MISURE ORGANIZZATIVE IN MATERIA DI PRIVACY – Adeguamento GDPR 2018
La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale e particolarmente rilevante che richiede di bilanciare la necessità del Titolare del Trattamento di acquisire, e trattare, informazioni di persone fisiche in funzione dell’attuazione delle sue prestazioni professionali con gli interessi che caratterizzano l’attività di impresa.
Per bilanciare tali interessi la Direttiva europea 95/46/CE, prima, ed il Regolamento (UE) 2016/679 del 27 aprile 2016 dopo, hanno cercato di “contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”.
E’ utile ricordare come la tutela dei dati personali delle persone fisiche sia solo una faccia di una medaglia il cui rovescio è rappresentato dalle misure di sicurezza, ed in particolare dalle misure di sicurezza informatica, visto che ogni dato personale anche se conservato come documento cartaceo, viene quasi sempre preventivamente trattato con apparecchiature informatiche.
Il presente documento vuole essere uno strumento operativo, contente la precisazioni in ordine alle varie misure (organizzative, procedurali, tecniche e logistiche) da applicare, da parte del Titolare del Trattamento, dell’incaricato e dei sub incaricati, per garantire il richiesto livello di sicurezza dei trattamenti effettuati dal B&B La Locanda nel Vento e dal suo Incaricato, Dott.ssa Basi Catina, conformemente a quanto previsto dal Regolamento (UE) 2016/679 del 27 aprile 2016.
Scopo del presente Documento programmatico sulla sicurezza è, pertanto, quello di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, intendendosi per misure di sicurezza il complesso degli accorgimenti tecnici, informatici, organizzativi, logistici e procedurali di sicurezza.
CAMPO DI APPLICAZIONE
Il presente Documento definisce le politiche e gli standard di sicurezza in merito al trattamento dei dati personali, trattati e raccolti per mezzo di:
- Strumenti elettronici di elaborazione;
- Altri strumenti di elaborazione (ed esempio: Cartacei, Audio, Visivi e Audiovisivi, ecc..)
Il presente documento deve, inoltre, essere conosciuto ed applicato da tutte le funzioni che fanno parte dell’organizzazione.
DEFINIZIONI
Trattamento
Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Dato personale
Qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Il Regolamento UE n. 679/2016 individua, tra i dati personali, le seguenti categorie: dati comuni o di contatto, categorie particolari di dati personali (art. 9), dati giudiziari (art. 10), dati biometrici, dati genetici, dati relativi alla salute.
Questa classificazione è stabilita in funzione del diverso livello di riservatezza intrinseco che caratterizza le varie tipologie di dati, delle diverse precauzioni che la legge richiede per il loro utilizzo, per la loro custodia e per il loro trattamento e della oggettiva diversa pericolosità per l’individuo, derivante da un eventuale illecito trattamento.
Dati comuni o di contatto: Si tratta di dati personali come nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Categorie particolari di dati personali ex art. 9 del Regolamento UE n. 679/2016
Si tratta di dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. La predetta elencazione è tassativa ed alla tutela della sicurezza di tali dati sensibili sono imposte misure particolarmente rigide sia per quanto riguarda i presupposti di legittimazione del trattamento, della comunicazione e della diffusione, sia con riferimento alle misure tecniche, organizzative e logistiche da adottare per il loro trattamento e per la loro conservazione.
Dati giudiziari ex art. 10 del Regolamento UE n. 679/2016
Sono i dati personali, idonei a rivelare i provvedimenti penali di cui al D.P.R. n. 313/2002, (casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti), o la qualità di imputato o indagato (artt. 60 e 61 c.p.p.).
In particolare, sono dati giudiziari:
- I provvedimenti giudiziari penali di condanna definitivi, anche pronunciati da autorità giudiziarie straniere se riconosciuti ai sensi degli articoli 730 e seguenti del codice di procedura penale, salvo quelli concernenti contravvenzioni per le quali la legge ammette la definizione in via amministrativa, o l’oblazione limitatamente alle ipotesi di cui all’articolo 162 del codice penale, sempre che per quelli esclusi non sia stata concessa la sospensione condizionale della pena;
- I provvedimenti giudiziari definitivi concernenti le pene, compresa la sospensione condizionale e la non menzione, le misure di sicurezza personali e patrimoniali, gli effetti penali della condanna, l’amnistia, l’indulto, la grazia, la dichiarazione di abitualità, di professionalità nel reato, di tendenza a delinquere;
- I provvedimenti giudiziari concernenti le pene accessorie;
- I provvedimenti giudiziari concernenti le misure alternative alla detenzione;
- I provvedimenti giudiziari concernenti la liberazione condizionale;
- I provvedimenti giudiziari definitivi che hanno prosciolto l’imputato o dichiarato non luogo a procedere per difetto di imputabilità, o disposto una misura di sicurezza;
- I provvedimenti giudiziari definitivi di condanna alle sanzioni sostitutive e i provvedimenti di conversione di cui all’articolo 66, terzo comma, e all’articolo 108, terzo comma, della legge 24 novembre 1981, n. 689;
- I provvedimenti giudiziari del pubblico ministero previsti dagli articoli 656, comma 5, 657 e 663 del codice di procedura penale;
- I provvedimenti giudiziari di conversione delle pene pecuniarie;
- I provvedimenti giudiziari definitivi concernenti le misure di prevenzione della sorveglianza speciale semplice o con divieto o obbligo di soggiorno;
- I provvedimenti giudiziari concernenti la riabilitazione;
- I provvedimenti giudiziari di riabilitazione, di cui all’articolo 15 della legge 3 agosto 1988, n. 327
- I provvedimenti giudiziari di riabilitazione speciale relativi ai minori, di cui all’articolo 24 della legge 27 maggio 1935, n. 835;
- I provvedimenti giudiziari relativi all’espulsione a titolo di sanzione sostitutiva o alternativa alla detenzione, ai sensi dell’articolo 16 del decreto legislativo 25 luglio 1998, n. 286, come sostituito dall’art. 15 della legge 30 luglio 2002, n. 189;
- I provvedimenti amministrativi di espulsione e i provvedimenti giudiziari che decidono il ricorso avverso i primi, ai sensi dell’articolo 13 del decreto legislativo 25 luglio 1998, n. 286, come modificato dall’art. 12 della legge 30 luglio 2002, n. 189;
- I provvedimenti di correzione, a norma di legge, dei provvedimenti già iscritti;
- Qualsiasi altro provvedimento che concerne a norma di legge i provvedimenti già iscritti, come individuato con decreto del Presidente della Repubblica, ai sensi dell’articolo 17, comma 1, della legge 23 agosto 1988, n. 400, su proposta del Ministro della giustizia.
