Regolam. R. Lazio 02/11/2020, n. 27

1. Il comma 1 dell’articolo 473 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“1. Il trattamento dei dati pers

1. L’articolo 474 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“Art. 474 (Disciplina organizzativa delle competenze e delle responsabilità in materia di trattamento dei dati personali)

1. Il titolare del trattamento dei dati personali, ai sensi dell’articolo 4, n. 7), e dell’art. 24 del RGPD, è la Giunta regionale, cui spettano tutte le attività demandate al titolare dal RGPD e, in particolare, l’adozione di misure tecniche e organizzative idonee a garantire, nonché a consentire di dimostrare, che il trattamento dei dati personali è effettuato conformemente al RGPD. La Giunta regionale, ai sensi dell’articolo 30 del RGPD, mediante i soggetti designati di cui al comma 3, tiene e aggiorna il registro delle attività di trattamento svolte sotto la propria responsabilità, secondo il modello di cui all’allegato “II”.

2. I responsabili del trattamento dei dati personali di cui all’articolo 4, n. 8), e all’articolo 28 del RGPD sono individuati nella persona fisica o giuridica, nell’autorità pubblica, nel servizio o altro organismo, ai quali è affidato il trattamento dei dati personali di competenza regionale dal titolare del trattamento, che presentino garanzie sufficienti per mettere

1. Dopo l’articolo 474 del r.r. 1/2002 e successive modificazioni sono inseriti i seguenti:

“Art. 474 bis - (Competenze della Giunta regionale in qualità di titolare del trattamento dei dati personali)

1. Spettano alla Giunta regionale, in qualità di titolare del trattamento dei dati personali:

a) la nomina del responsabile del trattamento;

b) la nomina del responsabile della protezione dei dati (DPO);

c) il conferimento di specifici compiti e funzioni ai soggetti designati in materia di trattamento di dati personali, ai sensi dell’articolo 2 quaterdecies del d.lgs. 196/2003 e successive modificazioni;

d) l’emanazione di direttive ai responsabili di cui all’articolo 474, comma 2, e ai soggetti designati di cui al comma 3 del medesimo articolo, per lo svolgimento delle attività di rispettiva competenza, in conformità a quanto previsto nel RGPD e nel d.lgs. 196/2003 e successive modificazioni;

e) la definizione delle politiche regionali in materia di trattamento dei dati personali e, in particolare, l’adozione di disciplinari tecnici di settore specifici o trasversali, per stabilire e dettagliare le modalità per effettuare particolari trattamenti di dati personali, con riferimento alle misure di sicurezza da adottarsi nonché istruzioni operative, modelli, software necessari per garantire ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al RGPD;

f) l’allocazione di adeguate risorse economiche e strutturali al fine di un costante adeguamento alla normativa vigente in materia di trattamento dei dati personali, ivi incluso quanto necessario per la formazione dei dipendenti e dei collaboratori regionali in materia di protezione dei dati personali;

g) la definizione e gestione, attraverso i soggetti designati di cui all’articolo 474, comma 3, del registro delle attività di trattamento svolte sotto la propria responsabilità;

h) la definizione e gestione del registro delle possibili violazioni dei dati personali, ivi incluse le relative valutazioni di rischio, attraverso la direzione regionale competente in materia di sistemi informativi.

Art. 474 ter - (Competenze dei soggetti designati)

1. Ai soggetti designati di cui all’articolo 474, comma 3, sono conferiti i seguenti compiti e funzioni connessi al trattamento di dati personali:

a) verificare la legittimità dei trattamenti di dati personali effettuati dalla struttura di riferimento, siano essi di titolarità della Giunta regionale o in contitolarità con altri enti;

b) disporre, in conseguenza alla verifica di cui alla lettera a), le modifiche necessarie al trattamento affinché lo stesso sia conforme alla normativa vigente, ovvero disporre la cessazione di qualsiasi trattamento effettuato in violazione alla stessa;

c) richiamare obbligatoriamente, nella definizione delle attività di trattamento oltre che nella definizione dei requisiti dei sistemi informatici di supporto, quanto previsto dalle politiche per la sicurezza del trattamento e per lo sviluppo sicuro delle applicazioni software, in modo da dimostrare di aver ottemperato a quanto previsto dagli articoli 25 e 32 del RGPD;

d) tenere costantemente aggiornato il registro delle attività di trattamento per la struttura di competenza secondo quanto previsto dall’articolo 30 del RGPD;

e) predisporre le informative e i consensi, ove previsto dalla normativa, relative al trattamento dei dati personali nel rispetto dell’articolo 13 del RGPD;

