3. Distribuzione dei compiti e del
Transcript
3. Distribuzione dei compiti e del
Documento Programmatico sulla Sicurezza INDICE DEL DOCUMENTO 0. Premessa 1. Definizioni 2. Elenco dei trattamenti di dati personali; 3. Distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; 4. Analisi dei rischi che incombono sui dati; 5. Misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 6. Descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento 7. Previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 8. Descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare; 9. Dati personali idonei a rivelare lo stato di salute. 10. Verifiche e controlli Pag. n° 1 1) PREMESSA Il 1 Gennaio 2004 , è entrato in vigore il “Codice della Privacy” che, sulla base dell’esperienza di 6 anni, riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici (tra i quali quello sull’attività giornalistica) che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della "giurisprudenza" del Garante e della direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Il • • • Codice è suddiviso in tre parti principali, suddivise in titoli: la prima parte è applicabile alla generalità dei soggetti coinvolti la parte seconda raduna tutte le disposizioni relative a specifici settori la parte terza raccoglie tutte le disposizioni in merito alla tutela dell’interessato ed alle sanzioni. Di rilevante interesse è il TITOLO V del Codice che disciplina la sicurezza dei dati e dei sistemi attraverso l’adozione di idonee misure di sicurezza per il trattamento e la custodia dei dati personali, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche, per ridurre al minimo il rischio di distruzione o perdita anche accidentale o di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. Il Codice identifica tali misure in un elenco preciso, subordinando il trattamento dei dati personali effettuato sia con strumenti elettronici che senza l’ausilio di strumenti elettronici, all’adozione di specifiche norme contenute nell’allegato B) al Codice stesso denominato “Disciplinare Tecnico in materia di misure minime di sicurezza”, Se è previsto anche il trattamento di dati definiti “sensibili”, oltre all’adozione delle misure minime, entro il 31 Marzo di ogni anno deve essere redatto ed aggiornato un Documento Programmatico sulla Sicurezza contenente specifiche informazioni che verranno di seguito illustrate. Documento programmatico sulla sicurezza Pag. n° 2 2) DEFINIZIONI1 Ai fini del presente Documento Programmatico si elencano le seguenti definizioni: Trattamento Per «trattamento» si intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati Dati Identificativi i dati personali che permettono l'identificazione diretta dell'interessato Dato Personale Per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; Dati Sensibili Si definiscono dati sensibili quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose filosofiche o di altro genere , le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; Dati Giudiziari Per dati giudiziari si intendono quei dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; Titolare del trattamento Il titolare del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Nel caso in cui il trattamento sia effettuato a cura di una persona giuridica, di una pubblica amministrazione o di un qualsiasi altro Ente, Associazione od organismo, per “titolare” va intesa l’entità nel suo complesso (ad es. il ministero, l’impresa, la società, l’associazione, ecc.) e non la persona fisica che 1 Art.4 Decreto Legislativo n°196 del 30 giugno 2003 Documento programmatico sulla sicurezza Pag. n° 3 l’amministra o la rappresenta (ad es. il ministro, il direttore generale, il legale rappresentante, l’amministratore delegato, il presidente ecc.) Il Responsabile del trattamento Il “Responsabile del trattamento” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. L’incaricato al trattamento L’incaricato è la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile attenendosi alle istruzioni impartite. Misure Minime Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31. Strumenti Elettronici Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. Autenticazione Informatica L'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità. Credenziali di autenticazione I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica. Documento programmatico sulla sicurezza Pag. n° 4 2.1 Descrizione del Sistema Informatico Comunale Situazione dell'Amministrazione. Secondo quanto definito dal Testo Unico degli Enti Locali, spettano al Comune tutte le funzioni amministrative che riguardino la popolazione ed il territorio comunale precipuamente nei settori organici dei servizi alla persona e alla comunità, dell'assetto ed utilizzazione del territorio e dello sviluppo economico, salvo quanto non sia espressamente attribuito ad altri soggetti dalla legge statale o regionale, secondo le rispettive competenze Il Comune di Piteglio è un soggetto pubblico che tratta dati personali per fini istituzionali secondo le direttive impartite. Le attività del Comune vengono svolte in un’unica Sede che è ubicata in Piteglio, in Via Casa Nuova n. 16. Lan interna - Hardware Nel Comune di Piteglio sono presenti le seguenti apparecchiature Hardware per il trattamento dei dati personali su supporto magnetico: • n. 1 server di rete con sistema operativo Unix Sco; • n. 1 server windows 2003 server; • n.18 client collegati in rete ai due server collegate a stampanti locali o di rete; L’architettura di rete è di tipo a stella con cablaggio in cavo UTP; due hub 12 porte a 10/100 Mbit convogliano i dati dai server ai singoli elaboratori. I Server ed i client sono collegati tra loro per mezzo di un distributore costituito da un apposito armadio di concentrazione (Rack), adibito al contenimento di tutti i componenti necessari ed all'alloggiamento degli apparati di rete; I Client collegati in rete locale sono dotati di collegamento internet per svolgere i compiti istituzionali collegandosi ai siti messi a disposizione per la Pubblica Amministrazione e inoltre sono provvisti di casella di posta elettronica. Il Comune di Piteglio ha registrato un proprio dominio per la pubblicazione del sito istituzionale: http://www.comune.piteglio.pt.it Documento programmatico sulla sicurezza Pag. n° 5 Lan interna - Software Sistemi operativi presenti sui client • Microsoft Windows XP Home Edition / XP Professional Software di produzione utilizzato sui Client • Applicazioni di Office Automation: Microsoft® Office 97/ 2000 / 2003 • Applicazioni di tipo gestionale: gestione della Contabilità e gestione del Personale, procedura per la riscossione dei tributi comunali, Anagrafe, Leva e Stato civile, gestione del Protocollo, Pratiche Edilizie, Delibere e Determine, gestione delle violazioni al Codice della Strada, gestione mensa e trasporto scolastico. • Sistemi di posta elettronica e strumenti di navigazione : Microsoft Internet Explorer 6.0 e Microsoft Outlook Express 