Docs Italia beta

Documenti pubblici, digitali.

8. Disposizioni in materia di sicurezza e protezione dei dati personali

8.1. Misure minime per l’erogazione di Servizi in rete

Il Gestore e i Soggetti erogatori DEVONO implementare almeno le misure indicate nell’allegato 5, ferma restando la necessaria predisposizione, ai sensi dell’art. 32 GDPR e nel rispetto del principio di responsabilizzazione, di ogni misura tecnica e organizzativa adeguata a garantire un livello di sicurezza adeguato al rischio.

8.2. Trattamenti e ruoli dei soggetti coinvolti

Il Gestore agisce come titolare del trattamento unicamente per le attività necessarie alla progettazione, allo sviluppo, alla gestione e all’implementazione del Punto di accesso telematico, nonché per quelle attività che gli sono delegate dagli utenti o che gli sono specificamente attribuite dalla legge.

Nell’ambito dei trattamenti svolti dal e per il tramite del Punto di accesso telematico, i Soggetti erogatori agiscono come titolari del trattamento (o, in alcuni casi, responsabili del trattamento di altre PA) sulla base giuridica corrispondente al Servizio specifico offerto.

Qualora un Soggetto erogatore agisca come responsabile di un’altra PA, mettendo a disposizione i Servizi in rete per conto di quest’ultima, lo stesso DEVE aver stipulato un accordo ai sensi dell’art. 28 GDPR.

Con riferimento ai dati trattati per la finalità di erogazione dei Servizi in rete, il Gestore agisce in qualità di responsabile del trattamento (o, se del caso, sub-responsabile del trattamento), sulla base di un accordo ai sensi dell’art. 28 GDPR. A sua volta il Gestore PUÒ avvalersi di terzi sub-responsabili nel rispetto di quanto previsto dall’art. 28 GDPR.

In ottica di data protection by design e by default, il Gestore e il Soggetto erogatore POSSONO concordare misure organizzative aggiuntive con riferimento alla natura, al contesto e ai trattamenti connessi a uno specifico Servizio in rete. Qualora un Soggetto erogatore offra diverse tipologie di Servizi in rete, le misure POSSONO essere diversificate anche rispetto ai singoli Servizi in rete. In tali casi, le misure concordate integreranno l’accordo di cui all’art. 28 GDPR e saranno considerate come istruzioni rese al responsabile del trattamento.

Le comunicazioni di dati personali, diversi dai dati di cui agli artt. 9 e 10 GDPR, da un Soggetto erogatore a un’altra PA ovvero al o dal Gestore, sono ammesse se necessarie ai fini dell’erogazione di Servizi in rete richiesti dai Cittadini al Gestore o al Soggetto erogatore, previo rilascio di adeguata informativa ai sensi degli artt. 13 e 14 GDPR.

8.3. Misure di garanzia per le particolari categorie di dati

Ai sensi dell’art. 9, paragrafo 2, lettera g) del GDPR e dell’art. 2 sexies del Codice Privacy, il Gestore, al fine di porre in essere le attività di progettazione, sviluppo, gestione e implementazione del Punto di accesso telematico nonché altre attribuite dalla legge o delegate dagli utenti, può trattare anche particolari categorie di dati personali mediante misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Tali particolari categorie di dati sono trattate sulla base dell’interesse pubblico il cui perseguimento è affidato al Gestore dalla legge e, in particolare, dai commi 2 e 3 dell’art 8 del D.lgs. 135/2018 e dall’art. 64 bis CAD.

In particolare, possono essere trattati tramite il Punto di accesso telematico i dati relativi allo stato di salute, per attività di raccolta, elaborazione e comunicazione ad altre PA, nel rispetto delle seguenti misure di garanzia dei diritti degli interessati:

  • gli utenti finali DEVONO ricevere le informazioni di cui agli art. 13 e 14 del GDPR prima del trattamento;
  • tali particolari categorie di dati NON DEVONO sono in nessun caso essere oggetto di diffusione, in conformità a quanto previsto dall’art. 2 septies, paragrafo 8 del Codice Privacy;
  • eventuali comunicazioni da una PA al Gestore o a un’altra PA DEVONO essere autorizzate dall’interessato, ove non diversamente previsto dalla legge o da atti regolamentari;
  • il trattamento DEVE svolgersi unicamente laddove sia indispensabile per l’erogazione dei Servizi in rete forniti dagli Soggetti erogatori ovvero di servizi altrimenti richiesti dagli interessati al Gestore.

