since 1981

GDPR, nuova Legge. Siete pronti?

Rispetto delle normative  di trattamento dei dati personali
 
La normativa vigente in materia di trattamento dei dati personali, meglio conosciuta come “Codice Privacy” (D.lgs 196/2003), prevede una distruzione sicura dei documenti che contengono informazioni riservate.
D.LGS. 196/2003 – Codice in materia di protezione dei dati personali
Il Decreto Legislativo 196/2003 del 30 giugno 2003, entrato in vigore nel 1 gennaio 2004, ha come scopo il riconoscimento del diritto di qualsiasi cittadino sui propri dati personali ed alla regolamentazione della gestione degli stessi. Le normative in esso riportate specificano che, per gestione dei dati personali, si intende il processo di acquisizione, elaborazione, cancellazione, modifica, uso e l´eventuale diffusione degli stessi.
NORMA UNI EN 15713:2009 – Distruzione sicura di documenti riservati – CODICE D’USO (ex 196/2003) (distruzione sicura di documenti riservati – codice d’uso)
La norma UNI EN 15713:2009 è la prima norma italiana a trattare l´argomento della distruzione e successivo smaltimento di supporti contenenti dati personali. Il rispetto di tale normative permette di limitare al massimo la diffusione involontaria dei dati trattati, escludendo la possibilità di eventuali accuse di dolo.
NORMA DIN 66399 – Criteri di sicurezza per i supporti contenenti dati sensibili
La norma DIN 66399 tiene conto della varietà di supporti di memoria contenenti i dati personali, definendo i criteri di sicurezza per tutti i tipi di supporti utilizzati, le varie classi di protezione di cui necessitano le varie tipologie di dati trattati, i requisiti che devono avere le macchine ed i processi impiegati nella distruzione.
Per determinare il grado di protezione si esamina il genere di dati trattati, deducendo il grado di protezione adatto e di conseguenza la classe di protezione prevista.
DIN 66399 (livelli di sicurezza) e UNI EN 15713:2009 (gradi di distruzione) con la prova del materiale triturato.
GDPR – General data protection regulation (ex d.gs 196/2003) effettivo dal 25 maggio 2018 in italia
Nuovi livelli di sicurezza di distruzione dei dati DIN 66399
Lunedì 01 Ottobre 2012
I livelli di sicurezza nella distruzione dei dati fa riferimento alla dimensione dei singoli pezzi in cui il materiale viene ridotto.
Certi dati e documenti hanno un grado di sensibilità diverso rispetto ad altri, e devono perciò essere distrutti in pezzi più piccoli, garantendo pertanto che  la dimensione dei trucioli impedisca che chiunque possa in un secondo momento ricomporli.
Aziende ed organizzazioni hanno requisiti legali in materia di i custodia e distruzione dei dati con la nuova legge GDPR effetivo dal 25 maggio 2018 – ed i privati stanno acquisendo consapevolezza circa la necessità di distruggere i loro documenti riservati per evitare il rischio di frode degli stessi.
Al fine di definire i requisiti per la distruzione dei dati un nuovo standard di sicurezza (DIN) è stato annunciato  dalla commissione per l’Informatica e Applicazioni (conosciuta anche in germania con l’acronimi NIA). Questo nuovo standard fa riferimento al DIN 66399 e sostituisce il precedente DIN 32757).
NIA è la responsabile per lo sviluppo degli standard di sicurezza specifici per un numero di apparecchiature informatiche e suddetti nuovi standard ora riguardano anche alcuni nuovi media digitali che potrebbero contenere informazioni sensibili da distruggere o eliminare (es.: dischi Blu-Ray,chiavi usb,sd card, carta credit smart , memory card, nastri magnetici, cellulare).
Di seguito i  requisiti che le aziende devono garantire nella distruzioni dei dati sensibili, ciononostante anche un privato può far riferimento a tali requisiti come linea guida per quanto riguarda i livelli di sicurezza della distruzione dei dati sensibili necessaria.
Tre classi di protezione
tre livelli di protezione aiutano a chiarire quale livello di protezione si necessita per i propri dati. Questo a sua volta aiuta ad identificare il grado di sicurezza appropriato nella distruzione di questi dati.
Classe di protezione 1 – Requisiti di sicurezza normali per dati interni
La pubblicazione o distribuzione dei dati avrebbe effetti negativi ma limitati sull’azienda. La protezione dei dati personali dev’essere garantita – altrimenti ci sarebbe un  rischio per la posizione e la situazione finanziaria delle persone colpite.
Classe di protezione 2 -  Requisiti di alta sicurezza per dati riservati
La distribuzione non autorizzata avrebbe effetti considerabili sull’azienda e potrebbe violare obblighi di legge o normative. La protezione dei dati personali deve sottostare a rigidi requisiti – altrimenti, ci potrebbero essere considerabili rischi per la posizione sociale e le finanze delle persone colpite.
Classe di protezione 3 – Requisiti superiori  del  livello di protezione per dati particolarmente confidenziali  e/o  segreti.
La distribuzione non autorizzata avrebbe serie conseguenze per la compagnia (che potrebbero addirittura minacciarne l’esistenza) e violare obbligazioni di commercio confidenziali, contratti o norme. È essenziale che la segretezza dei dati sia mantenuta. Altrimenti potrebbe esserci rischi di salute, sicurezza o limitazioni della libertà personale delle persone colpite.
 Sei categorie di dispositivi
Il DIN 66399 definisce  le seguenti sei categorie  di dispositivi “media”:
P. – Informazioni di dimensione originale (Carta, pellicola, moduli stampati)
F. – Informazioni di dimensioni ridotte ( micro pellicole, lucidi)
O. – Dispositivi ottici (CD, DVD, Dischi Blu-Ray)
T. – Dispositivi magnetici (Floppy, carte magnetiche)
H. – Dischi rigidi con dispositivi magnetici di salvataggio dati (Hard disk da PC e Laptop)
E. -  Dispositivi elettronici (Schede di memoria di fotocamere, carte elettroniche delle banche  flash drives, unità flash)
 
