decoration decoration decoration
decoration
leaf leaf leaf leaf leaf
decoration decoration

MISURE ORGANIZZATIVE IN MATERIA DI PRIVACY – Adeguamento GDPR 2018

 

La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale e particolarmente rilevante che richiede di bilanciare la necessità del Titolare del Trattamento di acquisire, e trattare, informazioni di persone fisiche in funzione dell’attuazione delle sue prestazioni professionali con gli interessi che caratterizzano l’attività di impresa.

Per bilanciare tali interessi la Direttiva europea 95/46/CE, prima, ed il Regolamento (UE) 2016/679 del 27 aprile 2016 dopo, hanno cercato di “contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”.

E’ utile ricordare come la tutela dei dati personali delle persone fisiche sia solo una faccia di una medaglia il cui rovescio è rappresentato dalle misure di sicurezza, ed in particolare dalle misure di sicurezza informatica, visto che ogni dato personale anche se conservato come documento cartaceo, viene quasi sempre preventivamente trattato con apparecchiature informatiche.

Il presente documento vuole essere uno strumento operativo, contente la precisazioni in ordine alle varie misure (organizzative, procedurali, tecniche e logistiche) da applicare, da parte del Titolare del Trattamento, dell’incaricato e dei sub incaricati, per garantire il richiesto livello di sicurezza dei trattamenti effettuati dal B&B La Locanda nel Vento e dal suo Incaricato, Dott.ssa Basi Catina, conformemente a quanto previsto dal Regolamento (UE) 2016/679 del 27 aprile 2016.

Scopo del presente Documento programmatico sulla sicurezza è, pertanto, quello di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, intendendosi per misure di sicurezza il complesso degli accorgimenti tecnici, informatici, organizzativi, logistici e procedurali di sicurezza.

CAMPO DI APPLICAZIONE

Il presente Documento definisce le politiche e gli standard di sicurezza in merito al trattamento dei dati personali, trattati e raccolti per mezzo di:

Il presente documento deve, inoltre, essere conosciuto ed applicato da tutte le funzioni che fanno parte dell’organizzazione.

 

DEFINIZIONI

Trattamento

Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Dato personale

Qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Il Regolamento UE n. 679/2016 individua, tra i dati personali, le seguenti categorie: dati comuni o di contatto, categorie particolari di dati personali (art. 9), dati giudiziari (art. 10), dati biometrici, dati genetici, dati relativi alla salute.

Questa classificazione è stabilita in funzione del diverso livello di riservatezza intrinseco che caratterizza le varie tipologie di dati, delle diverse precauzioni che la legge richiede per il loro utilizzo, per la loro custodia e per il loro trattamento e della oggettiva diversa pericolosità per l’individuo, derivante da un eventuale illecito trattamento.

Dati comuni o di contatto: Si tratta di dati personali come nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Categorie particolari di dati personali ex art. 9 del Regolamento UE n. 679/2016

Si tratta di dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. La predetta elencazione è tassativa ed alla tutela della sicurezza di tali dati sensibili sono imposte misure particolarmente rigide sia per quanto riguarda i presupposti di legittimazione del trattamento, della comunicazione e della diffusione, sia con riferimento alle misure tecniche, organizzative e logistiche da adottare per il loro trattamento e per la loro conservazione.

Dati giudiziari ex art. 10 del Regolamento UE n. 679/2016

Sono i dati personali, idonei a rivelare i provvedimenti penali di cui al D.P.R. n. 313/2002, (casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti), o la qualità di imputato o indagato (artt. 60 e 61 c.p.p.).

