DMS 19.11.15 - allegato V

  Allegato V

(Decreto del Ministero della Salute, 19 novembre 2015)

Misure di riservatezza e sicurezza dei dati personali

1. Protezione dell'identità del donatore e ricevente mediante l'utilizzo di un codice identificativo univoco che consenta, in modo indiretto, di re-identificare gli stessi ove ciò sia necessario a fini di salvaguardia della salute;

2. Le postazioni di lavoro informatiche, utilizzate per i trattamenti dei dati, sono dotate di:

sistemi di protezione perimetrale, costantemente attivati e adeguatamente configurati in funzione del contesto operativo o attestate su reti locali dotate di sistemi di protezione perimetrale;

sistemi antivirus e anti malware costantemente aggiornati;

software di base costantemente aggiornato al fine di prevenire vulnerabilità;

3. In riferimento alla comunicazione dei dati:

laddove ci si avvalga della cooperazione applicativa, gli "Accordi di servizio" individuano idonee garanzie per il trattamento dei dati personali in conformità all'allegato 1 del Provvedimento del Garante per la protezione dei dati personali del 4 luglio 2013 (disponibile sul sito istituzionale dell'Autorità, www.garanteprivacy.it doc. web a 2574977);

laddove l'accesso ai dati avvenga in forma di web application, si utilizzano canali di trasmissione protetti (protocolli https/ssl) con verifica dell'identità digitale dei server erogatori dei servizi, tramite l'utilizzo di certificati digitali emessi da una Certification Authority ufficiale;

4. Per quanto riguarda gli accessi al sistema:

è assicurato l'accesso selettivo ai dati in linea con i principi di necessità pertinenza, non eccedenza e indispensabilità;

sono predisposti strumenti e procedure per 1'autorizzazione e l'autenticazione degli incaricati abilitati ad accedere ai dati;

sono previsti meccanismi di autenticazione forte mediante certificati digitali, emessi da una Certification Authority ufficiale che identifichino univocamente l'utente in base al ruolo per particolari profili di autorizzazione, operazioni e tipologie di dati oggetto di trattamento;

sono previsti meccanismi volti ad assicurare che gli accessi avvengano, ove compatibili con le finalità dell'accesso al sistema, nell'ambito di intervalli temporali o di data predeterminati dal titolare;

la password che consente l'accesso è consegnata al singolo incaricato separatamente rispetto al codice per l'identificazione ed è modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi;

non è consentito l'accesso contemporaneo con le medesime credenziali;

sono effettuate periodiche verifiche, da parte del titolare, anche a fronte di cambiamenti organizzativi o eventi anomali, circa la sussistenza dei presupposti che hanno originato l'abilitazione degli incaricati. Eventuali esiti negativi delle predette verifiche, devono dar luogo alla tempestiva revisione del profilo di abilitazione o alla eventuale disabilitazione dello stesso;

5. Le operazioni di accesso ai sistemi sono registrate in appositi file di log ai fini della verifica della liceità del trattamento dei dati:

i log sono protetti con idonee misure contro ogni uso improprio;

i log sono conservati per 24 mesi e cancellati alla scadenza;

i dati contenuti nei log sono trattati in forma anonima mediante aggregazione, possono essere trattati in forma non anonima unicamente laddove ciò risulti indispensabile ai fini della verifica della liceità del trattamento dei dati;

nel caso di cooperazione applicativa:

sono conservati i file di log degli invii delle informazioni al sistema;

sono conservati i file di log delle ricevute del sistema;

a seguito dell'avvenuta ricezione delle ricevute il contenuto delle comunicazioni effettuate è eliminato;

6. per quanto riguarda la conservazione, il backup dei dati e le procedure per il ripristino della disponibilità dei dati e dei sistemi:

i dati anagrafici e sanitari sono archiviati separatamente e i dati sanitari sono trattati con tecniche crittografiche;

i dati presenti sul sistema informatico sono cancellati o resi anonimi, trascorsi almeno trenta anni dal decesso dell'interessato cui i dati si riferiscono; il termine massimo per la conservazione dei dati è individuato dal Centro nazionale trapianti in base alle evidenze scientifiche;

i supporti di archiviazione removibili non più utilizzati sono distrutti e resi inutilizzabili;

i supporti di memoria di massa dei server e delle postazioni di lavoro sono dismessi secondo quanto previsto dal Provvedimento del Garante per la protezione dei dati personali del 13 ottobre 2008 sui «Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali» (G.U. n. 287 del 9 dicembre 2008);

sono previste e attivate idonee procedure per assicurare l'integrità, la disponibilità dei dati e il ripristino degli stessi in caso di guasti, malfunzionamenti o eventi disastrosi;

i supporti cartacei, contenenti dati personali e idonei a rivelare lo stato di salute, sono distrutti secondo una documentata procedura, predisposta dal titolare, trascorsi almeno trenta anni dal decesso dell'interessato cui i dati si riferiscono; il termine massimo per la conservazione dei dati è individuato dal Centro nazionale trapianti in base alle evidenze scientifiche.

7. in caso di affidamento in outsourcing delle attività di manutenzione dei sistemi informatici:

i soggetti esterni che effettuano attività che possono comportare il trattamento dei dati sono designati responsabili del trattamento ai sensi dell'art. 29 del Codice in materia di protezione dei dati personali;

i contratti di manutenzione prevedono specifiche clausole di riservatezza dei dati, la registrazione degli interventi con l'indicazione dell'orario di inizio e di fine degli interventi, le persone che li hanno effettuati e le motivazioni che hanno determinato la necessità dei medesimi interventi.