Per il trattamento di tali particolari categorie di dati DEVONO, inoltre, essere adottate dai Soggetti erogatori e dal Gestore:

  • misure di autenticazione e autorizzazione dei soggetti designati per il trattamento ai sensi dell’art. 2-quaterdecies del Codice privacy, in funzione dei ruoli ricoperti e delle esigenze di accesso;
  • procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati ai soggetti designati per il trattamento;
  • sistemi di log o sistemi analoghi che consentano di controllare gli accessi ai database e di rilevare anomalie;
  • precise istruzioni consegnate ai soggetti designati per il trattamento, prima del relativo svolgimento.

In ogni caso, laddove i Soggetti erogatori trattino categorie particolari di dati personali, al fine di offrire i Servizi in rete tramite il punti di accesso telematico, questi DEVONO:

  • individuare le particolari categorie di dati indispensabili all’erogazione del Servizio tramite IO, secondo quanto previsto dal precedente 8.1 Misure minime per l’erogazione di Servizi in rete;
  • darne informazione al Gestore;
  • non comunicare tali particolari categorie di dati nell’oggetto del messaggio;
  • utilizzare gli strumenti messi a disposizione dal Gestore per classificare un contenuto come contenente categorie particolari di dati, al fine di differenziare le modalità di trattamento dei predetti dati all’interno del Punto di accesso telematico, in conformità ai principi di privacy by default e by design;
  • laddove presenti, utilizzare gli altri strumenti messi a disposizione dal Gestore per contrassegnare i messaggi o i Servizi dal contenuto sensibile.

8.4. Necessità e proporzionalità del trattamento

8.4.1. Minimizzazione

I Soggetti erogatori, nel mettere a disposizione i propri Servizi in rete, DEVONO ridurre il trattamento ai dati strettamente necessari per la fornitura dei Servizi stessi.

A tal fine, i Soggetti erogatori, prima di mettere in produzione i propri Servizi in rete, DEVONO:

  • fare una ricognizione dei dati personali che vengono trattati per ciascuno di esso;
  • individuare le relative categorie, la finalità per cui sono trattati e la base giuridica;
  • assicurarsi che l’informativa privacy che verrà messa a disposizione degli interessati rispecchi l’effettivo trattamento che verrà effettuato tramite l’App IO, come specificato al 8.4.4 Trasparenza e rispetto dell’esercizio dei diritti degli utenti finali.

In particolare, i Soggetti erogatori DEVONO:

  • comprovare, nel rispetto del principio di responsabilizzazione, che i dati personali siano sufficienti, pertinenti, necessari e non eccessivi rispetto alla finalità perseguita;
  • comprovare, nel rispetto del principio di responsabilizzazione, che i dati personali non rivelino (direttamente o indirettamente) l’origine razziale o etnica, le opinioni politiche, filosofiche o religiose, l’appartenenza sindacale, le informazioni sulla salute o le informazioni sulla vita sessuale di un individuo, tranne che nei casi in cui sia strettamente indispensabile per l’erogazione del Servizio;
  • comprovare che i dati personali non si riferiscono a reati, sentenze penali o misure di sicurezza, salvo che ciò sia espressamente previsto da una norma di legge, ovvero, dove previsto dalla legge, di regolamento;
  • evitare la raccolta di dati personali eccessivi o ulteriori rispetto alla finalità dei Servizi in rete;
  • istruire i soggetti designati del trattamento a limitare il trattamento di dati personali nel contesto dell’invio di messaggi e comunicazioni ai cittadini, secondo un principio di stretta necessità;
  • limitare la trasmissione di documenti elettronici contenenti dati personali allo stretto necessario;
  • adempiere gli obblighi informativi previsti dal GDPR, come specificato al 8.4.4 Trasparenza e rispetto dell’esercizio dei diritti degli utenti finali

8.4.2. Limitazione dei tempi di conservazione

I Soggetti erogatori, al fine di garantire il rispetto del principio di limitazione della conservazione e per ridurre l’impatto dei rischi, DEVONO assicurarsi che i dati personali non vengano mantenuti per più di quanto necessario. In particolare, i Soggetti erogatori DEVONO:

  • definire periodi di conservazione dei dati personali limitati nel tempo e appropriati alle finalità del trattamento;
  • implementare misure tecniche e/o organizzative che consentano di rilevare la scadenza del periodo di conservazione;
  • implementare misure tecniche e/o organizzative che consentano la cancellazione dei dati personali a scadenza del periodo di conservazione e assicurarsi che il metodo scelto per l’eliminazione sia appropriato ai rischi legati alle libertà civili e la privacy dei soggetti interessati;
  • eliminare i dati personali quando il periodo di conservazione definito nella relativa procedura scade.

