Istruzioni per il titolare o per i responsabili
Vademecum per i responsabili

Strumenti elettronici

Impartire istruzioni agli amministratori di sistema affinché gli incaricati siano dotati di credenziali di autenticazione, cioè di codici per l’identificazione associati ad una parola chiave riservata, conosciuta solo dall’incaricato stesso, oppure di un dispositivo di autenticazione o utilizzare una caratteristica biometria dell’incaricato (regola 1 allegato B).

Impartire precise istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (regola 9 allegato B).

Impartire idonee istruzioni al preposto alla custodia della parola chiave affinché venga assicurata la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema (regola 10 allegato B).

Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione (regola 15 allegato B).

Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari deve redigere anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza (regola 19 allegato B).

Impartire istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti (regola 21 allegato B).

Devono essere adottate idonee misure per garantire il ripristino dell'accesso ai dati sensibili o giudiziari in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni (regola 23 allegato B).

Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione deve ricevere dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico (regola 25 allegato B)

Il titolare deve riferire, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza (regola 26 allegato B).

Controllare e custodire gli atti e i documenti contenenti dati personali sensibili o giudiziari fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e restituirli al termine delle operazioni affidate (regola 28 allegato B).

L'accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, devono essere identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono devono essere preventivamente autorizzate (regola 29 allegato B).