GDPRINAF Stato dellarte e prospettive ICT INAF Workshop

GDPR@INAF Stato dell’arte e prospettive ICT INAF Workshop Catania, 11 settembre 2018 A cura di: Francesco Caprio – Responsabile della Protezione dei Dati S

Calendario di visite presso le Strutture di Ricerca Struttura di ricerca Giorno della visita Osservatorio di Astrofisica e Scienza dello Spazio di Bologna 12/06/2018 Istituto di Radioastronomia – Sezione di Medicina 12/06/2018 Osservatorio Astrofisico di Arcetri 18/06/2018 Osservatorio Astronomico d’Abruzzo 20/06/2018 Osservatorio Astronomico di Monte Porzio Catone 21/06/2018 Istituto di Astrofisica e Planetologia Spaziali 21/06/2018 Osservatorio Astronomico di Padova 25/06/2018 Osservatorio Astronomico di Brera 26/06/2018 Osservatorio Astronomico di Brera – Sede di Merate Istituto di Astrofisica Spaziale e Fisica cosmica di Milano 26/06/2018 Osservatorio Astronomico di Capodimonte 28/06/2018 Sardinia Radio Telescope 12/07/2018 Osservatorio Astronomico di Cagliari 13/07/2018 Osservatorio Astrofisico di Torino 17/07/2018 Osservatorio Astronomico di Palermo 19/07/2018 Istituto di Radioastronomia – Sezione di Noto 20/07/2018 Osservatorio Astrofisico di Catania 21/07/2018 Istituto di Astrofisica Spaziale e Fisica cosmica di Palermo 21/07/2018 Osservatorio Astronomico di Trieste 02/08/2018 INAF ICT Workshop – Catania, 10 -14 settembre 2018 27/06/2018

Lo stato dell’arte: situazione generale v Sensibilità molto spiccata per le novità introdotte dal GDPR v Buone pratiche sviluppate presso molte strutture v Generale attenzione per i nuovi adempimenti previsti v Elevato grado di maturità del system management v Buon livello di implementazione delle Misure Minime di Sicurezza v Alti standard tecnici in termini di dotazioni strumentali INAF ICT Workshop – Catania, 10 -14 settembre 2018

Lo stato dell’arte: criticità v Mancanza di direttive e/o indicazioni da parte dei vertici dell’Amministrazione e di una policy generale in materia di trattamento dati v Quadro generale estremamente variegato: ognuno “fa da sé”, con il rischio di allargare il divario tra le Strutture v Eccessiva eterogeneità dei processi/procedure relativi al trattamento dei dati e mancata definizione della “catena di responsabilità” (Incaricati del trattamento: who’s doing what? ) v Mancata predisposizione/previsione degli “strumenti minimi” relativi alle attività di trattamento già previsti dal D. lgs. n. 196/2003 (ad esempio, il Registro delle attività di trattamento) v Ingiustificato timore per il quadro sanzionatorio delineato dal GDPR, con il rischio di rallentamento o, addirittura, di paralisi delle attività v Carenza di procedure (o, almeno, di chiare e ben definite linee guida) in caso di incidenti informatici suscettibili di determinare “data breach” v Approccio puramente adempimentale e scarsa predisposizione alla condivisione delle buone pratiche sviluppate ed in essere INAF ICT Workshop – Catania, 10 -14 settembre 2018

Cosa abbiamo fatto: attività ed iniziative v Adeguamento delle informative da rendere agli interessati v Incontro con il RPD del CINECA, volto a definire gli aspetti più rilevanti della attività di trattamento svolte dal Consorzio a beneficio dell’Istituto in qualità di Responsabile esterno v Definizione di “misure minime” da adottare immediatamente nella organizzazione e nella gestione degli eventi di divulgazione v Aggiornamento delle clausole da inserire all’interno dei contratti di lavoro e dei contratti di procurement e nei bandi v Adeguamento della pagina web del sito istituzionale dedicata alla privacy (Informativa, cookie policy, nominativo e recapiti del RPD) v Linea telefonica ed indirizzo email dedicati (con un tasso di risposta del 100% entro 72 0 re) v Partecipazione al “Tavolo Tecnico Privacy” istituito dalla Co. Di. G. E. R. (Conferenza dei Direttori Generali degli Enti di Ricerca) e ai vari meeting indetti dalla Consulta dei Presidenti degli Enti di Ricerca con il Garante INAF ICT Workshop – Catania, 10 -14 settembre 2018

Cosa dobbiamo fare…urgentemente! v Definizione della “catena di responsabilità” interna all’INAF (individuazione di eventuali Responsabili interni delle attività di trattamento e degli incaricati, mediante veri e propri provvedimenti di designazione, vd. infra) v Mappatura dettagliata delle risorse informatiche attualmente in uso v Definizione dei tempi di retention dei Data e dei log (questa questione è già all’attenzione del Tavolo Tecnico Privacy della Co. Di. G. E. R. ) v Creazione di una rete di referenti territoriali per la gestione degli eventi critici che possono determinare “data breach” significativi (INAF Emergency Response Team) v Adeguamento delle sale macchine presso tutte le Strutture, anche mediante installazione di sistemi di accesso controllato e procedure/manuali interni per l’individuazione dei soggetti autorizzati v Approvazione del disciplinare in materia di “Utilizzo delle risorse informatiche dell’INAF”, che definirà anche le policy e le procedure di sicurezza nella gestione delle risorse in questione e comporterà una vera e propria “assunzione di responsabilità” da parte degli utenti v Avvio di un programma di formazione e sensibilizzazione del personale da parte del RPD v Previsione e/o programmazione di misure specifiche in materia di “Business continuity” e “Disaster recovery” INAF ICT Workshop – Catania, 10 -14 settembre 2018

Un esempio: designazione dell’incaricato del trattamento INAF ICT Workshop – Catania, 10 -14 settembre 2018

Altre questioni rilevanti v Ricognizione di tutti i Responsabili esterni del trattamento (Fornitori di servizi web, responsabili videosorveglianza, gestori telefonici Vo. IP) della v Definizione di una privacy policy uniforme dei siti web ed in materia di videosorveglianza v Definizione di livelli e procedure di sicurezza uniformi v Manuale di gestione documentale INAF ICT Workshop – Catania, 10 -14 settembre 2018

A cura di: Francesco Caprio – Responsabile della Protezione dei Dati Email: rpd@inaf. it - Tel. : 06/35533255