Privacy: ateneo in prima linea per la sicurezza
L’Università di Udine ha realizzato, entro lo scorso 31 marzo, il Documento programmatico sulla sicurezza dei dati personali, previsto dal decreto legislativo 196/2003 (Testo unico sulla Privacy). Si tratta di un documento che permette, tramite la fotografia della situazione attuale, la verifica dello stato di sicurezza dei dati personali e la programmazione delle azioni da intraprendere. La redazione del documento per l’università è stata anche un’occasione di conoscenza delle problematiche legate al trattamento dei dati nel loro complesso e un momento di intensa collaborazione di tutte le strutture dell’università. Il lavoro complessivamente ha prodotto informazioni relative a oltre 650 trattamenti di dati personali. L’obiettivo, al di là degli adempimenti di legge, è che all’interno dell’organizzazione nasca una vera e propria cultura della privacy.
L’analisi dei rischi. I rischi si dividono in due categorie: quelli insiti nella tipologia stessa dei dati trattati che dipendono dall’interesse che suscitano per i terzi e quelli legati alle caratteristiche degli strumenti utilizzati per procedere al trattamento. Le componenti del rischio possono essere fra le più svariate: dagli incendi ai guasti tecnici, dagli allagamenti ai virus informatici, dall’accesso di esterni non autorizzati agli atti di sabotaggio o agli errori umani.
Le misure minime. L’ateneo ha adottato le cosiddette “misure minime” per garantire l’integrità, la disponibilità e la protezione dei dati. La password dovrà essere cambiata ogni 3 mesi per i dati sensibili ed ogni 6 mesi per gli altri dati personali, l’antivirus aggiornato ogni giorno, i test effettuati ogni anno da strutture esterne per verificare lo stato di sicurezza e di penetrabilità. Inoltre saranno potenziati i sistemi di antifurto e di videosorveglianza, oltre alle procedure che permettono il salvataggio e il recupero dei dati. Per la gestione dei sistemi sarà attivato un super-utente (system manager) con password per ogni server che contiene dati sensibili e saranno identificati i server che contengono dati sensibili, accessibili dall’esterno e dei computer da cui è consentito accedere alla rete pubblica.
Gli investimenti. Nel 2006 saranno investiti complessivamente 315 mila euro per potenziare il livello di sicurezza informatica delle infrastrutture di supporto alle attività di gestione e trattamento dei dati: saranno sostituiti gli apparati di rete obsoleti, attivati sistemi di protezione delle sale macchine, aggiornato il parco macchine amministrativo e potenziata la struttura per la sicurezza informatica.
I responsabili del trattamento. Con riferimento al decreto rettorale n.150 del 23 febbraio 2003 sono stati nominati responsabili dei trattamenti i responsabili delle strutture. I direttori dei Dipartimenti sono anche responsabili dei trattamenti dei dati personali e del rispetto del Codice deontologico per il trattamento dei dati personali in ambito statistico e di ricerca. I Presidi delle Facoltà sono responsabili del trattamento dei dati in ambito didattico ed amministrativo. Ai responsabili del trattamento sono stati distribuiti i documenti “Gestione del posto di lavoro” e “Modalità e limiti di utilizzo della rete telematica dell’Università degli Studi di Udine”che contengono informazioni obbligatorie sulla protezione dei dati cartacei e su supporti elettronici, il reperimento, la custodia e l’archiviazione di atti e documenti e il corretto utilizzo degli strumenti di elaborazione dati.
I numeri del Piano della sicurezza
Numero trattamenti
650
Numero responsabili del trattamento
77
Investimenti
315 mila euro
Numero sedi dell’attività
29
Numero strutture
79
La formazione del personale: le tappe
Interventi di formazione
Destinatari
Tempi previsti
Presentazione Piano
Responsabili del trattamento
Luglio 2006
Corso base
Incaricati del trattamento
Entro dicembre 2006
Approfondimenti
Responsabili del trattamento
Entro dicembre 2006
Formazione di base
Neoassunti
Al momento del primo ingresso