documento programmatico sulla sicurezza sicurezza

Transcript

DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
22/03/2011
O.P. L e G. VANNI Azienda Pubblica di Servizi alla
Persona
Indirizzo:
via Vanni, 23
Comune:
50023 Impruneta (FI)
Telefono:
055 231111
TeleFax:
055 2311157
Partita IVA:
01119200481
Codice Fiscale:
01119200481
Capitale Sociale:
e-mail:
p.e.c.:
web:
€uro 0
[email protected]
[email protected]
www.operapiavanni.it
Redatto in base all'art. 34, comma 1, lettera g) del D.Lgs. 196/2003 e alle disposizioni del punto 19 dell'allegato
"B" del "Disciplinare tecnico in materia di misure minime di sicurezza" del Codice in materia di dati personali
(D.Lgs.196/2003)
(Gazzetta Ufficiale 29 luglio 2003, Serie Generale n. 174; supplemento ordinario n. 123/L)
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
22/03/11
Sommario
Sommario del Documento Programmatico sulla Sicurezza
Prefazione
Attività dell'azienda
Cronologia degli aggiornamenti
Organigramma
Definizione dei dati
Analisi preventiva alla redazione del documento
Presupposti per il trattamento dei dati
Flussi del trattamento dei dati
Autorizzazione del Garante al trattamento dei dati sensibili
Regolamento per l'utilizzo strumenti elettronici
Regolamento per il trattamento dei dati
Regolamento per l'utilizzo del sistema di video sorveglianza
Analisi della tipologia dei dati
Archivi dei dati informatici
Archivi dei dati cartacei
Responsabile del trattamento dati
Istruzioni per il responsabile del trattamento
Valutazioni per la nomina dell'Amministratore di sistema
Custode delle password
Istruzioni per password e postazione di lavoro
Istruzioni agli Incaricati
Dipendenti incaricati al trattamento dati
Soci e collaboratori incaricati al trattamento dati
Nomine particolari
Individuazione e valutazione dei rischi
Analisi rischi che incombono sui dati
Misure attuate per la prevenzione dei rischi
Scheda analitica delle misure attuate per l'eliminazione dei rischi
Scheda analitica delle misure di prevenzione attuate
Verifiche interne sull'attuazione ed obblighi
Misure da attuare per la prevenzione dei rischi
Criteri e modalità del salvataggio dei dati
Criteri di ripristino dei dati
Archivio e gestione dei documenti cartacei
Formazione del personale
Comunicazione all'esterno dei dati
Affidamento all'esterno dei dati personali
Verifiche sull'affidamento all'esterno dei dati personali
Accessibilità dall'esterno ai dati
Incaricati Interni che accedono ai dati dall'esterno
Affidamento all'interno dei dati ad operatori esterni alla struttura
Acquisizione dei requisiti di conformità al disciplinare tecnico
Analisi del sito web
Consegna del documento programmatico sulla sicurezza
Appendice "A" art. 34 del D.Lgs 196 del 30/06/2003
Appendice "B" Disciplinare Tecnico "Allegato B"
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
pag.
1
2
3
4
5
8
9
10
11
13
21
25
29
31
38
45
55
56
57
58
59
60
61
74
76
77
78
80
81
82
83
84
85
86
88
89
93
94
96
97
99
100
101
102
103
104
105
Indice del Documento Programmatico sulla Sicurezza
pagina 1
22/03/11
Prefazione
Il Documento Programmatico sulla Sicurezza dei dati personali – in breve “DPS” – rappresenta la carta d’identità con la
quale l'azienda può dimostrare di avere adottato le misure minime di sicurezza organizzativa, fisica, logica e
tecnologica per garantire la corretta tutela dei dati personali raccolti, trattati e conservati.
Scopo del presente documento è stabilire le misure di sicurezza organizzative, fisiche, logiche e tecnologiche da adottare
affinché siano rispettati gli obblighi, in materia di sicurezza, previsti dal decreto legislativo 30 giugno 2003, n. 196 Codice
in materia di protezione dei dati personali – in breve definito “Codice” ed in particolare dal “Disciplinare tecnico”, di cui
all’all. B, art. 19 e ss. Il Codice sostituisce e perfeziona lo spirito della vecchia legge 31 dicembre 1996 n. 675 ora
abrogata (art. 183), introducendo nuove e più efficaci forme di tutela del “dato” personale, che costituisce patrimonio
della persona fisica e, o giuridica.
Il Documento programmatico sulla sicurezza è disciplinato dall’art. 34 del nuovo testo unico sulla privacy. Deve essere
redatto entro il 31 marzo di ogni anno e dell’avvenuta redazione o aggiornamento deve essere fatto riferimento
nella relazione accompagnatoria al bilancio d’esercizio.
Il DPS contiene in forma programmatica:
• l’elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento;
• l’analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
• la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati,
delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più
rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento
dei dati;
• la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di
dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
• dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché dati personali idonei a rivelare lo stato di salute e la vita sessuale l’individuazione dei criteri da
adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
L'ambito di validità e di osservanza delle regole contenute nel presente documento è l'azienda , nel ruolo di
Titolare del trattamento dei dati ai sensi della legge.
Per le applicazioni informatiche specificatamente sviluppate dai produttori, ci si deve attenere, oltre a quanto previsto
dal presente documento, anche alle regole contenute nel Documento programmatico predisposto dai produttori stessi.
Si tenga presente che molti dei dati gestiti nel sistema informatico hanno valore probatorio (es. contabilità) e pertanto
devono opportunamente essere protetti, soprattutto per quanto riguarda la loro integrità, anche indipendentemente
dagli obblighi derivanti dalla legge sulla privacy.
Nel seguito i termini “Titolare”, “Responsabile”, “Incaricato”, “Trattamento” e “Dato personale” sono usati in conformità
alle definizioni previste dal Codice
Il presente documento è valido per un periodo massimo di un anno. Trascorso tale termine deve essere oggetto di
revisione per adeguarlo ad eventuali variazioni del livello di rischio a cui sono soggetti i dati personali e ad eventuali
modifiche della tecnologia informatica e, infine, alla variazione del panorama normativo.
Donetta Verniani
Prefazione al Documento Programmatico sulla Sicurezza
pagina 2
22/03/11
Attività dell'azienda
Attività Assistenza agli anziani
Inizio attività
Atecori
2007
Sede Legale: via Vanni, 23 50023 Impruneta (FI)
Sede Operativa: via Vanni, 23 50023 Impruneta (FI)
Sedi Secondarie:
Analisi della attività svolta
Informatico Cartaceo
pagina 3
22/03/11
Redazione ed aggiornamento periodico del D.P.S.
DATA
DOCUMENTO PROGRAMMATICO
30/03/2006
Prima redazione del documento programmatico di sicurezza
23/03/2007
Redazione del Documento programmatico di sicurezza
31/03/2008
30/03/2009
Aggiornamento del Documento programmatico di sicurezza
07/01/2010
22/12/2010
Aggiornamento del Documento programmatico di sicurezza
22/03/2011
Note: Modalità di aggiornamento del documento programmatico per la sicurezza:
Il titolare del trattamento dei dati è il soggetto preposto all’aggiornamento e alla custodia
del documento programmatico per la sicurezza.
In ogni caso ogni anno entro il 31 marzo di ogni anno, il titolare del trattamento dovrà
procedere alla completa revisione del documento in oggetto.
Elenco dei D.P.S.redatti ed degli aggiornamenti
pagina 4
22/03/11
dell'azienda
Struttura organizzativa dell'azienda
In ottemperanza agli obblighi del Testo Unico sulla privacy (D.Lgs. 196/2003) è stata definita e resa
operativa in questa data la seguente struttura per la gestione della privacy
Titolare del trattamento dati
O.P. L e G. VANNI Azienda Pubblica di Servizi alla Persona
Responsabile del trattamento dati
Donetta Verniani
protezione logica e fisica dei dati
Amministratore del Sistema
Custode delle password
archiviazione e protezione
Donetta Verniani
Incaricati del Trattamento dati
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Daniela Arena
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Collaboratori servizi assistenziali
Addetto Assistenza Anziani
Francesca Pajer
Organigramma
Ufficio Direzione
Ufficio Relazioni Pubblico
Ufficio Personale
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Servizi Assistenziali
Assistenza Anziani
Servizi Tecnici
pagina 5
22/03/11
Soci operativi e collaboratori
soci operativi e collaboratori
Marcella Boccherini
Meini Sabrina
Biagio Monte
Vincenzo Lotti
Lina Beligni
Pietro Madaluni
Tiberio Daddi
Alicja Teresa Igor Szymanik
Mounir Belghit
Elisa Silvestri
Alina Ramona Barnea
Francesco Chellini
Alessandro Bonini
Katherine Balatri
Elena Constantin
Castellani Chiara
qualifica
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Infermiere
Fisioterapista
Fisioterapista
Fisioterapista
Amministratori
amministratori
Giuseppe Marchetti
Luciano Lepri
Paolo Sestini
Tiziana Mauret
Don Luigi Oropallo
qualifica
Presidente del C.d.A.
Consigliere
Consigliere
Consigliere
Consigliere
Collegio sindacale
Sindaci
Prof. Roberto Giacinti
Alessio Nocentini
Nicoletta Mannini
qualifica
Presidente del collegio sindacale
Sindaco effettivo
Sindaco effettivo
Società di Revisione
Compagine sociale
soci
Organigramma
pagina 6
*
22/03/11
Altre Cariche o Qualifiche
Organismo di vigilanza D.Lgs.231/2001
Compagine
Collegio sindacale
sociale
Responsabile del Servizio di Sicurezza e Prevenzione
Maria Valentino
Rappresentante dei lavoratori per la Sicurezza
Enrico Piazzini
Organigramma
pagina 7
22/03/11
Definizioni ai sensi dell' art. 4 del Decreto Legislativo 30 giugno 2003 n. 196
"Trattamento" , qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
"Dato Personale" , qualunque informazione relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale
"Dato Identificativo ", i dati personali che permettono l’identificazione diretta dell’interessato;
“Dato Sensibile” , i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei
a rivelare lo stato di salute e la vita sessuale;
“Dato Giudiziario” , i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1,
lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale,
di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità
di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
"Dato Anonimo" , il dato che in origine, o a seguito di trattamento, non può essere associato ad un
interessato identificato o identificabile;
Ulteriore definizione non prevista dall'art. 4 (per la quale non esiste nessun obbligo)
"Dato Particolare" , i dati personali idonei a rivelare particolari situazioni, come posizioni creditizie, solvibilità
e morosità, password di accesso ad aree riservate nei siti internet, provvedimenti giudiziari civili, procedimenti
amministrativi, coordinate bancarie, vertenze; che consigliamo vengano trattati con particolare cautela, se non
in particolari situazioni, alla stregua dei dati sensibili
"Dato Ordinario", dati aziendali, riguardanti il ciclo produttivo, documentazioni tecniche
Altre definizioni ai sensi dell' art. 4 del Decreto Legislativo 30 giugno 2003 n. 196
"Titolare" , la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità,
alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
"Responsabile" , la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al trattamento di dati personali;
"Amministratore di sistema" ,con tale definizione si individuano generalmente, in ambito informatico, figure
professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti
"Incaricato" , la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile;
"Interessato" , la persona fisica, la persona giuridica, l'ente o l'associazione alla quale si riferiscono i dati
personali;
"Comunicazione" , il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato,
dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione;
"Diffusione" , il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante
la loro messa a disposizione o consultazione;
"Blocco" , la conservazione di dati personali con sospensione temporanea di ogni altra operazione del
trattamento;
"Banca di dati" , qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno
o più siti;
Elenco delle definizioni ai sensi dell'art. 4 del Decreto Legislativo 30 giugno 2003 n. 196
pagina 8
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 22/03/11
Analisi preventiva alla redazione del D.P.S.
Analisi preventiva predisposta dal titolare del Trattamento dei dati prima della redazione del Documento
Programmatico sulla Sicurezza dell'azienda
I soggetti che effettuano il trattamento
SI
SI
SI
SI
SI
1) È stata effettuata una valutazione circa le operazioni di trattamento di dati personali, anche sensibili, effettuate?
2) I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento, oltre che esatti e aggiornati?
3) Le persone fisiche che all'interno trattano dati personali sono state designate tutte quali "incaricate del trattamento"?
4) Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri compiti?
5) Se all'interno sono stati individuati soggetti che hanno ambiti di autonomia nel trattamento dei dati personali, sono stati
designati per iscritto "responsabili del trattamento"?
SI
6) Se all'esterno enti o persone fisiche trattano dati personali nel suo interesse, obbligati a seguirne le istruzioni (come
accade per i casi di outsourcing), sono stati designati per iscritto quali "responsabili del trattamento"?
La notificazione del trattamento
SI
1) Si è verificato, prima di intraprendere operazioni di trattamento, se l'impresa effettua i trattamenti da notificare al Garante?
2) Se sono intervenute modificazioni relativamente ai trattamenti già eventualmente notificati, è stato curato il loro
aggiornamento in una nuova notificazione?
3) Se cessano i trattamenti, ciò ha formato oggetto di specifica notificazione?
L'informativa
SI
SI
1) È stata fornita l'informativa agli interessati in caso di dati raccolti presso di essi?
2) È stata fornita l'informativa agli interessati in caso di dati raccolti presso soggetti diversi dagli interessati stessi?
Il consenso dell'interessato
SI
SI
SI
1) Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceità indicati all'art. 24 del Codice?
2)Se non ricorre uno dei presupposti di liceità indicati all'art. 24 del Codice, è stato raccolto il consenso dell'interessato?
3) Se sono trattati dati sensibili è stato raccolto il consenso scritto degli interessati?
4) Se sono trattati dati sensibili, è stato verificato se il trattamento rientra tra quelli già autorizzati dal Garante con le
SI
autorizzazioni generali?
5) Se il trattamento di dati sensibili non rientra tra quelli previsti dalle autorizzazioni generali, è stata richiesta al Garante
un'autorizzazione ad hoc?
Non necessaria
La sicurezza dei dati
SI
SI
1) Sono state adottate idonee misure di sicurezza per proteggere i dati personali?
2) Sono state adottate le misure minime di sicurezza previste per proteggere i dati personali?
3) Se sono trattati dati sensibili e giudiziari, è stato redatto, quando è necessario, il documento programmatico per la
SI
sicurezza e ne vengono osservate le previsioni?
4) Periodicamente, e comunque entro il 31 marzo di ciascun anno, formano oggetto di rinnovata valutazione le misure di
SI
sicurezza individuate con il documento programmatico per la sicurezza?
Il trasferimento dei dati in paesi terzi
Se i dati personali trattati dall'impresa sono soggetti a trasferimento verso Paesi terzi (esterni all'Unione europea e all'area economica
europea), il trasferimento avviene:
_ in presenza di una delle condizioni previste dall'art. 43 del Codice? oppure
_verso uno dei paesi che assicurano un livello adeguato di protezione (Svizzera, Argentina, Isola di Man, Baliato
di Guernsey)? oppure
_verso un'impresa statunitense che aderisce al Safe Harbor? oppure
_in presenza di clausole contrattuali standard tra esportatore e importatore? oppure
_in presenza di un'autorizzazione ad hoc da parte del Garante?
I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. 7
del Codice
SI
1) In presenza dell'esercizio del diritto d'accesso, viene dato riscontro all'interessato secondo le modalità previste dalla legge?
Analisi preventiva alla redazione del D.P.S. ai sensi del provvedimento generale del 27/11/2008
pagina 9
22/03/11
Presupposti per il trattamento dei dati personali
Tenuto conto che la riservatezza dei dati è sempre tutelata indipendentemente dalle modalità di gestione,
sia cartacea che informatica, ai sensi dell’art. 18 del Codice della Privacy l'azienda può trattare dati personali
soltanto:
a) per lo svolgimento delle funzioni e delle attività dell'azienda
b) nei limiti dettati da leggi e regolamenti
È necessario verificare, relativamente al trattamento dei dati (raccolta, conservazione e distruzione compresi):
1) che il trattamento sia connesso all’esercizio delle funzioni istituzionali e che le stesse finalità non siano
perseguibili attraverso il trattamento di dati anonimi (principio di pertinenza);
2) che le modalità del trattamento siano tali da determinare il minimo sacrificio possibile del diritto alla
riservatezza dei terzi (principio di non eccedenza);
3) che l’utilizzazione di dati personali e di dati identificativi, tramite sistemi informativi e programmi informatici,
sia ridotta al minimo, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano
di identificare l’interessato solo in caso di necessità (principio di necessità);
4) che il trattamento e, in particolare, le modalità adottate non siano difformi dalle norme previste da legge o
da regolamento;
5) che vengano adottate le misure di sicurezza previste dall'allegato B.
Si precisa che anche quando l'azienda persegue finalità istituzionali con il ricorso agli strumenti del diritto
privato (ad esempio, attività contrattuale, disciplina del rapporto di lavoro, ecc.) potrà legittimamente trattare i
dati personali, senza necessità di acquisire il consenso preventivo da parte dell’interessato. Al contrario,
l’eventuale acquisizione del consenso dell’interessato non legittima l'azienda a trattare dati per finalità
diverse da quelle istituzionali ovvero ad effettuare operazioni non consentite da leggi o regolamenti.
Lo svolgimento delle attività dell'azienda presuppone la disponibilità di dati personali raccolti in base a
disposizioni di legge o per fini istituzionali, ma in ogni caso per adempiere all'attività dell'azienda.
Va evidenziato che:
a) la raccolta avviene: ,nella sede dell'azienda
b) che il trattamento dei dati viene svolto all'interno dell'azienda
da personale nominato per iscritto incaricato con comunicazione di adeguate istruzioni scritte
c) la trasmissione dei dati all'esterno avviene:
1) con la comunicazione ad altri soggetti solo se previsto da una disposizione di legge o da un accordo e,
comunque previa informazione, e se previsto consenso, degli interessati.
d) sono previsti dei controlli nei confronti degli Incaricati e Responsabii del trattamento per assicurare il
rispetto delle procedure attivate e delle misure di sicurezza in essere, tutti sono sensibilizzati al rispetto
delle norme di sicurezza; l'obiettivo è quello di integrare i processi di sicurezza nel processo organizzativo
dell'azienda attraverso il coinvolgimento e la motivazione di tutti, con lo scopo di creare una cultura della
prevenzione.
La conservazione dei dati avviene secondo la normativa vigente e in conformità con le norme sulla sicurezza
e dei dati.
I dati personali raccolti, trattati e custoditi sono, in ogni momento, riservati, disponibili e integri, affinché
chi ne abbia diritto possa verificarli, aggiornarli o anche chiederne la cancellazione.
L'unico limite a questa ampia e indiscussa libertà può essere imposto da norme di legge (disciplina sulla
conservazione dei documenti ecc.).
Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici ai sensi degli artt. 18-19-20-21-22 del Decreto
pagina 10
Legislativo 30 giugno 2003 n. 196
22/03/11
Flusso dei dati trattati all'interno dell'azienda
L'interessato comunica i dati personali da trattare all'azienda, parte di questi dati possono rivestire la natura
di dati sensibili ai sensi del Codice della Privacy.
I dati trasmessi dall'interessato sia in forma cartacea che elettronica seguiranno il seguente flusso di
trattamento:
INTERESSATO
eventuale
consenso
TITOLARE DEL
TRATTAMENTO
informativa
RESPONSABILE DEL
TRATTAMENTO
TRATTAMENTO INFORMATICO E
CARTACEO
INCARICATO AL
TRATTAMENTO
SERVIZI IN
OUTSURCING
ARCHIVIAZIONE
COMUNICAZIONE PER OBBLIGHI
DI LEGGE
SALVATAGGIO
COMUNICAZIONE PER OBBLIGHI
CONTRATTUALI
DISASTER RECOVERY
COMUNICAZIONE A TERZI
PREVIO CONSENSO
DIFFUSIONE PREVIO CONSENSO
CANCELLAZIONE SE
ECCEDENTI O NON PIU'
NECESSARI
DISTRUZIONE ALLA
SCADENZA DEGLI
OBBLIGHI DI
CONSERVAZIONE
Flusso dei dati
pagina 11
22/03/11
Flusso dei dati trattati all'interno dell'azienda
a seguito di infortunio
I dati sensibili e non a seguito dell'evento sia in forma cartacea che elettronica seguiranno il seguente
flusso di trattamento:
SOGGETTO INTERESSATO
ALL'EVENTO
SOGGETTI PRESENTI
ALL'EVENTO
ADDETTI AL PRONTO SOCCORSO
INTERNO
RESPONSABILE DEL
SERVIZIO PREVENZIONE E
SICUREZZA
ADDETTI E MEDICO
DEL 118
UFFICIO PERSONALE
COMUNICAZIONE ALLA
STRUTTURA SANITARIA
COMUNICAZIONE A.S.L. I.N.A.I. L.
COMUNICAZIONE
AUT. GIUDIZIARIA
COMUNICAZIONE
ASSICURAZIONE PRIVATA
RAPPRESENTANTE DEI
LAVORATORI
RESPONSABILE DEL
TRATTAMENTO
RESPONSABILE TECNICO
AZIENDALE
TITOLARE DEL TRATTAMENTO
ARCHIVIAZIONE
SALVATAGGIO
DISASTER RECOVERY
DISTRUZIONE ALLA
SCADENZA DEGLI
OBBLIGHI DI
CONSERVAZIONE
Flusso dei dati
pagina 12
*
22/03/11
A utorizzazione n. 1/2009 al trattamento dei dati sensibili nei rapporti di lavoro - 16 dicembre 2009
(G.U. n. 13 del 18 gennaio 2010 - suppl. ord. n. 12)
Registro de lle de libe razioni
Del. n. 37 del 16 dicembre 2009
IL GA RA NTE PER LA PROTEZIONE DEI DA TI PERSONA LI
In data odie rna, con la parte cipazione de l prof. Francesco Pizzetti, preside nte, de l dott. Giuse ppe Chiaravalloti, vice presid ente ,
de l dott. Mauro Paissan e de l dott. Giuseppe Fortunato, compone nti, e de l dott. Filippo Patroni Griffi, segre tario gene rale ;
Visto il de cre to legislativo 30 giugno 2003, n. 196, re cante il Codice in mate ria di protezione de i dati pe rsonali;
Visto, in particolare , l'art. 4, comma 1, le tt. d), de l citato Codice , il quale individua i dati sensibili;
Conside rato che , ai sensi de ll'art. 26, comma 1, del Codice , i sogge tti privati e gli enti pubblici e conom ici possono trattare i
dati sensibili solo previa autorizzazione di questa Autorità e , ove ne cessario, con il consenso scritto degli inte ressati,
ne ll'osse rvanza de i presupposti e de i lim iti stabiliti dal Codice , nonché dalla legge e dai re golamenti;
Visto il comma 4, le tt. d), de l medesimo art. 26, il quale stabilisce che i dati sensibili possono esse re ogge tto di trattamento
anche senza conse nso, pre via autorizzazione de l Garante , quando il trattamento medesimo è ne cessario pe r adempie re a
spe cifici obblighi o compiti pre visti dalla le gge, da un regolamento o dalla normativa comunitaria pe r la gestione de l rappor to
di lavoro, anche in mate ria di igiene e sicurezza de l lavoro e de lla popolazione e di pre vide nza e assistenza, ne i limiti pre visti
dall'autorizzazione e fe rme restando le disposizioni del codice di deontologia e di buona condotta di cui all'art. 111 de l Co dice ;
Conside rato che il trattamento dei dati in ques tione può esse re autorizzato dal Garante anche d'ufficio con provvedimenti di
caratte re ge ne rale, re lativi a de te rm inate categorie di titolari o di trattamenti (art. 40 de l Codice );
Conside rato che le autorizzazioni di caratte re gene rale sinora rilasciate sono risultate uno strumento idoneo pe r pre scrive re
misure uniform i a garanzia degli inte ressati, rendendo altresì supe rflua la richiesta di singoli provvedimenti di autorizzazi one
da parte di nume rosi titolari del trattamento;
R itenuto opportuno rilasciare nuove autorizzazioni in sostituzione di que lle in scadenza il 31 dicembre 2009, armonizzando le
pre scrizioni già impartite alla luce de ll'e spe rienza maturata;
R itenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo de te rm inato, ai sensi de ll'art. 41, comma
5, del Codice e, in particolare , e fficaci pe r il pe riodo di diciotto mesi;
Conside rata la ne cessità di garantire il rispe tto di alcuni princìpi volti a ridurre al m inimo i rischi di danno o di pe ricol o che i
trattamenti potre bbe ro comportare pe r i diritti e le libe rtà fondamentali, nonché pe r la dignità de lle pe rsone , e , in particolare ,
pe r il diritto alla protezione de i dati pe rsonali sancito dall'art. 1 de l Codice ;
Conside rato che un ele vato nume ro di trattamenti di dati sens ibili è effettuato nell'ambito de i rapporti di lavoro;
Visto l'art. 167 de l Codice ;
Visto l'art. 11, comma 2, del Codice , il quale stabilisce che i dati trattati in violazione de lla disciplina rile vante in mate ria di
trattamento di dati pe rsonali non possono esse re utilizzati;
Visti gli articoli 31 e se guenti de l Codice e il disciplinare te cnico di cui all' Allegato B) al medesimo Codice re canti norme e
regole sulle m isure di sicure zza;
Visto l'art. 41 del Codice ;
Visti gli articoli 42 e se guenti del Codice in mate ria di trasfe rimento di dati pe rsonali all'este ro;
Visti gli atti d'ufficio;
Viste le osse rvazioni de ll'Ufficio form ulate dal segre tario gene rale ai sensi de ll'art. 15 de l re golamento de l Garante n. 1/2 000;
Re latore il prof. Francesco Pizzetti;
A utorizza
il trattamento de i dati sensibili di cui all'art. 4, comma 1, le tt. d), del Codice , finalizzato alla gestione de i rapporti di lavoro,