Non si considerano dati giudiziari le sentenze dichiarative di fallimento; il decreto di chiusura del fallimento; il decreto di omologazione del concordato fallimentare e delle sentenze di interdizione, inabilitazione e revoca, poiché, in queste ipotesi, prevale l’esigenza di pubblicità rispetto alla tutela della riservatezza.
Anche tali dati sono tutelati, sotto il profilo della sicurezza, con apposite misure organizzative e gestionali.
Dati genetici: si tratta di i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.
Dati biometrici: si tratta di dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
Dati relativi alla salute: si tratta di dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Anche tali dati sono tutelati, sotto il profilo della sicurezza, con apposite misure organizzative e gestionali.
Titolare
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Sub Incaricati
Le persone fisiche autorizzate a compiere operazioni di trattamento in forza delle istruzioni fornite dal titolare o dal responsabile.
Interessato
La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.
Responsabile del trattamento
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Comunicazione e diffusione
La comunicazione è un’operazione del trattamento che consiste nel portare i dati personali a conoscenza di uno o più soggetti determinati (identificabili in modo univoco e determinato), diversi dall’interessato cui i dati stessi si riferiscono, in qualunque forma, anche mediante la loro messa a disposizione per la consultazione.
La diffusione è un’operazione del trattamento che consiste nel portare dati personali a conoscenza di soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione per la consultazione.
Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti. È qualsiasi insieme di dati personali organizzati in modo da renderne possibile o agevole la consultazione e il trattamento. Non è da considerare tale, pertanto, la sola “raccolta” informatizzata, bensì tutte le raccolte di dati personali, a prescindere dallo strumento usato per il trattamento dei dati, comprendendo anche strumenti di archiviazione quali i supporti audiovisivi, ottici, fotografici e le “raccolte” cartacee. Ai fini dell’applicazione delle misure di sicurezza, sono rilevanti non solo le banche dati ufficiali, ma anche le semplici raccolte di dati personali finalizzate all’ordinaria gestione dell’attività amministrativa.
Strumenti elettronici
Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
Credenziali di autenticazione
I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica.
Parola chiave
Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.
FINALITA’ DEL REGOLAMENTO UE N. 679/2016
Il regolamento n. 679/2016 stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati, con il fine specifico di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali e la libera circolazione dei dati personali nell’Unione Europea.
Il Regolamento n. 679/2016, pertanto, disciplina il trattamento dei dati personali, al fine di garantire che si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali, qualificando come inviolabili e fondamentali:
– il diritto alla riservatezza, vale a dire il diritto che ognuno può esercitare per mantenere libera, da ingerenze esterne, la propria vita privata.
– il diritto all’identità personale, che è il diritto che ogni individuo può esercitare per utilizzare, in esclusiva, il proprio nome e altri elementi identificativi della propria persona.
Infine, la sopra citata disposizione di legge impone come passaggio obbligatorio prima della stesura delle misure organizzative, procedurali e logistiche in materia di privacy, un’analisi dei rischi che possono coinvolgere il Titolare del trattamento.
AREE A RISCHIO
Le aree ritenute più specificamente a rischio risultano essere, le seguenti:
- Tutte le attività svolte tramite l’utilizzo dei Sistemi Informativi aziendali, del servizio di posta elettronica e dell’accesso ad Internet, ivi compreso l’utilizzo della rete Wi-fi;
- La gestione dei Sistemi Informativi aziendali al fine di assicurarne il funzionamento e la manutenzione, l’evoluzione della piattaforma tecnologica e applicativa IT, nonché la Sicurezza Informatica;
- La gestione dei flussi informativi elettronici con la pubblica amministrazione;
- L’utilizzo di software e banche dati;
- La Gestione dei contenuti del sito Internet del B&B La Locanda nel Vento;
- L’utilizzo e la gestione della Videosorveglianza.
Eventuali integrazioni delle Aree a Rischio potranno essere disposte dall’Incaricato del Trattamento, Dott.ssa Basi Catina, alla quale viene dato mandato di individuare le relative ipotesi e di definire gli opportuni provvedimenti operativi.