6.0 Software di protezione degli elaboratori • Software antivirus: Alwil Software AVAST Metodi di collegamento con l’esterno La connessione per i servizi di trasmissione dati avviene attraverso un collegamento di tipo HDSL con router Link Sys Rv 042 per i servizi di navigazione nella rete Internet e per la gestione della posta elettronica. Documento programmatico sulla sicurezza Pag. n° 6 3) ELENCO DEI TRATTAMENTI DI DATI PERSONALI2 3.a elenco dei trattamenti: informazioni essenziali n. Trattamento 1 Gestione dell’anagrafe della popolazione residente 2 Attività relativa all’elettorato attivo e passivo 3 Attività relativa all’elettorato attivo e passivo 4 Gestione dell’anagrafe della popolazione residente all’estero 5 Gestione dell’anagrafe della popolazione residente all’estero 6 Attività Categorie di interessati Banca Dati Popolazione BANCA DATI DELLA POPOLAZIONE RESIDENTE Supporto Tipologia C/M DPNS Altre strutture Area Amministrativa Economico Finanziaria Popolazione BANCA DATI DEGLI ELETTORI C/M DPNS Area Amministrativa Economico Finanziaria Amministrat BANCA DATI DEGLI ori INCARICHI ELETTORALI (PRESIDENTI SEGRETARISCRUTATORI DI SEGGIO) Popolazione BANCA DATI ITALIANI RESIDENTI ALL’ESTERO. C/M DPNS Area Amministrativa Economico Finanziaria C/M DPNS Area Amministrativa Economico Finanziaria C/M Popolazione Banca dati cittadini stranieri (appart. Alla Comunità Europea ed Extracomunitar i) C/M Popolazione Elenco dei giudici popolari DPNS Area Amministrativa Economico relativa alla tenuta dell’elenco dei giudici popolari 7 Attività Popolazione Banca dati leva C/M relativa alla militare tenuta delle liste di leva e dei registri matricolari 2 Struttura di riferimento Finanziaria DPNS Area Amministrativa Economico Finanziaria DPS Area Amministrativa Economico Finanziaria Art.19 comma 19.1 “Allegato B) Disciplinare tecnico in materia di misure minime di sicurezza” Documento programmatico sulla sicurezza Pag. n° 7 n. Trattamento 8 Attività Categorie di interessati Utenti relativa all’ accertamento e riscossione di tasse e imposte Utenti 9 Attività relativa all’ accertament oe riscossione di tasse e imposte Utenti 10 Attività relativa all’ accertamento e riscossione di tasse e imposte Utenti 11 Attività relativa all’ accertament oe riscossione di tasse e imposte 12 Attività Utenti relativa all’ accertamento e riscossione di tasse e imposte 13 Gestione della contabilità dell’Ente 14 Gestione della contabilità dell’Ente 15 Gestione della contabilità dell’Ente Persone fisiche Banca Dati Supporto Tipologia Banca dati C/M tributi comunali DPNS Area Amministrativa Economico Finanziaria Banca dati dichiarazioni ICI C/M DPNS Area Amministrativa Economico Finanziaria Banca dati dichiarazioni ICIAP C DPNS Area Amministrativa Economico Finanziaria Banca dati TOSAP. C DPNS Area Amministrativa Economico Finanziaria Banca dati delle attività produttive. C/M DPNS BANCA DATI DEBITORI. M DPNS Area Amministrativa Economico Finanziaria BANCA DATI CREDITORI. M DPNS Area Amministrativa Economico Finanziaria BANCA DATI ALBO FORNITORI DEL COMUNE. C/M DPNS Area Amministrativa Area Economico Finanziaria Area Tecnica Area Vigilanza e Commercio Area Tecnica SUAP Persone giuridiche Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche Struttura di riferimento Altre strutture CO.SE.A. Consorzio Servizi Ambientali Area Vigilanza e Commercio * In attesa della definizione del Servizio Associato Suap, fino al 01/02/2011 questa banca dati è rimasta di competenza dell’Area Tecnica Documento programmatico sulla sicurezza Pag. n° 8 n. Trattamento 16 Gestione economica e giuridica del personale 17 Gestione economica del personale 18 Gestione Categorie di Banca Dati interessati Personale personale Personale economica del personale 19 Gestione economica e giuridica del personale 20 Gestione della contabilità dell’Ente Personale Persone fisiche Supporto Tipologia BANCA DATI C/M DEI DIPENDENTI DEL COMUNE. BANCA DATI C/M RILEVAZIONE PRESENZE DEL PERSONALE DEL COMUNE. BANCA DATI C/M MODELLO 730. DPS BANCA DATI INPDAP. C/M DPNS BANCA DATI C/M MODELLO 770. DPNS DPNS DPNS DPNS Persone giuridiche Struttura di riferimento Area Amministrativa Economico Finanziaria Area Amministrativa Economico Finanziaria Area Amministrativa Economico Finanziaria Area Amministrativa Economico Finanziaria Area Amministrativa Economico Finanziaria 21 Gestione Personale economica e giuridica del personale 22 Gestione economica e giuridica del personale BANCA DATI MODELLO 01/M. Personale BANCA DATI C/M INQUADRAMEN TO CONTRATTUAL E. BANCA DATI C/M DITTE PER GARE D’APPALTO. DPNS DPNS Area Tecnica BANCA DATI C/M DEGLI INCARICHI PROFESSIONAL I DEL COMUNE DPNS Area Tecnica DPNS Area Amministrativa 23 Gestione delle attività relative alla predisposizion e, aggiudicazion e di gare d’appalto 24 Gestione economica e giuridica del personale 25 Banca dati degli amministrator i del Comune. Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche Amministrat BANCA DATI DEGLI ori AMMINISTRAT ORI DEL COMUNE. Documento programmatico sulla sicurezza C C/M Altre strutture Area Amministrativa Economico Finanziaria Area Amministrativa Economico Finanziaria Economico Finanziaria Pag. n° 9 n. Trattamento 26 Gestione dei procedimenti della legge 319 (depurazione delle acque) 27 Gestione delle pratiche edilizie. 28 Banca dati condono edilizio. 29 Banca dati associazioni culturali Ricreative sportive 30 Banca dati Categorie di Banca Dati interessati Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche utenti servizio pasti e trasporto scolastico 31 Banca dati dei verbali di contestazione alle violazioni del Codice Stradale 32 Banca dati infrazioni al codice della strada. 33 Banca dati cessioni di fabbricato legge n. 191/78. Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche Documento programmatico sulla sicurezza Supporto Tipologia Struttura di riferimento BANCA DATI C/M DEGLI INSEDIAME NTI PRODUTTIVI AI FINI DELLA LEGGE 319 (DEPURAZIO NE DELLE ACQUE) BANCA DATI C/M PRATICHE EDILIZIE. DPNS Area Tecnica DPNS Area Tecnica BANCA DATI C/M CONDONO EDILIZIO. DPNS Area Tecnica BANCA DATI ASSOCIAZI ONI CULTURALIRICREATIVE -SPORTIVE. BANCA DATI SERVIZIO PASTI E TRASPORTO SCOLASTIC O BANCA DATI DEI VERBALI DI CONTESTAZ IONE ALLE VIOLAZIONI DEL CODICE STRADALE BANCA DATI INFRAZIONI AL CODICE DELLA STRADA. BANCA DATI CESSIONI DI FABBRICAT O LEGGE N. 191/78. DPNS Area Amministrati va C/M Altre strutture Economico Finanziaria C/M DPNS DPS Area Amministrati va Economico Finanziaria C/M DPNS Area Vigilanza e Commercio C/M DPNS Area Vigilanza e Commercio CM DPNS Area Vigilanza e Commercio Pag. n° 10 n. Trattamento 34 Gestione delle licenze relative alle attività di commercio fisso 35 Gestione delle licenze relative alle attività di pubblici esercizi 36 Gestione dell’assegnazi one dei posteggi disponibili nei mercati periodici o stagionali. 