se condo le pre scrizioni di seguito indicate .
Prima di iniziare o proseguire il trattamento i sistem i informativi e i programmi informatici sono configurati riducendo al
minimo l'utilizzazione di dati pe rsonali e di dati ide ntificativi, in modo da esclude rne il trattamento quando le finalità pe rseguite
ne i singoli casi possono esse re realizzate mediante , rispe ttivamente, dati anonimi od opportune modalità che pe rme ttano di
identificare l'inte ressato solo in caso di ne cessità, in conform ità all'art. 3 de l Codice .
1)
Ambito di applicazione.
La presente autorizzazione è rilasciata:
a) alle pe rsone fisiche e giuridiche , alle imprese , anche sociali, agli enti, alle associazioni e agli organism i che sono parte di un
rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche , parziali o temporanee, o che comunque confe riscono
un incarico profe ssionale alle figure indicate al successivo punto 2, le tte re b) e c);
b) ad organismi parite tici o che ge stiscono osse rvatori in mate ria di lavoro, pre visti dalla normativa comunitaria, dalle leggi,
dai regolamenti o dai contratti colle ttivi anche aziendali;
l'autorizzazione rig uarda anche l'attività svolta:
c) dal medico compe tente in mate ria di igiene e di sicurezza del lavoro, in qualità di libe ro professionista o di dipende nte de i
sogge tti di cui alla le tte ra a) o di strutture convenzionate;
d) dal rappresentante de i lavorato ri pe r la sicurezza, anche te rritoriale e di sito;
e ) da associazioni, organizzazioni, fe de razioni o confede razioni rapprese ntative di cate gorie di datori di lavoro, al solo fine di
pe rseguire le finalità di cui al punto 3), le tte ra h).
Autorizzazione n. 1/2009 al trattamento dei dati sensibili nei rapporti di lavoro - 16 dicembre 2009
pagina
13
2)
22/03/11
Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i dati sensibili attine nti:
a) a lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inse rimento, o di
lavoro ripartito, o di lavoro inte rm ittente o a chiamata, ovve ro prestatori di lavoro ne ll'ambito di un contratto di
somministrazione , o in rapporto di tirocinio, ovve ro ad associati anche in comparte cipazione e , se ne cessario in base ai
punti 3) e 4), ai relativi familiari e conviventi;
b) a consulenti e a libe ri professionisti, ad agenti, rappresentanti e mandatari;
c) a sogge tti che e ffe ttuano prestazioni coordinate e continuative, anche ne lla modalità di lavoro a proge tto, o ad altri
lavoratori autonom i in rapporto di collabo razione, anche sotto forma di prestazioni di lavoro acce ssorio, con i sogge tti di cui
al punto 1);
d) a candidati all'instaurazione de i rapporti di lavoro di cui alle lette re pre cedenti;
e ) a pe rsone fisiche che ricoprono cariche sociali o altri incarichi nelle pe rsone giuridiche, negli enti, ne lle associazioni e negli
organismi di cui al punto 1);
f) a te rzi danneggiati ne ll'ese rcizio dell'attività lavorativa o profe ssionale dai soggetti di cui alle pre cedenti le tte re .
3) Finalità del trattamento.
Il tra ttamento de i dati se nsibili de ve esse re indispensabile:
a) pe r adempie re o pe r esige re l'adempimento di spe cifici obblighi o pe r ese guire spe cifici compiti pre visti dalla normativa
comunitaria, da leggi, da re golamenti o da contratti colle ttivi anche azie ndali, in particolare ai fini de ll'instaurazione, gestione
ed estinzione de l rapporto di lavoro, nonché de ll'applicazione de lla normativa in mate ria di pre videnza ed assiste nza anche
integrativa, o in mate ria di igiene e sicurezza de l lavoro o della popolaz ione,
nonché in mate ria fiscale , sindacale, di tute la de lla salute , de ll'ordine e de lla sicurezza pubblica;
b) anche fuori de i casi di cui alla le tte ra a), in conform ità alla legge e pe r scopi de te rm inati e legittimi, ai fini della tenuta de lla
contabilità o de lla corresponsione di stipe ndi, assegni, prem i, altri emolumenti, libe ralità o be nefici accessori;
c) pe r pe rseguire finalità di salvaguardia de lla vita o de ll'incolumità fisica de ll'inte re ssato o di un te rzo;
d) pe r far vale re o difende re un diritto anche da parte di un te rzo in sede giudiziaria, nonché in sede amministrativa o ne lle
procedure di arbitrato e di conciliazione ne i casi pre visti dalle le ggi, dalla normativa comunitaria, dai regolamenti o dai c ontratti
colle ttivi, sempre che i dati siano trattati e sclusivamente pe r tali finalità e pe r il pe riodo strettamente ne cessario al loro
pe rseguimento. Qualora i dati siano idone i a rivelare lo stato di salute e la vita sessuale , il diritto da far vale re o difen de re de ve
esse re di rango pari a quello de ll'inte ressato, ovve ro consiste nte in un diritto de lla pe rsonalità o in un altro diritto o libe rtà
fondamentale e inviolabile ;
e ) pe r ese rcitare il diritto di accesso ai documenti amministrativi, ne l rispe tto di quanto stabilito dalle leggi e dai re golam enti in
mate ria;
f) pe r adempie re ad obblighi de rivanti da contratti di assicurazione finalizzati alla cope rtura de i rischi connessi alla
responsabilità del datore di lavoro in mate ria di igiene e di sicurezza de l lavoro e di malattie professionali o pe r i danni
cagionati a te rzi ne ll'ese rcizio dell'attività lavorativa o profe ssionale;
g) pe r garantire le pari opportunità;
h) pe r pe rseguire scopi de te rminati e legittim i individuati dagli statuti di associazioni, organizzazioni, fe de razioni o
confede razioni rappresentative di categorie di datori di lavoro o dai contratti colle ttivi, in mate ria di assistenza sindacale ai
datori di lavoro.
4) Categorie di dati.
Il trattamento può ave re pe r ogge tto i dati stre ttamente pe rtine nti ai sopra indicati obblighi, com piti o finalità che non possano
esse re adempiuti o realizzati, caso pe r caso, mediante il trattamento di dati anonimi o di dati pe rsonali di natura dive rsa, e in
particolare :
a) ne ll'ambito de i dati idonei a rive lare le convinzioni religiose , filosofiche o di altro ge ne re, ovve ro l'adesione ad associazioni
od organizzazioni a caratte re re ligioso o filosofico, i dati conce rnenti la fruizione di pe rmessi e festività re ligiose o di se rvizi di
mensa, nonché la manifestazione , nei casi pre visti dalla legge, de ll 'obiezione di coscienza;
b) nell'ambito de i dati idone i a rive lare le opinioni politiche , l'adesione a partiti, sindacati, associazioni od organizzazioni a
caratte re politico o sindacale, i dati conce rne nti l'ese rcizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi
sindacali (sempre che il trattamento sia e ffe ttuato ai fini de lla fruizione di pe rmessi o di pe riodi di aspe ttativa riconosci uti dalla
legge o, e ventualmente , dai contratti colle ttivi anche azie ndali), ovve ro l'organizz azione di pubbliche iniziative , nonché i dati
ine re nti alle tratte nute pe r il ve rsamento de lle quote di se rvizio sindacale o delle quote di iscrizione ad associazioni od
organizzazioni politiche o sindacali;
c) nell'ambito de i dati idone i a rivelare lo stato di salute, i dati raccolti e ulte riormente trattati in rife rimento a invalidità,
infe rmità, gravidanza, pue rpe rio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idone ità psico -fisica a
svolge re de te rm inate mansioni, all'apparte nenza a de te rm inate cate gorie prote tte , nonché i dati contenuti ne lla ce rtificazione
sanitaria attestante lo stato di malattia, anche professionale dell'inte ressato, o comunque re lativi anche all'indicazione de lla
malattia come spe cifica causa di assenza de l lavoratore.
5) Modalità di trattamento.
Fe rmi re stando gli obblighi pre visti dagli articoli 11 e 14 de l Codice , nonché dagli articoli 31 e seguenti del Codice e
dall'Allegato B) al medesimo Codice , il trattamento de i dati sensibili deve esse re effe tt uato unicamente con ope razioni, nonché
con logiche e mediante forme di organizzazione de i dati stre ttamente indispensabili in rapporto ai sopra indicati obblighi,
compiti o finalità.
I dati sono raccolti, di re gola, presso l'inte ressato.
pagina
14
22/03/11
La comunicazione di dati all'inte re ssato de ve avve nire di regola dire ttamente a quest'ultimo o a un suo de legato (fe rmo
restando quanto pre visto dall'art. 84, comma 1, del Codice ), in plico chiuso o con altro mezzo idoneo a pre venire la
conoscenza da parte di sogge tti non autorizzati, anche attrave rso la pre visione di distanze di cortesia.
Restano inoltre fe rm i gli obblighi di informare l'inte ressato e, ove ne cessario, di acquisirne il consenso scritto, in conform ità a
quanto pre visto dagli articoli 13, 23 e 26 de l Codice.
6) Conservazione dei dati.
Ne l quadro de l rispe tto de ll'obbligo pre visto dall'art. 11, comma 1, lette ra e), del Codice , i dati sensibili possono esse re
conse rvati pe r un pe riodo non supe riore a que llo ne cessario pe r adempie re agli obblighi o ai compiti di cui al punto 3), ovve ro
pe r pe rseguire le finalità ivi menzionate. A tal fine , anche mediante controlli pe riodici, de ve esse re ve rificata costantemen te la
stre tta pe rtinenza, non e ccede nza e indispensabilità de i dati rispe tto al rapporto, alla prestazione o al l'incarico in corso, da
instaurare o cessati, anche con rife rimento ai dati che l'inte re ssato fornisce di propria iniziativa. I dati che, anche a seg uito
de lle ve rifiche , risultano e ccede nti o non pe rtinenti o non indispe nsabili non possono esse re utilizza ti, salvo che pe r l'e ventuale
conse rvazione , a norma di legge , de ll'atto o de l docume nto che li contie ne. Spe cifica attenzione è pre stata pe r
l'indispensabilità dei dati rife riti a sogge tti dive rsi da que lli cui si rife riscono dire ttamente le pre stazioni e gli adempimenti.
7) Comunicazione e diffusione dei dati.
I dati se nsibili possono esse re comunicati e , ove ne cessario, diffusi nei limiti stre ttamente pe rtinenti agli obblighi, ai co mpiti o
alle finalità di cui al punto 3), a sogge tti pubblici o privati, ivi compre si organism i sanitari, casse e fondi di pre videnza ed
assiste nza sanitaria integrativa anche azie ndale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale ,
age nzie pe r il lavoro, associazioni e d organizzazioni sindacali di datori di lavoro e di pre statori di lavoro, libe ri professionisti,
socie tà este rne titolari di un autonomo trattamento di dati e fam iliari de ll'inte ressato.
Ai se nsi de ll'art. 26, comma 5, del Codice , i dati idone i a rive lare lo stato di salute non pos sono esse re diffusi.
8) Richieste di autorizzazione.
I titolari de i trattamenti che rientrano ne ll'ambito di applicazione de lla presente autorizzazione non sono tenuti a prese nta re
una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende e ffe ttuare sia conforme alle prescrizioni
sudde tte.
Le richieste di autorizzazione pe rve nute o che pe rve rranno anche successivamente alla data di adozione de l pre sente
provve dimento, de vono intende rsi accolte ne i te rm ini di cui al provve dim ento medesimo.
Il Garante non prende rà in conside razione richie ste di autorizzazione pe r trattamenti da effe ttuarsi in difform ità dalle
pre scrizioni del prese nte provvedimento, salvo che , ai sensi dell'art. 41 del Codice , il loro accoglimento sia giustificato da
circostanze de l tutto particolari o da situazioni e cce zionali non conside rate nella prese nte autorizzazione .
9) Norme finali.
Restano fe rmi gli obblighi pre visti da norme di le gge o di regolamento, ovve ro dalla normativa comunitaria, che stabiliscono
divie ti o limiti in mate ria di trattamento di dati pe rsonali e, in particolare, dalle disposizioni contenute :
a) ne ll'art. 8 de lla le gge 20 maggio 1970, n. 300, che vie ta al datore di lavoro ai fini de ll'assunzione e nello svolgimento de l
rapporto di lavoro, di e ffe ttuare indagini, anche a mezzo di te rzi, sulle opinioni politiche , religiose o sindacali del lavoratore ,
nonché su fatti non rilevanti ai fini de lla valutazione de ll'attitudine professionale de l lavoratore;
b) nell'art. 6 de lla legge 5 giugno 1990, n. 135, che vie ta ai datori di lavoro lo svolgimento di indagini volte ad acce rtare , ne i
dipe ndenti o in pe rsone pre se in conside razione pe r l'instaurazione di un rapporto di lavoro, l'e siste nza di uno stato di
sie ropositività;
c) nelle norme in mate ria di pari opportunità o volte a pre venire discrim inazioni;
d) fe rmo restando quanto disposto dall'art. 8 de lla legge 20 maggio 1970, n. 300, ne ll'art. 10 de l de cre to legislativo 10
se ttembre 2003, n. 276, che vie ta alle agenzie pe r il lavoro e agli altri sogge tti privati autorizzati o accre ditati di e ffe ttuare
qualsivoglia indagine o comunque trattamento di dati ovve ro di pre sele zione di lavoratori, anche con il loro consenso, in bas e
alle convinzioni pe rsonali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all'orie ntamento sessuale , allo stato
matrimoniale o di famiglia o di gravidanza, alla e tà, all'handicap, alla razza, all'origine e tnica, al colore , alla ascendenz a,
all'origine nazionale , al gruppo linguistico, allo stato di sa lute e ad e ve ntuali controve rsie con i pre cedenti datori di lavoro,
nonché di trattare dati pe rsonali de i lavoratori che non siano stre ttamente attinenti alle loro attitudini professionali e al loro
inse rimento lavorativo.
10) Efficacia temporale e disciplina transitoria.
La presente autorizzazione ha efficacia a de corre re dal 1° gennaio 2010 fino al 30 giugno 2011, salve e ventuali modifiche che
il Garante ritenga di dove r apportare in conseguenza di e ventuali novità normative rilevanti in mate ria.
La presente autorizzazione sarà pubblicata ne lla Gazze tta Ufficiale de lla Repubblica italiana.
Roma, 16 dicembre 2009
IL PR ESIDENTE
Pizze tti
IL R ELATOR E
Pizze tti
IL SEGR ETARIO GENER ALE
Patroni Griffi
pagina
15
*
22/03/11
A utorizzazione n. 2/2009 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
(G.U. n. 13 del 18 gennaio 2010 - suppl. ord. n. 12)
Registro de lle de libe razioni
Del. n. 38 del 16 dicembre 2009
IL GA RA NTE PER LA PROTEZIONE DEI DA TI PERSONA LI
In data odie rna, con la parte cipazione de l prof. Francesco Pizzetti, preside nte, de l dott. Giuse ppe Chiaravalloti, vice presidente ,
de l dott. Mauro Paissan e de l dott. Giuseppe Fortunato, compone nti, e de l dott. Filippo Patroni Griffi, segre tario gene rale ;
Visto il de cre to legislativo 30 giugno 2003, n. 196, re cante il Codice in mate ria di protezione de i dati pe rsonali;
Visto, in particolare , l'art. 4, comma 1, le tt. d), de l citato Codice , il quale individua i dati sensibili;
Conside rato che , ai sensi de ll'art. 26, comma 1, del Codice , i sogge tti privati e gli enti pubblici e conom ici possono trattare i
dati sensibili solo previa autorizzazione di questa Autorità e , ove ne cessario, con il consenso scritto degli inte ressati,
ne ll'osse rvanza de i presupposti e de i lim iti stabiliti dal Codice , nonché dalla legge e dai re golamenti;
Visto l'art. 76 de l Codice , se condo cui gli ese rcenti le profe ssioni sanitarie e gli organism i sanitari pubblici, anche ne ll' ambito di
un'attività di rile vante inte resse pubblico ai sensi de ll'articolo 85 de l medesimo Codice, pos sono trattare i dati pe rsonali idone i
a rivelare lo stato di salute anche senza il consenso dell'inte ressato, pre via autorizzazione del Garante , se il trattamento
riguarda dati e ope razioni indispensabili pe r pe rse guire una finalità di tutela de lla salute o dell'incolum ità fisica di un te rzo o
de lla colle ttività;
Conside rato che il trattamento dei dati in questione può esse re autorizzato dal Garante anche d'ufficio con provvedimenti di
caratte re ge ne rale, re lativi a de te rm inate categorie di titolari o di trattamenti (art. 40 de l Codice );
Conside rato che le autorizzazioni di caratte re ge ne rale sin ora rilasciate sono risultate uno strumento idoneo pe r pre scrive re
misure uniform i a garanzia degli inte ressati, rendendo altresì supe rflua la richiesta di singoli provvedimenti di autorizzazione
da parte di nume rosi titolari del trattamento;
R itenuto opportuno rilasciare nuove autorizzazioni in sostituzione di que lle in scadenza il 31 dicembre 2009, armonizzando le
pre scrizioni già impartite alla luce de ll'e spe rienza maturata;
R itenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo de te rm inato, ai sensi de ll'art. 41, comma
5, del Codice e, in particolare , e fficaci pe r il pe riodo di diciotto mesi;
Conside rata la ne cessità di garantire il rispe tto di alcuni princìpi volti a ridurre al m inimo i rischi di danno o di pe ricol o che i
trattamenti potre bbe ro comportare pe r i diritti e le libe rtà fondamentali, nonché pe r la dignità de lle pe rsone , e , in parti colare ,
pe r il diritto alla protezione de i dati pe rsonali sancito dall'art. 1 del Codice , principi valutati anche sulla base de lle
raccomandazioni adottate in mate ria di dati sanitari dal Consiglio d'Europa ed in particolare dalla Raccomandazione N. R (97)
5, in base alla quale i dati sanitari devono esse re trattati, di regola, solo ne ll'ambito de ll'assiste nza sanitaria o sulla b ase di
regole di se gre tezza e di efficacia pari a que lle previste in tale ambito;
Conside rato che un e levato nume ro di trattamenti idone i a rivelare lo stato di salute e la vita sessuale è e ffe ttuato pe r finalità
di pre venzione o di cura, pe r la gestione di se rvizi socio -sanitari, pe r rice rche scientifiche o pe r la fornitura all'inte ressato di
pre stazioni, beni o se rvizi;
Visto l'art. 167 de l Codice ;
Visto l'art. 11, comma 2, del Codice , il quale stabilisce che i dati trattati in violazione de lla disciplina rile vante in mate ria di
trattamento di dati pe rsonali non possono esse re utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare te cnico di cui all'Alle gato B) al Codice in mate ria di protezione de i dati
pe rsonali re canti norme e regole sulle misure di sicurezza;
Visto l'art. 41 del Codice ;
Visti gli articoli 42 e se guenti del Codice in mate ria di trasfe rimento di dati pe rsonali all'este ro;
Visti gli atti d'ufficio;
Autorizzazione n. 2/2009 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
pagina
16
22/03/11
Viste le osse rvazioni de ll'Ufficio form ulate dal segre tario gene rale ai sensi de ll'art. 15 de l re golamento de l Garante n. 1/2 000;
Re latore il prof. Francesco Pizzetti;
A utorizza
a) gli ese rcenti le professioni sanitarie a trattare i dati idone i a rive lare lo stato di salute, qualora i dati e le ope razioni siano
indispensabili pe r tute lare l'incolumità fisica o la salute di un te rzo o de lla colle ttività, e il consenso non sia prestato o non
possa esse re prestato pe r e ffe ttiva irrepe ribilità;
b) gli organismi e le case di cura private , nonché ogni altro sogge tto privato, a trattare con il consenso i dati idone i a rive l are
lo stato di salute e la vita se ssuale;
c) gli organismi sanitari pubblici, istituiti an che presso unive rsità, ivi compre si i sogge tti pubblici allorché agiscano nella qualità
di autorità sanitarie , a trattare i dati idone i a rive lare lo stato di salute, qualora ricorrano contemporaneamente le se guen ti
condizioni:
1) il trattamento sia finalizzato alla tute la de ll'incolumità fisica e della salute di un te rzo o de lla collettività;
2) manchi il consenso (articolo 76, comma 1, le tt. b), de l Codice ), in quanto non sia prestato o non possa e sse re pre stato pe r
effe ttiva irre pe ribilità;
3) non si tratti di attività amministrative corre late a que lle di pre ve nzione , diagnosi, cura e riabilitazione ai se nsi de ll'art. 85,
commi 1 e 2, de l Codice;
d) anche sogge tti dive rsi da quelli di cui alle le tte re a), b) e c) a trattare i dati idone i a rivelare lo stato di salute e la vita
sessuale, qualora il trattamento sia ne cessario pe r la salvaguardia della vita o dell'incolum ità fisica di un te rzo. Se la me desima
finalità riguarda l'inte ressato e quest'ultimo non può pre stare il proprio consenso pe r impossibil ità fisica, pe r incapacità di agire
o pe r incapacità d'inte nde re o di vole re, il consenso è manifestato da chi ese rcita le galmente la pote stà, ovve ro da un pross imo
congiunto, da un familiare , da un convive nte o, in loro assenza, dal re sponsabile de lla struttura presso cui dimora l'inte ressato.
Per l'informativa e , ove pre visto, il consenso si osse rvano anche le disposizioni di cui agli articoli 13, 23, 26 e da 75 a 8 2 de l
Codice .
1) A mbito di applicazione e finalità del trattamento.
1.1. L'autorizzazione è rilasciata:
a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altri ese rcenti le professioni sanitarie iscritti in albi o in
e lenchi;
b) al pe rsonale sanitario infe rm ie ristico, te cnico e de lla riabilitazione che e se rcita l'attività in regime di libe ra profe ssione ;
c) alle istituzioni e agli organism i sanitari privati, anche quando non ope rino in rapporto con il se rvizio sanitario nazionale .
In tali casi, l'autorizzazione è rilasciata anche pe r consentire ai destinatari di ademp ie re o di esige re l'adempimento di spe cifici
obblighi o di e seguire spe cifici compiti pre visti da leggi, dalla normativa comunitaria o da re golame nti, in particolare in m ate ria
di igiene e di sanità pubblica, di pre ve nzione de lle malattie profe ssionali e de gli infortuni, di diagnosi e cura, ivi compresi i
trapianti di organi e tessuti, di riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di profilassi de lle malattie
infettive e diffusive, di tute la de lla salute mentale , di assiste nza farmaceutica, di medicina scolastica e di assistenza sanitaria
alle attività sportive o di acce rtamento, in conformità alla legge , degli ille citi pre visti dall'ordinamento sportivo. Il tra ttamento
può riguardare anche la compilazione di carte lle cliniche , di ce rtificati e di altri documenti di tipo sanitario, ovve ro di altri
documenti re lativi alla gestione amministrativa la cui utilizzazione sia ne cessaria pe r i fini appe na indicati.
Qualora il pe rseguimento di tali fini richieda l'esple tamento di compit i di organizzazione o di gestione amministrativa, i
destinatari de lla presente autorizzazione devono e sige re che i responsabili e gli incaricati del trattamento preposti a tali compiti
osse rvino le stesse regole di se gre tezza alle quali sono sottoposti i m edesimi de stinatari de lla prese nte autorizzazione , ne l
rispe tto di quanto pre visto anche dall'art. 83, comma 1, del Codice .
1.2. L'autorizzazione è rilasciata, altresì, ai seguenti sogge tti:
pagina
17
22/03/11
a) alle pe rsone fisiche o giuridiche , agli enti, alle associazioni e agli altri organism i privati, pe r scopi di rice rca scie ntifica, anche
statistica, finalizzata alla tute la della salute dell'inte ressato, di te rzi o de lla colle ttività in campo medico, biomedico o
epidem iologico, allorché si debba intrapre nde re uno studio de lle relazioni tra i fattori di rischio e la salute umana anche con
riguardo a studi condotti su pe rsone nell'ambito de lla spe rimentazione clinica di farmaci, o indagini su inte rventi sanitari di tipo
diagnostico, te rapeutico o pre ventivo, o vve ro sull'utilizzazione di strutture socio -sanitarie , e la disponibilità di dati solo anonim i
su campioni de lla popolazione non pe rme tta alla rice rca di raggiunge re i suoi scopi. In tali casi occorre acquisire il consen so (in
conform ità a quanto pre visto dagli articoli 106, 107 e 110 de l Codice ), e il trattamento succe ssivo alla raccolta non de ve
pe rme tte re di identificare gli inte re ssati anche indire ttamente , salvo che l'abbinamento al mate riale di rice rca de i dati
identificativi de ll'inte ressato sia temporaneo ed esse nziale pe r il risultato de lla rice rca, e sia motivato, altresì, pe r iscritto. I
risultati della rice rca non possono esse re diffusi se non in forma anonima. Resta fe rmo quanto pre visto dall'art. 98 de l Codi ce ;
b) alle organizzazioni di volonta riato o assiste nziali, limitatamente ai dati e alle ope razioni indispensabili pe r pe rse guire scopi
de te rm inati e legittim i pre visti, in particolare , ne lle rispe ttive norme statutarie;
c) alle comunità di re cupe ro e di accoglie nza, alle case di cura e di riposo, lim itatamente ai dati e alle ope razioni indispensabili
pe r pe rseguire scopi de te rm inati e legittimi pre visti, in particolare , nelle rispe ttive norme statutarie ;
d) agli enti, alle associazioni e alle organizzazioni re ligiose riconosciute , re lativamen te ai dati e alle ope razioni indispensabili
pe r pe rseguire scopi dete rm inati e legittim i nei lim iti di quanto stabilito dall'art. 26, comma 4, le tt. a), de l Codice , fe rm o
restando quanto pre visto pe r le confessioni re ligiose dagli articoli 26, comma 3, le t t. a), e 181, comma 6, de l Codice e
dall'autorizzazione n. 3/2009;
e ) alle pe rsone fisiche e giuridiche , alle imprese , anche sociali, agli enti, alle associazioni e ad altri organismi, limitatame nte ai
dati, ove ne cessario attinenti anche alla vita sessuale, e alle ope razioni indispensabili pe r adempie re agli obblighi, anche
pre contrattuali, de rivanti da un rapporto di fornitura all'inte re ssato di beni, di prestazioni o di se rvizi.
Se il rapporto inte rcorre con istituti di credito, imprese assicurative o riguarda valori mobiliari, de vono conside rarsi