RUOLI, COMPITI E NOMINA DELLE FIGURE PREVISTE PER LA SICUREZZA DEI DATI
Nell’ambito della Azienda l’applicazione delle norme in materia di protezione dei dati personali comporta attribuzione di compiti e responsabilità in capo alle seguenti figure:
- Titolare del trattamento;
- Incaricato del trattamento;
- Responsabili esterni al Trattamento dei Dati.
Il Titolare del Trattamento secondo la definizione fornita dall’art. 4, n. 7, del Regolamento n. 679/2016 è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
Spetta al Titolare del Trattamento:
- La definizione dell’impianto organizzativo in materia di privacy;
- La definizione di linee strategiche per il trattamento;
- La pianificazione degli interventi di adeguamento;
- L’adozione delle decisioni in ordine alle finalità e modalità del trattamento;
- La determinazione, l’aggiornamento e l’implementazione delle misure generali di sicurezza per il trattamento dei dati personali;
- La vigilanza, anche tramite verifiche periodiche, sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Di fronte a qualsiasi trattamento, il Titolare del trattamento deve:
- Trattare i Dati Personali in modo lecito, corretto e trasparente;
- Raccogliere i Dati Personali solo per finalità determinate, esplicite e legittime, e successivamente a trattarli in modo non incompatibile con tali finalità;
- Verificare che il trattamento sia adeguato, pertinente e limitato all’esercizio delle funzioni e dei compiti aziendali (principio di pertinenza) e che le stesse non siano perseguibili attraverso il trattamento di dati anonimi (principio di necessità);
- Verificare che le modalità del trattamento siano tali da determinare il minor sacrificio possibile del diritto alla riservatezza dei terzi (principio di non eccedenza);
- Verificare che il trattamento, ed in particolare le modalità adottate, non siano difformi dalle norme di legge e di regolamento;
- Garantire l’esattezza e l’aggiornamento dei Suoi Dati Personali attraverso l’adozione di misure ragionevoli per cancellare o rettificare tempestivamente i Suoi Dati Personali se inesatti rispetto alle finalità per le quali sono trattati;
- Conservare i Dati Personali in una forma che consenta la Sua identificazione per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, fatta salva l’attuazione di misure tecniche e organizzative a tutela dei Suoi diritti e delle Sue libertà;
- Adottare, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, misure tecniche e organizzative adeguate per evitare trattamenti non autorizzati o illeciti, ovvero la perdita, la distruzione o il danno accidentali dei dati;
- Garantire che tali misure vengano aggiornate e/o implementate quando necessario.
Incaricato del Trattamento è colui che procede materialmente al trattamento, nel caso di specie la Dott.ssa Basi Catina, con funzioni di vigilanza, anche tramite verifiche periodiche, sulla puntuale osservanza delle disposizioni in materia di privacy.
L’Incaricato del Trattamento deve, in via generale, provvedere ai seguenti adempimenti:
- Verificare che vengano applicate le misure di sicurezza tecniche ed organizzative;
- Individuare i soggetti abilitati all’accesso alle risorse di rete protette;
- Garantire che il trattamento, la comunicazione e la diffusione dei dati avvengano nel rispetto delle vigenti disposizioni, ivi comprese quelle relative alla sicurezza;
- Rispettare le direttive e le misure generali in materia di trattamento dei dati personali e di sicurezza e curare gli adempimenti da essa stabiliti;
- Adottare, qualora sia necessario, ulteriori misure di sicurezza, idonee ad evitare rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta;
- Rispettare le misure di sicurezza per le banche dati informatizzate contenenti dati personali;
- Vigilare, sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi incluso il profilo della sicurezza;
- Accertare che l’informativa, completa in tutte le sue parti, venga comunicata agli interessati, e verificare che ciascuna operazione di comunicazione e diffusione dei dati sia conforme alle disposizioni di legge e regolamento;
- Consentire all’interessato l’esercizio dei diritti previsti dagli artt. 16-21 del Regolamento n. 679/2016;
- Accertarsi dell’identità del diretto interessato, prima di fornire informazioni circa i dati personali o il trattamento effettuato;
- Verificare le operazioni di archiviazione, anche non definitive contenenti i dati personali;
- Verificare che i dati trattati vengano conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono raccolti e successivamente trattati.
Il Responsabile del Trattamento dei Dati, è definito dall’art. 4 del Regolamento Europeo n. 679/2016 “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Gli adempimenti cui è tenuto il Responsabile del Trattamento dei Dati relativamente al trattamento dei dati per conto del B&B La Locanda nel Vento, sono dettagliati nel relativo contratto.
MISURE DI SICUREZZA IN GENERALE
Le misure di sicurezza sono costituite dal complesso delle misure organizzative, tecniche, informatiche, logistiche e procedurali volte a ridurre, al minimo, i rischi di: distruzione o perdita, modifica anche accidentale o illegale dei dati, accesso non autorizzato; trattamento non consentito o non conforme alle finalità della raccolta, modifica dei dati in conseguenza di interventi non autorizzati o non conformi alla regole.
Va sottolineato come l’articolo 32 del Regolamento n. 679/2016 non faccia differenza tra violazione della riservatezza dei dati personali propriamente detta – quale si avrebbe ad esempio nel caso di accesso a dati sensibili da parte di terzi non autorizzati – e distruzione o perdita accidentale di dati già legittimamente raccolti e trattati.