Al fine di assistere i Soggetti erogatori nell’assicurare il rispetto di tali disposizioni ed evitare rischi connessi a duplicazioni di dati personali, il Gestore conserva i dati dei Soggetti erogatori sui propri sistemi per un periodo di tempo limitato, individuato nell’accordo ex art. 28 GDPR, che sia ragionevole e che consenta un’efficiente gestione tecnologica del Punto di accesso telematico.

8.4.3. Misure di responsabilizzazione - cd. principio di “accountability”

Il Gestore DEVE predisporre una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR (“DPIA”) e presentarla al Garante per la protezione dei dati personali ai sensi dell’art. 2-quinquiesdecies del Codice Privacy.

Tale DPIA è messa a disposizione dei Soggetti erogatori e contiene un’appendice sui trattamenti che gli stessi possono facoltativamente utilizzare come ausilio per completare la propria valutazione con riguardo ai trattamenti rispetto ai quali sono titolari ulteriori rispetto a quelli coperti dalla DPIA del Gestore e non oggetto di autonoma DPIA. Il completamento di tale appendice permette ai Soggetti erogatori di documentare la messa a disposizione dei propri Servizi in rete tramite il Punto di accesso telematico, nel rispetto del principio di responsabilizzazione.

I Soggetti erogatori consultano il Garante per la protezione dei dati personali ai sensi dell’art. 2-quinquiesdecies del Codice Privacy e degli art. 35 e 36 del GDPR unicamente qualora la valutazione d’impatto sui propri trattamenti, ulteriori rispetto a quelli oggetto della DPIA del Gestore e distinti dal mero utilizzo del Punto di accesso telematico, indichi un rischio residuo elevato, in assenza di misure adottate dal titolare del trattamento per attenuare tale rischio, nonostante le misure già contenute nella DPIA del Gestore e nelle presenti Linee guida e non coperto da queste ultime.

I Soggetti erogatori DEVONO, inoltre, aggiornare il proprio registro delle attività di trattamento, ai sensi dell’art. 30 del GDPR, indicando le attività svolte tramite il Punto di accesso telematico e i relativi dati trattati.

8.4.4. Trasparenza e rispetto dell’esercizio dei diritti degli utenti finali

La trasparenza è una condizione di garanzia delle libertà individuali nonché dei diritti civili, politici e sociali.

I Soggetti erogatori, pertanto, DEVONO fornire, mediante il Punto di accesso telematico, un’informativa completa dei trattamenti relativi ai Servizi in rete.

Se i Soggetti erogatori agiscono in qualità di responsabili del trattamento per conto di un’altra PA, si assicurano che agli interessati sia fornita un’adeguata informativa comprensiva di tutti i requisiti di cui agli art. 13 e 14 GDPR.

I Soggetti erogatori DEVONO adottare misure organizzative adeguate a garantire l’esercizio dei diritti degli interessati rispetto ai dati trattati per l’erogazione dei Servizi in rete. A tal fine, i Soggetti erogatori DEVONO fornire un recapito che il Gestore PUÒ contattare laddove riceva una richiesta di esercizio dei diritti per i trattamenti di cui è responsabile e che rimane a disposizione degli utenti nell’utilizzo del Punto di accesso telematico.

I Soggetti erogatori gestiscono le richieste di esercizio di diritti di cui agli artt. 15 e 20 del GDPR in autonomia, valutandone limiti e confini e chiedendo al Gestore supporto laddove necessario e senza che ciò possa comportare sforzi irragionevoli. Il Gestore PUÒ offrire, in un’ottica di privacy by design, funzionalità atte a garantire un più facile esercizio dei diritti degli interessati, qualora ciò non comporti uno sforzo irragionevole.

8.4.5. Responsabili del trattamento e trasferimenti dei dati personali

Ai fini della fornitura del Punto di accesso telematico, il Gestore PUÒ fare ricorso a soggetti terzi, opportunamente nominati sub)responsabili del trattamento secondo le modalità stabilite all’art. 28 del GDPR.