indispensabili i soli dati ed ope razioni ne cessari pe r fornire spe cifici prodotti o se rvizi richiesti dall'inte re ssato. Il ra pporto può
riguardare anche la fornitura di strumenti di ausilio pe r la vista, pe r l'udito o pe r la deambulazione;
f) alle pe rsone fisiche e giuridiche, agli enti, alle associazioni e agli altri organism i che gestiscono impianti o strutture sp ortive ,
lim itatamente ai dati e alle ope razioni indispensabili pe r acce rtare l'idoneità fisica alla parte cipazione ad attività sportive o
agonistiche;
g) alle pe rsone fisiche e giuridiche e ad altri organismi, lim itatamente ai dati de i beneficiari e de i donatori e alle ope razion i
indispensabili pe r effe ttuare trapianti di organi e tessuti, nonché donazioni di sangue .
1.3. La presente autorizzazione è rilasciata, altresì, quando il trattamento de i dati idonei a rivelare lo stato di salute e la vita
sessuale sia ne cessario pe r:
a) lo svolgimento de lle investigazioni dife nsive di cui alla legge 7 dicembre 2000, n. 397, o comunque pe r far vale re o
dife nde re un diritto anche da parte di un te rzo in se de giudiziaria, nonché in sede amm inistrativa o ne lle proce dure di arbit rato
e di conciliazione nei casi pre visti dalle le ggi, dalla normativa comunitaria, dai re golamenti o dai contratti colle ttivi, sempre che
il diritto sia di rango pari a que llo de ll'inte re ssato, ovve ro consiste nte in un diritto de lla pe rsonalità o in altro diritto o libe rtà
fondamentale e inviolabile , e i dati siano trattati esclusivamente pe r tali finalità e pe r il pe riodo stre ttamente ne ce ssario pe r il
loro pe rse guimento;
b) adempie re o esige re l'adempimento di spe cifici obblighi o pe r ese guire spe cifici compiti pre visti dalla normativa comunitaria ,
da leggi, da regolamenti o da contratti colle ttivi pe r la gestione del rapporto di lavoro, nonché dalla normativa in mate ria di
pre vide nza e assistenza o in mate ria di igie ne e sicurezza del lavoro o de lla popolazione, ne i lim iti pre visti dalla autorizzazione
ge ne rale de l Garante n. 1/2009 e fe rme re stando le disposizioni de l codice di deontologia e di buona condotta di cui all'articolo
111 de l Codice .
1.4. Il trattamento di dati gene tici re sta autorizzato ne i limiti e alle condizioni individuati ne ll'autorizzazione adottata ai sensi
de ll'art. 90 de l C odice.
2) Categorie di dati oggetto di trattamento.
Prima di iniziare o proseguire il trattamento i sistem i informativi e i programmi informatici sono configurati riducendo al
minimo l'utilizzazione di dati pe rsonali e di dati ide ntificativi, in modo da esclude rne il trattamento quando le finalità pe rseguite
ne i singoli casi possono esse re realizzate mediante , rispe ttivamente, dati anonimi od opportune modalità che pe rme ttano di
identificare l'inte ressato solo in caso di ne cessità, in conform ità all'art. 3 de l Codice .
pagina
18
22/03/11
Il trattamento può ave re pe r ogge tto i dati stre ttamente pe rtinenti ai sopra indicati obblighi, compiti o finalità che non po ssano
esse re adempiuti o realizzati, caso pe r caso, mediante il trattamento di dati anonim i o di dati pe rsonali di natura dive rsa, e può
compre nde re le informazioni relative a stati di salute pregre ssi.
De vono esse re conside rate sottoposte all'ambito di applicazione della prese nte autorizzazione anche le informazioni re lative ai
nascituri, che de vono esse re trattate alla stregua de i dati pe rsonali in conform ità a quanto pre visto dalla citata
raccomandazione N. R (97) 5 del Consiglio d'Europa.
3) Modalità di trattamento.
Fe rmi restando gli obblighi pre visti dagli articoli 11 e 14 de l Codice , nonché dagli articoli 31 e se guenti del Codice e
dall'Allegato B) al mede simo Codice , il trattamento de i dati sensibili de ve esse re effe ttuato unicamente con ope razioni, nonché
con logiche e mediante forme di organizzazione de i dati stre ttame nte indispensabili in rapporto ai sopra ind icati obblighi,
compiti o finalità.
I dati sono raccolti, di re gola, presso l'inte ressato.
La comunicazione di dati all'inte re ssato de ve avve nire di regola dire ttamente a quest'ultimo o a un suo de legato (fe rmo
restando quanto pre visto dall'art. 84, comma 1, del Codice ), in plico chiuso o con altro mezzo idoneo a pre venire la
conoscenza da parte di sogge tti non autorizzati, anche attrave rso la pre visione di distanze di cortesia.
Pe r le informazioni re lative ai nascituri, il consenso è prestato dalla gestante . Dopo il raggiungimento de lla maggiore e tà
l'informativa è fornita all'inte ressato anche ai fini della acquisizione di una nuova manifestazione del consenso quando ques to è
ne ce ssario (art. 82, comma 4, de l Codice).
4) Conservazione dei dati.
Ne l quadro del rispe tto de ll'obbligo pre visto dall'art. 11, comma 1, le tt. e) del Codice, i dati possono e sse re conse rvati pe r un
pe riodo non supe riore a que llo ne cessario pe r adempie re agli obblighi o ai compiti sopra indicati, ovve ro pe r pe rseguire le
finalità ivi menzionate. A tal fine, anche mediante controlli pe riodici, de ve esse re ve rificata costantemente la stre tta
pe rtine nza, non e ccedenza e indispensabilità de i dati rispe tto al rapporto, alla prestazione o all'incarico in corso, da instaurare
o cessati, anche con rife rimento ai dati che l'inte ressato fornisce di propria iniziativa. I dati che , anche a seguito delle ve rifiche ,
risultano e ccedenti o non pe rtinenti o non indispe nsabili non possono e sse re utilizzati, salvo che pe r l'e ventuale conse rvazione ,
a norma di legge, de ll'atto o de l documento che li contiene . Spe cifica atte nzione è prestata pe r l'indispensabilità dei dati rife r iti
a sogge tti dive rsi da que lli cui si rife riscono dire ttamente le pre stazioni e gli adempimenti.
5) Comunicazione e diffusione dei dati.
Salvo quanto pre visto pe r i dati gene tici nell'autorizzazione adottata ai sensi de ll'art. 90 del Codice, i dati idone i a rive lare lo
stato di salute possono esse re comunicati, ne i lim iti strettamente pe rtinenti agli obblighi, ai compiti e alle f inalità di cui
al punto 1), a sogge tti pubblici e privati, ivi compresi i fondi e le casse di assistenza sanitaria integrativa, le azie nde che
svolgono attività stre ttamente corre late all'ese rcizio di professioni sanitarie o alla fornitura all'inte ressato di beni, di prestazioni
o di se rvizi, gli istituti di credito e le imprese assicurative, le associazioni od organizzazioni di volontariato e i famili ari
de ll'inte ressato.
Ai sensi degli artt. 22, comma 8, e 26, comma 5, del Codice , i dati idonei a rive lare lo stato di salute non possono esse re
diffusi.
I dati idonei a rivelare la vita sessuale non possono esse re diffusi, salvo il caso in cui la diffusione riguardi dati resi
manife stamente pubblici dall'inte ressato e pe r i quali l'inte ressato stesso non abbia manifestato successivamente la sua
opposizione pe r motivi legittim i.
6) Richieste di autorizzazione.
I titolari de i trattamenti che rientrano ne ll'ambito di applicazione de lla presente autorizzazione non sono tenuti a prese nta re
una richiesta di autoriz zazione a questa Autorità, qualora il trattamento che si intende e ffe ttuare sia conforme alle prescrizioni
sudde tte.
Le richieste di autorizzazione pe rve nute o che pe rve rranno anche successivamente alla data di adozione de l pre sente
provve dimento, de vono intende rsi accolte ne i te rm ini di cui al provve dimento medesimo.
pagina
19
22/03/11
Il Garante non prende rà in conside razione richieste di autorizzazione pe r trattamenti da effe ttuarsi in difform ità alle
pre scrizioni del prese nte provvedimento, salvo che , ai sensi dell'art. 41 del Codice , il loro accoglimento sia giustificato da
circostanze de l tutto particolari o da situazioni e ccezionali non conside rate ne lla prese nte autorizzazione, re lative, ad ese mpio,
al caso in cui la raccolta de l conse nso comporti un impiego di mezzi m anifestamente sproporzionato in ragione , in particolare ,
de l nume ro di pe rsone inte ressate .
7) Norme finali.
Restano fe rm i gli obblighi pre visti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divie ti o
lim iti più restrittivi in mate ria di trattamento di dati pe rsonali e , in particolare :
a) dall'art. 5, comma 2, de lla legge 5 giugno 1990, n. 135, come modificato dall'art. 178 del Codice , se condo cui la rilevazione
statistica della infe zione da HIV de ve esse re effe ttuata con modalità che non consentano l'identificazione della pe rsona;
b) dall'art. 11 della legge 22 maggio 1978, n. 194, il quale dispone che l'e nte ospedalie ro, la casa di cura o il poliambulatori o
ne i quali è e ffe ttuato un inte rvento di inte rruzione di gravidanza de vono inviare all'autorità sanitaria compe tente pe r te rritorio
una dichiarazione che non faccia menzione de ll'ide ntità de lla donna;
c) dall'art. 734-bis del codice penale , il quale vie ta la divulgazione non conse nsuale delle gene ralità o de ll'immagine de lla
pe rsona offesa da atti di viole nza sessuale .
Restano altresì fe rm i gli obblighi di legge che vie tano la rive lazione se nza giusta causa e l'impiego a proprio o altrui prof itto
de lle notizie cope rte dal segre to professionale , nonché gli obblighi deontologici pre visti, in particolare , dal codice di deontologia
medica adottato dalla Fede razione nazionale degli ordini de i medici chirurghi e degli odontoiatri.
Resta fe rma, infine, la possibilità di diffonde re dati anonimi anche aggregati e di include rli, in particolare, nelle pubblicazioni a
contenuto scientifico o finalizzate all'educazione, alla pre ve nzione o all'informazione di caratte re sanitario.
8) Efficacia temporale e disciplina transitoria.
La presente autorizzazione ha efficacia a de corre re dal 1 ° gennaio 2010 fino al 30 giugno 2011, salve e ventuali modifiche che
il Garante ritenga di dove r apportare in conseguenza di e ventuali novità normative rilevanti in mate ria.
La presente autorizzazione sarà pubblicata ne lla Gazze tta Ufficiale de lla Repubbli ca italiana.
Roma, 16 dicembre 2009
IL PR ESIDENTE
Pizze tti
IL R ELATOR E
Pizze tti
IL SEGR ETARIO GENER ALE
Patroni Griffi
pagina
20
*
22/03/11
Regolamento aziendale per l’utilizzo degli strumenti elettronici ed informatici e per l’utilizzo e
l’archiviazione dei documenti cartacei in attuazione del D.Lgs. 30 giugno 2003 n. 196
SOMMARIO
Art. 1) Oggetto
Art. 2) Utilizzo del personal computer
Art. 3) Utilizzo dei computer portatili, palmari, smartphone
Art. 4) Utilizzo dei supporti magnetici e ottici
Art. 5) Utilizzo di stampanti, fax, fotocopiatrici, scanner
Art. 6) Distruzione dei dati memorizzati su apparecchiature rivendute, smaltite, riconsegnate al termine della
locazione
Art. 7) Accesso ai servizi di rete
Art. 8) Utilizzo della rete Internet e dei relativi servizi
Art. 9) Utilizzo della posta elettronica
Art. 10) Divieti per il datore di lavoro
Art. 11) Archiviazione e gestione dei documenti cartacei
Art. 12) Accesso ai locali
Art. 13) Controlli
Art. 14) Osservanza delle disposizioni in materia di Privacy
Art. 15) Non osservanza del regolamento e sanzioni
Art. 16) Aggiornamento e revisione
Art. 17) Norma finale
Art. 1) Oggetto
1. Il presente regolamento disciplina l’utilizzo degli strumenti elettronici ed informatici, nonché l’accesso alla
rete Internet e l’utilizzo della posta elettronica; l’archiviazione e l’utilizzo dei documenti cartacei in attuazione
del D.Lgs. 30 giugno 2003 n. 196 e nel rispetto del provvedimento del Garante in data 01 marzo 2007.
Art. 2) Utilizzo del personal computer
1. Il personal computer affidato al dipendente o al collaboratore è uno strumento di lavoro; ogni utilizzo non
inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione straordinaria e
soprattutto minacce alla sicurezza dei dati.
E’ fatto quindi obbligo di:
a) utilizzare una parola chiave (password) ed un codice utente (username). Per ragioni di sicurezza, occorre
assolutamente evitare di rendere nota a terzi la propria password. Se ciò accadrà occorrerà informare l’amministratore del sistema e o il responsabile del trattamento dei dati, e cambiare immediatamente password.
E' vietata l'assegnazione di password collettive o non riconducibili ad un soggetto fisico.
b) non installare programmi freeware e shareware ad uso personale anche se necessari all’attività lavorativa
senza la preventiva autorizzazione scritta dell’amministratore del sistema o del responsabile del trattamento
dei dati.
c) non installare programmi personali anche se necessari all’attività senza la preventiva autorizzazione
dell’amministratore del sistema o del responsabile del trattamento dei dati.
d) non installare programmi non licenziati e protetti da copyright.
e) non modificare le configurazioni di sistema del personal computer.
f) non modificare, copiare e riprodurre i software installati.
g) non manipolare e modificare attrezzature hardware come lettori di floppy disk, Cd e Dvd, scanner, hard
disk e memorie esterne, unità di back up, stampanti, modem, router ecc. in dotazione al personal computer.
h) non utilizzare supporti personali floppy, CD, DVD, Penne USB, hard disk esterni, memorie flash, ecc. per
archiviare i dati.
i) attivare la protezione “screen saver” collegata a password con timer minimo di 10 mn.
j) effettuare la formattazione completa dei floppy e dei supporti informatici, non più utilizzati, contenenti dati
sensibili e particolari in modo che ne sia impossibile il recupero, se impossibilitati distruggere il supporto.
k) spegnere il personal computer al termine della giornata lavorativa o per assenze protratte nel tempo. In ogni
caso lasciare un elaboratore incustodito e connesso alla rete può essere causa di utilizzo da parte di terzi
senza che vi sia la possibilità di provarne in seguito l’indebito uso.
l) non memorizzare documenti informatici contenenti dati di natura oltraggiosa e/o discriminatoria per sesso,
lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica.
Art. 3) Utilizzo dei computer portatili, palmari, smartphone
Il dipendente o collaboratore è responsabile del computer portatile o del palmare o dello smartphone affidatogli
Regolamento per l’utilizzo degli strumenti elettronici ed informatici e per l’utilizzo e l’archiviazione dei documenti
pagina 21
cartacei
22/03/11
e deve custodirlo con la massima diligenza durante tutto il periodo di affidamento.
Per l’utilizzo si richiamano tutte le note contenute nel precedente articolo.
Art. 4) Utilizzo dei supporti magnetici e ottici
Tutti i supporti magnetici riutilizzabili (floppy disk, cassette, cartucce, I Omega Zip), ottici (CD e DVD riscrivibili),
periferiche di archiviazione (penne USB, HD esterni) contenenti dati sensibili o particolari, devono essere
utilizzati e costuditi con particolare cautela per evitare che il loro contenuto possa essere recuperato.
Art. 5) Utilizzo di stampanti, telefax, fotocopiatrici, scanner
Non bisogna dislocare stampanti e fax in aree accessibili a soggetti non abilitati al trattamento e non presidiate
(per esempio i corridoi degli uffici).
Per le apparecchiature dotate di memoria interna verificare che tutti i file inviati alla stampa o fax ricevuti
memorizzati vengano cancellati.
Art. 6) Distruzione dei dati memorizzati su apparecchiature rivendute, smaltite, riconsegnate al
termine della locazione
a) per le apparecchiature destinate ad essere riutilizzate o riciclate:
1) Cancellazione sicura delle informazioni, ottenibile con programmi informatici (quali wiping program o file
shredder) che provvedono, una volta che l'utente abbia eliminato dei file da un'unità disco o da analoghi supporti
di memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a scrivere ripetutamente nelle
aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre "binarie"
(zero e uno) in modo da ridurre al minimo le probabilità di recupero di informazioni anche tramite strumenti
elettronici di analisi e recupero di dati
2) Demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti magnetici o magneto-ottici
(dischi rigidi, floppy-disk, nastri magnetici su bobine aperte o in cassette), in grado di garantire la cancellazione
rapida delle informazioni anche su dispositivi non più funzionanti ai quali potrebbero non essere applicabili le
procedure di cancellazione software (che richiedono l'accessibilità del dispositivo da parte del sistema a cui
è interconnesso).
b)Smaltimento di rifiuti elettrici ed elettronici
In caso di smaltimento di rifiuti elettrici ed elettronici, l'effettiva cancellazione dei dati personali dai supporti
contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che, nel rispetto
delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo ottico o magnetoottico in modo da impedire l’acquisizione indebita di dati personali.
Art. 7) Accesso ai servizi di rete
a) Le modalità di accesso ai servizi variano a seconda delle classi di utenti e dei servizi ma richiedono sempre
l’assegnazione di password personali e segrete di accesso, l’autorizzazione di accesso viene rilasciata dall’am
ministratore del sistema o dal responsabile del trattamento dei dati;
b) L’accesso ai servizi di rete, sia Internet che Intranet, deve essere compatibile con il "Documento programma
tico sulla sicurezza” emanato dall'azienda, ed è consentito esclusivamente per fini istituzionali;
c) sono consentite le sole attività che non siano in contrasto con il Regolamento e con le norme legislative
vigenti, che non arrechino danno ad altri utenti o all'azienda stessa e siano conformi al Documento Programmatico
sulla Sicurezza;
d) tra le attività proibite si fa particolare riferimento a:
1. trasgressione della privacy di altri utenti o dell’integrità di dati personali;
2. compromissione dell’integrità dei sistemi o dei servizi;
3. consumo di risorse in misura tale da compromettere l’efficienza di altri servizi di rete;
4. compimento di atti di criminalità informatica, di delitti contro la personalità individuale;
Art. 8) Uso di Internet e dei relativi servizi
1. L’amministratore del sistema o il responsabile del trattamento dei dati, coordina la configurazione del
software di navigazione anche con l’eventuale limitazione dell’accesso a determinati siti (di carattere particolare)
attraverso l’utilizzo di filtri.
2. E' vietato alterare le opzioni del software di navigazione.
3. E' consentito accedere esclusivamente ai siti necessari e correlati all’attività lavorativa, è vietata la registrazione a siti i cui contenuti non siano legati all’attività lavorativa
4. E’ vietato scaricare ed installare programmi di tipo freeware, shareware e trial ad uso personale anche se
necessari all’attività lavorativa senza la preventiva autorizzazione scritta dell’amministratore del sistema o del
responsabile del trattamento dei dati.
5. E’ fatto assoluto divieto di effettuare upload e download di programmi non licenziati e protetti da copyright.
6. E’ vietato effettuare il download detenere e scambiare file formato mp3, video, musicali.
7. E’ vietato installare programmi per la condivisione e lo scambio di file in modalità peer to peer (Napster,
E-mule, Winmx, e-Donkey, ecc.);
pagina 22
cartacei
22/03/11
8. E’ vietato utilizzare servizi con finalità ludiche od estranee all’attività aziendale.
9. E' necessario chiedere l'autorizzazione scritta all’amministratore del sistema o al responsabile del trattamento
dei dati per sottoscrivere una newsletter
10. E’ vietato la partecipazione e l’utilizzo di chat-line, attivare e partecipare a blog, bacheche elettroniche e le
registrazioni in guest books anche utilizzando pseudonimi (nicknames)
11. E' vietato collegarsi e registrarsi a social network (facebook, twitter, netlog, secondlife, myspaces, ecc.)
12. E’ tassativamente vietata l’effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni
di remote banking, acquisti on-line e simili a carattere personale; salvo i casi direttamente autorizzati dall’amministratore del sistema o dal responsabile del trattamento dei dati e con il rispetto delle normali procedure di a
acquisto
13. E’ assolutamente vietato effettuare il download detenere e scambiare materiale pornografico e di
pornografia virtuale
Art. 9) Utilizzo della posta elettronica
1. La casella di posta elettronica [email protected] data in dotazione dell'azienda, viene attivata per
un uso esclusivamente lavorativo, in quanto bene dell'azienda;
2) In caso di assenza prolungata (ferie, malattia, aspettativa) per la casella [email protected] verrà
attivato un servizio di risposta automatica contenente le necessarie informazioni per l’inoltro del messaggio.
3) Il dipendente può delegare un altro dipendente (fiduciario) a verificare il contenuto dei messaggi di posta
elettronica in caso di sua improvvisa o prolungata assenza e per improrogabili necessità legate all’attività
lavorativa;il fiduciario inoltrerà al Titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività
lavorativa, a cura del Titolare del trattamento dei dati verrà redatto un apposito verbale ed informato il dipendente
interessato alla prima occasione.
4. E’ vietato trasmettere tramite e-mail materiale che viola le norme sul diritto di autore;
5. E’ vietato trasmettere materiale commerciale e o pubblicitario non richiesto e senza il consenso informato
del destinatario;
7. E’ vietato inviare file o immagini personali;
8. E’ vietata la trasmissione a mezzo di posta elettronica di dati sensibili, confidenziali e personali di alcun
genere, salvo i casi espressamente previsti dalla normativa vigente in materia di protezione dei dati personali;
9. E’ vietato inviare tramite posta elettronica user-id, password, configurazioni della rete interna, indirizzi e nomi
dei sistemi informatici;
10. E’ vietato violare la privacy di altri utenti della rete leggendo o intercettando la posta elettronica loro destinata;
11. E' vietato aprire allegati provenienti da fonti non conosciute; ed aprire allegati con estensione .exe, .com, .bat;
12) E’ vietato inviare catene telematiche (catene di S. Antonio), se si dovesse ricevere un messaggio di tale tipo
si deve informare immediatamente l’Amministratore del Sistema o il responsabile del trattamento dei dati.
Non si devono in alcun caso aprire gli allegati di tali messaggi; si deve inoltre provvedere all'eliminazione del
messaggio tramite il comando: "messaggio - blocca mittente"
13) nel caso un messaggio superasse i filtri anti-spam, o si ricevesse un messaggio "pishing" falso messaggio
che induce a comunicare dati relativi alla banca on-line, si deve informare immediatamente l’Amministratore del
Sistema o il Responsabile del Trattamento dei dati, si deve inoltre provvedere all'eliminazione del messaggio
tramite il comando: "messaggio - blocca mittente"
14) I documenti ufficiali inviati tramite posta elettronica devono essere nel formato PDF e con la sola opzione
di stampa e archiviazione.
Art. 10) Divieti per il datore di lavoro
E’ vietato al datore di lavoro, ai sensi dell'art. 154, comma 1, lett. d), del Codice, di effettuare trattamenti di dati
personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori svolti in particolare
mediante:
a) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al
di là di quanto tecnicamente necessario per svolgere il servizio di e-mail
b) la riproduzione e l’eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore
c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo
d) l’analisi occulta di computer portatili affidati in uso
Art. 11) Archiviazione e gestione dei documenti cartacei
1. Tutti i documenti cartacei devono essere gestiti in modo da ridurre al minimo i tempi di permanenza al di fuori
pagina 23
cartacei
22/03/11
degli archivi o degli armadi o contenitori in dotazione alle unità operative;
2. I documenti contenenti dati sensibili o particolari al termine del loro utilizzo dovranno essere riposti negli
archivi dotati di serratura;
3. Non lasciare incustoditi documenti (in particolare quelli contenenti dati sensibili o particolari) nei locali dove è
consentito l’accesso a personale non autorizzato al trattamento dei dati o al pubblico;
4. Il locale destinato all’archivio dovrà essere chiuso a chiave: fuori dall’orario di lavoro l’accesso all’archivio è
consentito previa registrazione;
5. Non riutilizzare i fogli in particolar modo quelli contenenti dati particolai o sensibili
6. Tutti i documenti contenenti dati personali, sensibili o aziendali, che si ritiene debbano essere eliminati,
devono essere distrutti prima di essere gettati nei cestini o nei contenitori del riciclo;
7. Le comunicazioni a mezzo posta, o a mezzo telefax, dovranno essere tempestivamente smistate e
consegnate ai destinatari; in caso di “invio stampa” il documento stampato dovrà essere tempestivamente
prelevato e consegnato all’interessato;
8. Non dimenticare documenti originali all’interno di fax, fotocopiatrici e scanner;
Art. 12) Accesso ai locali
Al di fuori del normale orario di lavoro non è consentito l’accesso ai locali ed ai sistemi informatici al personale
non autorizzato.
Art. 13) Controlli
A cura del Responsabile del trattamento dei dati o dell’amministratore del sistema sono periodicamente attivati
controlli, anche a campione, al fine di garantire l’applicazione del regolamento, previo informazione preventiva
riguardante i dati personali che potrebbero essere controllati.
E’ obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicate
nella lettera di individuazione di incaricato al trattamento dei dati ai sensi del D.Lgs. 196/2003