La mancata custodia dei dati è comunque causa di un danno, e il responsabile del pregiudizio è sanzionato. Dalla distruzione o dalla perdita dei dati, infatti, derivano varie conseguenze, tutte connotate da evidente gravità: ad esempio, il blocco delle attività, costi gestionali imprevisti, danno di immagine.
Per i motivi esposti, il soggetto che non adotta le misure di sicurezza è sanzionato penalmente ma se, in aggiunta, non ha adottato misure adeguate, può anche essere chiamato a rispondere, in sede civile, di risarcimento dei danni provocati.
Ai sensi dell’art. 32 del Regolamento n. 679/2016 le misure di sicurezza che devono essere adottate, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, devono essere:
- Adeguate per garantire un livello di sicurezza adeguato al rischio così da ridurre, al minimo, i rischi di distruzione dei dati o di accesso non autorizzato;
- Adottate in via preventiva e differenziate in base alla natura dei dati e alle specifiche caratteristiche del trattamento.
Le conseguenze della mancata adozione di misure minime di sicurezza possono quindi essere le seguenti:
- Sanzione penale per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83 arresto sino a due anni (articolo 169 del Codice in materia di protezione dei dati personali in quanto non abrogato)
- Sanzione amministrativa: la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83 del GDPR)
- Risarcimento del danno: l’art. 82 del GDPR stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. A livello di onere probatorio si rinvia all’art. 2050 (relativa allo svolgimento di attività pericolose), nel senso che il danneggiate – responsabile ha l’onere della prova di aver adottato tutte quanto era possibile per evitare il danno, mentre il danneggiato deve solo dimostrare l’esistenza del danno.
Al fine di evitare le descritte sanzioni e responsabilità, il Titolare del Trattamento:
- Assicura che i dati personali siano accessibili solo a coloro che sono autorizzati a trattarli;
- Salvaguardia l’accuratezza e la completezza delle informazioni e del loro trattamento;
- Assicura che gli utenti autorizzati abbiano accesso alle informazioni, e ai beni ad esse associati, nel momento in cui lo richiedono.
- Con particolare riferimento alla sicurezza informatica utilizza un Sistema di autenticazione informatica (User-ID e password) e un sistema di autorizzazione (profili “utente” con potere di accesso); adotta quotidianiste procedure di backup; adotta software (firewall) in grado di prevenire vulnerabilità rispetto ad attacchi esterni; installa software antivirus e provvede al aggiornamento, almeno ogni tre mesi, per il trattamento di dati sensibili, e ogni sei mesi per gli altri dati; adotta tecniche di cifratura o codici identificativi per dati sensibili, trattati con strumenti elettronici.
MISURE COMUNI A TUTTI I TIPI DI TRATTAMENTO
Ogni trattamento, a prescindere dalle modalità, all’interno della Azienda si svolge nel rispetto delle seguenti indicazioni:
- Viene privilegiato, ove possibile, il trattamento di dati anonimi;
- Se non è possibile perseguire le finalità istituzionali, mediante il trattamento di dati anonimi, viene comunque garantita l’osservanza dei principi di necessità, pertinenza e non eccedenza rispetto alle finalità del trattamento medesimo (stretta coerenza con la natura dei compiti da svolgere, minimo utilizzo dei dati personali, adozione di modalità di trattamento meno lesive possibile).
I dati, inoltre, vengo:
- Trattati in modo lecito e secondo correttezza;
- Raccolti e registrati per scopi determinati, espliciti e legittimi ed in funzione dello svolgimento compiti e delle funzioni aziendali del Titolare del trattamento e in ogni caso nei limiti stabiliti dalle leggi e dai regolamenti;
- Aggiornati costantemente;
- Trattati dai sub incaricati e Responsabili del trattamento solo a seguito di atto di nomina;
- Trattati per il tempo strettamente necessario per lo svolgimento dei compiti e finalità aziendali del Titolare del Trattamento e per tale motivo, i documenti ed i supporti sui quali sono registrati, devono essere archiviati in luogo custodito, non appena concluso il trattamento;
- Conservati in una forma che permetta l’identificazione dell’interessato solo per il tempo necessario agli scopi per i quali sono raccolti.
Ai fini della sicurezza dei dati personali, le riproduzioni di documenti equivalgono ai documenti stessi e, pertanto, vengono gestiti con le medesime cautele e, qualunque prodotto dell’elaborazione di dati personali, ancorché non costituente documento definitivo (appunti, stampe interrotte, stampe di prova, elaborazioni temporanee ecc.), viene trattato con le stesse cautele che sarebbero riservate alla versione definitiva.
Infine, in presenza di ospiti o personale di servizio si procede a:
- Far attendere le persone in luoghi in cui non sono presenti informazioni riservate o dati personali;
- Evitare di allontanarsi dalla scrivania in presenza di ospiti o riporre i documenti e attivare il salvaschermo del PC;
- Non rivelare o far digitare la password al personale di assistenza tecnica;
- Non rivelare le password al telefono, ne inviarle via fax.
Quando, per l’espletamento di compiti di servizio e per altre attività, è necessario consentire l’accesso a personale esterno, vanno osservate le seguenti misure:
- Il locale viene aperto solo da personale autorizzato;
- Ciascun intervento è annotato su un apposito registro conservato nella stanza del server recante data e orario dell’intervento (inizio-fine), tipo di intervento, nome, cognome del tecnico intervenuto/Ditta o struttura, firma;
- Al termine dell’intervento, l’incaricato della custodia della chiave provvede alla chiusura dei locali;
- Nessun soggetto estraneo può accedere ai sistemi server se non accompagnato dal personale autorizzato;
- Le giornate in cui il personale addetto alle pulizie accede alla stanza in cui è apposto il server sono programmate, anche al fine dell’apertura del locale.