1. L’articolo 476 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“Art. 476 - (Struttura regionale per i sistemi informativi – ICT)

1. La struttura regionale competente in materia di sistemi informativi, di seguito struttura ICT, svolge un ruolo di supporto al titolare del trattamento, ai soggetti designati e al DPO in tema di risorse strumentali e di competenze.

1. Dopo l’articolo 476 del r.r. 1/2002 e successive modificazioni sono inseriti i seguenti:

“Art. 476 bis - (Diritti degli interessati)

1. Dopo l’allegato HH del r.r. 1/2002 e successive modificazioni sono inseriti i seguenti:

“ALLEGATO II (art. 474, c.1) - SCHEMA REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO

ALLEGATO LL (art. 474, c. 7) - DISCIPLINARE TECNICO PER AMMINISTRATORI DI SISTEMA

Premessa

Il presente disciplinare tecnico descrive le basilari regole tecniche ed organizzative che gli amministratori di sistema devono applicare per garantire la sicurezza dei dati e delle informazioni trattate con l’utilizzo di strumentazioni informatiche nella Regione.

Tenendo conto di quanto esplicitato nel Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema) pubblicato sulla G.U. n. 300 del 24.12.2008, e successive modificazioni, la definizione di “amministratori di sistema”, ai fini dell’applicazione del presente disciplinare, è la seguente: “sono le figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti (quali ad es. gli amministratori di dominio e di server), nonché le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.”

Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente «responsabili» di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti «in chiaro» le informazioni medesime.

Pertanto, considerata la delicatezza di tali peculiari mansioni e i rischi ad esse associati, la designazione di un amministratore di sistema non può prescindere da alcune considerazioni e accorgimenti:

a) valutazione delle caratteristiche soggettive: l’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;

b) designazioni individuali: la designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;

c) elenco degli amministratori di sistema: gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, la Regione rende nota o conoscibile l’identità degli amministratori di sistema con comunicazione effettuata nell’ambito del portale di comunicazione interna Intranet;

d) servizi in outsourcing: nel caso di servizi di amministrazione di sistema affidati in outsourcing la Regione conserva, presso la direzione competente in materia di Sistemi Informativi, ognuno per la parte di propria competenza, direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;

e) verifica delle attività: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte del titolare del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;

f) registrazione degli accessi: devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Ai fini del presente disciplinare, si intende per sistema informativo il complesso dei dati, delle applicazioni, delle risorse tecnologiche, delle risorse umane, delle regole organizzative e delle procedure deputate all’acquisizione, memorizzazione, consultazione, elaborazione, conservazione, cancellazione, trasmissione e diffusione delle informazioni. Esempi di sistemi informativi sono server (file, database, web, mail, ecc.), applicazioni, apparati di rete (router, switch, ecc.), strumenti di sicurezza (firewall, IPS, ecc.).

Applicabilità

Le regole illustrate nel disciplinare tecnico si applicano a tutti i dipendenti appartenenti all’organico della Regione e a tutti coloro che a vario titolo svolgono attività, compiti, mansioni come amministratori di sistema.

Principi generali

È compito di ogni amministratore di sistema comprendere le minacce di sicurezza incombenti sui propri sistemi e adottare le contromisure di sicurezza necessarie ad assicurare confidenzialità, integrità e disponibilità dei dati e delle informazioni.

A titolo esemplificativo tali minacce possono essere:

- minacce incombenti sui dati (furto di dati, incluse credenziali di accesso a basi dati; distruzione anche accidentale di dati; modifica di dati, anche intenzionale, per introdurre informazioni false e fuorvianti);

- minacce incombenti sulle applicazioni e sui sistemi operativi (attacchi di vario tipo quali virus, spamming, SQL injection, Denial of Service; accessi non autorizzati, anche non intenzionali);

- minacce incombenti sull’infrastruttura (furto di apparecchiature; danneggiamento/distruzione di apparecchiature sia intenzionale che accidentale; smarrimento di apparecchiature o credenziali; reazione inadeguata ad incidenti/disastri).