Il mancato rispetto o la violazione delle regole contenute nel presente regolamento è perseguibile con provvedimenti disciplinari (art. 7 Statuto dei Lavoratori) nonché con azioni civili e penali consentite.
Il presente regolamento è soggetto ad aggiornamento e revisione con cadenza annuale
Per tutto quanto non espressamente previsto dal presente regolamento, si rinvia alle norme di legge e di
regolamento vigente, ed in particolare al Dlgs. 196/2003 e successive modifiche ed integrazioni.
pagina 24
cartacei
*
22/03/11
Regolamento aziendale per il trattamento dei dati personali delle persone fisiche e di altri soggetti
in attuazione del D.Lgs. 30 giugno 2003 n. 196
SOMMARIO
Art.
1) Oggetto
Art. 2) Definizioni
Art. 3) Individuazione banche dati
Art. 4) Titolare del trattamento dei dati
Art. 5) Responsabile del trattamento dei dati
Art. 6) Amministratore di sistema
Art. 7) Incaricati al trattamento dei dati
Art. 8) Trattamento dei dati
Art. 9) Comunicazione e diffusione dei dati
Art. 10) Richieste di comunicazione e diffusione dei dati effettuate da privati o enti pubblici
Art. 11) Trattamento dei dati sensibili e giudiziari
Art. 12) Informazione
Art. 13) Diritti dell’interessato
Art. 14) Misure di sicurezza
Art. 15) Accesso visitatori
Art. 19) Controlli
Art. 1) Oggetto
1. Il presente regolamento disciplina il trattamento dei dati personali contenuti nelle banche dati organizzate,
gestite od utilizzate dall’azienda, in attuazione del Dlgs. 196/2003.
2. Qualunque trattamento di dati personali è consentito soltanto per lo svolgimento delle funzioni istituzionali.
3. Per funzioni istituzionali, ai fini del presente regolamento, s’intendono:
a) le funzioni previste dalle disposizioni di legge per l’assolvimento degli obblighi contabili e fiscali.
b) le funzioni previste dalle disposizioni di legge per la corretta gestione del rapporto di lavoro.
c) le funzioni svolte per adempiere agli obblighi contrattuali con clienti, fornitori e terzi.
d) le funzioni svolte per la risoluzione di controversie civili
e) le funzioni svolte per adempiere all’attività dell’azienda in genere.
Art. 2) Definizioni
1. Ai fini del presente regolamento, per le definizioni si fa riferimento a quanto previsto dall’art. 4 del Dlgs.
196/2003; in particolare si intende:
a) per “banca di dati”, qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate
in uno o più siti;
b) per “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati anche se non registrati in una
banca di dati;
c) per “blocco”, la conservazione di dati personali con sospensione temporanea di ogni altra operazione del
trattamento.
d) per “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso
un numero di identificazione personale;
e) per “dato anonimo”, il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.
f) per “dato sensibile”, il dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni
a carattere religioso, filosofico, politico o sindacale, nonché il dato personale idoneo a rivelare lo stato di salute
e la vita sessuale.
g) per “titolare”, l’azienda nel suo complesso, nella persona del suo Presidente pro tempore, al quale competono
le decisioni in ordine alle finalità, alle modalità di trattamento di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza;
h) per “responsabile”, la persone fisica preposta dal titolare al trattamento di dati personali. Per particolari
Regolamento per il trattamento dei dati personali delle persone fisiche e di altri soggetti
pagina 25
22/03/11
procedimenti è possibile individuare il Responsabile del trattamento dei dati anche in persona esterna all’azienda.
i) per "amministratore di sistema" soggetto con esperienza, capacità e affidabilità, il quale deve fornire idonea
garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla
sicurezza.
j) per “incaricato”, la persona fisica individuata dal Responsabile di cui alla precedente lett. i) addetta alla
elaborazione dei dati ai quali ha accesso, sulla base delle istruzioni impartite dal Responsabile.
k) per “interessato”, la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati
personali, anche esterna all’azienda.
l) per “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque
forma, anche mediante la loro messa a disposizione o consultazione;
m) per “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione.
n) per “misure minime di sicurezza”, il complesso delle misure tecniche, informatiche, organizzative, logistiche
e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti
nell’art. 31 Dlgs. 196/2003;
o) per “strumenti elettronici”, gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o
comunque automatizzato con cui si effettua il trattamento.
p) per “Garante”, l’autorità istituita ai sensi del Dlgs. 196/2003;
Art. 3) Individuazione delle banche dati
Le banche dati gestite dall’azienda vengono individuate con provvedimento del Titolare. L’elenco delle banche
dati viene aggiornato periodicamente.
Art. 4) Titolare del trattamento dei dati
Il Titolare per il trattamento dei dati è l’azienda, rappresentata ai fini previsti dal Dlgs. 196/2003 dal legale rappresentante pro tempore, ai sensi del vigente Statuto dell’azienda, o dal titolare stesso in caso di ditta individuale.
Art. 5) Responsabile del trattamento dei dati
1. Il Responsabile del trattamento dei dati, che può anche essere persona esterna all'azienda viene designato
dal Titolare tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto
delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
2. In linea di principio è responsabile dell’area o settore corrispondente.
3. Il Responsabile del trattamento:
a) cura il coordinamento di tutte le operazioni di trattamento dati affidate agli incaricati.
b) provvede a dare istruzioni per la corretta elaborazione dei dati personali.
c) procede alle verifiche sulla metodologia di introduzione e di gestione dei dati, anche attraverso controlli a
campione da eseguirsi periodicamente.
d) vigila sui procedimenti di rettifica dei dati.
e) dà istruzioni operative per la sicurezza delle banche dati e dei procedimenti di gestione e/o al trattamento dei
dati stessi sulla base delle disposizioni impartite dal Titolare.
f) cura l’informativa agli interessati di cui all’art. 13 del Dlgs. 196/2003.
g) vigila sulla comunicazione agli interessati del trattamento dei dati e sulla loro diffusione.
h) dispone il blocco dei dati, qualora sia necessaria una sospensione temporanea delle operazioni di trattamento.
4. Il Responsabile del trattamento dei dati ha, altresì, gli obblighi:
a) di verificare periodicamente l’esattezza e l’aggiornamento dei dati, nonché la loro pertinenza, completezza,
non eccedenza rispetto alle finalità perseguite nei singoli casi;
b) di non utilizzare i dati che, a seguito delle verifiche, risultano eccedenti o non pertinenti o non necessari;
c) di trattare i dati sensibili contenuti in elenchi, registri o banche dati, tenute con l’ausilio di mezzi elettronici o
comunque automatizzati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altri sistemi
che permettano di identificare gli interessati solo in caso di necessità;
d) di conservare separatamente da ogni altro dato i dati idonei a rilevare lo stato di salute e la vita sessuale, con
le modalità previste dalla lettera precedente;
e) di motivare per iscritto le eventuali operazioni di raffronto tra i dati.
Art. 6) Amministratore di sistema
1) L'amministratore di sistema, in ambito informatico, è la figura professionale finalizzata alla gestione e alla
manutenzione di un impianto di elaborazione o di sue componenti.
2) L'amministratore di sistema pur non essendo preposto ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle
sua attività è, in molti casi, concretamente "responsabile" di specifiche fasi lavorative che possono comportare
elevate criticità rispetto alla protezione dei dati.
3) Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione azioni me
dei supporti di memorizzazione e la manutenzione hardware comportano un'effettiva capacità di azione su
pagina 26
22/03/11
informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando
l'amministratore non consulti "in chiaro" informazioni medesime
Art. 7) Incaricati al trattamento dei dati
1. Il Responsabile può nominare uno o più Incaricati addetti al trattamento dei dati, il quale/i quali deve/devono
attenersi alle istruzioni impartite dal Titolare e dallo stesso Responsabile e svolgere tale attività sotto la loro
diretta autorità.
2. I compiti affidati agli Incaricati devono essere specificati per iscritto dal Responsabile, il quale deve controllarne
l’osservanza. Gli Incaricati del trattamento devono elaborare i dati personali ai quali hanno accesso attenendosi
alle istruzioni scritte ricevute.
3. Non è considerata comunicazione né violazione del Dlgs. 196/2003 la conoscenza dei dati personali da parte
degli Incaricati, che operano per designazione scritta del Responsabile.
Art. 8) Trattamento dei dati
1. Il trattamento dei dati personali è consentito solamente per lo svolgimento delle funzioni istituzionali nei limiti stabiliti d
stabiliti dalla legge, e dai regolamenti.
2. I dati personali relativi ai clienti, fornitori, dipendenti, terzi dell'azienda contenuti nelle banche dati sono forniti
all’esterno della stessa ai fini dello svolgimento delle funzioni istituzionali così come indicate nell'art. 1 par. 3.1.
3. I dati personali relativi al personale dell'azienda vengono trattati ai fini dello svolgimento delle funzioni istituzionali,
come indicate dall'art. 1 paragrafo 3, nel rispetto e nei limiti di quanto previsto dal paragrafo successivo.
4. I dati personali oggetto di trattamento devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento
in termini non incompatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Art. 9) Comunicazione e diffusione dei dati
1. La comunicazione e la diffusione dei dati è consentita:
a) ai soggetti pubblici, esclusi gli enti pubblici economici, se prevista da norme di legge o di regolamento.
b) ai privati o agli enti pubblici economici solo se prevista da norme di legge o di regolamento.
2. La comunicazione e diffusione dei dati è comunque consentita quando avvenga in forma aggregata o statistica
3. Per tutti gli altri casi la comunicazione e la diffusione dei dati è consntita sola previo il consenso informato
da parte dell'interessato al trattamento
Art. 10) Richieste di comunicazione e diffusione dei dati effettuate da privati o enti pubblici
1. Ogni richiesta rivolta dai privati all’azienda e finalizzata ad ottenere il trattamento, la diffusione e la comunicazione dei dati personali anche contenuti in banche dati deve essere scritta e motivata. Devono essere specificati
gli estremi del richiedente e devono essere indicati i dati ai quali la domanda si riferisce e lo scopo per il quale
sono richiesti. La richiesta deve inoltre indicare le norme di legge o di regolamento in base alle quali è avanzata.
2. Il Responsabile, dopo aver valutato che il trattamento, la diffusione e la comunicazione dei dati personali sono
compatibili con i propri fini istituzionali e non ledono i diritti tutelati dal Dlgs. 196/2003 e, in particolare, il diritto
alla riservatezza e il diritto all’identità personale dei soggetti cui i dati si riferiscono, provvede alla trasmissione
dei dati stessi nella misura e secondo le modalità strettamente necessarie a soddisfare la richiesta.
Art. 11) Trattamento dei dati sensibili e giudiziari
1. Il trattamento dei dati sensibili e giudiziari di cui agli artt. 20, 21 e 22 del Dlgs. 196/2003 deve essere effettuato
con modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato.
2. L’azienda può:
a) trattare solo i dati sensibili e giudiziari indispensabili per svolgere le sue attività istituzionali che non possono
essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa;
b) raccogliere detti dati, di regola, presso l'interessato;
c) verificare periodicamente l'esattezza, l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza,
non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi;
d) trattare i dati sensibili e giudiziari contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti
elettronici, con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che,
considerato il numero e la natura dei dati trattati, li rendano temporaneamente inintelligibili anche a chi è
autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessità;
e) conservare i dati idonei a rivelare lo stato di salute e la vita sessuale separatamente da altri dati personali
trattati con finalità che non richiedono il loro utilizzo.
3. I dati idonei a rivelare lo stato di salute non possono esser diffusi.
4. Il trattamento dei dati sensibili è consentito solo se autorizzato da espressa disposizione di legge che
specifichi, anche, i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di
pagina 27
22/03/11
interesse pubblico perseguite.
Art. 12) Informazione
1. Gli obblighi informativi di cui all'art. 13 del Dlgs. 196/2003 sono svolti dai singoli Responsabili nelle aree o
servizi di rispettiva competenza. Ove possibile vengono incaricati gli operatori addetti al trattamento dei dati.
2. L’informativa deve contenere:
a) le finalità e le modalità di trattamento dei dati;
b) la natura obbligatoria o facoltativa del conferimento;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venire a
conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei medesimi;
e) i diritti riconosciuti dalla legge;
f) gli estremi identificativi del Titolare e del Responsabile del trattamento;
3. Nel caso di trattamento di dati sensibili l’informativa deve anche contenere:
a. l’indicazione dei riferimenti normativi comportanti il trattamento dei dati sensibili;
b. l’indicazione delle tipologie di dati sensibili trattati nella specifica attività e delle operazioni su di essi eseguibili;
c. la sintesi delle misure poste a garanzia del trattamento dei dati sensibili in relazione alla specifica attività.
4. Il Titolare favorisce l'introduzione di modulistica che contenga un breve prospetto informativo ed eventuali
dichiarazioni facoltative di consenso, fatta salva la possibilità di utilizzare anche modelli diversi o adattati alla
modulistica già esistente purché gli stessi contengano tutte le informazioni previste dalla legge.
Art. 13) Diritti dell’interessato
Le richieste per l'esercizio dei diritti di cui agli art. 7 e ss. Del Dlgs, 196/2003 sono presentate al Titolare o al
Responsabile, anche per tramite di un Incaricato, senza formalità.
Art. 14) Misure di sicurezza
1. Il Titolare del trattamento dei dati provvede ad impartire le istruzioni necessarie all'adozione, da parte dei
Responsabili, di misure di sicurezza al fine di ridurre al minimo e prevenire:
a) i rischi di distruzione, perdita dei dati o danneggiamento, anche accidentale, della Banca dati o dei locali
ove essa è collocata;
b) l'accesso non autorizzato;
c) trattamento non consentito o non conforme alle finalità della raccolta;
d) la cessione e/o la distribuzione dei dati in caso di cessazione del trattamento.
2. Il singoli Responsabili, ai sensi e per gli effetti degli articoli 34 e 35 del Dlgs. 196/2003 e dell’Allegato B,
individuano, in collaborazione con l’Amministratore del Sistema Informatico, le misure di sicurezza per il
trattamento dei dati personali sotto il profilo operativo, anche in relazione alla peculiarità dei dati raccolti,
detenuti o trattati dalla singola direzione.
3. In particolare, nella individuazione delle misure minime di sicurezza, si tiene conto di:
a) la tipologia delle banche dati: cartacee o informatizzate;
b) lo sviluppo tecnologico della strumentazione informatica in dotazione alla direzione;
c) l'abilità e professionalità degli operatori incaricati;
Art. 15) Accesso visitatori
E’ obbligatorio che tutti i visitatori attendano il loro accompagnatore in sala d’aspetto, e siano costantemente
accompagnati all’interno della struttura evitando di lasciarli soli nei locali ove vi siano dati personali sia informatici
che cartacei.
E’ obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicate
nella lettera di individuazione di incaricato al trattamento dei dati ai sensi del D.Lgs. 196/2003
Il mancato rispetto o la violazione delle regole contenute nel presente regolamento è perseguibile con provvedimenti disciplinari (art. 7 Statuto dei Lavoratori) nonché con azioni civili e penali consentite.
Il presente regolamento è soggetto ad aggiornamento e revisione con cadenza annuale
Art. 19) Controlli
A cura del Responsabile del trattamento dei dati sono periodicamente attivati controlli, anche a campione, al fine
di garantire l’applicazione del regolamento, previo informazione preventiva riguardante i dati personali che
potrebbero essere controllati.
Per tutto quanto non espressamente previsto dal presente regolamento, si rinvia alle norme di legge e di
regolamento vigente, ed in particolare al Dlgs. 196/2003 e successive modifiche ed integrazioni.
pagina 28
*
22/03/11
REGOLAMENTO PER L’UTILIZZO DEL SISTEMA DI VIDEO SORVEGLIANZA
ai fini della sicurezza, tutela del patrimonio e controllo degli accessi.
Articolo 1 – Oggetto del Regolamento.
Articolo 2 – Principi e finalità
Articolo 3 – Responsabilità dell’impianto
Articolo 4 – Limitazioni nell’utilizzo dell’impianto
Articolo 5 – Accesso ai dati
Articolo 6 – Pubblicità
Articolo 7 – Uso delle telecamere
Articolo 8 – Diritti degli interessati
Articolo 9 – Sicurezza dei dati
Articolo 10 – Comunicazione e diffusione dei dati
Articolo 11 – Modifiche e trasmissione
ARTICOLO 1 – OGGE TTO DE L REGOLAMENTO.
Il presente Regolament o disciplina l’es ercizio del sistema di video sorveglianza gestito dall’azienda , ne regola
l’uso nei limiti imposti dal D.Lgs. 30.06.2003 n° 196 recante il “Codice in materia di prot ezione dei dati personali”
ed in conformit à al Provvedimento del Garante per la protezione dei dati pers onali del 29.04. 2004 e ne
determina le condizioni necessarie affinché l’impianto possa essere tenuto in esercizio.
ARTICOLO 2 – P RINCIP I E FINALITÀ
L’impianto di video sorveglianza è gestito dall’azienda nel rispetto dei diritti, delle libertà fondamentali, nonché
della dignità delle persone fisiche, con particolare riferimento alla tutela della riservatezza e dell’identità
personale.
Sono altres ì garantiti i diritti delle persone giuridiche e di ogni altro ente o associazione coinvolti nel trattamento
dei dati rilevati ed acquisiti.
L’uso dell’impianto di video-sorveglianza è strettamente limitato a fini della sicurezza e della tutela del patrimonio
dell’azienda e il trattamento dei dati acquisiti tramite l’impianto di video sorveglianza è fondato su presupposti di
necessità, proporzionalità e finalità, così come definiti nel Provvedimento di cui all’A rt. 1.
Il posizionamento delle telecamere è funzionale alla sorveglianza di tutti gli accessi esterni e delle apert ure e
luoghi per i quali si ritiene necessaria la sorveglianza, così come riportato nell’allegato A al pres ente
regolamento
ARTICOLO 3 – RESPONSAB ILITÀ DE LL’IMP IANTO
Nel rispetto del Documento in materia di protezione dei dati personali predisposto dall’azienda in ordine a
quanto previsto dall’art. 4, comma 1, del D.Lgs. n° 196/2003, l’azienda nella sua qualità di titolare del
trattamento dati, provvederà ad individuare il Responsabile del trattamento dei dati.
Lo stesso verrà designato quale Responsabile del trattamento dei dati personali rilevati ai sensi dell’art. 1,
comma 3, lett. e) del Codice in mat eria di prot ezione dei dati personali.
Il Responsabile procede al trattamento dei dati attenendosi alle istruzioni impartite dal Titolare il quale, anche
tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizi oni impartite.
Il Responsabile è titolare della gestione dell’impiant o, del suo costante adeguamento alle norme di sicurezza e
del controllo sull’uso delle immagini ripres e e raccolte.
Il Responsabile, ai fini del disposto dell’art. 30 del D.Lgs. n° 196/2003, può individuare, con proprio atto scritto,
uno o più Incaricati del trattamento dei dati, che operano sotto la diretta aut orità del Responsabile ed
attenendosi alle istruzioni da questo impartite.
Gli incaricati del materiale trattament o debbono elabo rare i dati personali ai quali hanno accesso, attenendosi
scrupolos ament e alle istruzioni del Titolare e del Res pons abile.
ARTICOLO 4 – LIMITA ZIONI NELL’UTILIZZO DE LL’IMPIA NTO
Le immagini raccolte e registrate, non pot ranno assolut ament e essere utilizzate per finalità diverse da quelle
stabilite nell’Art. 2.
L’impianto di video sorveglianza non può essere utilizzato, in base all’art. 4 della Legge 20.05.1970 n° 300
(Statuto dei Lavoratori), per effettuare controlli remoti sull’attività lavorativa dei dipendenti dell’ azienda e, o di altri
datori di lavoro pubblici o privati.
ARTICOLO 5 – A CCESSO A I DA TI
I dati raccolti tramit e il sistema di video sorveglianza, sono da considerarsi “dati sensibili” ai sensi del D.Lgs. n°
196/2003, in quanto possono cont enere informazioni definite dall’art. 4, comma 1, lett. d) del citato Decreto e
dovranno quindi essere trattati secondo quanto previsto dalla normativa vigente.
Il trattamento dei dati ricavati dal sistema di video -sorveglianza spetta esclusivamente al Responsa bile, ai
soggetti da questi nominati e all’Autorità Giudiziaria e di Polizia.
Ad ogni altro s oggetto non compreso nell’elencazione precedente, è inibita sia la visione sia la disponibilità delle
immagini e dei dati rilevati dal sistema.
DOCUMENTO
PROGRAMMATICO SULLA SICUREZZA
22/03/11
Regolamento per l'utilizzo del
sistema di videosorveglianza
pagina 29
ARTICOLO 6 – P UBBLICITÀ
La presenza dell’impianto di video sorveglianza è resa pubblica, a cura del Responsabile, tramite i mezzi che si
riterranno più idonei e, in particolare, attraverso l’affissione del modello di informativa, ai s ensi dell’art. 13 del
D.Lgs. vo n. 196/ 2003, nei luoghi antistanti le telecamere e comunque in modo da risultare bene visibile.
ARTICOLO 7 – USO DE LLE TELE CAMERE
La posizione dell’obiettivo delle telec amere, sono predefinite dal Responsabile dell’impianto ed eseguite dai
tecnici della ditta fornitrice del sistema.
La suddetta posizione non p uò essere variata se non su indic azione del Responsabile dell’impianto e dietro
comprovat e esigenze.
Le inquadrature dovranno c omunque essere sempre tali da cogliere un’immagine panoramica delle persone e
dei luoghi, evitando riprese inutilmente particolareggiate e tali da risultare eccessivamente intrusive della
riservatezza delle persone, garantendo comunque la possibilità di identificazione degli autori degli illeciti.
Articolo 8 – DIRITTI DEGLI INTERESSATI
In relazione al trattament o dei dati personali l’interessato, diet ro presentazione di apposita istanza diretta al
Responsabile, ha diritto:
1) di conoscere l’esistenza di trattamenti di dati che possono riguardarlo;
2) di essere informato sugli estremi identificativi del titolare e del responsabile, oltre che sulle finalità e le
modalità del trattamento cui sono destinati i dati;
3) di ottenere, a cura del Respons abile, senza ritardo o comunque non oltre 15 giorni dalla ricezione della
richiesta: a) la conferma dell’esistenza o meno di dati personali che lo riguardano e la comunicazione dei
medesimi dati e della loro origine; b) la cancellazione, la tras formazione in forma anonima o il blocco dei dati
trattati in violazione di legge;
4) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati pers onali c he lo riguardano, ancorché
pertinenti allo scopo della raccolta.
Nell’esercizio dei diritti di cui al comma 1 del presente articolo, l’interessato può conferire per iscritto delega o
procura a persone fisiche, enti, associazioni o organismi; l’interessato può alt resì farsi assistere a persona di
fiducia.
Le istanz e di cui al presente articolo possono essere trasmesse al Responsabile anche mediante lettera
raccomandat a o telefax.
In caso di esito negativo, l’interessato può rivolgersi al Garante per la protezione dei dati personali, fatte salve le
possibilità di tutela amministrativa e giurisdizionale previste dalla normativa vigente.
I dati sono trattati nel locale
Articolo
9 – SICUREZZA DEI DATI
I dati sono trattati nel locale
Al locale hanno accesso solo i soggetti individuati nel precedente Art. 5, Il locale è chiuso a chiave e non
accessibile al pubblico.
Gli interventi attivi sull’impianto sono consentiti solo ed esclusivamente al Respons abile ed agli incaricati
nonchè, quando necessario, ai tec nici della ditta installat rice inc aricati della manutenzione; l’intervento di questi
ultimi è subordinato al consens o, anche orale, del Responsabile.
Articolo 10 – COMUNICAZIONE E DIFFUSIONE DEI DATI
La comunicazione dei dati personali da parte dell’azienda a favore di soggetti pubblici, esclusi gli enti pubblici
economici, è ammessa quando sia prevista da una norma di legge o di regolamento.
In mancanza, la comunicazione è ammessa esclusivamente per lo s volgimento di funzioni istituzionali e può
essere iniziata se è decorso il termine di cui all’art. 19, comma 2, del D.P.R. 30.06. 2003 n° 196.
Non si considera comunicazione, ai s ensi e per gli effetti del precedente c omma, la c onoscenza dei dati
personali da parte dei soggetti incaricati ed autorizzati a compiere le operazioni del trattamento dal Titolare o dal
Responsabile e che operano sotto la loro diretta autorità.
Articolo 11 – MODIFICHE E TRASMISSIONE
Le norme del presente Regolament o dovranno essere aggiornate conformemente alle nuove norme emanat e in
materia di trattamento dei dati personali. Gli event uali atti normativi, atti amministrativi dell’Autorit à Garante