MISURE DI SICUREZZA RELATIVE ALLA SICUREZZA DEI PC
La procedura di accesso logico alla rete ed ai p.c. prevede l’utilizzo di un identificativo utente (user-id) e di una password. In questo modo solo l’operatore a conoscenza di tali identificativi può:
- Accedere alle risorse presenti fisicamente sulla macchina stessa (dischi fissi);
- Accedere alle risorse di rete (cartelle del disco fisso del server su cui l’utente ha diritto di accesso);
Misure di sicurezza informatiche
In base alla configurazione appena descritta viene privilegiata la memorizzazione dei dati attraverso l’utilizzo delle risorse di rete evitando l’uso delle unità logiche presenti fisicamente sul PC (dischi fissi/locali C e D). Nel caso di unità logiche/dischi installati fisicamente sul PC, altrimenti detti dischi fissi o locali, la sicurezza dei dati e la loro conservazione, viene garantita attraverso un accorto utilizzo del computer e un salvataggio coscienzioso dei dati. Nel caso di unità di rete individuale, l’accesso è consentito solo all’utente che si è correttamente autenticato all’atto di accedere al PC locale collegato in rete.
I PC in dotazione al Titolare del trattamento sono, inoltre, protetti contro i virus tramite l’installazione e la manutenzione di un software antivirus con aggiornamento periodico automatico oltre che attacchi esterni di malintenzionati attraverso sistemi firewall.
MISURE DI SICUREZZA RELATIVE AI SISTEMI DI AUTENTICAZIONE.
Nel caso in cui il trattamento di dati personali è effettuato con strumenti elettronici, il Titolare del Trattamento assicura che il trattamento avvenga solo dopo il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
Le credenziali di autenticazione possono essere le seguenti:
- Un codice per l’identificazione dell’incaricato associato a una parola chiave riservata e conosciuta solamente dal medesimo;
- Un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave;
- Una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
In ogni caso, l’incaricato deve adottare le necessarie cautele per assicurare la segretezza della parola chiave ricordando che le credenziali di autenticazione:
- Sono personali;
- Devono essere memorizzate;
- Non devono essere comunicate a nessuno;
- Non devono essere trascritte.
Con riferimento, inoltre, alla componente riservata delle credenziali di autenticazione (parola chiave o password), l’incaricato si impegna a rispettare i seguenti criteri:
- Non deve contenere nomi comuni;
- Non deve contenere nomi di persona;
- Deve contenere sia lettere che numeri;
- Deve comprendere almeno 3 caratteri alfabetici;
- Deve comprendere almeno 2 caratteri numerici;
- Deve essere diversa dallo User-Id;
- Deve essere lunga 8 caratteri o massimo consentito dal sistema di autenticazione;
- Non deve essere riconducibile all’incaricato;
- Deve essere modificata ogni sei mesi, oppure nel caso di trattamento di dati particolari (ex artt. 9 e 10 GDPR) ogni tre mesi.
MISURE DI SICUREZZA RELATIVE ALLE POSTAZIONI DI LAVORO
Una adeguata protezione dei luoghi di lavoro serve a garantire la sicurezza dei dati personali custoditi al loro interno. Per garantire questa sicurezza vanno adottate misure logistiche idonee ad assicurare la protezione di documenti, supporti informatici e apparecchiature rispetto al rischio di:
- Accesso fisico non autorizzato;
- Distruzione o perdita dei dati dovuta ad eventi fisici.
Protezione delle postazioni da accesso fisico non autorizzato
Per accesso fisico s’intende l’accesso ai locali in cui vi sono uno o più postazioni di lavoro dotate di
Le misure di sicurezza devono eliminare o ridurre il rischio di accesso fisico ai locali o intrusione da parte di persone non autorizzate. L’accesso fisico alla postazione di lavoro collegata in rete, da parte di estranei non identificati, rappresenta comunque un potenziale rischio per la sicurezza dei dati custoditi sul server della rete, anche se la persona non può conoscere le password.
Per evitare questo rischio, si devono adottare le seguenti misure di sicurezza:
Personale interno alla struttura:
- Le postazioni di lavoro sono accessibili solo da quanti ne hanno titolo e nei soli limiti in cui ciò sia funzionale allo svolgimento dei compiti della struttura o per lo svolgimento di attività di manutenzione, di pulizia e affini, nonché per altre attività comunque indispensabili;
- L’accesso fisico ai luoghi di lavoro è protetto tramite la presenza di citofono nonché tramite la chiusura delle vie di accesso;
Personale esterno alla struttura
- La persona esterna può accedere ai locali solo quando è presente qualche addetto;
- La persona esterna deve farsi riconoscere e seguire le regole stabilite dal responsabile per l’accesso del pubblico alla struttura.
Interventi di assistenza e manutenzione
Assistenza in remoto
Gli interventi di assistenza, installazione e aggiornamento dei software e, in generale, quelli volti a fronteggiare guasti o temporanei black-out nel funzionamento delle postazioni di lavoro, sono di norma effettuati da tramite il servizio di assistenza e amministrazione remota sui PC e sui server di rete senza la necessità dell’intervento di un tecnico informatico presso la postazione di lavoro. I rapporti fra il Titolare del Trattamento e chi effettua assistenza in remoto sono disciplinati da apposito contratto concernete la figura del Responsabile del Trattamento.