In particolare, sono dati giudiziari:

  1. I provvedimenti giudiziari penali di condanna definitivi, anche pronunciati da autorità giudiziarie straniere se riconosciuti ai sensi degli articoli 730 e seguenti del codice di procedura penale, salvo quelli concernenti contravvenzioni per le quali la legge ammette la definizione in via amministrativa, o l’oblazione limitatamente alle ipotesi di cui all’articolo 162 del codice penale, sempre che per quelli esclusi non sia stata concessa la sospensione condizionale della pena;
  2. I provvedimenti giudiziari definitivi concernenti le pene, compresa la sospensione condizionale e la non menzione, le misure di sicurezza personali e patrimoniali, gli effetti penali della condanna, l’amnistia, l’indulto, la grazia, la dichiarazione di abitualità, di professionalità nel reato, di tendenza a delinquere;
  3. I provvedimenti giudiziari concernenti le pene accessorie;
  4. I provvedimenti giudiziari concernenti le misure alternative alla detenzione;
  5. I provvedimenti giudiziari concernenti la liberazione condizionale;
  6. I provvedimenti giudiziari definitivi che hanno prosciolto l’imputato o dichiarato non luogo a procedere per difetto di imputabilità, o disposto una misura di sicurezza;
  7. I provvedimenti giudiziari definitivi di condanna alle sanzioni sostitutive e i provvedimenti di conversione di cui all’articolo 66, terzo comma, e all’articolo 108, terzo comma, della legge 24 novembre 1981, n. 689;
  8. I provvedimenti giudiziari del pubblico ministero previsti dagli articoli 656, comma 5, 657 e 663 del codice di procedura penale;
  9. I provvedimenti giudiziari di conversione delle pene pecuniarie;
  10. I provvedimenti giudiziari definitivi concernenti le misure di prevenzione della sorveglianza speciale semplice o con divieto o obbligo di soggiorno;
  11. I provvedimenti giudiziari concernenti la riabilitazione;
  12. I provvedimenti giudiziari di riabilitazione, di cui all’articolo 15 della legge 3 agosto 1988, n. 327
  13. I provvedimenti giudiziari di riabilitazione speciale relativi ai minori, di cui all’articolo 24 della legge 27 maggio 1935, n. 835;
  14. I provvedimenti giudiziari relativi all’espulsione a titolo di sanzione sostitutiva o alternativa alla detenzione, ai sensi dell’articolo 16 del decreto legislativo 25 luglio 1998, n. 286, come sostituito dall’art. 15 della legge 30 luglio 2002, n. 189;
  15. I provvedimenti amministrativi di espulsione e i provvedimenti giudiziari che decidono il ricorso avverso i primi, ai sensi dell’articolo 13 del decreto legislativo 25 luglio 1998, n. 286, come modificato dall’art. 12 della legge 30 luglio 2002, n. 189;
  16. I provvedimenti di correzione, a norma di legge, dei provvedimenti già iscritti;
  17. Qualsiasi altro provvedimento che concerne a norma di legge i provvedimenti già iscritti, come individuato con decreto del Presidente della Repubblica, ai sensi dell’articolo 17, comma 1, della legge 23 agosto 1988, n. 400, su proposta del Ministro della giustizia.

Non si considerano dati giudiziari le sentenze dichiarative di fallimento; il decreto di chiusura del fallimento; il decreto di omologazione del concordato fallimentare e delle sentenze di interdizione, inabilitazione e revoca, poiché, in queste ipotesi, prevale l’esigenza di pubblicità rispetto alla tutela della riservatezza.

Anche tali dati sono tutelati, sotto il profilo della sicurezza, con apposite misure organizzative e gestionali.

Dati genetici: si tratta di i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.

Dati biometrici: si tratta di dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

Dati relativi alla salute: si tratta di dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Anche tali dati sono tutelati, sotto il profilo della sicurezza, con apposite misure organizzative e gestionali.

Titolare

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Sub Incaricati

Le persone fisiche autorizzate a compiere operazioni di trattamento in forza delle istruzioni fornite dal titolare o dal responsabile.

Interessato

La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.

Responsabile del trattamento

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Comunicazione e diffusione

La comunicazione è un’operazione del trattamento che consiste nel portare i dati personali a conoscenza di uno o più soggetti determinati (identificabili in modo univoco e determinato), diversi dall’interessato cui i dati stessi si riferiscono, in qualunque forma, anche mediante la loro messa a disposizione per la consultazione.

La diffusione è un’operazione del trattamento che consiste nel portare dati personali a conoscenza di soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione per la consultazione.

