“Ritenerla un vincolo – ha aggiunto Pizzetti – è sbagliato. Si tratta invece di una grande opportunità perché la protezione dei dati personali aiuta l’amministrazione stessa ad avere un’organizzazione più fluida”.
La protezione dei dati – ha concluso il presidente – obbliga infatti la Pubblica amministrazione ad adottare misure di protezione più alta e a renderla più efficiente”.
]]>