Il Gestore DEVE privilegiare fornitori situati sul territorio nazionale e dell’Unione Europa. In ogni caso, laddove possibile, il Gestore DEVE istruire i responsabili del trattamento sulla necessità di conservare i dati all’interno dell’Unione Europea.

Laddove non sia possibile trovare un (sub)responsabile del trattamento nell’Unione Europea che offra garanzie sufficienti a mettere in atto misure tecniche e organizzative sufficienti per soddisfare i requisiti richiesti dal GDPR e per garantire la tutela dell’interessato, il Gestore PUÒ ricorrere a (sub)responsabili situati in paesi terzi.

Il Gestore DEVE effettuare una valutazione preventiva dei propri fornitori e, in ogni caso, rispettare le misure previste dal Capo V del GDPR. Laddove necessario, il Gestore pone in essere misure contrattuali necessarie (ad esempio, clausole contrattuali tipo) anche per conto dei Soggetti erogatori.

8.4.6. Dati di log

Al fine di garantire la sicurezza del trattamento e svolgere attività di sviluppo e gestione, nonché di rispondere a eventuali richieste dei Soggetti erogatori relativamente alle attività svolte tramite il punto di accesso telematico, il Gestore DEVE raccogliere dati di log relativamente alle richieste inviate da ciascun Soggetto erogatore e li DEVE conservare per un tempo predeterminato e ragionevole, salvo che tempi di conservazione più lunghi siano necessari per la difesa o l’accertamento di un diritto in giudizio.

Le presenti Linee guida non pregiudicano altre normative, linee guida o regolamenti che comportano obblighi di conservazioni di dati di log diversi da quelli oggetto del presente paragrafo.

8.5. Sicurezza del trattamento

8.5.1. Principi

In conformità all’art. 32 e al Considerando 83 del GDPR, il Gestore e i Soggetti erogatori, in qualità di titolari del trattamento e/o responsabili del trattamento, sono tenuti ad adottare tutte le misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

I principi in materia di sicurezza del trattamento si esplicitano nelle seguenti “best practices” per il trattamento dei dati personali, che si aggiungono alle misure organizzative implementate per garantire il rispetto dei principi in materia di trattamento di dati personali di cui ai precedenti paragrafi.

8.5.2. Partizionamento dei dati personali

Il Gestore e i Soggetti erogatori DEVONO ridurre la possibilità che i dati personali possano essere correlati e che possa verificarsi una violazione dei dati personali. In particolare sono tenuti a:

  • identificare i dati personali utili alle finalità perseguite e utilizzare il set minimo di dati necessari, anche nell’ambito del singolo processo, in virtù del principio di minimizzazione;
  • separare i dati necessari per ogni processo in modo logico;
  • comprovare regolarmente che i dati personali siano partizionati in modo efficace e che i destinatari e le interconnessioni non siano stati associati.

8.5.3. Cifratura dei dati personali

Il Gestore e i Soggetti erogatori DEVONO trattare i dati implementando misure in grado di rendere incomprensibili i dati personali a chiunque non sia autorizzato ad accedervi:

  • determinando le componenti critiche su cui applicare misure di crittografia (“at rest”, es: dischi rigidi, file, ecc.; “in transit”, es: trasferimento da/verso un database, canali di comunicazione) in base a:
    • forma/posizione in cui sono memorizzati/resi disponibili i dati personali;
    • rischi individuati;
    • prestazioni richieste;
  • scegliendo il tipo di crittografia (simmetrica o asimmetrica) in base al contesto e ai rischi individuati;
  • adottando soluzioni di crittografia basate su algoritmi pubblici notoriamente forti;
  • definendo ulteriori misure per garantire la disponibilità, l’integrità e la riservatezza delle informazioni.

8.5.4. Anonimizzazione dei dati personali

Laddove possibile, il Gestore e i Soggetti erogatori DEVONO eliminare le caratteristiche che identificano i dati personali. In particolare sono tenuti a:

  • determinare ciò che deve essere anonimo in base al contesto, alla forma in cui vengono memorizzati i dati personali (compresi i campi del database o estratti dai testi) e ai rischi individuati;
  • anonimizzare permanentemente i dati che richiedono tale criterio di protezione in base alla forma dei dati (inclusi database e record testuali) e ai rischi individuati;
  • se i dati non possono essere anonimizzati in modo permanente, scegliere strumenti (inclusi la cancellazione parziale, la cancellazione, la ricerca di hashing e l’indice) che rispondano innanzitutto alle esigenze funzionali.