Banca dati

Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti. È qualsiasi insieme di dati personali organizzati in modo da renderne possibile o agevole la consultazione e il trattamento. Non è da considerare tale, pertanto, la sola “raccolta” informatizzata, bensì tutte le raccolte di dati personali, a prescindere dallo strumento usato per il trattamento dei dati, comprendendo anche strumenti di archiviazione quali i supporti audiovisivi, ottici, fotografici e le “raccolte” cartacee. Ai fini dell’applicazione delle misure di sicurezza, sono rilevanti non solo le banche dati ufficiali, ma anche le semplici raccolte di dati personali finalizzate all’ordinaria gestione dell’attività amministrativa.

Strumenti elettronici

Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

Credenziali di autenticazione

I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica.

Parola chiave

Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.

FINALITA’ DEL REGOLAMENTO UE N. 679/2016

Il regolamento n. 679/2016 stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati, con il fine specifico di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali e la libera circolazione dei dati personali nell’Unione Europea.

Il Regolamento n. 679/2016, pertanto, disciplina il trattamento dei dati personali, al fine di garantire che si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali, qualificando come inviolabili e fondamentali:

il diritto alla riservatezza, vale a dire il diritto che ognuno può esercitare per mantenere libera, da ingerenze esterne, la propria vita privata.

il diritto all’identità personale, che è il diritto che ogni individuo può esercitare per utilizzare, in esclusiva, il proprio nome e altri elementi identificativi della propria persona.

Infine, la sopra citata disposizione di legge impone come passaggio obbligatorio prima della stesura delle misure organizzative, procedurali e logistiche in materia di privacy, un’analisi dei rischi che possono coinvolgere il Titolare del trattamento.

AREE A RISCHIO

Le aree ritenute più specificamente a rischio risultano essere, le seguenti:

  1. Tutte le attività svolte tramite l’utilizzo dei Sistemi Informativi aziendali, del servizio di posta elettronica e dell’accesso ad Internet, ivi compreso l’utilizzo della rete Wi-fi;
  2. La gestione dei Sistemi Informativi aziendali al fine di assicurarne il funzionamento e la manutenzione, l’evoluzione della piattaforma tecnologica e applicativa IT, nonché la Sicurezza Informatica;
  3. La gestione dei flussi informativi elettronici con la pubblica amministrazione;
  4. L’utilizzo di software e banche dati;
  5. La Gestione dei contenuti del sito Internet del B&B La Locanda nel Vento;
  6. L’utilizzo e la gestione della Videosorveglianza.

Eventuali integrazioni delle Aree a Rischio potranno essere disposte dall’Incaricato del Trattamento, Dott.ssa Basi Catina, alla quale viene dato mandato di individuare le relative ipotesi e di definire gli opportuni provvedimenti operativi.

 

RUOLI, COMPITI E NOMINA DELLE FIGURE PREVISTE PER LA SICUREZZA DEI DATI

Nell’ambito della Azienda l’applicazione delle norme in materia di protezione dei dati personali comporta attribuzione di compiti e responsabilità in capo alle seguenti figure:

Il Titolare del Trattamento secondo la definizione fornita dall’art. 4, n. 7, del Regolamento n. 679/2016 è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

Spetta al Titolare del Trattamento:

Di fronte a qualsiasi trattamento, il Titolare del trattamento deve:

 

Incaricato del Trattamento è colui che procede materialmente al trattamento, nel caso di specie la Dott.ssa Basi Catina, con funzioni di vigilanza, anche tramite verifiche periodiche, sulla puntuale osservanza delle disposizioni in materia di privacy.

L’Incaricato del Trattamento deve, in via generale, provvedere ai seguenti adempimenti:

Il Responsabile del Trattamento dei Dati, è definito dall’art. 4 del Regolamento Europeo n. 679/2016 “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Gli adempimenti cui è tenuto il Responsabile del Trattamento dei Dati relativamente al trattamento dei dati per conto del B&B La Locanda nel Vento, sono dettagliati nel relativo contratto.

