Search

Articolo 3 Provvedimenti tecnici e organizzativi

1 Per garantire la confidenzialità, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti adeguati affinché:

  1. le persone autorizzate abbiano accesso solo ai dati personali di cui abbisognano al fine di adempiere i loro compiti (controllo dell’accesso ai dati);
  2. solo le persone autorizzate abbiano accesso ai locali e agli impianti utilizzati per il trattamento dei dati personali (controllo dell’accesso ai locali e agli impianti);
  3. le persone non autorizzate non possano utilizzare i sistemi di trattamento automatizzato di dati personali con l’ausilio di impianti di trasmissione (controllo degli utenti);

2 Per garantire la disponibilità e l’integrità, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti adeguati affinché:

  1. le persone non autorizzate non possano leggere, copiare, modificare, spostare, cancellare o distruggere supporti di dati (controllo dei supporti di dati);
  2. le persone non autorizzate non possano salvare, leggere, modificare, cancellare o distruggere dati personali nella memoria (controllo di memoria);
  3. le persone non autorizzate non possano leggere, copiare, modificare, cancellare o distruggere dati personali in occasione della comunicazione degli stessi o del trasporto di supporti di dati (controllo del trasporto);
  4. la disponibilità e l’accesso ai dati personali possano essere rapidamente ripristinati in caso di incidente fisico o tecnico (ripristino);
  5. siano disponibili tutte le funzioni del sistema di trattamento automatizzato dei dati (disponibilità), siano segnalati eventuali malfunzionamenti (affidabilità) e i dati personali registrati non siano danneggiati da malfunzionamenti del sistema (integrità dei dati);
  6. sia sempre aggiornato il livello di sicurezza dei sistemi operativi e delle applicazioni e siano colmate le lacune critiche riscontrate (sicurezza del sistema).

3 Per garantire la tracciabilità, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti adeguati affinché:

  1. si possa verificare quali dati personali sono stati introdotti o modificati nel sistema di trattamento automatizzato dei dati, in quale momento e da chi (controllo dell’introduzione);
  2. si possa verificare a chi sono stati comunicati dati personali con l’ausilio di impianti di trasmissione (controllo di comunicazione);
  3. si possano individuare rapidamente le violazioni della sicurezza dei dati (individuazione) e adottare provvedimenti per ridurre o eliminare le conseguenze (eliminazione).