Sette livelli di sicurezza
Il precedente standard DIN aveva cinque livelli ufficiali di sicurezza (più  un sesto “ufficioso”). Ad ogni modo, il nuovo DIN 66399 è stato redatto di 7 livelli di sicurezza, in cui il primo produrrà pezzi di dimensioni maggiori mentre il settimo ed ultimo livello restituirà pezzi di dimensioni più piccole (e di conseguenza più sicure).
A ciascuna delle tre classi di protezione corrisponde un livello di sicurezza:
Classe di protezione 1 – livelli di sicurezza  1, 2, 3
Classe di protezione 2 – livelli di sicurezza  3, 4, 5
Classe di protezione 3 – livelli di sicurezza  5, 6, 7
 
Di seguito i livelli di sicurezza raccomandati per cartaceo ed altri materiali/dispositivi:
 
Livello di sicurezza P-1  - Documenti generali (o altri dispositivi) che devono essere resi illeggibili (distrutti in strisce di 12mm di larghezza o in particelle di massimo 2000mm2 ).
Livello di sicurezza P-2  - Documenti interni (o altri dispositivi) che devono essere resi illeggibili (distrutti in strisce di 6mm di larghezza o in particelle di massimo 800mm2 ).
Livello di sicurezzaP-3 – Dati sensibili, confidenziali o di natura personale (distrutti in strisce di 2mm di larghezza o in particelle di massimo 320mm2 ).
Livello di sicurezzaP-4 – Dati altamente sensibili, confidenziali o di natura personale (distrutti in particelle di massimo 2000mm2 ).
Livello di sicurezzaP-5 – Dati segreti (distrutti in particelle di massimo 30mm2 ).
Livello di sicurezzaP-6 – Dati segreti per i quali è richiesto un livello di sicurezza eccezionale (distrutti in strisce di 12mm di larghezza o in particelle di massimo 10mm2 ).
Livello di sicurezzaP-7 – Dati ritenuti “Top Secret” per i quali è richiesto il livello di sicurezza in assoluto maggiore (distrutti  in particelle di massimo 5mm2 ).
 