Assistenza con intervento locale del tecnico
Se invece sono necessari interventi di manutenzione sulla macchina o di assistenza, adeguamento, ecc. presso la postazione di lavoro, l’utente o il referente informatico o, in loro assenza, altro dipendente della struttura, assiste sempre alle operazioni di manutenzione. L’Azienda trattiene e conserva copia del rapporto di intervento rilasciato dalla ditta intervenuta in cui vengono indicati data e orario dell’intervento (inizio e fine), descrizione sintetica del tipo di intervento, nome e cognome del tecnico intervenuto e della ditta, firma del tecnico e dell’utente che assiste all’intervento.
Protezione dei dati dal rischio di distruzione o perdita a causa di eventi fisici
Al fine di ridurre al minimo i rischi di distruzione o perdita di dati, è consigliabile:
- Prediligere il lavoro sui dischi di rete, la cui protezione è assicurata dalle misure di sicurezza e di salvataggio automatico adottate per i server;
- In caso di utilizzo dei dischi installati fisicamente sul PC vanno effettuati periodici backup dei dati su supporti magnetici, da conservare secondo quanto disposto nell’apposito paragrafo.
Si ribadisce che, in quest’ultimo caso, la responsabilità di effettuare backup periodici è a carico del Titolare del Trattamento.
Oltre a quanto sopra, devono essere osservate le seguenti misure:
- L’accesso logico alle postazioni di lavoro è consentito attraverso l’utilizzo combinato di una parola chiave (password) e di un identificativo utente (user-id) che autentica l’utente sul server della rete;
- Evitare di rendere note le password;
- Evitare di trascrivere le password su supporti agevolmente accessibili da parte di terzi;
- Sostituire la password ad intervalli regolari;
- Rendere inaccessibile il sistema dalla propria postazione di lavoro ogni volta che si assenta;
- Impostare uno screen saver automatico protetto da password con tempo di attivazione inferiore ai 10 minuti di inattività della macchina;
- L’accesso logico alla posta elettronica, e ad altri programmi applicativi, deve essere protetto da parola chiave, associata o meno ad un user-id, nel caso di trattamento di dati sensibili;
- Proteggere i pc connessi in rete da un prodotto antivirus, installato e connesso ai sistemi server da aggiornarsi periodicamente.
Misure di sicurezza tecniche, informatiche e procedurali
Protezione da accessi logici non autorizzati
L’accesso logico alle postazioni di lavoro è consentito attraverso l’utilizzo combinato di una parola chiave (password) e di un identificativo utente (user-id) che autentica l’utente sul server della rete.
In assenza dell’autenticazione, la postazione non è immediatamente utilizzabile.
Per tutelare le postazioni di lavoro vengono osservate le seguenti misure di sicurezza:
- Evitare di rendere note le password.
- Evitare di trascrivere le password su supporti agevolmente accessibili da parte di terzi;
- Evitare di utilizzare codici di accesso di personale nel frattempo cessato, assente per lungo periodo o che è stato assegnato ad altra struttura o attività.
- Sostituire la password ad intervalli regolari;
- Rendere inaccessibile il sistema dalla propria postazione di lavoro ogni volta che si assenta;
- Impostare uno screen saver automatico protetto da password con tempo di attivazione inferiore ai 10 minuti di inattività della macchina;
- In caso di accesso alla rete da una postazione di lavoro non assegnatagli, usare il proprio identificativo utente e la propria password e non chiedere di utilizzare la password del collega.
Protezione da accessi logici, non autorizzati, agli applicativi
L’accesso logico alla posta elettronica e ad altri programmi applicativi è protetto da una parola chiave, associata o meno ad un user-id. Per quanto riguarda gli applicativi vengono osservate le seguenti disposizioni:
- Le applicazioni che trattano dati personali, sono protette con una specifica password di accesso all’applicazione stessa, oltre alla parola chiave di accesso al sistema;
- La password e l’eventuale codice identificativo sono strettamente personali.
Protezione dai virus
I PC connessi in rete sono protetti da un prodotto antivirus, installato e connesso ai sistemi server, con aggiornamento periodico automatico. Sui PC stand alone è invece necessario installare un prodotto antivirus ad hoc che, per risultare efficace nel tempo, dovrà essere aggiornato periodicamente secondo le modalità richieste dal prodotto stesso.
Protezione dai malintenzionati
La protezione in relazione alla possibile distruzione o perdita dati dovuta ad attacchi esterni da parte di malintenzionati, via Internet, è effettuata dal firewall.
Protezione dal rischio di perdita accidentale dei dati
Per i dati contenuti nei dischi di rete, viene effettuato un backup, programmato in automatico dal sistema server durante la notte. Per i dati contenuti nei dischi installati fisicamente sul PC (C:\ e D:\) ciascun operatore provvede a periodici backup dei dati su supporti magnetici e alla conservazione dei supporti stessi. La Società consiglia, comunque, di utilizzare i dischi del PC come sistema di memorizzazione dei dati solo quando non sono disponibili unità di rete, mentre la memorizzazione sulle unità di rete messe a disposizione dal server deve rappresentare la regola.
MISURE DI SICUREZZA RELATIVE ALL’UTILIZZO DELLA RETE WI-FI.