dovranno essere immediat amente recepiti.
Regolamento per l'utilizzo del sistema di videosorveglianza
pagina 30
Tipologia dei dati trattati, relativi al clienti
dell'azienda
22/03/11
Tipologia dei dati trattati, relativi al clienti dell'azienda
Sede legale
Sede attività
Partita IVA
Codice Fiscale
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Iscrizione Camera di Commercio
Iscrizione Cancelleria del Tribunale
Visure camerali
Capitale sociale
Utenza telefonia fissa
Utenza telefonia mobile
Indirizzo e- mail
Sito web cliente
Username e password area riservata
Coordinate bancarie
Fatturato
Tipologia prodotto offerto
Tipologia servizio prestato
Persona da contattare
Procedura di esecuzione concorsuale
Provvedimenti giudiziari penali
Provvedimenti giudiziari civili
Solvibilità - Morosità - Stato Patrimoniale
Proprietà immobiliari
Ipoteche immobiliari
Proprietà automezzi
*
Stato di salute
*
Copia documento d'identità
Note:
*
Dati giudiziari
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati sensibili
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati particolari
*
Dati identificativi
*
Attività settore merceologico
Dati personali
Cartaceo
Dato Trattato
Ragione sociale
Categoria
Informatico
Tratt.
1*
*
*
*
*
*
*
*
*
*
*
*
*
dato trattato nelle banche dati
dato non trattato
Elenco dei dati trattati e loro definizione ai sensi dell'art. 4 del D.Lgs 196/2003
pagina 31
Tipologia dei dati trattati, relativi ai fornitori
dell'azienda
22/03/11
Tipologia dei dati trattati, relativi ai fornitori dell'azienda
*
Sede legale
Sede attività
*
*
*
*
*
*
*
*
Partita IVA
Codice Fiscale
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Iscrizione Camera di Commercio
Iscrizione Cancelleria del Tribunale
Visure camerali
Capitale sociale
Indirizzo e- mail
Sito web fornitore
Username e password area riservata
Coordinate bancarie
Fatturato
Tipologia prodotto offerto
Tipologia servizio prestato
Persona da contattare
Procedura di esecuzione concorsuale
Solvibilità - Morosità
Proprietà immobiliari
Ipoteche immobiliari
Proprietà automezzi
Note:
*
Dati giudiziari
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati sensibili
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati particolari
Dati identificativi
*
Attività settore merceologico
Dati personali
Dato Trattato
Ragione sociale
Categoria
Cartaceo
Informatico
Tratt.
1*
*
*
*
*
*
*
*
*
*
dato non trattato
pagina 32
Tipologia dei dati trattati, relativi ai dipendenti
dell'azienda
Tipologia dei dati trattati, relativi ai dipendenti dell'azienda
Codice Fiscale
Residenza, domicilio
*
*
*
*
*
*
*
*
*
*
Indirizzo e- mail
Cartellino di riconoscimento
Data di assunzione
Matricola e qualifica
Profilo professionale
Sede di lavoro
Titolo di studio
Corsi, convegni, lingue estere
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati sensibili
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati particolari
*
*
*
*
*
Dati identificativi
Sesso stato civile e stato di famiglia
*
*
*
*
*
Dati personali
Luogo e data di nascita
Cartaceo
Dato Trattato
Nome e Cognome
Categoria
Informatico
Tratt.
1*
Aggiornamento e formazione professi.
Anzianità contributiva
Livello retributivo
Ferie in corso e residue
Orario, assenze, turnazione, Straordinario
Sanzioni disciplinari
Procedimenti amministrativi
Procedimenti civili
Procedimenti penali
Vertenze
Fotografia
*
*
*
*
*
*
*
Aspettativa per maternità
Aspettativa per attività elettorale
Incarichi politici o amministrativi
Iscrizione al sindacato
Incarico di rappresentanza sindacale
Informazioni sanitarie
Infortuni. Inidoneità
Cartella clinica D.Lgs. 81/2008
*
Festività religiose
*
*
*
*
*
*
*
*
*
Copia documento d'identità
Permesso di soggiorno
Note:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
dato non trattato
pagina 33
Tipologia dei dati trattati, relativi ai soggetti terzi dell'azienda
Tipologia dei dati trattati, relativi ai soggetti terzi dell'azienda
Indirizzo e- mail
Codice Fiscale
Partita I.V.A.
Morosità verso l'azienda
Morosità verso terzi
Condotta fraudolenta
Provvedimenti amministrativi
Rapporto con il terzo
*
*
*
*
Data dell'evento rilevante
Compagnia assicuratrice
Stima finanziaria
Legale controparte
Procedimenti civili
Procedimenti penali
Vertenze
Registrazione documento d'identità
Fotocopia documento d'identità
Stato di salute
Note:
*
Dati giudiziari
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati sensibili
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati particolari
*
*
Dati identificativi
*
*
Dati personali
Cartaceo
Dato Trattato
Nome e Cognome - Ragione sociale
Categoria
Informatico
Tratt.
1*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
dato non trattato
Tipologia dei terzi
Parenti degli ospisti
pagina 34
Tipologia dei dati trattati, relativi a:
amministratori sindaci revisori
22/03/11
Tipologia dei dati trattati, relativi a: amministratorisindaci revisori
dell'azienda
Indirizzo e- mail
Codice Fiscale
Partita I.V.A.
Titolo di studio
Procedimenti civili
Procedimenti penali
Informazioni sanitarie
Infortuni, Inidoneità
Contenzioso
Note:
*
Dati giudiziari
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati sensibili
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati particolari
Dati identificativi
*
*
*
*
*
*
*
*
*
*
Nome e Cognome
Dati personali
Dato Trattato
Categoria
Cartaceo
Informatico
Tratt.
1*
*
*
*
*
*
*
dato non trattato
pagina 35
Tipologia dei dati trattati, relativi agli accessi temporanei all'interno
dell'azienda
Tipologia dei dati trattati, relativi agli accessi temporanei all'interno dell'azienda
Codice Fiscale
Indirizzo e- mail
Societa di appartenenza
Rapporto con azienda
Tipo, n°, data documento personale
Profilo professionale
n°, motivazione scadenza passi
Fotocopia documento d'identità
Deposito documento d'identità
Note:
*
Dati giudiziari
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati sensibili
Dati identificativi
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Nome e Cognome
Dati particolari
Dati personali
Dato Trattato
Categoria
Cartaceo
Informatico
Tratt.
*
*
*
*
*
dato non trattato
Accesso alla struttura
Procedura di gestione degli accessi dei visitatori:
Ingresso libero
Portineria
Videocitofono
Citofono
Reception
Registrazione sul registro visitatori
Firma sul registro visitatori
Rilascio pass visitatori
Deposito documento d'identità
Attesa in sala d'aspetto
Circolazione all'interno solo accompagnati
No
No
No
Si
Si
No
No
No
No
Si
No
pagina 36
dell'azienda
Tipologia dei dati trattati dalla video sorveglianza
22/03/11
Tipologia dei dati trattati dalla video sorveglianza dell'azienda
Superiore alle 24 ore
24 ore
Registrazione presso terzi
Video presso terzi
In sede
Sistema di riconoscimento
Videocamera mobile
Ingrandimenti
Alta definizione
*
Utilizzo e
conservazione
Categoria
Normale
Attività svolta
Video Registrazione
Tipologia
Video Sorveglianza
Trattamento
1*
*
Qualità immagini
Archiviazione delle immagini
Durata dell'archiviazione
Internamente alla struttura
Esternamente alla struttura
*
Numero delle videocamere installate:
1
Localizzazione:
Telecamera
Campo di ripresa
Esterno
Cancello d'ingresso
Posizione Monitor
Reception
Motivazione della videosorveglianza:
Controllo accesso alla struttura sanitaria
Data Nomina
Locale dove vengono trattati i dati
Reception
Non viene effettuata nessuna registrazione delle immagini
Responsabile del trattamento dati della videosorveglianza
Donetta Verniani
Data Nomina
REGIS.
VIDEO
Incaricati al trattamento dati della videosorveglianza
Data Nomina
pagina 37
22/03/11
Informativa e valutazione per la video sorveglianza dell'azienda
Informativa
Gli interessati sono informati che stanno per accedere o che si trovano in una zona video sorvegliata e dell’eventuale registrazione;
L’informativa fornisce gli elementi previsti dal Codice (art. 13) anche con formule sintetiche, ma chiare e senza ambiguità.
In luoghi diversi dalle aree esterne il modello è integrato con almeno un avviso circostanziato che riporti gli elementi del predetto
art. 13 con particolare riguardo alle finalità e all’eventuale conservazione.
Il supporto con l’informativa:
•è collocato nei luoghi ripresi o nelle immediate vicinanze, non necessariamente a contatto con la telecamera;
•ha un formato ed un posizionamento tale da essere chiaramente visibile;
•ingloba un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati se le immagini sono solo
visionate o anche registrate.
Valutazioni per l'adozione di un sistema di videosorveglianza
Il Signor Giuseppe Marchetti legale rappresentante pro tempore del titolare del trattamento dei dati personali
operati nell’ambito delle proprie attività, con la presente valutà la necessità di adottare un sistema di videosorveglianza
a seguito delle seguenti osservazioni:
Attività del Titolare del trattamento:
Assistenza agli anziani
Controllo degli accessi, sicurezza degli assistiti, tutela del personale, degli assistiti e dei beni
si rende necessario per la tutela e la sicurezza del patrimonio e delle persone attivare il sistema di videosorveglianza
rispettando i seguenti:
Principi di liceità: la videosorveglianza avviene nel rispetto, altre che della disciplina in materia di protezione dei
dati, di quanto prescritto da altre disposizioni di legge da osservare in caso di installazione di apparecchi audiovisivi.
Sono tenute presenti, inoltre, le norme riguardanti la tutela dei lavoratori, con particolare riferimento alla legge 300/1970 .
(Statuto dei lavoratori)
Principi di necessità: è escluso ogni uso superfluo e sono evitati eccessi e ridondanze.Il sistema informativo e il
relativo programma informatico sono conformati in modo da non utilizzare dati relativi a persone identificabili quando
le finalità del trattamento possono essere realizzate impiegando solo dati anonimi. Il software è configurato in modo da
cancellare periodicamente i dati eventualmente registrati
Principi di finalità: i sistemi di videosorveglianza sono introdotti come misura complementare volta a migliorare la
sicurezza all’interno o all’esterno di edifici o impianti ove si svolgono attività produttive, industriali, .commerciali o di servizi,
e hanno lo scopo di agevolare l’eventuale esercizio, in sede di giudizio civile o penale, del diritto di difesa del titolare del
trattamento o di terzi sulla base di immagini utili in caso di fatti illeciti
Principi di proporzionalità: viene evitata la rilevazione di dati in aree o attività che non sono soggette a concreti pericoli,
o per le quali non ricorre un’effettiva esigenza di deterrenza, le telecamere non vengono installate solo per meri fini di
apparenza o di "prestigio".
L'attività di videosorveglianza è svolta nel rispetto dello Statuto dei lavoratori .
Rapporti di lavoro: Nelle attività di sorveglianza occorre rispettare il divieto di controllo a distanza dell’attività lavorativa e
ciò anche in caso di erogazione di servizi per via telematica mediante c.d. "web contact center". Vanno poi osservate le
garanzie previste in materia di lavoro quando la videosorveglianza è impiegata per esigenze organizzative e dei processi
produttivi, ovvero è richiesta per la sicurezza del lavoro (art. 4 legge n. 300/1970; art. 2 d.lg. n. 165/2001). Queste garanzie
vanno osservate sia all’interno degli edifici, sia in altri luoghi di prestazione di lavoro, così come, ad esempio, si è rilevato
in precedenti provvedimenti dell’Autorità a proposito di telecamere installate su autobus (le quali non devono riprendere
in modo stabile la postazione di guida, e le cui immagini, raccolte per finalitàdi sicurezza e di eventuale accertamento di
illeciti, non possono essere utilizzate per controlli, anche indiretti, sull’attività lavorativa degli addetti).
Ê inammissibile l’installazione di sistemi di videosorveglianza in luoghi riservati esclusivamente ai lavoratori o non
destinati all’attività lavorativa (ad es. bagni, spogliatoi, docce, armadietti e luoghi ricreativi). Eventuali riprese televisive sui
luoghi di lavoro per documentare attività od operazioni solo per scopi divulgativi o di comunicazione istituzionale o aziendale,
e che vedano coinvolto il personale dipendente, possono essere assimilati ai trattamenti temporanei finalizzati alla
pubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero.
In tal caso, alle stesse si applicano le disposizioni sull’attività giornalistica contenute nel Codice, fermi restando, comunque,
i limiti al diritto di cronaca posti a tutela della riservatezza, nonché l’osservanza del codice deontologico per l’attività
giornalistica ed il diritto del lavoratore a tutelare la propria immagine opponendosi anche, per motivi legittimi, alla sua
diffusione.
pagina 38
22/03/11
ARCHIVIO DEI DATI OGGETTO DEL TRATTAMENTO
codice
Anagrafica Clienti
ACL
Contenuto: Dati dei clienti
Personali
Identificativi
Tipologia dati:
Particolari
Sensibili
Interessati dei dati: Clienti
Finalità del trattamento: Adempimenti contrattuali e obblighi fiscali e contabili e di legge
RESPONSABILE DEL TRATTAMENTO: Donetta Verniani
Incaricato del trattamento:
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Tipologia del Trattamento:
Localizzazione dei dati:
Tipologia rete:
Dispositivo di Accesso:
Accesso contemporaneo:
Password:
Cambio Password:
Scadenza della password:
Antivirus:
Anti intrusione:
Supporti rimovibili:
Copie di sicurezza:
Archiviazione dei dati:
Struttura di riferimento:
Ufficio Direzione
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Informatico
Server
Rete Locale
Personal Computer
non consentito con la stessa USER ID
non consentito con la stessa password
accesso tramite password alfanumerica di caratteri
possibilità autonoma del cambio della password
semestrale
con aggiornamento automatico
E' installato un Firewall a livello di software
CD-rom / DVD
i supporti vengono cancellati dopo l'utilizzo
supporto
ubicazione
CD-rom / DVD
Cassaforte
Server
Elenco dei trattamenti dei dati personali; punto 19.1 dell'allegato B al D.Lgs 196/2003
8
pagina 39
22/03/11
codice
Anagrafica Fornitori
AFR
Contenuto: Dati dei fornitori
Personali
Identificativi
Tipologia dati:
Particolari
Interessati dei dati: Fornitori
Donetta Verniani
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
Tipologia rete:
Password:
Cambio Password:
Antivirus:
Anti intrusione:
Copie di sicurezza:
Ufficio Direzione
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Servizi Tecnici
Informatizzato
Server
Rete Locale
Personal Computer
semestrale
CD-rom / DVD
supporto
ubicazione
CD-rom / DVD
Cassaforte
Server
8
pagina 40
22/03/11
codice
Contabilità
CON
Contenuto: Dati dei clienti, fornitori, dipendenti, collaboratori ecc.
Personali
Identificativi
Tipologia dati:
Particolari
Interessati dei dati: Clienti, fornitori, dipendenti, collaboratori, ecc.
Finalità del trattamento: Adempimenti di legge e obblighi fiscali e contabili, previdenziali
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Daniela Arena
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Tipologia rete:
Password:
Cambio Password:
Antivirus:
Anti intrusione:
Copie di sicurezza:
Ufficio Direzione
Ufficio Personale
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Informatizzato
Server
Rete Locale
Personal Computer
semestrale
CD-rom / DVD
supporto
ubicazione
CD-rom / DVD
Cassaforte
Server
8
pagina 41
22/03/11
codice
Dipendenti e Lavoro
DPL
Contenuto: Dati dei dipendenti e collaboratori
Personali
Identificativi
Tipologia dati:
Particolari
Sensibili
Interessati dei dati: Dipendenti, collaboratori
Adempimenti e obblighi fiscali, previdenziali relativi al rapporto di
Finalità del trattamento: lavoro dipendente, di collaborazione ed a progetto
Donetta Verniani
Daniela Arena
Emanuele Marangoni
Irene Tripodi
Tipologia rete:
Password:
Cambio Password:
Antivirus:
Anti intrusione:
Copie di sicurezza:
Ufficio Direzione
Ufficio Personale
Ufficio Ragioneria
Ufficio Ragioneria
Informatizzato
Server
Rete Locale
Personal Computer
trimestrale
CD-rom / DVD
supporto
ubicazione
CD-rom / DVD
Cassaforte
Server
8
pagina 42
22/03/11
codice
Contratti di Locazione
COL
Contenuto: Dati dell'azienda, dei clienti e dei fornitori
Personali
Identificativi
Tipologia dati:
Particolari
Interessati dei dati: L'azienda e clienti
Finalità del trattamento: Adempimenti e obblighi relativi alla gestione dei contratti di affitto
Donetta Verniani
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
Tipologia rete:
Ufficio Direzione
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Servizi Tecnici
Informatizzato
Server
Rete Locale
Personal Computer
Accesso contemporaneo: non consentito con la stessa USER ID
Password: accesso tramite password alfanumerica di caratteri
Cambio Password: possibilità autonoma del cambio della password
Scadenza della password: semestrale
Antivirus: con aggiornamento
automatico
Anti intrusione: E' installato un Firewall a livello di software
Supporti rimovibili: CD-rom / DVD
supporto
ubicazione
Copie di sicurezza: CD-rom / DVD
Cassaforte
Archiviazione dei dati: Server
Elenco dei trattamenti dei dati personali; punto 19.1 dell'allegato B al D.lgs. 196/2003
8
pagina 43
30/12/25
22/03/11
codice
Magazzino
MAG
Contenuto: Dati dei clienti, fornitori
Personali
Identificativi
Tipologia dati:
Interessati dei dati: Clienti e fornitori
Adempimenti relativi alla gestione del magazzino, documenti di
Finalità del trattamento: trasporto
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Daniela Arena
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
Tipologia rete:
Password:
Cambio Password:
Antivirus:
Anti intrusione:
Copie di sicurezza:
Ufficio Direzione
Ufficio Personale
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Servizi Tecnici
Informatizzato
Server
Rete Locale
Personal Computer
semestrale
con aggiornamento
automatico
CD-rom / DVD
supporto
ubicazione
CD-rom / DVD
Cassaforte
Server
8
pagina 44
22/03/11
codice
Anagrafica Parenti degli ospiti
ANP
Contenuto: Dati dei parenti degli ospiti
Personali
Identificativi
Tipologia dati:
Particolari
Interessati dei dati: Parenti degli ospiti
Assistenza sanitaria degli ospiti ed adempimenti contrattuali,
Finalità del trattamento: obblighi fiscali e contabili
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Daniela Arena
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
Tipologia rete:
Password:
Cambio Password:
Antivirus:
Anti intrusione:
Copie di sicurezza:
Ufficio Direzione
Ufficio Personale
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Servizi Tecnici
Informatizzato
Server
Rete Locale
Personal Computer
semestrale
CD-rom / DVD
supporto
ubicazione
CD-rom / DVD
Cassaforte
Server
8
pagina 45
22/03/11
ARCHIVI DEI DATI OGGETTO DEL TRATTAMENTO
codice
Anagrafica Clienti
ACL-C
Contenuto: Dati dei clienti
Personali
Identificativi
Tipologia dati:
Particolari
Sensibili
Interessati dei dati: Clienti
Finalità del trattamento:
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Ufficio Direzione
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Tipologia del Trattamento: cartaceo
Documenti in uso conservati in: Armadio con serrature
Archivio documenti: Armadio con serrature
Accesso all'archivio: consentito al solo personale autorizzato
Utilizzo dei documenti: nei locali ufficio durante lo svolgimento quotidiano
delle mansioni
Copia ottica dei documenti: non viene effettuata
Riutilizzo dei documenti o copie: non consentito
pagina 46
22/03/11
codice
AFR-C
Contenuto: Dati dei fornitori
Personali
Identificativi
Tipologia dati:
Particolari
Interessati dei dati: Fornitori
Donetta Verniani
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
Ufficio Direzione
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Servizi Tecnici
delle mansioni
pagina 47
Contabilità
22/03/11
codice
CON-C
Contenuto: Dati dei clienti, fornitori, dipendenti, collaboratori ecc.
Personali
Identificativi
Tipologia dati:
Particolari
Interessati dei dati: Clienti, fornitori, dipendenti, collaboratori, ecc.
Adempimenti di legge e obblighi fiscali e contabili,
Finalità del trattamento: previdenziali
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Daniela Arena
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Ufficio Direzione
Ufficio Personale
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
delle mansioni
pagina 48
Dipendenti e Lavoro
22/03/11
codice
DPL-C
Contenuto: Dati dei dipendenti e collaboratori
Personali
Identificativi
Tipologia dati:
Particolari
Sensibili
Interessati dei dati: Dipendenti, collaboratori
Adempimenti e obblighi fiscali, previdenziali relativi al
rapporto di lavoro dipendente, di collaborazione ed a
Finalità del trattamento: progetto
Donetta Verniani
Daniela Arena
Emanuele Marangoni
Irene Tripodi
Ufficio Direzione
Ufficio Personale
Ufficio Ragioneria
Ufficio Ragioneria
delle mansioni
pagina 49
Cartelle visite mediche
22/03/11
codice
VME-C
Contenuto: Dati dei Dipendenti
Personali
Identificativi
Tipologia dati:
Particolari
Sensibili
Interessati dei dati: Dipendenti
Finalità del trattamento: Visite mediche previste dalla normativa
Francesco La Guardia
Medico incaricato
Documenti in uso conservati in: In busta sigillata
Archivio documenti: Amadio con serratura
Accesso all'archivio: consentito al solo medico incaricato
Utilizzo dei documenti: nei locali adibiti appositamente durante lo svolgimento periodico
delle visite
pagina 50
Sicurezza sul lavoro
22/03/11
codice
S81-C
Contenuto: Dati dei dipendenti, collaboratori e terzi
Personali
Identificativi
Tipologia dati:
Particolari
Sensibili
Interessati dei dati: Dipendenti, collaboratori e terzi
Finalità del trattamento: Adempimenti relativi alla sicurezza sul lavoro
Maria Valentino
Donetta Verniani
Responsabile del Servizio di Prev. e Prot.
Ufficio Direzione
delle mansioni
22/03/11
pagina 51
codice
S81-C
Il trattamento dei dati relativi alla sicurezza sul lavoro avviene nel pieno rispetto di quanto
previsto dall'art. 53 del D.Lgs. 81/2008
Verifiche effettuate:
Le modalità di gestione della documentazione sono tali da assicurare che:
3) Le operazioni di validazione dei dati sono univocamente riconducibili alle persone responsabili che le hanno
SI
SI
SI
effettuate mediante l'accesso all'archivio cartaceo
4) Le eventuali informazioni di modifica, ivi comprese quelle inerenti alle generalità e ai dati occupazionali del lavoratore,
SI
1) L'accesso alla documentazione è consentito solo ai soggetti a ciò espressamente abilitati dal titolare del trattamento;
2) La validazione delle informazioni inserite è consentito solo alle persone responsabili, in funzione della natura dei dati;
siano solo aggiuntive a quelle già archiviate;
5) L'accesso agli archivi è regolamentato
6) Nel caso in cui le attività del datore di lavoro siano articolate su vari sedi geografiche o organizzate in distinti settori
SI
SI
funzionali, gli archivi sono presso ogni unità locale
7) La documentazione su supporto cartaceo è custodita nel rispetto del D.Lgs. 196/2003
SI
Art. 53. Tenuta della documentazione
1. E' consentito l'impiego di sistemi di elaborazione automatica dei dati per la memorizzazione di qualunque tipo di documentazione
prevista dal presente decreto legislativo.
2. Le modalità di memorizzazione dei dati e di accesso al sistema di gestione della predetta documentazione devono essere tali da
assicurare che:
a) l'accesso alle funzioni del sistema sia consentito solo ai soggetti a ciò espressamente abilitati dal datore di lavoro;
b) la validazione delle informazioni inserite sia consentito solo alle persone responsabili, in funzione della natura dei dati;
c) le operazioni di validazione dei dati di cui alla lettera b) siano univocamente riconducibili alle persone responsabili che le
hanno effettuate mediante la memorizzazione di codice identificativo autogenerato dagli stessi;
d) le eventuali informazioni di modifica, ivi comprese quelle inerenti alle generalità e ai dati occupazionali del lavoratore, siano
solo aggiuntive a quelle già memorizzate;
e) sia possibile riprodurre su supporti a stampa, sulla base dei singoli documenti, ove previsti dal presente decreto legislativo,
le informazioni contenute nei supporti di memoria;
f) le informazioni siano conservate almeno su due distinti supporti informatici di memoria e siano implementati programmi di
protezione e di controllo del sistema da codici virali;
g) sia redatta, a cura dell'esercente del sistema, una procedura in cui siano dettagliatamente descritte le operazioni necessarie
per la gestione del sistema medesimo. Nella procedura non devono essere riportati i codici di accesso.
3. Nel caso in cui le attività del datore di lavoro siano articolate su vari sedi geografiche o organizzate in distinti settori funzionali,
l'accesso ai dati può avvenire mediante reti di comunicazione elettronica, attraverso la trasmissione della password in modalità
criptata e fermo restando quanto previsto al comma 2 relativamente alla immissione e validazione dei dati da parte delle
persone responsabili.
4. La documentazione, sia su supporto cartaceo che informatico, deve essere custodita nel rispetto del decreto legislativo
30 giugno 2003, n. 196, in materia di protezione dei dati personali.
5. Tutta la documentazione rilevante in materia di igiene, salute e sicurezza sul lavoro e tutela delle condizioni di lavoro può essere
tenuta su unico supporto cartaceo o informatico. Ferme restando le disposizioni relative alla valutazione dei rischi, le modalità
per l'eventuale eliminazione o per la tenuta semplificata della documentazione di cui al periodo che precede sono definite con