La maggior parte delle richieste per la distruzione domestica di materiale sensibile, richiedono un livello di sicurezza che va dal P-1 al P-4. I privati che ricercassero la sicurezza per la distruzione dei propri dati confidenziali, questi livelli (specialmente i più alti) risulterebbero soddisfacenti nella maggior parte dei casi. Come guida generica, i livelli dal P-5 al P-7 sono riservati a dipartimenti governativi e reparti dirigenziali che lavorano con dati altamente sensibili da eliminare nonostante molti attività si avvalgono del servizio di distruzione dei dati accontentandosi di livelli di sicurezza inferiori per dati poco sensibili.

 
 
Anche i dispositivi diversi dal cartaceo hanno le proprie particolari raccomandazioni per la dimensione delle particelle legate al livello di sicurezza. Di seguito la tabella relativa a tali livelli di sicurezza. Per semplificare:
  • LIVELLO 1 è relativo ad informazioni generali che devono essere resi illeggibili
  • LIVELLO 2 è relativo a dati interni che devono essere resi illeggibili
  • LIVELLO 3 è relativo a dati confidenziali
  • LIVELLO 4 è relativo a dati altamente confidenziali
  • LIVELLO 5 è relativo a dati segreti
  • LIVELLO 6 è relativo a dati Altamente Segreti
  • LIVELLO 7 è relativo a dati Top Secret
 
P. – Informazioni di dimensione originale (Carta, pellicola, moduli stampati)
 
P Livello di Sicurezza Condizione/Dimensione Max particelle
P-1 Ridotti in strisce di 2000mm2
P-2 Ridotti in strisce di 800mm2
P-3 Ridotti in strisce di 320mm2
P-4 160mm2
P-5 30mm2
P-6 10mm2
P-7 5mm2
 
 
F. – Informazioni di dimensioni ridotte ( micro pellicole, lucidi)
F Livello di Sicurezza Condizione/Dimensione Max particelle
F-1 160mm2
F-2 30mm2
F-3 10mm2
F-4 2,5mm2
F-5 1mm2
F-6 0,5mm2
F-7 0,2mm2
 
O. – Dispositivi ottici (CD, DVD, Dischi Blu-Ray)
O Livello di Sicurezza Condizione/Dimensione Max particelle
O-1 2000mm2
O-2 800mm2
O-3 160mm2
O-4 30mm2
O-5 10mm2
O-6 5mm2
O-7 0,2mm2

 
T – Dispositivi magnetici (Floppy, carte magnetiche)
 T Livello di Sicurezza Condizione/Dimensione Max particelle
T-1 Irrealizzabile
T-2 2000mm2
T-3 320mm2
T-4 160mm2
T-5 30mm2
T-6 10mm2
T-7 2, 5mm2
 
H.Dischi rigidi con dispositivi magnetici di salvataggio dati (Hard disk da PC e Laptop)
H Livello di Sicurezza Condizione/Dimensione Max particelle
H-1 Infattibile
H-2 Sfondati
H-3 Deformati
h-4 2000mm2
H-5 320mm2
H-6 10mm2
H-7 5mm2
 
E.Dispositivi elettronici (Schede di memoria di fotocamere, carte elettroniche delle banche  flash drives, unità flash)
E Livello di Sicurezza Condizione/Dimensione Max particelle
E-1 Infattibile
E-2 Tagliati in due
E-3 160 mm2
E-4 30mm2
E-5 10mm2
E-6 1mm2
E-7 0,5mm2
 
 
Di conseguenza, un microfilm che dovesse rientrare nella categoria “F”che fosse di natura segreta e necessitasse di un livello 5 di sicurezza(es. Livello di sicurezza F-5) dovrebbe essere ridotto in pezzetti di minimo 1mm2  .
Un disco rigido che dovesse ricadete sotto la categoria “H” e contenesse dati sensibili o confidenziali, necessitando di un livello 3 di sicurezza (es. Livello di sicurezza H-3) dovrebbe venire deformato per rispettare le nuove disposizioni DIN.

CHIBO S.r.l.
Via Nobel, 27/29A
Q.re SPIP- 43122 Parma - Italy
Tel. (+39) 0521/606611
Fax. (+39) 0521/607750
P.IVA 00762480341
Cap. Soc. iv 109.200,00 Euro

e-mail: info@chibo.it
Social network
Facebook

Twitter

YouTube

TAGs
CERTIFICAZIONI
Privacy | Website by Clicom