37 Gestione dell’anagrafe della popolazione residente 38 Gestione dell’anagrafe della popolazione residente 39 Attività di Categorie di interessati Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche Persone fisiche Persone giuridiche Supporto Tipologia DPS DPG Dal 01.02.2011 SUAP SERV. ASSOCIATO COM. MONTANA BANCA DATI CM TITOLARI PUBBLICI ESERCIZI. DPS DPG Dal 01.02.2011 SUAP SERV. ASSOCIATO COM. MONTANA BANCA DATI CM COMMERCIO AREE PUBBLICHE. DPS DPG Area Vigilanza e Commercio DPNS popolazione REGISTRI DEGLI ATTI DI NASCITA MATRIMONI O MORTE DPS popolazione ALBI C/M SEZIONALI E GENERALI DEGLI ELETTORI. relativa all’elettorato attivo e passivo Documento programmatico sulla sicurezza Struttura di riferimento BANCA DATI CM TITOLARI DI AUTORIZZA ZIONE AL COMMERCIO FISSO. popolazione BANCA DATI C/M DELLA POPOLAZIO NE RESIDENTE PRATICHE IMMIGRAZI ONE EMIGRAZIO NE popolazione CARTELLINI C/M CARTE D’IDENTITÀ. gestione dei registri di stato civile 40 Attività Banca Dati C Altre strutture Area Amministrati va Economico Finanziaria DPNS DPNS Area Amministrati va Economico Finanziaria Area Amministrati va Economico Finanziaria Area Amministrati va Economico Finanziaria Pag. n° 11 n. Trattamento 41 Attività relativa alla tenuta delle liste di leva e dei registri matricolari 42 Attività di gestione dei registri di stato civile 43 Gestione dei Categorie di interessati popolazione Banca Dati LISTE DI LEVA. Supporto C/M Codice della Strada 47 Gestione del Codice della Strada 48 Gestione dell’iter documentale e della corrisponden za 49 Gestione degli atti deliberativi dell’Ente 50 Gestione degli atti deliberativi dell’Ente DPS Struttura di riferimento Altre strutture Area Amministrati va Economico Finanziaria Popolazione REGISTRI DEI DEFUNTI. C DPNS Area Amministrati va Economico Finanziaria Area Tecnica DPNS Area Tecnica DPNS Area Tecnica BANCA DATI C RELATIVA A VEICOLI RUBATI E RECUPERATI . BANCA DATI C RELATIVI AGLI INCIDENTI STRADALI. PROTOCOLL C/M O DEL COMUNE E ARCHIVIO GENERALE. DPNS Area Vigilanza e Commercio DPNS Area Vigilanza e Commercio DPS Area Amministrati va Economico Finanziaria VERBALI C/M DELLE DELIBERAZI ONI DI GIUNTA COMUNALE. VERBALI DI C/M DELIBERAZI ONI DI CONSIGLIO COMUNALE. DPNS Area Amministrati va Economico Finanziaria DPNS Area Amministrati va Economico Finanziaria Popolazione CONTRATTI C CIMITERIALI contratti di concessione cimiteriali 44 Attività di C/M Popolazione REGISTRI gestione dei DEI registri dei DEFUNTI. defunti BANCA DATI C/M 45 Gestione delle Persone attività dei STATO Fisiche Lavori AVANZAMEN Persone pubblici TO LAVORI. Giuridiche 46 Gestione del Tipologia Persone Fisiche Persone Giuridiche Persone Fisiche Persone Giuridiche Persone Fisiche Persone Giuridiche Persone Fisiche Persone Giuridiche Persone Fisiche Persone Giuridiche Documento programmatico sulla sicurezza DPS Pag. n° 12 n. Trattamento 51 Gestione delle attività di notifica dell’Ente 52 Gestione degli atti deliberativi dell’Ente 53 Attività di assegnazione benefici economici e contributi 54 Attività di assegnazione benefici economici e contributi a persone bisognose o non autosufficienti 55 Gestioni amministrativ a dei contratti dell’Ente Categorie di interessati Persone Fisiche Persone Giuridiche Persone Fisiche Tipologia Struttura di riferimento BANCA DATI C NOTIFICAZI ONI MESSI COMUNALI. DPS-DPG Area Vigilanza e Commercio ELENCO DETERMINE DPNS DPS Banca Dati Supporto C/M Persone Giuridiche Persone Fisiche Persone Fisiche Persone Fisiche Altre strutture Area Amministrati va Economico Finanziaria ASSEGNAZI C ONE CONTRIBUTI A.M. E A.N.F. BANCA DATI C/M BENEFICIAR I DI CONTRIBUTI DPS Comune San Marcello P.se DPS Comune San Marcello P.se CONTRATTI DPNS C Persone Giuridiche Area Amministrati va Economico Finanziaria 56 Attribuzione codice fiscale Popolazione Banca dati di titolari di codice fiscale M DPNS Area Amministrati va Economico Finanziaria 57 Assegnazione benefici economici e contributi 58 Gestione affitti immobili comunali Persone fisiche Persone fisiche Persone giuridiche Documento programmatico sulla sicurezza Banca dati C/M di beneficiari di contributi ad integrazione del canone di locazione Banca dati C/M degli affittuari di immobili DPNS DPS Area Amministrati va Economico Finanziaria DPNS Area Tecnica Pag. n° 13 4) DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ NELL’AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI3 4.1 Titolare del trattamento: Il Comune di Piteglio nella sua qualità di pubblica amministrazione e’ stato nominato Titolare del trattamento, secondo quanto disposto dal D. Lgs. n. 196 del 30/06/2003. E’ compito del Titolare: 1) Notificare la prima volta il trattamento di dati personali per cui intende procedere se rientrano nei casi indicati all’articolo 37 del decreto Legislativo n. 196 del 30/06/2003 entro la data indicata (30 Aprile 2004), oppure anteriormente all’inizio del trattamento ogniqualvolta si intenda procedere ad uno dei trattamenti dell’articolo sopraccitato in forma telematica secondo il modello predisposto dal garante sul proprio sito www.garanteprivacy.it attenendosi alle istruzioni indicate apponendo la firma digitale. 2) Redigere e revisionare annualmente il presente Documento Programmatico sulla Sicurezza anche attraverso il responsabile, se il trattamento riguarda dati sensibili o giudiziari secondo le modalità indicate nell’allegato B) al codice della Privacy. 3) Individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più “Responsabili del Trattamento” che assicurino e garantiscano che vengano adottate le misure di sicurezza ai sensi dell’art.31 della legge 196/2003. 4) Qualora ritenga di non nominare alcun “Responsabile del Trattamento”, ne assumerà tutte le responsabilità e funzioni. 5) Affidare al “Responsabile del Trattamento per la sicurezza dei dati” il compito di adottare misure tese a ridurre al minimo il rischio di distruzione dei dati, accesso non autorizzato o trattamento non consentito, previe idonee istruzioni fornite per iscritto. 3 Art.19 comma 19.2 “Allegato B) Disciplinare tecnico in materia di misure minime di sicurezza” Documento programmatico sulla sicurezza Pag. n° 14 4.1a n. Descrizione delle banche dati personali Descrizione Archivio Supporto Tipologia Titolarità 1 BANCA DATI DELLA POPOLAZIONE RESIDENTE. C/M DPNS Comune 2 BANCA DATI DEGLI ELETTORI. C/M DPNS Comune 3 BANCA DATI DEGLI INCARICHI ELETTORALI C/M DPNS (PRESIDENTI - SEGRETARI-SCRUTATORI DI SEGGIO) 4 BANCA DATI ITALIANI RESIDENTI ALL’ESTERO. Comune C/M DPNS Comune 5 BANCA DATI CITTADINI STRANIERI C/M DPNS (APPARTENENTI ALLA COMUNITÀ EUROPEA ED EXTRACOMUNITARI) 6 ELENCO DEI GIUDICI POPOLARI Comune C/M DPNS Comune 7 BANCA DATI LEVA MILITARE. C/M DPS Comune 8 BANCA DATI TRIBUTI COMUNALI. C/M DPNS Comune 9 BANCA DATI DICHIARAZIONI ICI. C/M DPNS Comune 10 BANCA DATI DICHIARAZIONI ICIAP. C DPNS Comune 11 BANCA DATI TOSAP. C DPNS Comune 12 BANCA DATI DELLE ATTIVITA’ PRODUTTIVE. C/M DPNS 13 BANCA DATI DEBITORI. M DPNS Comune 14 BANCA DATI CREDITORI. M DPNS Comune 15 BANCA DATI FORNITORI DEL COMUNE. C/M DPNS Comune 16 BANCA DATI DEI DIPENDENTI DEL COMUNE. C/M DPS Comune 17 BANCA DATI RILEVAZIONE PRESENZE DEL C/M DPNS Comune PERSONALE DEL COMUNE. 