successivo decreto, adottato, previa consultazione delle parti sociali, sentita la Conferenza permanente per i rapporti tra lo Stato
le regioni e le province autonome di Trento e di Bolzano, entro dodici mesi dalla data di entrata in vigore del presente decreto.
6. Fino ai sei mesi successivi all'adozione del decreto interministeriale di cui all'articolo 8 comma 4, del presente decreto
restano in vigore le disposizioni relative al registro infortuni ed ai registri degli esposti ad agenti cancerogeni e biologici.
pagina 52
22/03/11
codice
COL-C
Contenuto: Dati dell'azienda, dei clienti e dei fornitori
Personali
Identificativi
Tipologia dati:
Particolari
Interessati dei dati: L'azienda e clienti
Adempimenti e obblighi relativi alla gestione dei contratti di
Finalità del trattamento: affitto
Donetta Verniani
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
Ufficio Direzione
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Servizi Tecnici
delle mansioni
pagina 53
Magazzino
22/03/11
codice
MAG-C
Contenuto: Dati dei clienti, fornitori
Personali
Identificativi
Tipologia dati:
Interessati dei dati: Clienti e fornitori
Adempimenti relativi alla gestione del magazzino, documenti di
Finalità del trattamento: trasporto
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Daniela Arena
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
Ufficio Direzione
Ufficio Personale
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Servizi Tecnici
delle mansioni
pagina 54
22/03/11
codice
ANP-C
Contenuto: Dati dei parenti degli ospiti
Personali
Identificativi
Tipologia dati:
Particolari
Interessati dei dati: Parenti degli ospiti
Assistenza sanitaria degli ospiti ed adempimenti contrattuali,
Finalità del trattamento: obblighi fiscali e contabili
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Daniela Arena
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
Ufficio Direzione
Ufficio Personale
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Assistenza Anziani
Servizi Tecnici
delle mansioni
Note:
pagina 55
RESPONSABILE DEL TRATTAMENTO DEI DATI
RESPONSABILE: Donetta Verniani
DATA NOMINA: 30/03/2006
Indirizzo e-mail:
Accesso ad internet:
Continuità elettrica
Manutenzione dei sistemi
Assistenza Tecnica
Dispositivo di accesso
Antivirus
Firewall
Antispam e-mail
Anti Spyware e Dialer
Copia su disco mirror
Archivi su supporti magnetici
Backup
Backup remoto
Disaster recovery
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
Magazzino
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
*
*
Armadi ignifughi
S
S
S
S
S
S
S
Distruttore documenti
Mezzi di spegnimento
S
S
S
S
S
S
S
Archivio cartaceo controllato
Allarme Antincendio
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
Magazzino
Copia ottica archivi cartacei
Serramenti blindati
F
Impianto antifurto
N
Videosorveglianza
I
banca dati
Controllo accessi
trattamento
incarico
S
S
S
S
S
S
S
O
R
M
A
T
I
C
O
C
A
R
*
*
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
T
A
C
E
O
Note: S
affidamento incarico facoltativo
incarico non necessario
S
*
affidamento incarico obbligatorio
*
incarico facoltativo da prevedere e predisporre protezione rischi
incarico obbligatorio da prevedere e predisporre protezione rischi
La distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
pagina 56
punto 19.2 dell'allegato B al D.Lgs 196/2003
S
S
S
S
S
S
S
S
S
22/03/11
Istruzioni per il Responsabile del trattamento dei dati
Istruzioni per il Responsabile del Trattamento
Il responsabile del trattamento ha il potere il dovere di compiere tutto quanto si renderà necessario ai fini del
rispetto e della corretta applicazione del D.Lgs. 30/06/2003 N. 196; in particolare dovrà:
• Osservare il D.Lgs. 30 giugno 2003, n. 196 e le altre disposizioni legislative e regolamentari in materia di
riservatezza delle persone osservando i principi di liceità e correttezza.
• Osservare le disposizioni che verranno impartite dal titolare;.
• Adottare e rispettare le misure di sicurezza indicate e predisposte dal titolare del trattamento.
• Individuare e nominare per iscritto gli incaricati del trattamento e successivamente diramare le istruzioni
necessarie per un corretto, lecito, sicuro trattamento.
• Vigilare sul rispetto delle istruzioni impartite agli incaricati.
• Vigilare sul rispetto di dette misure di sicurezza da parte dei soggetti incaricati.
• Verificare trimestralmente lo stato di applicazione del D.Lgs. 30 giugno 2003 n. 196, nonché il buon
funzionamento, la corretta applicazione e la conformità alle indicazioni dell’Autorità Garante, dei sistemi e
delle misure di sicurezza adottate.
• Predisporre, a seguito di ciascuna verifica, una relazione scritta in ordine a tutti gli adempimenti eseguiti
ai sensi del D.Lgs. 30 giugno 2003 n. 196, alla documentazione raccolta ed archiviata ai sensi del
medesimo decreto nonché in ordine alle misure di sicurezza. Tale relazione dovrà essere successivamente
trasmessa al titolare del trattamento.
• Attuare gli obblighi di informativa e di acquisizione del consenso nei confronti degli interessati;.
• Garantire all'interessato l'effettivo esercizio dei diritti previsti dall'art. 7 del D.Lgs. 30 giugno 2003, n. 196.
• Predisporre la richiesta di autorizzazione preventiva al trattamento di dati sensibili (quando necessaria) da
inviare all'Autorità Garante;
• Evadere tempestivamente le richieste di informazioni da parte dell’Autorità Garante e dare immediata
esecuzione alle disposizioni che perverranno dalla medesima Autorità.
• Interagire con i soggetti incaricati di eventuali verifiche, controlli o ispezioni.
• Comunicare immediatamente al titolare gli eventuali nuovi trattamenti da intraprendere nel proprio settore di
competenza, provvedendo alle necessarie formalità di legge.
• Distruggere i dati personali in caso di cessazione del trattamento ed alla scadenza degli obblighi di
conservazione degli stessi provvedendo alle necessarie formalità di legge.
Istruzioni al responsabiledel trattamento dei dati
pagina 57
*
22/03/11
Verifica delle condizioni necessarie per assolvere agli obblighi per adempiere al
provvedimento sull'Amministratore di sistema
Per effettuare la verifica si attesta:
a) di aver preso atto e conoscenza della definizione delle categorie dei dati "sensibili e giudiziari"
b) di aver effettuato un'attenta e scrupolosa analisi della tipologia dei dati e della forma di trattamento eseguita
Verifiche effettuate:
ESITO
Vengono trattati dati giudiziari
Vengono trattati dati sensibili costituiti unicamente da certificati di malattia senza diagnosi
e da adesione a sindacati
L'elaborazione delle buste paghe e l'amministrazione del personale sono affidate ad un
soggetto esterno
Vengono trattati dati sensibili relativi ai clienti
I dati contenuti nelle denunce di infortunio vengono trasmesse all'INAIl
Il trattamento dei dati avviene esclusivamente a fini amministrativi e contabili
Il sistema informatico è di modesta e limitata entità
Gli unici interventi sui sistemi software sono occasionali e a seguito di manutenzione o guasto
Esistono accessi in remoto per l'assistenza software
Vengono trattati dati sensibili dei clienti
NO
SI
NO
SI
SI
NO
SI
SI
SI
SI
Conclusione:
verificato che all’interno della nostra struttura attualmente non esiste nessun soggetto che ricopra la mansione di
Amministratore di Sistema e che abbia le caratteristiche di esperienza, capacità ed affidabilità come previsto
dalle vigenti disposizioni, che il nostro sistema informatico non è particolarmente complesso e di limitata entità,
che gli unici interventi sui nostri sistemi software sono occasionali e a seguito di manutenzione o guasto, che
sono stati richiesti alle aziende che effettuano assistenza Hardware e Software sui nostri sistemi i nominativi
degli amministratori di sistema che eventualmente possano accedere ai dati e che si stanno valutando software
per registrare gli eventuali accessi effettuati da loro effettuati: non si procede alla nomina di un amministratore
di sistema.
Si è provveduto a richiedere ai fornitori di servizi in outsourcing che trattano i dati e o che possano accedervi
i nominativi degli amministratori di sistema
prima valutazione eseguita in data:
07/12/2009
verifica delle condizioni necessarie in data:
22/03/2011
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni
pagina 58
delle funzioni di amministratore di sistema - 27 novembre 2008
22/03/11
INCARICATO ALLA CUSTODIA DELLE PASSWORD
CUSTODE DELLE PASSWORD Donetta Verniani
DATA NOMINA: 22/12/2010
Particolari
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Giudiziari
identificativi
I
I
I
I
I
I
I
I
I
I
I
I
I
F
F
F
Comuni
Titolare, Soci e Collaboratori
Marcella Boccherini
Meini Sabrina
Biagio Monte
Vincenzo Lotti
Lina Beligni
Pietro Madaluni
Tiberio Daddi
Alicja Teresa Igor Szymanik
Mounir Belghit
Elisa Silvestri
Alina Ramona Barnea
Francesco Chellini
Alessandro Bonini
Katherine Balatri
Elena Constantin
Castellani Chiara
Responsabile
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
SEMESTRALE
Donetta Verniani
Martina Nencetti
Paola Barbacci
Antonella Leoncini
Daniela Arena
Alessandra Casini
Emanuele Marangoni
Irene Tripodi
Veronica Spina
Laura Secci
Francesca Pajer
qualifica
TRIMESTRALE
Dipendenti
Sensibili
dati
scadenza
I = Infermiere
F= Fisioterapista
Responsabile del Servizio di Prevenzione e Protezione
Modalità di conservazione delle password
Luogo di conservazone
Armadio con serratura
pagina 59
22/03/11
Istruzioni impartite agli incaricati per la custodia della password e la gestione della postazione di lavoro
Al fine di consentirle il trattamento di dati personali relativi alle nostre banche dati, le è stato affidato, uno specifico
incarico come richiesto dal Codice sulla protezione dei dati personali (D.Lgs. n. 196/2003).
A tutela Sua e dei dati che dovrà trattare nell’adempimento delle sue mansioni, il Codice prevede che l’accesso
ai programmi software e/o agli strumenti elettronici che Lei utilizza nel normale svolgimento dell’attività lavorativa,
sia protetto da una parola chiave (password) associata all’identificativo della sua identità (username/user id)).
L’obiettivo di questa prescrizione della legge è di evitare che persone non conosciute e dunque non autorizzate,
accedano ai dati. A questo fine la segretezza della parola chiave è essenziale.
Per garantire, appunto, tale segretezza La invitiamo a rispettare le seguenti semplici norme:
1. Nel momento in cui Lei ha assunto la qualità di incaricato del trattamento di dati personali, Le è stato assegnato
un codice identificativo ed una parola chiave utile per il primo accesso: la parola chiave dovrà essere subito da
Lei modificata in modo da essere nota a solamente a Lei.
2. Qualora lei abbia accesso a più sistemi di gestione, le potranno essere forniti diversi codici identificativi. Per
ciascuno di essi dovrà effettuare quanto indicato al punto 1: la parola chiave può essere la stessa
3. Successivamente al primo utilizzo la parola chiave dovrà essere modificata almeno ogni sei mesi (tre mesi in
caso di trattamento di dati sensibili o giudiziari).
4. La parola chiave che imposterà non dovrà contenere riferimenti agevolmente riconducibili a lei (nome di battesimo data di nascita, nome del coniuge, dei figli etc.) e preferibilmente conterrà lettere maiuscole e minuscole
e caratteri speciali (es.: *,-,%).
5. La lunghezza della parola chiave dovrà superare gli otto caratteri. Qualora il sistema consenta solo parole
chiave più corte, la lunghezza dovrà essere quella massima consentita dal sistema.
6. Non dovrà comunicare la Sua parola chiave a nessuno, né all’interno dell’ufficio né all’esterno.
7. A nessuno è consentito, in base a ragioni di servizio o di gerarchia, di chiederle di comunicare la sua parola
chiave.
8. Non dovrà lasciare la parola chiave in formato intelligibile (post-it, appunti, ...) in evidenza presso la sua postazione di lavoro. Se ritiene di dover disporre della parola chiave in forma scritta per ragioni pratiche, la conservi in
un cassetto chiuso o la tenga presso di sé (portafoglio, ...).
9. Non utilizzare la caratteristica, offerta da alcuni software, di salvare automaticamente la password per successivi
utilizzi delle applicazioni;
In base al codice identificativo utilizzato e alla conferma dell’identità dell’utilizzatore ottenuta tramite la parola chiave
vengono stabiliti dal sistema i diritti d’accesso agli specifici trattamenti ed ai dati. I diritti d’accesso, cioè il suo
profilo di autorizzazione,sono quello relativi ai trattamenti di dati personali per i quali Lei è stato incaricato.
Chiunque dovesse utilizzare il suo identificativo per accedere a dati a cui non è autorizzato può acquisire
informazioni o modificarle usando la sua identità e dunque facendo ricadere su di lei ogni conseguenza: per questo
il rispetto delle semplici cautele descritte è innanzitutto a tutela sua.
Per questa ragione, al fine di evitare confusioni o abusi, la legge prescrive che il codice identificativo che le viene
assegnato non possa essere più riassegnato ad altri anche in caso di sue dimissioni o di trasferimento in altro
ufficio.
A completamento di quanto sopra riportato, sempre al fine di assicurare la tutela dei dati personali e l’autotutela
degli incaricati, dovranno essere poste in essere le seguenti norme:
1. Tutti i Personal Computer in uso dovranno essere dotati di screen saver con parola chiave associata.
2. Lo screen saver dovrà essere impostato per entrare in funzione in un tempo ragionevole dopo l’ultima attività
dell’incaricato
3. La parola chiave associata allo screen saver dovrà essere definita e modificata secondo le regole previste per
tutte le parole chiave e descritte nella presente comunicazione.
4. Qualora gli strumenti in uso non consentissero l’uso di screen saver, sarà cura dell’incaricato spegnere o
disattivare il dispositivo di accesso ai dati (terminale o Personal Computer) ogni qualvolta dovrà assentarsi dal
posto di lavoro senza poter controllare eventuali usi illegittimi durante l’assenza
Se volesse avere ulteriori chiarimenti in merito, potrà rivolgersi al Responsabile del trattamento dei dati, a cui la
preghiamo di segnalare qualsiasi proposta di miglioramento delle procedure o altra questione relativa alla
protezione dei dati personali.
Istruzioni agli incaricati per la custodia della password e la gestione della postazione di lavoro pagina 60
22/03/11
Istruzioni agli incaricati per il trattamento dei dati
Definizione del trattamento
Inserimento: la raccolta, la registrazione, l'organizzazione, la conservazione
Modifica: l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione,
il blocco, la comunicazione
Annullamento: la cancellazione, la distruzione
Consultazione: la consultazione, la comunicazione
Stampa: per ii dati cartacei si intende fotocopiare
Diffusione: trattamento sempre inibito, autorizzato solo ed esclusivamente previo consenso dell'intressato e
con specifico incarico scritto.
Istruzioni agli incaricati
Al fine di una corretta applicazione della legge citata, nonché di una adeguata tutela dei diritti degli interessati
e ai sensi dell'art. 11 del D.Lgs. 196/2003 l'incaricato deve:
• Trattare tutti i dati personali di cui viene a conoscenza nell’ambito dello svolgimento delle proprie funzioni, in
modo lecito e secondo correttezza.
• Raccogliere e registrare i dati per scopi determinati, espliciti e legittimi, ed utilizzarli in altre operazioni del
trattamento in termini compatibili con tali scopi
• Utilizzare dati esatti e, se necessario aggiornati
• Utilizzare dati pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati
• Conservare i dati in una forma che consenta l’identificazione dell’interessato per un periodo non superiore a
quello necessario agli scopi per i quali essi sono stati raccolti e successivamente trattati, nel rispetto dei
limiti temporali previsti dalla normativa fiscale e da regolamenti.
Modalità operative da osservare per il trattamento dei dati
Al fine della corretta gestione dei dati personali oggetto del trattamento, l'incaricato deve attenenersi alle
seguenti indicazioni:
a) Utilizzare le seguenti banche dati specificate nella lettera d'incarico
b) Utilizzare i seguenti strumenti:
1. Strumenti elettronici, localizzati in uffici l'accesso ai quali è oggetto di particolari protezioni.
2. Schedari e altri supporti cartacei, localizzati in uffici l'accesso ai quali è oggetto di particolari protezioni
c) Osservare le seguenti istruzioni
• Aggiornare alla scadenza prevista la password di accesso alle banche dati.
• Custodire e non divulgare il codice di identificazione personale (user name) e la chiave di accesso (password)
agli strumenti elettronici
• Trattare solo i dati necessari alla normale attività lavorativa
• E' vietato creare nuove banche dati, contenenti dati sensibli e particolari, senza espressa autorizzazione del
Titolare o del Responsabile del trattamento dei dati
• Non lasciare incustodito il proprio posto di lavoro prima di aver provveduto alla messa in sicurezza dei dati;
non lasciare incustuditi ed accessibili a terzi gli strumenti elettronici mentre è in corso una sessione di lavoro
• Limitare l'accesso ai dati all'espletamento delle proprie mansioni ed esclusivamente negli orari di lavoro
• Mantenere assoluto riserbo sui dati personali di cui vengono a conoscenza nell’esercizio delle proprie funzioni
• Comunicare e/o diffondere, se autorizzati, solo i dati personali relativi alle banche dati autorizzate al trattamento
• Vietato asportare supporti informatici o cartacei contenenti dati personali di terzi, senza la preventiva autorizzazione del titolare o del responsabile del trattamento dei dati.
• Usare particolare cura nell'utilizzo dei supporti informatici specialmente se contengono dati sensibili, ricordarsi di cancellarli o distruggerli quando non sono più necessari.
• Usare solo i documenti strettamente necessari al trattamento dei dati.
• Eventuali fotocopie o stampe non utilizzate devono essere distrutte o alterate per impedirne la consultazione
da parte di non autorizzati.
• Trattare dati personali per telefono, sole se si è certi che il corrispondente sia autorizzato.
• È fatto assoluto divieto di comunicare, diffondere, utilizzare i dati personali provenienti dalle banche dati
in assenza dell’autorizzazione del titolare o del responsabile del trattamento.
• Conservare e custodire la chiave di accesso all'archivio cartaceo con la massima cura e non lasciarla
incustodita al fine di garantire che l'accesso all'archivio sia possibile solo ai soggetti autorizzati
• Osservare tutte le avvertenze atte ad evitare le violazioni al D.Lgs. 30 giugno 2003 n. 196
Istruzioni agli incaricati per il trattamento dei dati
pagina 61
22/03/11
INCARICATO AL TRATTAMENTO DEI DATI
INCARICATO Donetta Verniani
Ufficio Direzione Attività svolta all'interno dell'azienda
Data Nomina: 30/03/2006
Data Autorizzazione accesso all'archivio cartaceo:
30/03/2006
Indirizzo e-mail:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
Dati particolari
Magazzino
Dati identificativi
Dati Personali
F
Dipendenti e Lavoro
Stampa
N
Contabilità
Consultazione
I
Annullamento
Modifica
Anagrafica Clienti
Inserimento
trattamento
banca dati
Dati sensibili
dati
attività
*
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
T
A
C
E
O
pagina 62
1
22/03/11
INCARICATO Martina Nencetti
Ufficio Relazioni Pubblico Attività svolta all'interno dell'azienda
22/12/2010
Indirizzo e-mail:
Stampa
*
*
I
N
F
Contabilità
*
*
*
*
*
Dipendenti e Lavoro
*
*
*
*
*
*
*
*
*
*
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
Magazzino
Dati sensibili
Consultazione
*
Dati particolari
Annullamento
*
Dati identificativi
Modifica
*
Dati Personali
Inserimento
trattamento
banca dati
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
dati
attività
*
*
O
R
M
A
T
I
C
O
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
T
A
C
E
O
pagina 63
22/03/11
INCARICATO Paola Barbacci
30/03/2006
Indirizzo e-mail:
Stampa
*
*
I
N
F
Contabilità
*
*
*
*
*
Dipendenti e Lavoro
*
*
*
*
*
*
*
*
*
*
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
Magazzino
Dati sensibili
Consultazione
*
Dati particolari
Annullamento
*
Dati identificativi
Modifica
*
Dati Personali
Inserimento
trattamento
banca dati
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
dati
attività
*
*
O
R
M
A
T
I
C
O
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
T
A
C
E
O
pagina 64
22/03/11
INCARICATO Antonella Leoncini
30/03/2006
Indirizzo e-mail:
I
N
F
Contabilità
*
*
Dipendenti e Lavoro
*
*
*
*
*
*
*
*
*
*
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
Magazzino
Dati sensibili
*
Dati particolari
*
Dati identificativi
*
*
Dati Personali
*
Stampa
*
Consultazione
Modifica
*
Annullamento
Inserimento
trattamento
banca dati
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
dati
attività
*
*
O
R
M
A
T
I
C
O
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
T
A
C
E
O
pagina 65
22/03/11
INCARICATO Daniela Arena
Ufficio Personale Attività svolta all'interno dell'azienda
22/12/2010
Indirizzo e-mail:
I
N
F
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Contabilità
Dipendenti e Lavoro
Magazzino
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
Dati particolari
Dati identificativi
Anagrafica Clienti
Dati Personali
Stampa
Consultazione
Annullamento
Modifica
Inserimento
trattamento
banca dati
Dati sensibili
dati
attività
*
*
*
O
R
M
A
T
I
C
O
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
T
A
C
E
O
pagina 66
22/03/11
INCARICATO Alessandra Casini
Ufficio Segreteria Attività svolta all'interno dell'azienda
30/03/2006
Indirizzo e-mail:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dipendenti e Lavoro
Magazzino
Dati sensibili
*
*
*
Dati particolari
*
*
*
Dati identificativi
*
*
*
Dati Personali
Stampa
F
Consultazione
N
Contabilità
Annullamento
I
Modifica
Inserimento
trattamento
banca dati
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
dati
attività
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
T
A
C
E
O
pagina 67
22/03/11
INCARICATO Emanuele Marangoni
Ufficio Ragioneria Attività svolta all'interno dell'azienda
30/03/2006
Indirizzo e-mail:
Dati particolari
Dati sensibili
Dati identificativi
Magazzino
Dati Personali
Stampa
F
Dipendenti e Lavoro
Consultazione
N
Contabilità
Annullamento
I
Modifica
Inserimento
trattamento
banca dati
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
dati
attività
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
T
A
C
E
O
pagina 68
22/03/11
INCARICATO Irene Tripodi
Ufficio Ragioneria Attività svolta all'interno dell'azienda
30/03/09
Indirizzo e-mail:
Dati particolari
Dati sensibili
Dati identificativi
Magazzino
Dati Personali
Stampa
F
Dipendenti e Lavoro
Consultazione
N
Contabilità
Annullamento
I
Modifica
Inserimento
trattamento
banca dati
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
dati
attività
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
T
A
C
E
O
pagina 69
22/03/11
INCARICATO Veronica Spina
Ufficio Economato Attività svolta all'interno dell'azienda
22/12/2010
Indirizzo e-mail:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dipendenti e Lavoro
Magazzino
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
*
*
*
Dati particolari
*
*
*
Dati identificativi
*
*
*
Dati Personali
F
Stampa
N
Contabilità
Consultazione
I
Annullamento
Modifica
Anagrafica Clienti
Inserimento
trattamento
banca dati
Dati sensibili
dati
attività
*
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
T
A
C
E
O
pagina 70
22/03/11
INCARICATO Laura Secci
Ufficio Segreteria Attività svolta all'interno dell'azienda
22/12/2010
Indirizzo e-mail:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dipendenti e Lavoro
Magazzino
Dati sensibili
*
*
*
Dati particolari
*
*
*
Dati identificativi
*
*
*
Dati Personali
Stampa
F
Consultazione
N
Contabilità
Annullamento
I
Modifica
Inserimento
trattamento
banca dati
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
dati
attività
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
T
A
C
E
O
pagina 71
22/03/11
INCARICATO Collaboratori servizi assistenziali
Servizi Assistenziali Attività svolta all'interno dell'azienda
30/03/2006
Indirizzo e-mail:
Stampa
Dati Personali
Dati identificativi
Dati particolari
Dati sensibili
Consultazione
Annullamento
Modifica
Inserimento
trattamento
banca dati
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Anagrafica Clienti
I
N
F
Contabilità
Dipendenti e Lavoro
Magazzino
*
Dati giudiziari
dati
attività
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
*
*
T
A
C
E
O
pagina 72
22/03/11
INCARICATO Addetto Assistenza Anziani
Assistenza Anziani Attività svolta all'interno dell'azienda
30/03/2006
Indirizzo e-mail:
I
N
F
Contabilità
Dipendenti e Lavoro
Magazzino
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
Dati particolari
Dati identificativi
Anagrafica Clienti
Dati Personali
Stampa
Consultazione
Annullamento
Modifica
Inserimento
trattamento
banca dati
Dati sensibili
dati
attività
*
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
*
*
T
A
C
E
O
pagina 73
22/03/11
INCARICATO Francesca Pajer
Servizi Tecnici Attività svolta all'interno dell'azienda
30/03/2006
Indirizzo e-mail:
Stampa
*
*
*
I
N
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
F
Contabilità
Dipendenti e Lavoro
Magazzino
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Dati giudiziari
Consultazione
*
Dati particolari
Annullamento
Dati identificativi
Modifica
*
Anagrafica Clienti
Dati Personali
Inserimento
trattamento
banca dati
Dati sensibili
dati
attività
*
*
*
O
R
M
A
T
I
C
O
Anagrafica Clienti
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Contabilità
Dipendenti e Lavoro