MISURE DI SICUREZZA IN GENERALE

Le misure di sicurezza sono costituite dal complesso delle misure organizzative, tecniche, informatiche, logistiche e procedurali volte a ridurre, al minimo, i rischi di: distruzione o perdita, modifica anche accidentale o illegale dei dati, accesso non autorizzato; trattamento non consentito o non conforme alle finalità della raccolta, modifica dei dati in conseguenza di interventi non autorizzati o non conformi alla regole.

Va sottolineato come l’articolo 32 del Regolamento n. 679/2016 non faccia differenza tra violazione della riservatezza dei dati personali propriamente detta – quale si avrebbe ad esempio nel caso di accesso a dati sensibili da parte di terzi non autorizzati – e distruzione o perdita accidentale di dati già legittimamente raccolti e trattati.

La mancata custodia dei dati è comunque causa di un danno, e il responsabile del pregiudizio è sanzionato. Dalla distruzione o dalla perdita dei dati, infatti, derivano varie conseguenze, tutte connotate da evidente gravità: ad esempio, il blocco delle attività, costi gestionali imprevisti, danno di immagine.

Per i motivi esposti, il soggetto che non adotta le misure di sicurezza è sanzionato penalmente ma se, in aggiunta, non ha adottato misure adeguate, può anche essere chiamato a rispondere, in sede civile, di risarcimento dei danni provocati.

Ai sensi dell’art. 32 del Regolamento n. 679/2016 le misure di sicurezza che devono essere adottate, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, devono essere:

Le conseguenze della mancata adozione di misure minime di sicurezza possono quindi essere le seguenti:

Al fine di evitare le descritte sanzioni e responsabilità, il Titolare del Trattamento:

 

MISURE COMUNI A TUTTI I TIPI DI TRATTAMENTO

Ogni trattamento, a prescindere dalle modalità, all’interno della Azienda si svolge nel rispetto delle seguenti indicazioni:

I dati, inoltre, vengo:

 

Ai fini della sicurezza dei dati personali, le riproduzioni di documenti equivalgono ai documenti stessi e, pertanto, vengono gestiti con le medesime cautele e, qualunque prodotto dell’elaborazione di dati personali, ancorché non costituente documento definitivo (appunti, stampe interrotte, stampe di prova, elaborazioni temporanee ecc.), viene trattato con le stesse cautele che sarebbero riservate alla versione definitiva.

Infine, in presenza di ospiti o personale di servizio si procede a:

 

Quando, per l’espletamento di compiti di servizio e per altre attività, è necessario consentire l’accesso a personale esterno, vanno osservate le seguenti misure:

 

MISURE DI SICUREZZA RELATIVE ALLA SICUREZZA DEI PC

La procedura di accesso logico alla rete ed ai p.c. prevede l’utilizzo di un identificativo utente (user-id) e di una password. In questo modo solo l’operatore a conoscenza di tali identificativi può:

Misure di sicurezza informatiche

In base alla configurazione appena descritta viene privilegiata la memorizzazione dei dati attraverso l’utilizzo delle risorse di rete evitando l’uso delle unità logiche presenti fisicamente sul PC (dischi fissi/locali C e D). Nel caso di unità logiche/dischi installati fisicamente sul PC, altrimenti detti dischi fissi o locali, la sicurezza dei dati e la loro conservazione, viene garantita attraverso un accorto utilizzo del computer e un salvataggio coscienzioso dei dati. Nel caso di unità di rete individuale, l’accesso è consentito solo all’utente che si è correttamente autenticato all’atto di accedere al PC locale collegato in rete.

I PC in dotazione al Titolare del trattamento sono, inoltre, protetti contro i virus tramite l’installazione e la manutenzione di un software antivirus con aggiornamento periodico automatico oltre che attacchi esterni di malintenzionati attraverso sistemi firewall.

 

MISURE DI SICUREZZA RELATIVE AI SISTEMI DI AUTENTICAZIONE.