18 BANCA DATI MODELLO 730. C/M DPNS Comune 19 BANCA DATI INPDAP. C/M DPNS Comune 20 BANCA DATI MODELLO 770. C/M DPNS Comune 21 BANCA DATI MODELLO 01/M. C DPNS Comune 22 BANCA DATI INQUADRAMENTO CONTRATTUALE. C/M DPNS Comune 23 BANCA DATI DITTE PER GARE D’APPALTO. C/M DPNS Comune 24 BANCA DATI DEGLI INCARICHI PROFESSIONALI C/M DPNS Comune C/M DPNS Comune C/M DPNS Comune C/M DPNS Comune 28 BANCA DATI CONDONO EDILIZIO. C/M DPNS Comune 29 BANCA DATI ASSOCIAZIONI CULTURALI- C/M DPNS Comune C/M DPNS DPS Comune DEL COMUNE 25 BANCA DATI DEGLI AMMINISTRATORI DEL COMUNE. 26 BANCA DATI DEGLI INSEDIAMENTI PRODUTTIVI AI FINI DELLA LEGGE 319 (DEPURAZIONE DELLE ACQUE) 27 BANCA DATI PRATICHE EDILIZIE. RICREATIVE-SPORTIVE. 30 BANCA DATI SERVIZIO PASTI E TRASPORTO SCOLASTICO Documento programmatico sulla sicurezza Pag. n° 15 n. Descrizione Archivio 31 BANCA DATI DEI VERBALI DI CONTESTAZIONE Supporto Tipologia C/M ALLE VIOLAZIONI DEL CODICE STRADALE C/M 32 BANCA DATI INFRAZIONI AL CODICE DELLA STRADA. 33 BANCA DATI CESSIONI DI FABBRICATO LEGGE N. CM 191/78. CM 34 BANCA DATI TITOLARI DI AUTORIZZAZIONE AL COMMERCIO FISSO. Titolarità DPNS Comune DPNS Comune DPNS Comune Comune 35 BANCA DATI TITOLARI PUBBLICI ESERCIZI. CM 36 BANCA DATI COMMERCIO AREE PUBBLICHE. CM 37 BANCA DATI DELLA POPOLAZIONE RESIDENTE C/M DPS DPG DPS DPG DPS DPG DPNS C/M DPNS Comune DPS Comune PRATICHE IMMIGRAZIONE EMIGRAZIONE 38 CARTELLINI CARTE D’IDENTITÀ. 39 REGISTRI DEGLI ATTI DI NASCITA MATRIMONIO C Comune Comune Comune MORTE 40 ALBI SEZIONALI E GENERALI DEGLI ELETTORI. C/M DPNS Comune 41 LISTE DI LEVA. C/M DPS Comune 42 REGISTRI DEI DEFUNTI. C DPS Comune 43 CONTRATTI CIMITERIALI C DPNS Comune 44 REGISTRI DEI DEFUNTI. C/M DPNS Comune 45 BANCA DATI STATO AVANZAMENTO LAVORI. C/M DPNS Comune 46 BANCA DATI RELATIVA A VEICOLI RUBATI E C DPNS Comune C DPNS Comune C/M DPS Comune C/M DPNS Comune C/M DPNS Comune C DPS-DPG Comune 52 ELENCO DETERMINE C/M DPNS DPS Comune 53 ASSEGNAZIONE CONTRIBUTI A.M. E A.N.F. C DPS INPS DPS Comune 47 48 49 50 51 RECUPERATI. BANCA DATI RELATIVI AGLI INCIDENTI STRADALI. PROTOCOLLO DEL COMUNE E ARCHIVIO GENERALE. VERBALI DELLE DELIBERAZIONI DI GIUNTA COMUNALE. VERBALI DI DELIBERAZIONI DI CONSIGLIO COMUNALE. BANCA DATI NOTIFICAZIONI MESSI COMUNALI. 54 BANCA DATI BENEFICIARI DI CONTRIBUTI C/M (cittadini in stato di bisogno o non autosufficienti) 55 CONTRATTI C DPNS Comune 56 BANCA DATI TITOLARI DI CODICE FISCALE M DPNS Comune 57 BANCA DATI BENEFICIARI DI CONTRIBUTI AD C/M Comune 58 BANCA DATI DEGLI AFFITTUARI DI IMMOBILI C/M DPNS DPS DPNS INTEGRAZIONE DEL CANONE DI LOCAZIONE Documento programmatico sulla sicurezza Comune Pag. n° 16 4.2 Responsabili del trattamento Il Comune di Piteglio - titolare del trattamento – ha nominato secondo quanto previsto dall’art. 29 della D.Lgs 196 del 30/06/2003, con atto di Giunta n. 93 del 30/12/2004 quali responsabili del trattamento dei dati personali, i Responsabili di Settore, dando atto che per esperienza capacità ed affidabilità, forniscono idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento. Il Sindaco, nella sua qualità di Legale Rappresentante del Comune, ha provveduto a comunicare la nomina ai Responsabili del trattamento che hanno firmato per accettazione. I compiti affidati al Responsabile ed individuati per iscritto nella comunicazione di nomina, sono: a) Individuare per iscritto in apposito elenco, per la propria area di responsabilità, gli incaricati al trattamento che possono anche essere suddivisi per unità di appartenenza di cui sia individuato per iscritto l’ambito di trattamento consentito; b) Dotare gli incaricati, autorizzati al trattamento, di apposite credenziali di autenticazione, cioè di un codice associato ad una parola chiave riservata, e vigilare affinché vengano adottate da parte degli incaricati le cautele necessarie per garantirne la segretezza. c) Assicurarsi che gli incaricati custodiscano diligentemente i dispositivi che gli vengono assegnati per lo svolgimento del proprio incarico b)Impartire per iscritto le disposizioni operative per la sicurezza dei dati e dei procedimenti di gestione e/o trattamento dei dati stessi d)Autorizzare gli incaricati al trattamento dei dati e adottare tutti gli accorgimenti organizzativi e tecnici utili a garantire che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati e) Procedere almeno una volta all’anno, alla verifica della sussistenza delle condizioni per l’autorizzazione agli accessi ed al controllo dell’efficacia delle misure di sicurezza adottate f) Revocare le autorizzazioni all’accesso qualora non sussistono più le condizioni per la loro conservazione g) Curare il coordinamento di tutte le operazioni di trattamento di dati affidate agli incaricati appartenenti al proprio Servizio h) Procedere alle verifiche sulla metodologia di introduzione e di gestione dei dati, anche attraverso controlli a campioni da eseguirsi periodicamente; i) Disporre il blocco dei dati, qualora sia necessaria una sospensione temporanea delle operazioni di trattamento dandone tempestiva comunicazione al Titolare del trattamento. Documento programmatico sulla sicurezza Pag. n° 17 4.2a n. Assegnazione delle Responsabilità per i trattamenti di dati personali Trattamento Descrizione Archivio BANCA DATI dell’anagrafe della DELLA POPOLAZIONE popolazione RESIDENTE. residente 1 Gestione 2 Attività relativa all’elettorato attivo e passivo BANCA DATI DEGLI ELETTORI. BANCA DATI DEGLI INCARICHI ELETTORALI (PRESIDENTI SEGRETARISCRUTATORI DI SEGGIO) BANCA DATI Gestione 4 dell’anagrafe della ITALIANI RESIDENTI popolazione ALL’ESTERO. residente all’estero 3 Attività relativa Responsabile Nesti Luana Nesti Luana Nesti Luana all’elettorato attivo e passivo Struttura Compiti della struttura Racc., registr., organiz., Area Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic. Area Racc., registr., organiz., Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic. Area Racc., registr., organiz., Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic. Nesti Luana Area Amministrativa Economico Finanziaria Racc., registr., organiz., conserv., consult., elabor., modif., selez., estraz., raffr., util., comunic. Banca dati Nesti Luana cittadini stranieri dell’anagrafe della (appartenenti popolazione alla Comunità residente Europea ed all’estero Extracomunitari) Area Amministrativa Economico Finanziaria Racc., registr., organiz., conserv., consult., elabor., modif., selez., estraz., raffr., util., comunic. 