C
A
R
Magazzino
*
*
*
*
*
T
A
C
E
O
pagina 74
*
TITOLARE, SOCI E COLLABORATORI,
ASSOCIATI INCARICATI AL TRATTAMENTO
DEI DATI INFORMATICI
SOCI OPERATIVI E
COLLABORATORI
banca dati
Anagrafica Clienti
I
Contabilità
Dipendenti e Lavoro
N Contratti di Locazione
Magazzino
F Anagrafica Parenti degli ospiti
I
I
I
I
I
I
I
I
I
ALRE CARICHE E
QUALIFICHE
I PC COCOCOCO I
I
I
F F F
Dati Comuni
Dati identificativi
Dati Particolari
Dati sensibili
Dati giudiziari
Marcella Boccherini
Meini Sabrina
Biagio Monte
Vincenzo Lotti
Lina Beligni
Pietro Madaluni
Tiberio Daddi
Alicja Teresa Igor
Mounir Belghit
Elisa Silvestri
Giuseppe Marchetti
Luciano Lepri
Paolo Sestini
Tiziana Mauret
Don Luigi Oropallo
Alina Ramona
Francesco Chellini
Alessandro Bonini
Katherine Balatri
Elena Constantin
Castellani Chiara
trattamento
dati
AMMINISTRA- TORI
22/03/11
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
O
R
M
A
T
I
C
O
Accesso ad Internet:
Indirizzo e-mail:
Note: A = Associato allo studio
S = Socio operativo
C = Collaboratore esterno
T = Titolare
P = A Progetto
AU =
AD =
AM =
PC =
CO =
Amministratore Unico
Amministratore Delegato
Amministratore
Consigliere
PR = Procuratore
DT = Direttore Tecnico
pagina 75
*
TITOLARE, SOCI E COLLABORATORI,
ASSOCIATI INCARICATI AL TRATTAMENTO
DEI DATI CARTACEI
SOCI OPERATIVI E
COLLABORATORI
banca dati
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C Contratti di Locazione
A
Magazzino
R Sicurezza sul lavoro
I
I
I
I
I
I
I
I
I
ALRE CARICHE E
QUALIFICHE
I PC COCOCOCO I
I
I
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
T
A
C
E
O
Note: A = Associato allo studio
S = Socio operativo
C = Collaboratore esterno
T = Titolare
P = A Progetto
F F F
Dati Comuni
Dati identificativi
Dati Particolari
Dati sensibili
Dati giudiziari
Marcella Boccherini
Meini Sabrina
Biagio Monte
Vincenzo Lotti
Lina Beligni
Pietro Madaluni
Tiberio Daddi
Alicja Teresa Igor
Mounir Belghit
Elisa Silvestri
Giuseppe Marchetti
Luciano Lepri
Paolo Sestini
Tiziana Mauret
Don Luigi Oropallo
Alina Ramona
Francesco Chellini
Alessandro Bonini
Katherine Balatri
Elena Constantin
Castellani Chiara
trattamento
dati
AMMINISTRA- TORI
22/03/11
AU =
AD =
AM =
PC =
CO =
Amministratore Unico
Amministratore Delegato
Amministratore
Consigliere
PR = Procuratore
DT = Direttore Tecnico
pagina 76
*
22/03/11
SOGGETTI INCARICATI AL TRATTAMENTO PER I QUALI NON VIENE EFFETTUATA LA NOMINA
INDIVIDUALE
AMMINISTRATORI
Gli amministratori in virtù della loro nomina come da verbale dell'assemblea dei soci, sono agli effetti del D.P.S.
considerati incaricati al trattamento per le mansioni di loro competenza previste dallo statuto della società.
Nominativo
Giuseppe Marchetti
Luciano Lepri
Paolo Sestini
Tiziana Mauret
Don Luigi Oropallo
Carica
Consigliere
Consigliere
Consigliere
Consigliere
Data Nomina
Termine
SINDACI
I componenti del Collegio Sindacale in virtù della loro nomina come da verbale dell'assemblea dei soci, sono agli
effetti del D.P.S. considerati incaricati al trattamento per le mansioni di loro competenza previste dalla normativa
sui compiti e obblighi del Collegio Sindacale.
Nominativo
Alessio Nocentini
Nicoletta Mannini
Carica
Presidente del Collegio Sindacale
Sindaco Effettivo
Sindaco Effettivo
Note:
Data Nomina
Termine
A.B. Approvazione bilancio
pagina 77
22/03/11
INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI
RISORSA
FATTORE DI RISCHIO
RISCHIO
B
B
B
B
B
B
B
B
B
B
B
B
B
B
B
A
A
B
Turn Over
Umana
Assenze prolungate
Ignoranza procedurale
Guasto tecnologico
Danneggiamento
Incendio
Uso illegittimo
Hardware
Furto
Assistenza
Virus
Impossibilità d'uso
Obsolescenza
Interruzione d'uso
Virus
Danneggiamento
Copia abusiva
Validità licenza d'uso
Software
Impossibilità d'uso
Interruzione d'uso
B
B
B
B
B
Furto
Obsolescenza
Abilitazione all'accesso
Manutenzione
Integrità logica
Intercettazione
B
B
B
B
B
B
B
B
B
B
M
Modifica non controllata
Impossibilità di ripristino
Dati
Cancellazione
Virus
Comunicazione illegittima
Diffusione illegittima
Distruzione
Mancata documentazione
Interruzione trasmissione
Trasmissione
Malfunzionamento
Intecettazione volontaria
Note: B
M
A
MISURA ADOTTATA
Disattivazione password non utilizzate
Istruzioni in caso di assenza prolungata
Assistenza tencnica hardware
Impianto a doccia
Obbligo di segretezza delle credenziali
Impianto antifurto installato
Contratto di assistenza tecnica
Antivirus installato
Continuità elettrica in funzione
Non viene utilizzato hardaware obsoleto
Gruppo di continuità
Gruppo di continuità
Impianto antifurto installato
Aggiornamento tregolare dei software
Assegnazione password con le previste caratteristiche
Vengono eseguiti controlli aggiornati antivirus
Software firevall
backup giornaliero
Spyware installato e aggiornato
Disaster recovery attuato
Viene effettuata la verifica dei requisiti dei dati
Software firevall
rischio inesistente
rischio medio
rischio elevato
Analisi dei rischi che incombono sui dati; punto 19.3 dell'allegato B al D.Lgs 196/2003
pagina 78
#
#
#
#
#
#
#
I
N
F
Contabilità
Dipendenti e Lavoro
Magazzino
*
*
*
*
*
*
*
Erroni nella gestione della sicurezza
Guasto agli impianti
Eventi distruttivi naturali e dolosi
Accessi non autorizzati
Intercezzazione dati attraverso la rete
Accesso esterno non autorizzato
Cattivo funzionamento strumentale
Spamming attraverso e-mail
#
#
#
#
#
#
#
Furto di strumenti contenenti i dati
Eventi relativi
all'ambiente
eventi relatvi agli
strumenti elettronici
Azione di virus informatici
Errore materiale
Comportamento fraudolento
banca dati
Anagrafica Clienti
Disattenzione e incuria
comportamento
degli addetti
Furto delle credenziali
trattamento
ANALISI DEI RISCHI CHE
INCOMBONO SUI DATI
22/03/11
#
#
#
#
#
#
#
O
R
M
A
T
I
C
O
#
#
#
#
#
#
#
#
#
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
Magazzino
R
*
*
*
*
*
*
*
*
*
#
#
#
#
#
#
#
#
#
T
A
C
E
O
Note:
#
rischio medio
rischio inesistente
*
rischio elevato
rischio eliminato
Analisi dei rischi che incombono sui dati; punto 19.3 dell'allegato B al D.Lgs 196/2003
pagina 79
MISURE ATTUATE PER L'ELIMINAZIONE DEI RISCHI CHE INCOMBONO SUI DATI
Firewall
Antispam e-mail
Backup
Backup remoto
Disaster recovery
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
*
*
Antivirus
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Assistenza tecnica
S
S
S
S
S
S
S
Magazzino
Armadi ignifughi
F
Dipendenti e Lavoro
N
Allarme Antincendio
Contabilità
Serramenti blindati
I
Impianto antifurto
Videosorveglianza
banca dati
Anagrafica Clienti
Controllo accessi
trattamento
misure adottate
S
S
S
S
S
S
S
O
R
M
A
T
I
C
O
Anagrafica Clienti
Contabilità
Dipendenti e Lavoro
C
A
Magazzino
R
*
*
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
T
A
C
E
O
Note: S
*
misura adottata obbligatoria
S
misura adottata facoltativa
misura non adottata obbligatoria
*
misura non adottata facoltativa
rischio inesistente
Misure da adottare per garantire l'integrità, la disponibilità dei dati, e la protezione delle aree e dei locali,
rilevanti ai fin della loro custodia e accessibilità. Punto 19.4 dell'allegato B al D.Lgs 196/2003
pagina 80
22/03/11
SCHEDA ANALITICA DELLE
MISURE ATTUATE PER L'ELIMINAZIONE DEI RISCHI CHE INCOMBONO SUI DATI
*
*
Donetta Verniani
*
*
*
*
*
*
*
archivi cartacei
*
*
*
Donetta Verniani
software
Donetta Verniani
Donetta Verniani
Donetta Verniani
misura effettiva
hardware
*
Donetta Verniani
*
*
*
*
*
*
a richiesta
locale ufficio
ambito
intero edificio
contratto esterno
attuazione interna
nominativo
responsabile
o incaricato
attuata
*
*
cartacei
Videosorveglianza
Impianto antifurto
responsabilità
*
*
*
*
*
Controllo accessi
archivi
informatici
di contenimento
Misura adottata
di contrasto
preventiva
tipologia
*
*
*
*
*
*
*
*
*
vigilanza notturna
*
*
*
*
*
*
Rivelatore di fumi
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
descrizione della
misura
perimetro esterno
Serramenti blindati
*
Allarme antincendio
Impianto a doccia
Armadi Ignifughi
*
*
Aggiornamento software
*
Assistenza Tecnica
*
*
Screen Saver
Antivirus
Firewall
Anti Spyware, Dialer, Malware
Anti Spam E-mail
*
*
*
*
*
*
*
*
*
*
*
*
*
*
DATAGRAPH srl
*
Filippo Cellai Softwareuno ins srl
Donetta Verniani
Donetta Verniani
Donetta Verniani
Donetta Verniani
Ilaria Cerbai
Ilaria Cerbai
*
*
*
*
*
*
Un'ora
trimestrale
Filippo Cellai Softwareuno ins srl
password 8 caratteri
password ogni 10mn
automatico
software
Scansione Giornaliera
software installato
*
*
*
*
Backup Locale
Donetta Verniani
Emanuele Marangoni
*
*
*
*
tutti i dati
*
*
Attuazione interna
giornaliero
Backup Remoto
*
Disaster recovery
*
Archivio Cartaceo controllato
*
*
Distruttore Documenti
Note:
*
*
*
Donetta Verniani
Donetta Verniani
*
*
*
misura adottata
*
misura adottata in modo non soddisfacente
Donetta Verniani
*
*
*
*
*
*
*
*
Armadio con serrature
elettrico
Attuazione interna
pagina 81
VALUTAZIONE DELLE MISURE ATTUATE PER L'ELIMINAZIONE DEI RISCHI CHE
INCOMBONO SUI DATI
SCHEDA ANALITICA DELLE MODALITA' DI ATTUAZIONE
Data della valutazione: 22/03/2011
Serramenti blindati
*
*
*
Armadi Ignifughi
*
*
*
Assistenza Tecnica
*
*
Screen Saver
Antivirus
*
*
Firewall
Anti Spam E-mail
*
*
*
*
Backup
Backup Remoto
*
*
*
*
Disaster recovery
Archivio Cartaceo controllato
*
*
*
*
*
*
*
*
*
*
1
1
1
1
1
1
1
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Genetici
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Giudiziari
cartacei
informatici
*
Distruttore Documenti
Aggiornamento del personale
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Sensibili
*
*
Impianto antifurto
Allarme antincendio
di contenimento
*
*
tipologia dei
dati
Particolari
Videosorveglianza
di contrasto
MISURA
Controllo accessi
preventiva
tipologia
archivi
di misura
modalità di
attuazione
misura
attuata
Obbligatoria
Facoltativa
Consigliata
Facoltativa
Facoltativa
Facoltativa
Facoltativa
Facoltativa
Consigliata
Facoltativa
Consigliata
Obbligatoria
Obbligatoria
Obbligatoria
Obbligatoria
Obbligatoria
Obbligatoria
Obbligatoria
Obbligatoria
Facoltativa
Consigliata
Obbligatoria
Facoltativa
Obbligatoria
Facoltativa
Obbligatoria
Obbligatoria
Obbligatoria
SI
SI
SI
NO
SI
SI
NO
SI
SI
SI
SI
SI
SI
SI
SI
SI
NO
SI
SI
NO
SI
NO
SI
SI
SI
*
*
*
*
*
*
*
*
Donetta Verniani
pagina 82
22/03/11
SCHEDA ANALITICA SULLE ATTIVITA' SVOLTE PER L'ATTUAZIONE DELLE NORME DI
SICUREZZA ED OBBLIGHI PREVISTI DAL D.LGS 196
Verifica
Attività
E' stato predisposto il documento di valutazione per l'adozione del sistema di videosorveglianza
ATTIVITA' ED OBBLIGHI
22/03/11
ATTUATA
E' stata effettuata la nomina del responsabile del trattamento dei dati
22/03/11
ATTUATA
E' stata effettuata la nomima del custode delle password
22/03/11
ATTUATA
E' stata effettuata la nomima del responsabile del trattamento dei dati visite mediche sicurezza sul lavoro
22/03/11
ATTUATA
E' stata effettuata la nomima del responsabile del trattamento dei dati esterno alla struttura
22/03/11
ATTUATA
E' stata effettuata la nomima ad incaricato del trattamento dei dati esterno alla struttura
22/03/11
ATTUATA
E' stata acquisita l'attestazione di conformità al Dlgs. 196 dal responsabile esterno al trattamento dei dati
22/03/11
ACQUISITA
E' stata inviata la lettera di autorizzazione all'accesso ai locali ai fornitori di servizi tecnici
22/03/11
ATTUATA
E' stata acquisita l'attestazione di conformità al Dlgs. 196 dal fornitore di servizi tecnici
22/03/11
ACQUISITA
E' stata inviata effettuata di nomima ad incaricato al trattamento dei dati ai dipendenti
22/03/11
ATTUATA
E' stata effettuata la nomina ad incaricato al trattamento dei dati ai collaboratori
E' stata inviata l'informativa sul trattamento dei dati ai dipendenti
22/03/11
ATTUATA
22/03/11
DA ATTUARE
E' stata inviata l'informativa sul trattamento dei dati ai collaboratori
22/03/11
DA ATTUARE
E' stata inviata l'informativa sul trattamento dei dati agli amministratori
22/03/11
DA ATTUARE
E' stata inviata l'informativa sul trattamento dei dati ai sindaci revisori
22/03/11
ATTUATA
E' stata inviata l'informativa sul trattamento dei dati a tutti i clienti e fornitori
22/03/11
ATTUATA
E' stato adottato un regolamento di attuazione della normativa
22/03/11
ATTUATA
E' stato adottato un regolamento per l'utilizzo degli strumenti elettronici
22/03/11
ATTUATA
E' stato esposto il cartello con l'informativa del trattamento dei dati
22/03/11
ATTUATA
E' stato esposto il cartello di accesso regolamentato al locale archivio
22/03/11
ATTUATA
E' stato esposto nei pressi delle telecamere il cartello con l'informativa sulla videosorveglianza
22/03/11
ATTUATA
Sono state impartite agli incaricati precise istruzioni di comportamento
22/03/11
ATTUATA
E' stata effettuata la formazione e l'aggiornamento sulla normativa,al responsabile, agli incaricati del trattamento dei dati
22/03/11
ATTUATA
E' stato fatta attivare da ogni incaricato la user name e password personale
22/03/11
ATTUATA
E' stata fatta sostituire ad ogni scadenza da ogni incaricato la password personale
22/03/11
ATTUATA
E' stato fatto attivare lo screen saver con password ad ogni computer
22/03/11
ATTUATA
E' stato adeguato il sito web alla normativa sulla privacy
22/03/11
ATTUATA
Sono state aggiornate le disposizioni per l'utlizzo di internet e della posta elettronica
22/03/11
ATTUATA
E' stato acquisito il consenso al trattamento dei dati sensibili
22/03/11
ATTUATA
Verifica
Attività
22/03/11
ATTUATA
22/03/11
ATTUATA
22/03/11
ATTUATA
22/03/11
ATTUATA
22/03/11
ATTUATA
22/03/11
ATTUATA
22/03/11
ATTUATA
22/03/11
ATTUATA
22/03/11
ATTUATA
22/03/11
ATTUATA
ATTIVITA' ED OBBLIGHI
Sono sostituite con regolarità le password dei computer
E' stato installato un gruppo di continuità elettrica
I software sono aggiornati semestralmente
E' stato installato un software antivirus
E' stato installato un software o hardware firewall
E' stato installato un software anti spyware-dialer-trojans
E' stato installato un antispam per la posta elettronica
Viene effettuato il backup dei dati almeno settimanalmente
E' stato predisposto un sistema di disaster recovery
I documenti con dati sensibili sono conservati in un locale archivio controllato o protetto
Viene utilizzato un distruttore di documenti
E' stato aggiornato il sito web con informative e pagina privacy policy
Il sito web è aggiornato ai sensi della legge 88/2009
I supporti removibili non più utilizzati vengono distrutti o formattati
Viene utilizzato un distruttore per Cd e DvD
Vengono cancellati i dati dai computer rivenduti, demoliti o obsoleti
22/03/11
ATTUATA
22/03/11
DA ATTUARE
22/03/11
DA ATTUARE
22/03/11
ATTUATA
22/03/11
DA ATTUARE
22/03/11
ATTUATA
pagina 83
MISURE DA ATTUARE PER L'ELIMINAZIONE DEI RISCHI CHE INCOMBONO SUI DATI
Firewall
Antispam e-mail
Backup
Backup remoto
Disaster recovery
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
*
*
*
*
*
*
*
*
*
Antivirus
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Assistenza tecnica
S
S
S
S
S
S
S
Magazzino
Armadi ignifughi
F
Dipendenti e Lavoro
N
Allarme Antincendio
Contabilità
Serramenti blindati
I
Impianto antifurto
Videosorveglianza
banca dati
Anagrafica Clienti
Controllo accessi
trattamento
misure adottate
S
S
S
S
S
S
S
O
R
M
A
T
I
C
O
Anagrafica Clienti
ria
Contabilità
Dipendenti e Lavoro
C
A
Magazzino
R
*
*
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
T
A
C
E
O
Note: S
*
misura adottata obbligatoria
S
misura adottata facoltativa
misura obbligatoria non adottata
*
misura non adottata facoltativa
rischio inesistente
pagina 84
S
S
S
S
S
S
S
S
S
22/03/11
CRITERI E MODALITA' DI SALVATAGGIO DEI DATI
I
Contabilità
Dipendenti e Lavoro
N
F
*
*
*
*
*
*
*
Magazzino
*
Anagrafica Clienti
*
*
*
*
*
S
S
S
S
S
S
S
*
*
*
*
*
*
*
S
S
S
S
S
S
S
S
S
S
S
S
S
S
incaricato del salvataggio
Conservazione delle copie
Cassaforte
Cassaforte
Cassaforte
Cassaforte
Cassaforte
Cassaforte
Cassaforte
Pianificazione dei Salvataggi
criteri previsti per il salvataggio dei dati
Salvataggio regolare dei dati
Backup Remoto
Continuità operativa
Disaster recovery informatico
Disaster recovey cartaceo
banca dati
Anagrafica Clienti
dati particolari
dati sensibili
dati giudiziari
trattamento
dati
Emanuele Marangoni
Emanuele Marangoni
Emanuele Marangoni
Emanuele Marangoni
Emanuele Marangoni
Emanuele Marangoni
Emanuele Marangoni
giornaliero
giornaliero
giornaliero
giornaliero
giornaliero
giornaliero
giornaliero
O
R
M
A
T
I
C
O
Contabilità
Dipendenti e Lavoro
C
*
*
*
*
*
*
*
*
*
*
Magazzino
A
R
*
*
*
T
A
C
E
O
Supporto
Salvataggio regolare dei dati
Incaricato
Periodicità
viene effettuato regolarmente al termine di ogni sessione di lavoro
Backup
viene effettuato regolarmente al termine di ogni giornata di lavoro
Continuità operativa
viene assicurata da un gruppo di continuità elettrica che garantisce il tempo necessario
per la chiusura di tutte le applicazioni attive ed il relativo salvataggio dei dati
Disaster recovery infomatico
viene eseguita una copia di backup settimanale conservata in sede diversa
Disaster recovery cartaceo
attualmente non sono previste operazioni atte al recupero degli archivi cartacei
Note:
criterio non necessario
S
criterio di salvataggio effettuato
*
criterio di salvataggio non effettuato
Descrizione dei criteri e delle modalità per il salvataggio delle disponibilità dei dati.
Punto 19.5 dell'allegato B al D.Lgs 196/2003
pagina 85
22/03/11
CRITERI E MODALITA' DI RIPRISTINO DEI DATI
*
*
*
*
*
I
Contabilità
Dipendenti e Lavoro
N
F
*
*
Magazzino
*
Anagrafica Clienti
*
*
*
*
*
dati giudiziari
banca dati
Anagrafica Clienti
dati sensibili
dati particolari
trattamento
dati
Supporto
CD-rom / DVD
CD-rom / DVD
CD-rom / DVD
CD-rom / DVD
CD-rom / DVD
CD-rom / DVD
CD-rom / DVD
Procedura di Ripristino
Incaricato al
ripristino dei
dati
Pianificazione
Prove di
ripristino
Incaricato
Originali
Tecnico esterno
Tecnico esterno
Tecnico esterno
Tecnico esterno
Tecnico esterno
Tecnico esterno
Tecnico esterno
O
R
M
A
T
I
C
O
Contabilità
Dipendenti e Lavoro
C
*
*
Magazzino
A
R
*
*
*
T
A
C
E
O
Supporto
Ripristino
Note:
Descrizione dei criteri e delle modalità per il ripristino delle disponibilità
dei dati in seguito a distruzione o dannegiamento. Punto 19.5 dell'allegato B al D.Lgs 196/2003
pagina 86
22/03/11
ANALISI DEI CRITERI E MODALITA' DI BACKUP E RIPRISTINO DEI DATI
PROCEDURA
EFFETTUATA
è salvato l'intero patrimonio informativo necessario per il trattamento efficace dei dati
SI
il processo di salvataggio viene completato positivamente
SI
il supporto su cui i dati sono salvati è leggibile e tale rimane
SI
l'ambiente informatico (sistema operativo e software applicativo) in cui i dati in quel formato
hanno significato è riproducibile
SI
è assicurata la sincronizzazione dei salvataggi dei diversi ambienti
SI
esistono procedure in grado di ricostruire a partire dai dati salvati un ambiente operativo
funzionante
SI
la procedura di backup avvisa del mancato completamento della procedura stessa
in occasione di ogni intervento manutentivo o di aggiornamento tecnico dell'ambiente
applicativo, i programmi in uso sono salvati insieme ai dati e ne sono definiti i pre requisiti in
termini di sistema operativo e di software di base
SI
almeno una volta all'anno è effettuata una prova di ripristino dei dati su un elaboratore vuoto
NO
i dati salvati sono conservati in un luogo diverso rispetto a dove sono abitualmente utilizzati
NO
sono mantenute almeno le due copie più recenti dei salvataggi e non solo l'ultima
NO
ANALISI EFFETTUATA IN DATA:
SI
22/03/11
Note:
dei dati in seguito a distruzione o dannegiamento. Punto 19.5 dell'allegato B al D.Lgs 196/2003
pagina 87
22/03/11
ARCHIVIO E GESTIONE DEI DOCUMENTI CARTACEI
Considerazioni generali
Tutti i documenti cartacei sono gestiti in modo da ridurre al minimo i tempi di permanenza al di fuori degli archivi in dotazione.
La massima attenzione è posta per i documenti che si trovano nei locali accessibili al pubblico.
L'accesso agli archivi è consentito al personale a ciò espressamnete autorizzato.
Gli archivi sono mantenuti costantemente chiusi, compatibilmente con le esigenze lavorative.
Le copie dei documenti sono trattate, con riferimento alla tutela dei dati personali in esse contenuti, con la medesima diligenza
riservata agli originali.
Gli incaricati che trattano dati sensibili si attengono con la massima attenzione alle disposizioni impartite.
Gli incaricati limitano al minimo indispensabile la giacenza della documentazione contenente dati sensibilial di fuori degli archivi.
ANALISI
EFFETTUATA
Tipologia di archivio
Documenti in uso conservati in
I documenti vengono riutilizzati per nuove stampe
I documenti non più necessari vengono distrutti in modo adeguato
NO
con un distruggi documenti
I documenti con dati sensibili sono utilizzati dai soli incaricati espressamente autorizzati
Documenti conservati
SI
scadenza termini di legge
Gli archivi cartacei vengono duplicati
NO
Esiste una copia ottica degli archivi cartacei
NO
ANALISI EFFETTUATA IN DATA:
22/03/11
Note:
dei dati in seguito a distruzione o dannegiamento. Punto 27-28-29 dell'allegato B al D.Lgs 196/2003
pagina 88
INTERVENTI FORMATIVI: DEI RESPONSABILI E DEGLI INCARICATI AL
TRATTAMENTO DEI DATI
Incaricato
Laura Secci
Incaricato
Incaricato
Incaricato
Francesca Pajer
Incaricato
Note:
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S S S S S S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S
S S S S S S S
S formazione effettuta
formazione da effettuare
Interventi formativi sui responsabili e sugli incaricati al trattamento dei dati.
pagina 89
Direttiva UE 95/46/CE
S
S
S
S
S
S
S
S
S
S
S
S
S
Direttiva 91/250/CEE
S
S
S
S
S
S
S
S
S
S
S
S
S
Tutela dei dati e criminalità informatica
S
S
S
S
S
S
S
S
S
S
S
S
S
Codice penale e criminalità informatica
S
S
S
S
S
S
S
S
S
S
S
S
S
Principi di diligenza secondo il codice civile
S
S
S
S
S
S
S
S
S
S
S
S
S
Profilo del personale coinvolto
S
S
S
S
S
S
S
S
S
S
S
S
S
Il titolare ed il responsabile
S
S
S
S
S
S
S
S
S
S
S
S
S
Adempimenti del codice della privacy
S
S
S
S
S
S
S
S
S
S
S
S
S
Principi di crittografia
S
S
S
S
S
S
S
S
S
S
S
S
S
Contenitori e sigilli di sicurezza supporti magnetici
La protezione dei centri di elaborazione dati
Incaricato
Veronica Spina
Sistemi di rivelazione a spegnimento incendi
Irene Tripodi
Sistemi antintrusione e di controllo dell’accesso
Incaricato
I piani di disaster recovery
Incaricato
Emanuele Marangoni
Comportamenti preventivi e procedure di emergenza
Incaricato
Alessandra Casini
Precauzioni nel trattamento dati sensibili e giudiziari
Incaricato
Daniela Arena
Strumenti di protezione hardware e software
Incaricato
Antonella Leoncini
Sistemi di autenticazione e di autorizzazione
Paola Barbacci
Misure di prevenzione e di contenimento del danno
Incaricato
Principi di sicurezza logica e fisica
Responsabile
Martina Nencetti
Analisi dettagliata del disciplinare tecnico
Donetta Verniani
Analisi dettagliata del D.Lgs. 196/2003
Ruolo
Analisi delle disposizioni di legge
RESPONSABILE ED
INCARICATI
Gestione conservazione trasporto di copie di Back Up
eventi formativi
INTERVENTI FORMATIVI: DEI SOCI, DEI COLLABORATORI, AMMINISTRATORI INCARICATI AL
TRATTAMENTO DEI DATI
Castellani Chiara
Fisioterapista
Amministratori
Carica
Giuseppe Marchetti
PC
Luciano Lepri
CO
Paolo Sestini
CO
Tiziana Mauret
CO
Don Luigi Oropallo
CO
Note:
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S S S S S S S S
S
S S S S
S
S S S S
S
S S S S
S
S S S S
S
S
S
S
S
S
S
S
S
S
S S
S
S
S
S
S
formazione effettuta
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
formazione da effettuare
pagina 90
Direttiva UE 95/46/CE
Principi di crittografia
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Contenitori e sigilli di sicurezza supporti magnetici
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Direttiva 91/250/CEE
Fisioterapista
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Codice penale e criminalità informatica
Fisioterapista
Elena Constantin
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Tutela dei dati e criminalità informatica
Infermiere
Katherine Balatri
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Principi di diligenza secondo il codice civile
Infermiere
Alessandro Bonini
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Profilo del personale coinvolto
Infermiere
Francesco Chellini
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Il titolare ed il responsabile
Infermiere
Alina Ramona Barnea
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
Adempimenti del codice della privacy
Infermiere
Elisa Silvestri
La protezione dei centri di elaborazione dati
Mounir Belghit
Sistemi di rivelazione a spegnimento incendi
Infermiere
Alicja Teresa Igor Szymanik Infermiere
Sistemi antintrusione e di controllo dell’accesso
Infermiere
Tiberio Daddi
I piani di disaster recovery
Infermiere
Pietro Madaluni
Comportamenti preventivi e procedure di emergenza
Infermiere
Lina Beligni
Precauzioni nel trattamento dati sensibili e giudiziari
Infermiere
Vincenzo Lotti
Strumenti di protezione hardware e software
Biagio Monte
Sistemi di autenticazione e di autorizzazione
Infermiere
Misure di prevenzione e di contenimento del danno
Infermiere
Meini Sabrina
Principi di sicurezza logica e fisica
Marcella Boccherini
Analisi dettagliata del disciplinare tecnico
Ruolo
Analisi dettagliata del D.Lgs. 196/2003
Soci operativi e
collaboratori
Gestione conservazione trasporto di copie di Back Up
eventi formativi
Analisi delle disposizioni di legge
*
FORMAZIONE
Previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono
sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei
dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità
per aggiornarsi sulle misure minime adottate dal titolare del trattamento dei dati.