Sicurezza fisica

L’accesso fisico ai locali della Regione è regolato dall’apposito disciplinare tecnico regionale in materia.

La scelta dei locali in cui installare, conservare o utilizzare sistemi informatici deve essere fatta tenendo in considerazione i potenziali rischi di sicurezza sui dati causati tanto da eventi accidentali quanto da dolo. In funzione dell’analisi dei rischi devono essere valutate e adottate idonee misure di protezione, quali sistemi di antintrusione, sistemi antincendio, sistemi di rilevazione fumi, sistemi antiallagamento.

La scelta delle misure di sicurezza dei locali deve, in ogni caso, tenere conto dei vincoli imposti dalla normativa in materia di tutela della salute e di sicurezza dei lavoratori.

La protezione dei server e degli apparati di rete considerati critici per il funzionamento e la disponibilità dei sistemi informativi deve prevedere sistemi di protezione elettrica quali stabilizzatori di corrente ed apparecchiature UPS e sistemi di condizionamento dell’aria nei locali per garantire il mantenimento di una costante ed adeguata temperatura di esercizio.

La scelta dei locali per gli armadi deve essere fatta individuando ambienti idonei, possibilmente dedicati e ad accesso limitato (solo agli amministratori di sistema e ad un eventuale custode incaricato). Gli armadi medesimi devono essere chiusi a chiave e le relative chiavi devono essere in possesso dei soli amministratori di sistema (e di un eventuale custode specificatamente incaricato). Le chiavi di accesso a locali o armadi possono essere conservate presso le portinerie della Regione.

Controllo dell’accesso ai dati

L’accesso ai dati ed alle strumentazioni informatiche utilizzate per trattarli deve essere concesso al solo personale espressamente autorizzato (nel caso di dati personali i cosiddetti incaricati del trattamento). L’elenco del personale incaricato deve essere aggiornato almeno a cadenza annuale.

In nessun modo devono essere concessi permessi di accesso ai sistemi senza preventiva autorizzazione formale del responsabile funzionale o del referente regionale di progetto.

Le modalità con cui viene formulata tale autorizzazione possono variare a seconda del tipo di trattamento.

Autenticazione

L’accesso ai dati trattati con strumentazioni informatiche deve essere concesso esclusivamente previa opportuna autenticazione.

Gli strumenti di autenticazione devono essere progettati in funzione del valore dei dati trattati. Deve essere prevista l’ipotesi di utilizzo di sistemi di autenticazione forte ove necessario (smart card, token hardware, dispositivi one-time password, sistemi biometrici).

Devono essere previsti meccanismi di separazione dei privilegi, sia a livello di sistema operativo che a livello applicativo, per consentire l’accesso ai dati e le operazioni effettuate sugli stessi, in misura corrispondente ai diversi profili degli utenti.

Autorizzazione

È necessario introdurre dei criteri generali di definizione dei ruoli amministrativi e di gestione delle autorizzazioni, pur nel pieno rispetto dei principi di delega e di autonomia dei referenti di applicazioni e sistemi che gestiscono porzioni del sistema informativo.

Il principio generale a cui attenersi è che i ruoli amministrativi critici non si devono sovrapporre. Ad esempio, gli sviluppatori non devono essere anche sistemisti, gli amministratori della sicurezza non devono essere sistemisti o sviluppatori e così via.

Qualora non fosse possibile dal punto di vista organizzativo mantenere o adottare questa separazione di ruoli, devono essere introdotti controlli compensativi che permettano di tracciare puntualmente le operazioni eseguite (ad esempio tramite l’utilizzo di strumenti evoluti di monitoraggio, audit puntuali, notifiche via e-mail).

Gestione delle c

1. Il presente regolamento è pubblicato sul Bollettino Ufficiale della Regione Lazio ed entra in vigore dal giorno successivo alla data della sua pubblicazione.