5 Gestione 6 Attività relativa alla tenuta dell’elenco dei giudici popolari Nesti Luana Elenco dei giudici popolari 7 Attività relativa Banca dati leva Nesti Luana alla tenuta delle militare liste di leva e dei registri matricolari 8 Attività relativa all’ accertamento e riscossione di tasse e imposte 9 Attività relativa all’ accertamento e riscossione di tasse e imposte 10 Attività relativa all’ accertamento e riscossione di tasse e imposte Banca dati Nesti Luana tributi comunali Banca dati dichiarazioni ICI Nesti Luana Banca dati dichiarazioni ICIAP Nesti Luana Documento programmatico sulla sicurezza Area Amministrativa Economico Finanziaria Racc., registr., organiz., conserv., consult., elabor., modif., selez., estraz., raffr., util., comunic. Area Racc., registr., organiz., Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic. Racc., registr., organiz., Area Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., canc. finanziaria Area Amministrativa Economico finanziaria Area Amministrativa Economico finanziaria Racc., registr., organiz., conserv., consult., elabor., modif., selez., estraz., raffr., util., canc. Conservazione Pag. n° 18 n. Trattamento 11 Attività relativa all’ accertamento e riscossione di tasse e imposte 12 Attività relativa all’ accertamento e riscossione di tasse e imposte Descrizione Archivio Banca dati TOSAP. Responsabile Nesti Luana Banca dati delle attività produttive. BANCA DATI DEBITORI. Nesti Luana 14 Gestione della BANCA DATI CREDITORI. Nesti Luana 15 Gestione della BANCA DATI FORNITORI DEL COMUNE. Nesti Luana Filoni Mauro Pratesi Paolo 16 Gestione BANCA DATI DEI DIPENDENTI DEL COMUNE. Nesti Luana 17 Gestione BANCA DATI Nesti Luana RILEVAZIONE PRESENZE DEL PERSONALE DEL COMUNE. BANCA DATI Nesti Luana MODELLO 730. contabilità dell’Ente contabilità dell’Ente economica e giuridica del personale economica del personale 18 Gestione economica del personale 19 Gestione economica e giuridica del personale 20 Gestione della contabilità dell’Ente 21 Gestione economica e giuridica del personale 22 Gestione economica e giuridica del BANCA DATI INPDAP. Nesti Luana BANCA DATI Nesti Luana MODELLO 770. BANCA DATI MODELLO 01/M. Nesti Luana BANCA DATI Nesti Luana INQUADRAMEN TO Documento programmatico sulla sicurezza Compiti della struttura Area Racc., organiz., conserv., Amministrativa consult., modif., canc. Economico finanziaria * I compiti relativi a questa attività sono rimasti di competenza dell’area tecnica solo fino al 01/02/11, in attesa di definizione del Servizio associato 13 Gestione della contabilità dell’Ente Struttura Area Amministrativa Economico finanziaria Area Amministrativa Economico finanziaria Area Economico finanziaria, Amministrativa, Tecnica, Vigilanza e Commercio Racc., registr., organiz., conserv., consult., modif., util., canc. Racc., registr., organiz., conserv., consult., modif., util., canc. Racc., registr., organiz., conserv., consult., modif., util., canc. Area Amministrativa Economico finanziaria Racc., registr., organiz., conserv., consult., elabor., modif., selez., estraz., raffr., util., comunic., canc., Area Racc., registr., organiz., Amministrativa conserv., consult., Economico elabor., modif., raffr., finanziaria util., canc., Area Amministrativa Economico finanziaria Area Amministrativa Economico finanziaria Area Amministrativa Economico finanziaria Area Amministrativa Economico finanziaria Area Amministrativa Economico Racc., registr., organiz., conserv., consult., elabor., modif., raffr., util., canc., Racc., registr., organiz., conserv., consult., elabor., modif., raffr., util., canc., Racc., registr., organiz., conserv., consult., elabor., modif., raffr., util., canc., Racc., registr., organiz., conserv., consult., elabor., modif., raffr., util., canc., Racc., registr., organiz., conserv., consult., elabor., modif., raffr., Pag. n° 19 personale CONTRATTUAL E. Gestione delle BANCA DATI DITTE PER GARE D’APPALTO. 23 attività relative alla predisposizione, aggiudicazione di gare d’appalto 24 Gestione economica e giuridica del personale finanziaria Filoni Mauro BANCA DATI Filoni Mauro DEGLI INCARICHI PROFESSIONAL I DEL COMUNE 25 Banca dati degli BANCA DATI Nesti Luana amministratori del DEGLI Comune. AMMINISTRAT ORI DEL COMUNE. Gestione dei BANCA DATI Filoni Mauro 26 procedimenti della DEGLI legge 319 INSEDIAMENTI (depurazione PRODUTTIVI AI delle acque) FINI DELLA LEGGE 319 (DEPURAZIONE DELLE ACQUE) BANCA DATI Filoni Mauro 27 Gestione delle pratiche edilizie. PRATICHE EDILIZIE. 28 Banca dati BANCA DATI CONDONO EDILIZIO. 29 Banca dati BANCA DATI Nesti Luana ASSOCIAZIONI CULTURALIRICREATIVESPORTIVE. BANCA DATI Nesti Luana SERVIZIO PASTI E TRASPORTO SCOLASTICO condono edilizio. associazioni culturali Ricreative sportive 30 Banca dati servizio pasti e trasporto scolastico Documento programmatico sulla sicurezza Filoni Mauro util., canc., Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modifica, utilizzo Area Tecnica Raccolta, registrazione, conservazione, consultazione, modifica, estrazione, utilizzo, comunicazione, diffusione Racc., registr., organiz., Area Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic., diffus. Area Tecnica Raccolta, registrazione, conservazione, consultazione, modifica, utilizzo, comunicazione, diffusione Area Tecnica Area Tecnica Raccolta, registrazione, conservazione, consultazione, modifica, estrazione, utilizzo, comunicazione, diffusione Area Tecnica Raccolta, registrazione, conservazione, consultazione, modifica, estrazione, utilizzo, comunicazione, diffusione Racc., registr., organiz., Area Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic., diffus. Racc., registr., organiz., Area Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic. Pag. n° 20 n. Trattamento 31 Banca dati dei verbali di contestazione alle violazioni del Codice Stradale Descrizione Archivio Responsabile BANCA DATI DEI VERBALI DI CONTESTAZIO NE ALLE VIOLAZIONI DEL CODICE STRADALE Sindaco 32 Banca dati BANCA DATI Sindaco INFRAZIONI AL CODICE DELLA STRADA. 33 Banca dati BANCA DATI Sindaco CESSIONI DI FABBRICATO LEGGE N. 191/78. BANCA DATI Sindaco TITOLARI DI AUTORIZZAZIO NE AL COMMERCIO FISSO. BANCA DATI Sindaco TITOLARI PUBBLICI ESERCIZI. infrazioni al codice della strada. cessioni di fabbricato legge n. 191/78. 34 Gestione delle licenze relative alle attività di commercio fisso 35 Gestione delle licenze relative alle attività di pubblici esercizi 36 Gestione dell’assegnazione dei posteggi disponibili nei mercati periodici o stagionali. 