Al fine di evitare, e prevenire, comportamenti anomali e garantire un uso appropriato dello strumento, i log del traffico Internet (ora e data, ip del client, userid, indirizzo o url di destinazione e protocollo) utilizzati per la rete wi-fi sono registrati e conservati dal fornitore dei servizi informatici. I dati di traffico possono essere consultati esclusivamente durante le attività di verifica e controllo, per motivi di sicurezza interna, o su richiesta dell’Autorità Giudiziaria, ogni qual volta, l’avventore, anche solo in forma di tentativo compia la navigazione verso i siti che trattano argomenti illeciti; che trattano armi e armamenti in generale; che trattano materiale per adulti, nudità o comunque con contenuti legati al sesso; che trattano temi legati al razzismo, al fanatismo e all’estremismo o comunque con contenuto violento.
MISURE PER LA SALVAGUARDIA DI DATI MEMORIZZATI SU PC IN CASO DI DISMISSIONE E/O SOSTITUZIONE DEGLI STESSI
Sostituzione dell’hard disk
Nel caso di sostituzione del disco rigido della postazione di lavoro, da parte dei tecnici incaricati, il contenuto sarà cancellato mediante un processo che garantisce l’irrecuperabilità dei dati precedentemente memorizzati. Oppure, nel caso non se ne preveda il riutilizzo, l’hard disk verrà distrutto fisicamente.
Sulla base di quanto specificato, costituisce precisa responsabilità dell’utente assegnatario provvedere ad indicare, al tecnico incaricato, tutti i dati che devono essere copiati sul nuovo supporto affinché il medesimo possa provvedere al loro riversamento.
I dati non riversati non potranno in alcun modo essere recuperati.
MISURE DI SICUREZZA TRATTAMENTO DI DATI SU SUPPORTI NON INFORMATICI
Nel caso di trattamento dei dati effettuato con strumenti diversi da quelli elettronici o comunque automatizzati è necessario porre in essere misure organizzative al fine di ridurre al minimo i rischi di:
- Accesso fisico non autorizzato;
- Furto o manomissione dei dati da parte di malintenzionati;
- Distruzione o perdita dei dati dovuta ad eventi fisici;
- Perdita accidentale dei dati.
Le misure idonee ad evitare l’accesso fisico non autorizzato o la manomissione dei dati, da parte di
malintenzionati, sono le seguenti:
Dati personali comuni
I documenti contenenti dati personali comuni sono conservati in archivi ad accesso selezionato, con la conseguenza che l’accesso ai dati è consentito ai soli Incaricati e sub incaricati del trattamento.
I documenti possono essere estratti dall’archivio, e affidati alla custodia dei sub incaricati del trattamento, per il tempo strettamente necessario al trattamento medesimo. Gli stessi hanno cura di garantirne la riservatezza e di provvedere al deposito in archivio al termine delle operazioni.
La struttura che custodisce dati personali su supporto fisico, deve dotarsi di arredi (cassettiere, armadi ecc.) muniti di meccanismi di serratura adatta a garantire la sicurezza, da destinare ad archivio di documenti contenenti dati personali; solo così si possono avere garanzie di sicurezza.
Adempimenti relativi ai fornitori che possono venire a conoscenza di dati personali
Il Titolare del Trattamento, per garantire che il personale di ditte fornitrici esterne che si trovi ad intervenire presso la sede della Azienda operi nel rispetto delle vigenti disposizioni in materia di protezione dei dati personali:
- Si impegna a richiedere al fornitore esterno un idoneo rapporto di intervento, da redigere in modalità conforme alla vigente normativa, che dovrà essere controfirmato da un rappresentante del Settore oggetto dell’intervento;
- Si impegna a nominare Responsabili del Trattamento tutti quei soggetti che hanno accesso, al patrimonio informativo, a fini manutentivi e/o di trasporto, o più in generale per erogare il servizio oggetto di fornitura, o che, in ogni caso, trattino dati personali che ricadono sotto le competenze del Titolare del Trattamento. Qualora i soggetti interessati cessino di svolgere, definitivamente o comunque per un periodo superiore a sei mesi, le funzioni per le quali hanno ricevuto l’incarico, dovrà esserne data tempestiva comunicazione al Titolare del Trattamento, che provvederà a revocare i diritti di accesso ai locali e ai sistemi.
Protezione dal rischio di perdita dei dati dovuta ad eventi fisici
Un archivio è sottoposto al rischio di svariati tipi di eventi, che possono provocare la distruzione o il
danneggiamento dei documenti. Per ridurre al minimo questo rischio, le principali misure da prendere sono le seguenti:
- In sede di progettazione e di realizzazione di nuove strutture adibite a sede di uffici provinciali ovvero in sede di ristrutturazione degli edifici esistenti, va tenuta presente la necessità di collocare i locali adibiti ad archivio in luoghi sicuri, evitando ad esempio scantinati e piani seminterrati che sono a rischio di allagamenti;
- Nelle strutture devono essere presenti idonei dispositivi antincendio.
Misure per prevenire lo smarrimento accidentale dei documenti
Al fine di evitare lo smarrimento accidentale dei documenti, l’Incaricato e sub incaricato del trattamento deve aver cura di depositare i documenti negli appositi archivi non appena cessate le operazioni di trattamento.
MISURE ORGANIZZATIVE DI SICUREZZA PER LA PROTEZIONE DI DATI SENSIBILI E/O GIUDIZIARI.