Nel caso in cui il trattamento di dati personali è effettuato con strumenti elettronici, il Titolare del Trattamento assicura che il trattamento avvenga solo dopo il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

Le credenziali di autenticazione possono essere le seguenti:

In ogni caso, l’incaricato deve adottare le necessarie cautele per assicurare la segretezza della parola chiave ricordando che le credenziali di autenticazione:

Con riferimento, inoltre, alla componente riservata delle credenziali di autenticazione (parola chiave o password), l’incaricato si impegna a rispettare i seguenti criteri:

MISURE DI SICUREZZA RELATIVE ALLE POSTAZIONI DI LAVORO

Una adeguata protezione dei luoghi di lavoro serve a garantire la sicurezza dei dati personali custoditi al loro interno. Per garantire questa sicurezza vanno adottate misure logistiche idonee ad assicurare la protezione di documenti, supporti informatici e apparecchiature rispetto al rischio di:

Protezione delle postazioni da accesso fisico non autorizzato

Per accesso fisico s’intende l’accesso ai locali in cui vi sono uno o più postazioni di lavoro dotate di

Le misure di sicurezza devono eliminare o ridurre il rischio di accesso fisico ai locali o intrusione da parte di persone non autorizzate. L’accesso fisico alla postazione di lavoro collegata in rete, da parte di estranei non identificati, rappresenta comunque un potenziale rischio per la sicurezza dei dati custoditi sul server della rete, anche se la persona non può conoscere le password.

Per evitare questo rischio, si devono adottare le seguenti misure di sicurezza:

Personale interno alla struttura:

Personale esterno alla struttura

Interventi di assistenza e manutenzione

Assistenza in remoto

Gli interventi di assistenza, installazione e aggiornamento dei software e, in generale, quelli volti a fronteggiare guasti o temporanei black-out nel funzionamento delle postazioni di lavoro, sono di norma effettuati da tramite il servizio di assistenza e amministrazione remota sui PC e sui server di rete senza la necessità dell’intervento di un tecnico informatico presso la postazione di lavoro. I rapporti fra il Titolare del Trattamento e chi effettua assistenza in remoto sono disciplinati da apposito contratto concernete la figura del Responsabile del Trattamento.

Assistenza con intervento locale del tecnico

Se invece sono necessari interventi di manutenzione sulla macchina o di assistenza, adeguamento, ecc. presso la postazione di lavoro, l’utente o il referente informatico o, in loro assenza, altro dipendente della struttura, assiste sempre alle operazioni di manutenzione. L’Azienda trattiene e conserva copia del rapporto di intervento rilasciato dalla ditta intervenuta in cui vengono indicati data e orario dell’intervento (inizio e fine), descrizione sintetica del tipo di intervento, nome e cognome del tecnico intervenuto e della ditta, firma del tecnico e dell’utente che assiste all’intervento.

Protezione dei dati dal rischio di distruzione o perdita a causa di eventi fisici

Al fine di ridurre al minimo i rischi di distruzione o perdita di dati, è consigliabile:

Si ribadisce che, in quest’ultimo caso, la responsabilità di effettuare backup periodici è a carico del Titolare del Trattamento.

Oltre a quanto sopra, devono essere osservate le seguenti misure:

Misure di sicurezza tecniche, informatiche e procedurali

Protezione da accessi logici non autorizzati

L’accesso logico alle postazioni di lavoro è consentito attraverso l’utilizzo combinato di una parola chiave (password) e di un identificativo utente (user-id) che autentica l’utente sul server della rete.

In assenza dell’autenticazione, la postazione non è immediatamente utilizzabile.

Per tutelare le postazioni di lavoro vengono osservate le seguenti misure di sicurezza:

Protezione da accessi logici, non autorizzati, agli applicativi

L’accesso logico alla posta elettronica e ad altri programmi applicativi è protetto da una parola chiave, associata o meno ad un user-id. Per quanto riguarda gli applicativi vengono osservate le seguenti disposizioni:

Protezione dai virus

I PC connessi in rete sono protetti da un prodotto antivirus, installato e connesso ai sistemi server, con aggiornamento periodico automatico. Sui PC stand alone è invece necessario installare un prodotto antivirus ad hoc che, per risultare efficace nel tempo, dovrà essere aggiornato periodicamente secondo le modalità richieste dal prodotto stesso.