37 Gestione dell’anagrafe della popolazione residente BANCA DATI COMMERCIO AREE PUBBLICHE. Sindaco BANCA DATI DELLA POPOLAZIONE RESIDENTE PRATICHE IMMIGRAZION E EMIGRAZIONE Nesti Luana Documento programmatico sulla sicurezza Struttura Compiti della struttura Area Vigilanza e Raccolta, registrazione,organizzazi Commercio one, conservazione, consultazione,elaborazio ne,selezione,estrazione,r affronto,utilizzo, interconnessione,blocco, comunicazione , diffusione Area Vigilanza Raccolta, e Commercio registrazione,organizzazi one, conservazione, consultazione,elaborazio ne,selezione,estrazione,r affronto,utilizzo, interconnessione,blocco, comunicazione , diffusione Area Vigilanza Raccolta, e Commercio registrazione,organizzazi one, conservazione, consultazione,elaborazio ne,selezione,utilizzo, Dal 01/02/2011 Raccolta, registrazione, organizzazione, SUAP ASSOCIATO conservazione,consultazi one,elaborazione,modific a,selezione,raffronto, utilizzo,cancellazione Dal Raccolta, registrazione, 01/02/2011 organizzazione, SUAP conservazione,consultazi ASSOCIATO one,elaborazione,modific a,selezione,raffronto, utilizzo,cancellazione Area Vigilanza Raccolta, registrazione, e Commercio organizzazione, conservazione,consultazi one,elaborazione,modific a,selezione,raffronto, utilizzo,cancellazione Area Racc., registr., organiz., Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic. Pag. n° 21 n. Trattamento Descrizione Archivio 38 Gestione CARTELLINI dell’anagrafe della CARTE popolazione D’IDENTITÀ. residente 39 Attività di gestione dei registri di stato civile 40 Attività relativa all’elettorato attivo e passivo 41 Attività relativa Responsabile Nesti Luana REGISTRI Nesti Luana DEGLI ATTI DI NASCITA MATRIMONIO MORTE ALBI Nesti Luana SEZIONALI E GENERALI DEGLI ELETTORI. LISTE DI LEVA. Nesti Luana alla tenuta delle liste di leva e dei registri matricolari 42 Attività di REGISTRI DEI DEFUNTI. Nesti Luana CONTRATTI contratti di CIMITERIALI concessione cimiteriali REGISTRI DEI 44 Attività di gestione dei DEFUNTI. registri dei defunti Filoni Mauro gestione dei registri di stato civile 43 Gestione dei 45 Gestione delle attività dei Lavori pubblici 46 Gestione del Codice della Strada 47 Gestione del Codice della Strada 48 Gestione dell’iter documentale e della corrispondenza BANCA DATI STATO AVANZAMENTO LAVORI. BANCA DATI RELATIVA A VEICOLI RUBATI E RECUPERATI. BANCA DATI RELATIVI AGLI INCIDENTI STRADALI. PROTOCOLLO DEL COMUNE E ARCHIVIO GENERALE. Filoni Mauro Filoni Mauro DELIBERAZION I DI GIUNTA COMUNALE. Documento programmatico sulla sicurezza Area Amministrativa Economico Finanziaria Area Amministrativa Economico Compiti della struttura Racc., registr., organiz., conserv., consult., elabor., raffr., util., comunic. Racc., registr., organiz., conserv., consult., elabor., modif., selez., estraz., raffr., util., Finanziaria comunic. Area Racc., registr., organiz., Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic. Area Racc., registr., organiz., Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util., Finanziaria comunic. Area Racc., registr., organiz., Amministrativa conserv., consult., selez., estraz., raffr., Economico util., comunic. Finanziaria Area Tecnica Raccolta, registrazione, conservazione, consultazione, utilizzo, diffusione Area Tecnica Raccolta, registrazione, conservazione, consultazione, modifica, estrazione, utilizzo, comunicazione, diffusione Area Tecnica Raccolta, registrazione, conservazione, consultazione, utilizzo Sindaco Area Vigilanza Raccolta, registrazione, e Commercio conservazione,consultazi one,selezione, utilizzo Sindaco Area Vigilanza Raccolta registrazione, e Commercio organizzazione, conservazione,consultazi one, utilizzo, Area Racc., registr., organiz., Amministrativa conserv., consult., elabor., modif., selez., Economico estraz., raffr., util. Finanziaria Nesti Luana 49 Gestione degli atti VERBALI DELLE Nesti Luana deliberativi dell’Ente Struttura Area Amministrativa Economico Finanziaria Racc., registr., organiz., conserv., consult., elabor., selez., estraz., raffr., util., comunic. Pag. n° 22 n. Trattamento Descrizione Archivio Responsabile 50 Gestione degli atti VERBALI DI Nesti Luana DELIBERAZION I DI CONSIGLIO COMUNALE. Gestione delle BANCA DATI Sindaco 51 attività di notifica NOTIFICAZION dell’Ente I MESSI COMUNALI. Nesti Luana 52 Gestione degli atti ELENCO deliberativi DETERMINE dell’Ente deliberativi dell’Ente 53 Attività di assegnazione benefici economici e contributi 54 Attività di assegnazione benefici economici e contributi a persone bisognose o non autosufficienti 55 Gestione amministrativa dei contratti dell’Ente 56 Attribuzione codice fiscale ASSEGNAZION Frullani E CONTRIBUTI Tatiana A.M. E A.N.F. Struttura Area Amministrativa Economico Finanziaria Compiti della struttura Racc., registr., organiz., conserv., consult., elabor., selez., estraz., raffr., util., comunic. Area Vigilanza e Racc., resgistr., conserv., consult., util., Commercio comunic. Area Amministrativa Economico Finanziaria Servizio Sociale (gestione tramite delega) Racc., registr., organiz., conserv., consult., elabor., selez., estraz., raffr., util., comunic. Racc., registr., organiz., conserv., consult., elabor., util., comunic., BANCA DATI BENEFICIARI DI CONTRIBUTI Frullani Tatiana Servizio Sociale Racc., registr., organiz., (gestione conserv., consult., tramite delega) elabor., util., comunic., CONTRATTI Nesti Luana Area Amministrativa Economico Finanziaria Area Amministrativa Economico Finanziaria Area Amministrativa Economico Finanziaria Racc., registr., organiz., conserv., consult., elabor., util., comunic., Area Tecnica Raccolta, registrazione, conservazione, consultazione, codifica, estrazione, utilizzo, comunicazione, diffusione BANCA DATI TITOLARI DI CODICE FISCALE Banca dati di Assegnazione 57 benefici economici beneficiari di e contributi contributi ad integrazione del canone di locazione Gestione affitti Banca dati 58 immobili comunali degli affittuari di immobili Documento programmatico sulla sicurezza Nesti Luana Nesti Luana Filoni Mauro Racc., registr., organiz., conserv., consult., elabor., selez., estraz., raffr., util., comunic. Racc., registr., organiz., conserv., consult., elabor., selez., estraz., raffr., util., comunic. Pag. n° 23 4.3 Incaricati del trattamento Ogni Responsabile del trattamento, per le banche dati assegnate, ha individuato gli incaricati al trattamento ed ha provveduto alla formalizzazione dell’autorizzazione per lo svolgimento delle operazioni di trattamento di dati personali per conto del Comune specificando: le banche dati assegnate il tipo di dati oggetto del trattamento finalità del trattamento stesso norme legislative disciplinanti l’incarico istruzioni per l’applicazione delle misure minime di sicurezza modulo di comunicazione password al custode delle parole chiavi e relative istruzioni 4.3a n. Individuazione degli incaricati Trattamento 1 Gestione dell’anagrafe della popolazione residente 2 Attività relativa all’elettorato attivo e passivo Descrizione Archivio BANCA DATI DELLA POPOLAZIONE RESIDENTE. Incaricato Gaggini Doris, Ferrari Giulia, Nesti Luana BANCA DATI DEGLI ELETTORI. Gaggini Doris, Ferrari Giulia, Nesti Luana BANCA DATI DEGLI INCARICHI ELETTORALI (PRESIDENTI - SEGRETARISCRUTATORI DI SEGGIO) BANCA DATI ITALIANI RESIDENTI ALL’ESTERO. Gaggini Doris, Ferrari Giulia, Nesti Luana Banca dati cittadini stranieri (appart. Alla Comunità Europea ed Extracomunitari) Gaggini Doris,Ferrari Giulia Nesti Luana 6 Attività relativa alla tenuta ELENCO DEI GIUDICI POPOLARI Gaggini Doris 7 Attività relativa alla tenuta BANCA DATI LEVA MILITARE Gaggini Doris BANCA DATI TRIBUTI COMUNALI Ducci Erika, Nesti Luana BANCA DATI DICHIARAZIONI ICI Ducci Erika, Nesti Luana, Valiani Veronica 3 Attività relativa all’elettorato attivo e passivo 4 Gestione dell’anagrafe