Al fine di garantire la sicurezza dei dati sensibili o giudiziari contro l’accesso abusivo, il Titolare del trattamento definisce le seguenti specifiche, nel caso di trattamento con strumenti informatici:
- Individuare gli idonei strumenti elettronici per evitare il danneggiamento del sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento.
- Stabilire la frequenza con cui aggiornare i programmi per prevenire la vulnerabilità degli strumenti elettronici e correggerne difetti.
- Individuare come proteggere, mediante l’utilizzo di idonei strumenti elettronici, i dati sensibili o giudiziari contro l’accesso abusivo da parte di chiunque abusivamente si introduce nel sistema informatico o telematico.
Nel caso di trattamento con strumenti non informatici, l’accesso ai dati è limitato ai sub Incaricati debitamente autorizzati e al Titolare del trattamento.
L’accesso agli archivi contenenti tali dati è selezionato e controllato; i documenti contenenti dati personali sensibili e/ giudiziari sono conservati in elementi di arredo (armadi o cassettiere) muniti di serratura a chiave (o altro sistema che offra pari garanzie di sicurezza).
Vengono, inoltre, osservate le seguenti misure:
- La chiave è custodita da personale incaricato della custodia;
- La chiave deve essere riposta in un luogo non agevolmente accessibile da altri;
- L’archivio contenente tali dati viene aperto e chiuso dal personale custode delle chiavi;
- I soggetti ammessi all’archivio, dopo l’orario di servizio, devono essere identificati e registrati;
- I documenti, anche quando estratti dall’archivio per essere affidati ai sub Incaricati per uno specifico trattamento, devono essere comunque custoditi in arredi muniti di serratura e depositati in archivio al termine del trattamento; pertanto, quando il sub Incaricato abbandona la propria postazione di lavoro, i documenti devono essere riposti e conservati sotto chiave.
MISURE DI SICUREZZA REALTIVE ALLA VIDEOSORVEGLIANZA
I sistemi di videosorveglianza trattano dati personali, con la conseguenza che la videosorveglianza deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati, di quanto prescritto da altre disposizioni di legge da osservare in caso di installazione di apparecchi audiovisivi. Vanno richiamate al riguardo le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, di tutela della dignità, dell’immagine, del domicilio e degli altri luoghi cui è riconosciuta analoga tutela (toilette, stanze d’albergo, cabine, spogliatoi, ecc.). Vanno tenute presenti, inoltre, le norme riguardanti la tutela dei lavoratori, con particolare riferimento alla legge 300/1970 e ss.mm.ii. (Statuto dei lavoratori).
Il Titolare del Trattamento riconosce che la videosorveglianza è presente sul perimetro esterno al solo fine di garantire la sicurezza, preservare il patrimonio aziendale e prevenire atti illeciti.
Utilizzo delle immagini
Le immagini acquisite attraverso i dispositivi di videosorveglianza possono essere utilizzate esclusivamente dal Titolare del Trattamento per le finalità di cui sopra.
La richiesta di accesso alle immagini può essere presentata dall’interessato e/o da altro soggetto legittimato (autorità giudiziaria, forze dell’ordine) al Titolare del Trattamento che provvederà a dare le opportune autorizzazioni e impartire disposizioni alla ditta manutentrice dell’impianto, responsabile del recupero delle immagini, che potranno, se richiesto, essere riversate su apposito supporto informatico.
Nel caso di manutenzione dei dispositivi di videosorveglianza dovrà essere richiesto un idoneo rapporto di intervento, da redigere in modalità conforme alla vigente normativa, che dovrà essere controfirmato da un rappresentante del Settore oggetto dell’intervento.
Nella gestione dei sistemi di videosorveglianza, il Titolare del Trattamento si impegna a rispettare i seguenti principi:
- Limitazione delle modalità di ripresa delle immagini (memorizzazione, angolo visuale delle telecamere e limitazione della possibilità di ingrandimento dell’immagine), avendo attenzione alla individuazione del livello di dettaglio della ripresa dei tratti somatici delle persone, in ordine alla pertinenza e non eccedenza dei dati rispetto agli scopi perseguiti;
- Fornire, attraverso panelli o cartelli affissi in prossimità degli ingressi e visibili a chi vi accede, apposita informativa presenza degli impianti e delle finalità perseguite attraverso la videosorveglianza;
- Limitazione dei tempi di conservazione delle immagini (la conservazione deve essere limitata, al massimo, alle ventiquattrore successive alla rilevazione, fatte salve alcune specifiche ipotesi (festività o chiusura uffici; richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria).
- Individuazione dei soggetti legittimati ad accedere alle registrazioni;
- Indicazione del soggetto e della struttura cui l’interessato può rivolgersi e dei diritti che può esercitare.
REVISIONE
Il presente documento viene sottoposto a revisione annuale nella sua interezza o in presenza di modifiche sostanziali nell’organizzazione e nell’adozione delle misure di sicurezza fisica e logica.
A tal fine, il Titolare del Trattamento deve verificare:
- L’elenco dei trattamenti di dati personali effettuato durante l’anno precedente;
- I compiti e le responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
- I rischi che incombono sui dati;
- Le misure adottate per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
- I criteri e le modalità adottate per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
- Gli interventi formativi eseguiti nei confronti dei sub incaricati del trattamento;
- I criteri adottati per garantire la sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
- Nel caso di dati personali sensibili, i criteri adottati per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
Parma, lì 2 Agosto 2018……
Il Titolare del Trattamento
Catina Basi