Protezione dai malintenzionati

La protezione in relazione alla possibile distruzione o perdita dati dovuta ad attacchi esterni da parte di malintenzionati, via Internet, è effettuata dal firewall.

Protezione dal rischio di perdita accidentale dei dati

Per i dati contenuti nei dischi di rete, viene effettuato un backup, programmato in automatico dal sistema server durante la notte. Per i dati contenuti nei dischi installati fisicamente sul PC (C:\ e D:\) ciascun operatore provvede a periodici backup dei dati su supporti magnetici e alla conservazione dei supporti stessi. La Società consiglia, comunque, di utilizzare i dischi del PC come sistema di memorizzazione dei dati solo quando non sono disponibili unità di rete, mentre la memorizzazione sulle unità di rete messe a disposizione dal server deve rappresentare la regola.

 

MISURE DI SICUREZZA RELATIVE ALL’UTILIZZO DELLA RETE WI-FI.

Al fine di evitare, e prevenire, comportamenti anomali e garantire un uso appropriato dello strumento, i log del traffico Internet (ora e data, ip del client, userid, indirizzo o url di destinazione e protocollo) utilizzati per la rete wi-fi sono registrati e conservati dal fornitore dei servizi informatici. I dati di traffico possono essere consultati esclusivamente durante le attività di verifica e controllo, per motivi di sicurezza interna, o su richiesta dell’Autorità Giudiziaria, ogni qual volta, l’avventore, anche solo in forma di tentativo compia la navigazione verso i siti che trattano argomenti illeciti; che trattano armi e armamenti in generale; che trattano materiale per adulti, nudità o comunque con contenuti legati al sesso; che trattano temi legati al razzismo, al fanatismo e all’estremismo o comunque con contenuto violento.

 

MISURE PER LA SALVAGUARDIA DI DATI MEMORIZZATI SU PC IN CASO DI DISMISSIONE E/O SOSTITUZIONE DEGLI STESSI

Sostituzione dell’hard disk

Nel caso di sostituzione del disco rigido della postazione di lavoro, da parte dei tecnici incaricati, il contenuto sarà cancellato mediante un processo che garantisce l’irrecuperabilità dei dati precedentemente memorizzati. Oppure, nel caso non se ne preveda il riutilizzo, l’hard disk verrà distrutto fisicamente.

Sulla base di quanto specificato, costituisce precisa responsabilità dell’utente assegnatario provvedere ad indicare, al tecnico incaricato, tutti i dati che devono essere copiati sul nuovo supporto affinché il medesimo possa provvedere al loro riversamento.

I dati non riversati non potranno in alcun modo essere recuperati.

 

MISURE DI SICUREZZA TRATTAMENTO DI DATI SU SUPPORTI NON INFORMATICI

Nel caso di trattamento dei dati effettuato con strumenti diversi da quelli elettronici o comunque automatizzati è necessario porre in essere misure organizzative al fine di ridurre al minimo i rischi di:

Le misure idonee ad evitare l’accesso fisico non autorizzato o la manomissione dei dati, da parte di

malintenzionati, sono le seguenti:

Dati personali comuni

I documenti contenenti dati personali comuni sono conservati in archivi ad accesso selezionato, con la conseguenza che l’accesso ai dati è consentito ai soli Incaricati e sub incaricati del trattamento.

I documenti possono essere estratti dall’archivio, e affidati alla custodia dei sub incaricati del trattamento, per il tempo strettamente necessario al trattamento medesimo. Gli stessi hanno cura di garantirne la riservatezza e di provvedere al deposito in archivio al termine delle operazioni.

La struttura che custodisce dati personali su supporto fisico, deve dotarsi di arredi (cassettiere, armadi ecc.) muniti di meccanismi di serratura adatta a garantire la sicurezza, da destinare ad archivio di documenti contenenti dati personali; solo così si possono avere garanzie di sicurezza.