La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di
mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati.
Le misure di formazione prevederanno, in ogni caso, anche un approfondimento sull’uso delle apparecchiature
elettroniche, affinché siano limitati i rischi causati da imperizia.
Gli interventi di formazione del personale avranno anche lo scopo di ribadire la pericolosità e l’inopportunità di
determinati comportamenti da parte degli operatori.
Interventi formativi
Gli interventi formativi, rivolti a tutto il personale dipendente, collaboratori, soci ed amministratori hanno come
obbiettivo quello di informare:
a) sui rischi che incombono sui dati;
b) sulle modalità per proteggere i dati;
c) sulle misure e sugli strumenti che saranno introdotti per garantire una tutela sempre più efficace;
d) sulle responsabilità collegate al trattamento dei dati;
e) sui comportamenti da adottare in caso di cambio mansione;
Tutte le attività formative e informative saranno supportate dal sito www.servizipro.it dove saranno sempre
reperibili documenti formativi ed operativi aggiornati.
L’intervento del consulente esterno è previsto solo se sostanziali modifiche della legislazione devono essere
ampiamente illustrate alle persone interessate e questa importante attività formativa non potrà essere svolta
con personale interno.
La formazione è stata effettuata
da personale interno
Tipologia
materiale didattico
Nuovi assunti o collaboratori
materiale didattico
Materiale didattico
presentazione del D.Lgs. 196/2003
informazione privacy
misure di sicurezza
procedure interne
Aggiornamento annuale
materiale didattico
Materiale didattico
presentazione delle nuove disposizioni del garante
variazioni normative
eventuali sentenze
Disponibilità del materiale didattico
sito www.servizipro.it
pagina 91
PROGRAMMA DI FORMAZIONE AI SENSI DEL COMMA 19.6 DELL'ALLEGATO "B" AL D.Lgs. 196 30/06/2003
DATA
1) Un'analisi dettagliata delle vigenti disposizioni di legge, aggiornate mano a mano che entrano in vigore o vengono diramate,
30/03/2006
inclusa l’attività legislativa europea, con la fornitura di fac simili e modelli di strutture organizzative interne ed esterne.
2) Il decreto legislativo n. 196/2003 “Codice in materia di trattamento dei dati per-sonali” – esame generale
30/03/2006
3) L’analisi dettagliata del disciplinate tecnico in materia di misure minime di sicurezza
30/03/2006
4) Una analisi approfondita degli adempimenti di sicurezza, sia a livello di misure minime che di misure appropriate, in particolare:
* Principi di sicurezza logica e fisica dei sistemi informativi
30/03/2006
* Misure di prevenzione e di contenimento del danno
30/03/2006
* Sistemi di autenticazione e di autorizzazione
30/03/2006
* Strumenti di protezione hardware e software
30/03/2006
* Particolari precauzioni nel trattamento di dati sensibili e giudiziari
30/03/2006
* I comportamenti preventivi e le procedure di emergenza
30/03/2006
* I piani di disaster recovery
30/03/2006
* Selezione, installazione e manutenzione di sistemi antintrusione e sistemi di controllo dell’accesso fisico e loro gestione
22/03/2011
* Selezione, installazione e manutenzione di sistemi di rivelazione a spegnimento incendi
23/03/2007
* La protezione dei centri di elaborazione dati: difese fisiche, elettroniche e procedurali
23/03/2007
* Contenitori e sigilli di sicurezza per supporti magnetici: la normativa ECMA TR11
22/03/2011
* Procedure di creazione, gestione, conservazione e trasporto di copie di Back Up
22/03/2011
* Principi di crittografia ed applicazioni pratiche: algoritmi simmetrici e non, algoritmi a chiave pubblica, limiti e condizioni all'uso
22/03/2011
della protezione crittografica
5) Gli adempimenti principali del Codice della privacy: notificazione, rapporti con gli interessati, trasferimento dati da e per l'estero,
22/03/2011
rapporti con il Garante. Il contenzioso
6) Il titolare: condizioni di efficacia e validità della delega al responsabile
30/03/2006
7) Un profilo degli uomini coinvolti nella tutela dei dati personali e delle loro responsabilità
30/03/2006
8) Principi di diligenza secondo il codice civile: i profili di responsabilità penale e civile. L’inversione dell’onere della prova
22/03/2011
9) Una ampia rassegna del disposizioni legislative in materia di tutela dei dati e di criminalità informatica
30/03/2006
10) La Legge 23 dicembre 1993 n. 547. “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale
22/03/2011
in tema di criminalità informatica”.
11) Il Decreto Legislativo 29 dicembre 1992 n. 518. “Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi
23/03/2007
per elaboratore”.
12) La Direttiva UE 95/46/CE del 24 ottobre 1995. La direttiva è “relativa alla tutela delle persone fisiche con riguardo al trattamento
dei dati personali, nonché alla libera circolazione di tali dati”.
AGGIORNAMENTO FORMAZIONE AI SENSI DEL COMMA 19.6 DELL'ALLEGATO "B" AL D.Lgs. 196 30/06/2003
1) Un'analisi dettagliata degli aggiornamentii di legge, aggiornate mano a mano che entrano in vigore o vengono diramate,
22/03/2011
2) Valutazione dell'impatto della giurisprudenza sui trattamenti
22/03/2011
3) Verifica dell'applicazione del disciplinate tecnico in materia di misure minime di sicurezza
22/03/2011
4) Una analisi approfondita degli adempimenti di sicurezza, sia a livello di misure minime che di misure appropriate, in particolare:
22/03/2011
pagina 92
*
22/03/11
*
CENTRO DELL'IMPIEGO
I.N.P.S.
I.N.A.I.L.
E.N.A.S.A.R.CO.
CASSA EDILE
AGENZIA DELLE ENTRATE
O.d.V. D.Lgs. 231/2001
O.d.V. D.Lgs. 231/2001
Incaricati
Alessandra Casini
Irene Tripodi
Veronica Spina
Laura Secci
*
*
*
*
*
*
*
*
*
Settore
Ufficio Segreteria
Ufficio Ragioneria
Ufficio Economato
Ufficio Segreteria
Criteri adottati per la comunicazione all'esterno della struttura dei dati personali.
pagina 93
One Time Password
Smart Card
User Id e Password
*
*
*
*
*
*
*
*
*
*
*
conferma
Validità password
*
*
*
*
*
*
*
*
*
*
*
accesso
User Id e Password
*
*
*
*
*
*
*
*
*
*
*
Sensibili
Obbligo di legge o regolamento
Dati relativi infortuni/infrazioni al 231
Visure P.R.A.
Registrazione Contratti Locazione
Invio Telematico Dichiarazione Redditi
Richiesta P. IVA
Pratiche CASSA EDILE
Pratiche ENASARCO
Pratiche INAIL
Particolari
P.R.A.
*
*
*
*
*
*
*
*
*
*
dati
Identificativi
AGENZIA DEL TERRITORIO
O
Comuni
C.C.I.A.A.
Pratiche INPS
Comunicazioni Centro Impiego
Visure Catastali
Ente
Visure Camera di Commercio
Banca On Line
attività
Pagamento Deleghe F24 - ICI - IMPOSTE
COMUNICAZIONE ALL'ESTERNO DELLA STRUTTURA DEI DATI PERSONALI
la comunicazione ad altri soggetti avviene solo se previsto da una disposizione di legge o da un accordo e,
comunque previa informazione degli interessati.
22/03/11
*
Note: * attestazione da acquisire
R responsabile del trattamento
Si Si Si Si Si
Si Si Si Si Si
Si Si Si Si Si
* attestazione acquisita
I incaricato al trattamento
Criteri adottati per l'affidamento all'esterno della struttura dei dati personali.
Diritto di verifica delle norme adottate
Impegno di avviso in caso di danno
Adozione di specifiche istruzioni
23/03/07
30/03/06
30/03/06
Otttemperare agli obblighi del codice
R
R
R
Consapevolezza tipologia dati
*
*
*
Acquisizione D.p.s. o attestazione
Sensibili
*
*
*
Richiesta attestazione
Particolari
*
*
*
*
Responsabile o Incaricato
Identificativi
Centro Elaborazione Dati s.r.l.
Giudiziari
Comuni
Gestione Sito Web
Backup remoto
Video Registrazione
Sicurezza sul lavoro L. 81/08
Assistenza Legale
*
*
*
*
Professional Service s.r.l.
Avv. Andrea Pettini
Consulenza Fiscale Amministartiva
Nominativo
Elaborazione Paghe
Gestione Privacy
AFFIDAMENTO ALL'ESTERNO DELLA STRUTTURA DEI DATI PERSONALI
I soggetti esterni,a cui sono affidate le varie attività devono rilasciare idonea documentazione scritta dalla quale risulta:
a) che il terzo dichiara di essere consapevole che i dati da lui trattati sono soggetti alla disciplina di cui al
D.Lgs. 196/2003;
b) che il terzo dichiara di ottemperare agli obblighi previsti dal predetto D.Lgs 196/2003;
c) che il terzo dichiara di adottare ogni istruzione ricevuta dal titolare del trattamento;
d) che il terzo si impegna a relazionare il titolare in ordine alle misure di sicurezza da lui adottate, informando
il committente circa le situazioni di pericolo per i dati in cui potrebbe imbattersi
e) che il terzo dichiara di riconoscere il diritto del committente alla verifica periodica di applicazione delle norme
di sicurezza adottate
attività
dati
data di
data di dichiarazioni
pagina 94
22/03/11
AFFIDAMENTO ALL'ESTERNO DELLA STRUTTURA DEI DATI PERSONALI
Nominativo
Indirizzo
Avv. Andrea Pettini
viale Gramsci, 19 50121 Firenze
via Rinuccini, 38 Firenze
via Landucci, 17 Firenze
Criteri adottati per l'affidamento all'esterno della struttura dei dati personali.
pagina 95
Nominativo
Avv. Andrea Pettini
*
Firewall
Antispam e-mail
* * * * *
*
* * *
Criteri adottati per la verifica dell'affidamento all'esterno della struttura dei dati personali.
Disaster recovery
Backup remoto
Backup
data
Assistenza tecnica
Antivirus
22/03/11
attività
Data della Verifica
Gestione Privacy
Elaborazione Paghe
Consulenza Fiscale Amministartiva
Assistenza Legale
Sicurezza sul lavoro L. 81/08
Video Registrazione
Backup remoto
Gestione Sito Web
VERIFICA SULL'ATTUAZIONE DELLE NORME DI SICUREZZA DA PARTE DEGLI INCARICATI
ESTERNI AL TRATTAMENTO DEI DATI
verifiche
*
* * * * * * *
*
pagina 96
ACCESSIBILITA' DALL'ESTERNO ATTRAVERSO RETE INTERNET O ALTRO COLLEGAMENTO
PERSONALI
Tipologia di Accesso: A Autenticazione Firewall
AI DATI
I Permesso diretto Internet
Criteri adottati per l'accessibilità dall'esterno della struttura ai dati personali.
pagina 97
Tipologia di accesso
data di dichiarazioni
*
*
*
*
Sensibili
*
*
Giudiziari
Particolari
*
*
Softwareuno ins s.r.l.
data di
Identificativi
*
*
Remote monitoring
Assistenza Software
Assistenza Hardware
Accesso a Banche Dati
dati
Comuni
Backup remoto
Nominativo
Datagraph s.r.l.
Elaborazione Paghe
Elaborazione Contabilità
attività
22/03/11
22/03/11
ACCESSIBILITA' DALL'ESTERNO ATTRAVERSO RETE INTERNET O ALTRO COLLEGAMENTO
AI DATI PERSONALI
Nominativo
Indirizzo
Datagraph s.r.l.
via Collegarola, 160 Modena
Via Mussolini 10 - 35010 BORGORICCO - PD
Criteri adottati per l'accessibilità dall'esterno della struttura ai dati personali.
pagina 98
VERIFICA SULL'ATTUAZIONE DELLE NORME DI SICUREZZA DA PARTE DI COLORO CHE HANNO
L'ACCESSIBILITA' DALL'ESTERNO ATTRAVERSO RETE INTERNET O ALTRO COLLEGAMENTO
AI DATI
PERSONALI
Datagraph s.r.l.
Disaster recovery
Backup remoto
Backup
Antispam e-mail
Firewall
Antivirus
Assistenza tecnica
Data della Verifica
Nominativo
Datagraph s.r.l.
VERIFICHE
Elaborazione Paghe
Backup remoto
Assistenza Hardware
Assistenza Software
Remote monitoring
attività
*
*
Criteri adottati per la verifica dell'accessibilità dall'esterno della struttura ai dati personali.
pagina 99
22/03/11
Filippo Cellai
Team Service s.c.a.r.l.
Softwareuno ins srl
Datagrah s.r.l.
Serenissima s.p.a.
30/03/06
30/03/06
30/03/06
30/03/06
30/03/06
*
*
I
*
*
*
*
*
*
*
*
*
*
Sensibili
*
*
*
*
*
*
Giudiziari
Particolari
Serenissima s.p.a.
Identificativi
Datagrah s.r.l.
*
*
*
*
*
*
Softwareuno ins srl
Comuni
*
Ristorazione
Consulenza Informatica
*
Pulizia Locali
Assistenza Software
Assistenza Hardware
Consulenza Fiscale Amministrativa
Elaborazione Paghe
Nominativo
Filippo Cellai
OPERATORI ESTERNI CHE ACCEDONO AI DATI INTERNAMENTE ALLA STRUTTURA
I soggetti esterni,a cui sono affidate le varie attività devono rilasciare idonea documentazione scritta dalla quale risulta:
a) che il terzo dichiara di essere consapevole che i dati da lui trattati sono soggetti alla disciplina di cui al
D.Lgs. 196/2003;
b) che il terzo dichiara di ottemperare agli obblighi previsti dal predetto D.Lgs 196/2003;
c) che il terzo dichiara di adottare ogni istruzione ricevuta dal titolare del trattamento;
d) che il terzo si impegna a relazionare il titolare in ordine alla formazione svolta al suo personale che accede alla
struttura circa le situazioni di pericolo per i dati in cui potrebbe imbattersi
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
via Pian delle Macchie, 104 Figline Valdarno
Piazza A. Pecile, 45 Roma
via Del Pergolino, 4/6 Firenze
Criteri adottati per l'affidamento ad operatori esterni alla struttura che accedono internamente ai dati personali.
pagina 100
ACQUISIZIONE DELL'ATTESTAZIONE DI CONFORMITA' AL DISCIPLINARE
Softwareuno ins srl
Datagrah s.r.l.
Serenissima s.p.a.
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
attestazione da acquisire
attestazione acquisita
Filippo Cellai
Softwareuno ins srl
Datagrah s.r.l.
Serenissima s.p.a.
DI ACQUISIZIONE
Installazione Hard Disk
Installazione Firewall
Installazione antispam e-mail
Installazione Antivirus
Instalazione Firewall
Installazione Masterizzatore
Installazione unità Floppy CD DVD
Installazione unità backup
data
ACQUISIRE ATTESTAZIONE
dati
Comuni
Identificativi
Particolari
Sensibili
Giudiziari
*
Nominativo
Filippo Cellai
Assistenza HD
Assistenza SW
attività
*
*
via Pian delle Macchie, 104 Figline Valdarno
Piazza A. Pecile, 45 Roma
via Del Pergolino, 4/6 Firenze
Acquisizione della dichiarazione di conformità al disciplinarre dell'intervento tecnico.
Punto 20 dell'allegato B al D.Lgs 196/2003
pagina 101
*
22/03/11
APPLICAZIONE DELLA PRIVACY NELLA GESTIONE DEL SITO WEB
www.operapiavanni.it
Funzione
Funzione eseguita
Informativa
Data verifica
pubblicazione
Pagina Privacy Policy
NO
Informativa Dati Comuni
NO
NO
22/03/11
Iscrizione Mailing List
NO
NO
22/03/11
Invio Curriculum
NO
NO
22/03/11
E- Commerce
NO
NO
22/03/11
Diffusione Dati
NO
NO
22/03/11
Richiesta Informazioni
NO
NO
22/03/11
Area Riservata
NO
Protezione
22/03/11
22/03/11
Data verifica
esecuzione
Tipologia
Attuazione
FIREWALL
software
INTERNA
22/03/11
ANTIVIRUS
automatico
INTERNA
22/03/11
ANTI SPYWARE - DIALER
software
INTERNA
22/03/11
ANTI SPAM E-MAIL
software
INTERNA
22/03/11
Ditta incaricata
Nomina Responsabile
Unimedia Group s.p.A.
NO
Gestione del sito
ESTERNA
Applicazione delle norme del D.Lgs 196 / 2003 al sito web.
Data nomina
pagina 102
CONSEGNA DEL DOCUMENTO PROGRAMMATICO DI SICUREZZA
Nominativo
Giuseppe Marchetti
Funzione
Presidente del Collegio Sindacale
Data consegna
note
22/03/2011
22/03/2011
In base al punto 26 dell' Allegato B il Legale rappresentante pro tempore è tenuto a comunicare nella relazione
di bilancio, l’avvenuta redazione del Documento Programmatico sulla Sicurezza.
Comunicazione dell’avvenuta redazione del Dps
In attuazione di quanto previsto al punto 26 del disciplinare tecnico di cui all’allegato B del D.Lgs. 196/2003,
Codice sulla protezione dei dati personali, si informa che il Documento Programmatico sulla Sicurezza è stato
redatto, ai sensi delle disposizioni di cui al punto 19 del medesimo documento, entro la scadenza prevista del
31 marzo corrente anno
Consegna del documento Programmatico sulla Sicurezza
pagina 103
22/03/11
ARTT. 33- 34- 35 -36 del Codice della Privacy
Art. 33.
Misure minim e
1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari
del trattamento sono comunque tenuti ad adottare le misure minim e individuate nel presente capo o ai sensi
dell'articolo 58, comma 3, volte ad assicurare un livello minim o di protezione dei dati personali.
Art. 34.
Trattamenti con strumenti elettronici
1. Il trattament o di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei m odi
previsti dal disciplinare tecnico cont enuto nell'allegato B), le seguenti misure minim e:
a) aut enticazione inform atica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di aut orizzazione;
d) aggiornament o periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti
alla gestione o alla manutenzione degli strumenti elettronici;
e) prot ezione degli strum enti elettronici e dei dati rispetto a trattam enti illeciti di dati, ad accessi non consentiti e
a determinati program mi inform atici;
f) adozione di procedure per la custodia di copie di sicurez za, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programm atico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattam enti di dati idonei a rivelare lo
stato di salute o la vita sessuale effettuati da organismi sanitari.
Art. 35.
Trattamenti senza l'ausilio di strumenti elettronici
1. Il t rattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono
adottate, nei m odi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornam ento periodico dell'individuazione dell'ambito del trattam ento consentito ai singoli incaricati o alle
unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e doc umenti affidati agli inc aricati per lo s volgim ento dei
relativi compiti;
c) previsione di procedure per la c onservazione di det erminati atti in archivi ad accesso selezionato e disciplina
delle modalità di accesso finalizzata all'identificazione degli incaricati.
Art. 36.
Adeguam ento
1. Il disciplinare tecnico di cui all'allegato B ), relativo alle misure minim e di cui al presente capo, è aggiornato
periodicam ente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le
tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.
ARTT. 33- 34- 35 -36 del Codice della Privacy
pagina 104
22/03/11
ALLEGATO B. Disciplinare tecnico in materia di misure minime di sicurezza
(Artt. da 33 a 36 del Codice)
Trattamenti con strumenti elettronici
Modalità tecnic he da adottare a cura del titolare, del responsabile ove designat o e dell'incaricato, in caso di
trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il t rattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di
autenticazione che consentano il superam ento di una procedura di autenticazione relativa a uno specifico
trattamento o a un insieme di trattam enti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una
parola chiave riservata conosciuta solam ente dal medesim o oppure in un dispositivo di autenticazione in
possesso e uso esclusivo dell'incaricato, eventualm ente associato a un codice identificativo o a una parola
chiave, oppure in una caratteristica biometrica dell'incaric ato, event ualmente associata a un codice identificativo
o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualm ente una o più credenziali per l'aut enticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le nec essarie cautele per assicurare la
segretezza della componente riservata della c redenziale e la diligent e custodia dei dispositivi in p ossesso ed
uso esclusivo dell'inc aricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri
oppure, nel caso in cui lo strumento elettronico non lo perm etta, da un numero di caratteri pari al massimo
consentito; essa non contiene riferim enti agevolment e riconducibili all'inc aricato ed è modificat a da quest'ultimo
al prim o utilizzo e, successivam ente, almeno ogni sei mesi. In caso di t rattamento di dati sensibili e di dati
giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri inc aricati, neppure in tempi
diversi.
7. Le credenziali di aut enticazione non utilizzate da almeno sei m esi sono disattivate, salvo q uelle
preventivament e autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivat e anche in caso di perdita della qualità che consente all'incaricato l'accesso ai
dati pers onali.
9. Sono im partite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strum ento elettronico
durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivam ente m ediante uso della
componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni
scritte volt e a individuare chiaram ente le m odalità con le quali il titolare può assicurare la disponibilità di dati o
strumenti elettronici in caso di prolungat a assenza o im pedimento dell'incaricato ch e renda indispensabile e
indifferibile intervenire per esclusive nec essità di operatività e di sicurezza del sistema. In t al caso la c ustodia
delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per
iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivam ente l'inc aricato
dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione
non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di aut orizzazione di am bito diverso è uti lizzato un sistema di
autorizzazione.
pagina 105
22/03/11
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e
configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai s oli dati necessari per
effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli inc aricati e addetti alla gestione o alla manutenzione degli strumenti elettronici,
la lista degli incaric ati può essere redatta anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.
16. I dati personali sono protetti contro il rischio di int rusione e dell'azione di programmi di cui all'art. 615 quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza
almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaborat ore volti a prevenire la vulnerabilità di strumenti
elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di da ti sensibili o
giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e t ecniche che prevedono il salvataggio dei dati con frequenza
almeno settimanale.
Documento programmatico sulla si curezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattament o di dati sensibili o di dati giudiziari redige anche
attraverso il responsabile, se designat o, un document o programmatico sulla sicurezza contenente idonee
informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonc hé la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o
danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaric ati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla
protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e
delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmat a già al
moment o dell'ingresso in servizio, n onché in occasione di cambiamenti di mansioni, o di int roduzione di nuovi
significativi strumenti, rilevanti rispetto al trattamento di dati pers onali;
19.7. la descrizione dei crit eri da adottare per garantire l'adozione delle misure minime di sicurezza i n caso di
trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punt o 24, l'individuazione
dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'int eressato.
Descrizione dei criteri e delle modalità per l'utilizzo dei documenti cartacei Punto 19.5 dell'allegato B al D.Lgs 196/2003
pagina 106
22/03/11
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all ' art. 615-ter del codice penale,
mediante l'utilizzo di idonei strum enti elettronici.
21. Sono impartite istruzioni organizzative e t ecniche per la custodia e l'uso dei supporti rimovibili su cui sono
memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rim ovibili cont enenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili,
ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stes si dati, se le
informazioni precedentem ente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in cas o di danneggiam ento degli
stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette
giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattam ento dei dati idonei a rivelare
lo stato di salut e e la vit a sessuale contenuti in elenchi, registri o banche di dati con le m odalità di cui all'articolo
22, comm a 6, del codice, anche al fine di consentire il trattam ento disgiunto dei medesimi dati dagli altri dati
personali che permettono di identificare direttam ente gli interessati. I dati relativi all'identità genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti
specificatam ente autorizzati ad accedervi; il t rasporto dei dati all'esterno dei locali riservati al loro trattam ento
deve avvenire in contenitori muniti di serrat ura o dis positivi equipollenti; il trasferimento dei dati in formato
elettronic o è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minim e di sicurezza avvalendosi di soggetti esterni alla propria struttura, per
provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta
la conformità alle disposizioni del presente disciplinare tecni co.
26. Il titolare riferisce, nella relazione accom pagnat oria del bilancio d'esercizio, se dovut a, dell'avvenuta
redazione o aggiornam ento del doc umento programm atico sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di
trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed all a custodia, per l'intero ciclo
necessario allo s volgiment o delle operazioni di trattam ento, degli atti e dei documenti contenenti dati personali.
Nell'ambit o dell'aggiornamento periodico con c adenza alm eno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee
di incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti cont enenti dati personali sensibili o giudiziari sono affidati agli incaricati del
trattamento per lo s volgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli
incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono
restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è cont rollat o. Le persone ammesse, a qualunque
titolo, dopo l'orario di chiusura, sono identific ate e registrate.
Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della
vigilanza, le persone che vi accedono sono preventivamente autorizzate.
pagina 107

documento programmatico sulla sicurezza sicurezza

Transcript

Documenti analoghi

JE–CRM Software per la gestione operativa delle

Vendita diretta etica - Regole vendita diretta - Regole

iscrizioni online

Modulo privacy da scaricare e stampare

BonelliErede

Scheda trasporto eccezionale

Analisi anagrafica stazioni qualità dell`aria ed estrazione dei

Gestione documentale

Inserimento anagrafica persone nate all`estero

Parametri Configurazione Casella di Posta dell`Ordine