Adempimenti relativi ai fornitori che possono venire a conoscenza di dati personali

Il Titolare del Trattamento, per garantire che il personale di ditte fornitrici esterne che si trovi ad intervenire presso la sede della Azienda operi nel rispetto delle vigenti disposizioni in materia di protezione dei dati personali:

 

Protezione dal rischio di perdita dei dati dovuta ad eventi fisici

Un archivio è sottoposto al rischio di svariati tipi di eventi, che possono provocare la distruzione o il

danneggiamento dei documenti. Per ridurre al minimo questo rischio, le principali misure da prendere sono le seguenti:

Misure per prevenire lo smarrimento accidentale dei documenti

Al fine di evitare lo smarrimento accidentale dei documenti, l’Incaricato e sub incaricato del trattamento deve aver cura di depositare i documenti negli appositi archivi non appena cessate le operazioni di trattamento.

MISURE ORGANIZZATIVE DI SICUREZZA PER LA PROTEZIONE DI DATI SENSIBILI E/O GIUDIZIARI.

Al fine di garantire la sicurezza dei dati sensibili o giudiziari contro l’accesso abusivo, il Titolare del trattamento definisce le seguenti specifiche, nel caso di trattamento con strumenti informatici:

Nel caso di trattamento con strumenti non informatici, l’accesso ai dati è limitato ai sub Incaricati debitamente autorizzati e al Titolare del trattamento.

L’accesso agli archivi contenenti tali dati è selezionato e controllato; i documenti contenenti dati personali sensibili e/ giudiziari sono conservati in elementi di arredo (armadi o cassettiere) muniti di serratura a chiave (o altro sistema che offra pari garanzie di sicurezza).

Vengono, inoltre, osservate le seguenti misure:

 

MISURE DI SICUREZZA REALTIVE ALLA VIDEOSORVEGLIANZA

I sistemi di videosorveglianza trattano dati personali, con la conseguenza che la videosorveglianza deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati, di quanto prescritto da altre disposizioni di legge da osservare in caso di installazione di apparecchi audiovisivi. Vanno richiamate al riguardo le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, di tutela della dignità, dell’immagine, del domicilio e degli altri luoghi cui è riconosciuta analoga tutela (toilette, stanze d’albergo, cabine, spogliatoi, ecc.). Vanno tenute presenti, inoltre, le norme riguardanti la tutela dei lavoratori, con particolare riferimento alla legge 300/1970 e ss.mm.ii. (Statuto dei lavoratori).

Il Titolare del Trattamento riconosce che la videosorveglianza è presente sul perimetro esterno al solo fine di garantire la sicurezza, preservare il patrimonio aziendale e prevenire atti illeciti.

Utilizzo delle immagini

Le immagini acquisite attraverso i dispositivi di videosorveglianza possono essere utilizzate esclusivamente dal Titolare del Trattamento per le finalità di cui sopra.

La richiesta di accesso alle immagini può essere presentata dall’interessato e/o da altro soggetto legittimato (autorità giudiziaria, forze dell’ordine) al Titolare del Trattamento che provvederà a dare le opportune autorizzazioni e impartire disposizioni alla ditta manutentrice dell’impianto, responsabile del recupero delle immagini, che potranno, se richiesto, essere riversate su apposito supporto informatico.

Nel caso di manutenzione dei dispositivi di videosorveglianza dovrà essere richiesto un idoneo rapporto di intervento, da redigere in modalità conforme alla vigente normativa, che dovrà essere controfirmato da un rappresentante del Settore oggetto dell’intervento.

Nella gestione dei sistemi di videosorveglianza, il Titolare del Trattamento si impegna a rispettare i seguenti principi:

 

REVISIONE

Il presente documento viene sottoposto a revisione annuale nella sua interezza o in presenza di modifiche sostanziali nell’organizzazione e nell’adozione delle misure di sicurezza fisica e logica.

A tal fine, il Titolare del Trattamento deve verificare:

 

 

 

Parma, lì 2 Agosto 2018……

 

Il Titolare del Trattamento

Catina Basi

loading
×