della popolazione residente all’estero 5 Gestione dell’anagrafe della popolazione residente all’estero dell’elenco dei giudici popolari delle liste di leva e dei registri matricolari 8 Attività relativa all’ accertamento e riscossione di tasse e imposte 9 Attività relativa all’ accertamento e riscossione di tasse e imposte 10 Attività relativa all’ accertamento e riscossione di tasse e imposte Documento programmatico sulla sicurezza Gaggini Doris, Ferrari Giulia, Nesti Luana BANCA DATI DICHIARAZIONI ICIAP Pag. n° 24 n. Trattamento 11 Attività relativa all’ accertamento e riscossione di tasse e imposte 12 Attività relativa all’ accertamento e riscossione di tasse e imposte Descrizione Archivio BANCA DATI TOSAP. Incaricato Ducci Erika, Nesti Luana BANCA DATI DELLE ATTIVITA’ PRODUTTIVE. * I compiti relativi a questa attività sono rimasti di competenza dell’area tecnica solo fino al 01/02/11, in attesa di definizione del Servizio associato 13 Gestione della contabilità BANCA DATI DEBITORI. Ducci Erika, Nesti Luana 14 BANCA DATI CREDITORI. Ducci Erika, Nesti Luana tutti i dipendenti 18 Gestione economica del BANCA DATI FORNITORI DEL COMUNE. BANCA DATI DEI DIPENDENTI DEL COMUNE. BANCA DATI RILEVAZIONE PRESENZE DEL PERSONALE DEL COMUNE. BANCA DATI MODELLO 730. 19 BANCA DATI INPDAP. Ducci Erika, Nesti Luana BANCA DATI MODELLO 770. Ducci Erika, Nesti Luana BANCA DATI MODELLO 01/M. Ducci Erika, Nesti Luana BANCA DATI INQUADRAMENTO CONTRATTUALE. BANCA DATI DITTE PER GARE D’APPALTO. Ducci Erika, Nesti Luana 15 16 17 20 21 22 dell’Ente Gestione della contabilità dell’Ente Gestione della contabilità dell’Ente Gestione economica e giuridica del personale Gestione economica del personale personale Gestione economica e giuridica del personale Gestione della contabilità dell’Ente Gestione economica e giuridica del personale Gestione economica e giuridica del personale 23 Gestione delle attività relative alla predisposizione, aggiudicazione di gare d’appalto 24 Gestione economica e giuridica BANCA DATI DEGLI del personale INCARICHI PROFESSIONALI DEL COMUNE BANCA DATI DEGLI 25 Banca dati degli amministratori del Comune. AMMINISTRATORI DEL COMUNE. BANCA DATI DEGLI 26 Gestione dei procedimenti della legge 319 (depurazione INSEDIAMENTI PRODUTTIVI delle acque) AI FINI DELLA LEGGE 319 (DEPURAZIONE DELLE ACQUE) Gestione delle pratiche BANCA DATI PRATICHE 27 edilizie. EDILIZIE. Banca dati condono edilizio. BANCA DATI CONDONO 28 EDILIZIO. Documento programmatico sulla sicurezza Ducci Erika, Nesti Luana Ducci Erika, Nesti Luana Ducci Erika, Nesti Luana Giani Samanta, Serni Chiara Giani Samanta, Serni Chiara Cecchini Antonella, Ferrari Giulia Ferrari Fabiano Vannucchi Cristiano Vannucchi Cristiano Pag. n° 25 29 Banca dati associazioni culturali Ricreative sportive 30 Banca dati servizio pasti e trasporto scolastico 31 Banca dati dei verbali di contestazione alle violazioni del Codice Stradale 32 33 34 35 BANCA DATI SERVIZIO PASTI E TRASPORTO SCOLASTICO BANCA DATI DEI VERBALI DI CONTESTAZIONE ALLE VIOLAZIONI DEL CODICE STRADALE Banca dati infrazioni al codice BANCA DATI INFRAZIONI AL della strada. CODICE DELLA STRADA. Banca dati cessioni di BANCA DATI CESSIONI DI fabbricato legge n. 191/78. FABBRICATO LEGGE N. 191/78. Gestione delle licenze relative BANCA DATI TITOLARI DI alle attività di commercio fisso AUTORIZZAZIONE AL COMMERCIO FISSO. Gestione delle licenze relative BANCA DATI TITOLARI alle attività di pubblici esercizi PUBBLICI ESERCIZI. 36 Gestione dell’assegnazione dei posteggi disponibili nei mercati periodici o stagionali. 37 Gestione dell’anagrafe della popolazione residente 38 Gestione dell’anagrafe della popolazione residente 39 Attività di gestione dei registri di stato civile 40 Attività relativa all’elettorato 41 42 43 44 BANCA DATI ASSOCIAZIONI CULTURALI-RICREATIVESPORTIVE. attivo e passivo Attività relativa alla tenuta delle liste di leva e dei registri matricolari Attività di gestione dei registri di stato civile Gestione dei contratti di concessione cimiteriali Attività di gestione dei registri dei defunti Gestione delle attività dei Lavori pubblici Gestione del Codice della Strada Documento programmatico sulla sicurezza Cecchini Antonella Nesti Franco, Ariani Roberto Nesti Franco, Ariani Roberto Nesti Franco, Ariani Roberto Responsabile suap associato Responsabile suap associato BANCA DATI COMMERCIO AREE PUBBLICHE. Nesti Franco, Ariani Roberto BANCA DATI DELLA POPOLAZIONE RESIDENTE PRATICHE IMMIGRAZIONE EMIGRAZIONE CARTELLINI CARTE D’IDENTITÀ. REGISTRI DEGLI ATTI DI NASCITA MATRIMONIO MORTE ALBI SEZIONALI E GENERALI DEGLI ELETTORI. LISTE DI LEVA. Gaggini Doris, Ferrari Giulia, nesti Luana REGISTRI DEI DEFUNTI. CONTRATTI CIMITERIALI Gaggini Doris, Ferrari Giulia, Nesti Luana Ferrari Fabiano REGISTRI DEI DEFUNTI. Ferrari Fabiano BANCA DATI STATO AVANZAMENTO LAVORI. BANCA DATI RELATIVA A 46 VEICOLI RUBATI E RECUPERATI. Gestione del Codice della BANCA DATI RELATIVI AGLI 47 Strada INCIDENTI STRADALI. Gestione dell’iter documentale PROTOCOLLO DEL COMUNE E 48 e della corrispondenza ARCHIVIO GENERALE. 45 Cecchini Antonella, Ferrari Giulia Gaggini Doris, Ferrari Giulia, Nesti Luana Gaggini Doris, Ferrari Giulia; Nesti Luana Gaggini Doris, Ferrari Giulia, Nesti Luana Gaggini Doris Giani Samanta; Chiara Serni Nesti Franco, Ariani Roberto Nesti Franco, Ariani Roberto Cecchini Antonella, Ferrari Giulia Pag. n° 26 n. Trattamento 49 Gestione degli atti deliberativi dell’Ente 50 Gestione degli atti deliberativi dell’Ente 51 Gestione delle attività di notifica dell’Ente 52 Gestione degli atti deliberativi 53 54 55 56 dell’Ente Attività di assegnazione benefici economici e contributi Attività di assegnazione benefici economici e contributi a persone bisognose o non autosufficienti Gestione amministrativa dei contratti dell’Ente Attribuzione codice fiscale 57 Assegnazione benefici economici e contributi 58 Gestione affitti immobili comunali Descrizione Archivio VERBALI DELLE DELIBERAZIONI DI GIUNTA COMUNALE. VERBALI DI DELIBERAZIONI DI CONSIGLIO COMUNALE. BANCA DATI NOTIFICAZIONI MESSI COMUNALI. ELENCO DETERMINE Incaricato Cecchini Antonella, Ferrari Giulia ASSEGNAZIONE CONTRIBUTI A.M. E A.N.F. BANCA DATI BENEFICIARI DI CONTRIBUTI Cecchini Antonella, Ferrari Giulia Nesti Franco, Ariani Roberto Cecchini Antonella, Ferrari Giulia Incaricati Comune di San Marcello P.se Incaricati Comune di San Marcello P.se CONTRATTI Cecchini Antonella BANCA DATI TITOLARI DI CODICE FISCALE BANCA DATI DI BENEFICIARI DI CONTRIBUTI AD INTEGRAZIONE DEL CANONE DI LOCAZIONE BANCA DATI DEGLI AFFITTUARI DI IMMOBILI Gaggini Doris Ferrari Giulia, Cecchini Antonella Chiara Serni; Giani Samanta 4.4 Custode delle credenziali di autenticazione Il Titolare del trattamento individua con proprio decreto il custode delle copie delle credenziali di autenticazione ai sensi del D.Lgs n. 196 del 30 giugno 2003, che deve gestirle e custodirle garantendone la segretezza. Ogni incaricato consegna una busta chiusa con indicato sopra il proprio nome utente con all'interno le credenziali usate per accedere ai dati oggetto di trattamento. Tali buste dovranno essere conservate in luogo concordato ed accessibile in caso di sua assenza. In caso di prolungata assenza di un incaricato, se si verifica la necessità di dover accedere allo strumento elettronico di un incaricato, verrà usata la copia delle credenziali di autenticazione in possesso del custode e lo stesso informerà tempestivamente l’incaricato dell’accesso avvenuto. Documento programmatico sulla sicurezza Pag. n° 27 5. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI4 5.a) Elenco dei fattori di rischio che incombono sui dati personali Codice Descrizione Rischi relativi comportamenti degli operatori Soglia di Rischio Riferimen to misure d’azione R1 Sottrazione di credenziali di autenticazione Bassa M1 R2 Carenza di consapevolezza disattenzione o incuria Bassa M2 R3 Comportamenti sleali o fraudolenti R4 Errore materiale Bassa M4 R5 Non corretta applicazione delle parole chiave e delle user-id Bassa M5 R6 Trattamento/comunicazione/diffusione non autorizzata dei dati Bassa M6 Codice Descrizione strumenti 4 ai Rischi relativi M3 agli Soglia di Rischio Riferimen to misure d’azione R7 Azione di virus informatici Bassa M7 R8 Spamming o altre tecniche di sabotaggio Media M8 R9 Bassa M9 R10 Malfunzionamento indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Media M10 R11 Intercettazione di informazioni in rete Bassa M11 Art.19 comma 19.3 “Allegato B) Disciplinare tecnico in materia di misure minime di sicurezza” Documento programmatico sulla sicurezza Pag. n° 28 Codice Descrizione Rischi relativi al contesto Soglia di Rischio Riferimen to misure d’azione R12 Accessi non autorizzati ai locali Bassa M12 R13 Sottrazione di strumenti contenenti dati Bassa M13 R14 Danneggiamento delle risorse informatiche per disastri naturali (incendi, movimenti tellurici allagamenti ecc.) Bassa M14 R15 Alterazione/danneggiamento accidentale o doloso del sistema, dei programmi e/o dati Bassa M15 R16 Guasto ai sistemi complementari Bassa M16 R17 Errori umani nella gestione della sicurezza fisica Bassa M17 R18 Criticità del Sistema informatico Comunale Bassa M18 R19 Modalità di conservazione dei dati Bassa M19 Documento programmatico sulla sicurezza Pag. n° 29 6) MISURE DA ADOTTARE PER GARANTIRE L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÉ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ5 6.a Elenco delle misure per contrastare i fattori di rischio che incombono sui dati personali Codice Misura Codice Rischio M1 R1 Tutti i trattamenti su supporto magnetico Misura in corso di attuazione M2 R2 Tutti i trattamenti Misura in corso di attuazione M3 R3 Tutti i trattamenti Misura già in essere Ogni singolo incaricato M4 R4 Tutti i trattamenti Misura già in essere Ogni singolo incaricato M5 R5 Misura già in essere Ogni singolo incaricato M6 R6 Tutti i trattamenti su supporto magnetico Tutti i trattamenti Misura in corso di attuazione M7 R7 Misura già in essere M8 R8 M9 R9 Tutti i trattamenti su supporto magnetico Tutti i trattamenti su supporto magnetico Tutti i trattamenti Responsabili del trattamento Ogni incaricato Ogni singolo incaricato Misura in corso di attuazione Misura già in essere Ogni singolo incaricato Ogni Responsabile Titolare M10 R10 Tutti i trattamenti Ogni singolo incaricato M11 R11 Tutti i trattamenti Misura in corso di attuazione Misura già in essere M12 R12 Tutti i trattamenti Misura già in essere M13 R13 Tutti i trattamenti Misura già in essere M14 R14 Tutti i trattamenti Misura già in essere M15 R15 Misura già in essere M16 R16 Tutti i trattamenti su supporto magnetico Tutti i trattamenti Tutti i responsabili Tutti gli incaricati Tutti i responsabili Tutti gli incaricati Responsabile Sicurezza e Protezione civile Ogni singolo incaricato M17 R17 Tutti i trattamenti M18 R18 M19 R19 Tutti i trattamenti su supporto magnetico Tutti i trattamenti 5 Trattamento interessato Attuazione Misura Misura in parte già adottata Misura già in essere Misura già in essere Misura già in essere Struttura o persone addette Custode delle credenziali Ogni singolo incaricato Ogni singolo incaricato Titolare Responsabile Sicurezza Responsabile Sicurezza Titolare Ogni Responsabile Ogni incaricato Art.19 comma 19.4 “Allegato B) Disciplinare tecnico in materia di misure minime di sicurezza” Documento programmatico sulla sicurezza Pag. n° 30 6.b Schede descrittive delle misure adottate Misura M1 Descrizione Sintetica Rischio contrastato Rischi legati all’ubicazione fisica degli archivi contenenti dati personali Data Compilatore aggiornamento COSEA Il server di rete su cui sono posti gli archivi di lavoro verrà collocato in un apposito locale con porta d'accesso munita di serratura Misura M2 Descrizione Sintetica Rischio contrastato Rischi legati al metodo di accesso ai dati Data Compilatore aggiornamento COSEA L’accesso logico alle procedure gestionali residenti sul server di rete avviene tramite autenticazione con identificativo personale e relativa password conosciuta solo dall’incaricato . Ad ogni incaricato al trattamento è stato assegnato: • parola chiave personale per l’accesso alle procedure gestionali di contabilità, anagrafe, tributi , protocollo ed atti deliberativi Ad ogni incaricato verrà assegnato: • codice identificativo personale per l’utilizzo dell’elaboratore (parola chiave sul BIOS) • codice identificativo personale sullo screen-saver per la tutela dell’accesso all’elaboratore in caso di assenza temporanea durante l’orario di lavoro Nel caso l’incaricato al trattamento verifichi la perdita della qualità della propria password di accesso all’elaboratore, deve provvedere all’immediata comunicazione al proprio Responsabile che provvederà a contattare la Ditta fornitrice per l’immissione di una nuova password. Documento programmatico sulla sicurezza Pag. n° 31 Misura M3 Descrizione Sintetica Rischio contrastato Comunicazione e diffusione non autorizzata dei dati Data Compilatore aggiornamento COSEA I dati personali oggetto di trattamento sono diffusi solo se lo prevede un’apposita disposizione o regolamento o autorizzazione del Garante I dati potranno essere comunicati ai soggetti richiedenti previa verifica con il Responsabile del trattamento della sussistenza dei requisiti per la comunicazione e diffusione dei dati. In • • • tutti gli altri casi è fatto divieto a chiunque di: Effettuare copie su supporto magnetico o trasmissioni non autorizzate Effettuare copie fotostatiche o di qualsiasi altra natura non autorizzate Sottrarre, cancellare distruggere senza autorizzazione stampe tabulati elenchi rubriche ed ogni altro materiale riguardante i dati oggetto del trattamento • Consegnare a persone non autorizzate stampe tabulati elenchi rubriche ed ogni altro materiale riguardante i dati oggetto del trattamento Misura M4 Descrizione Sintetica Rischio contrastato Criticità del Sistema informatico Comunale Data Compilatore aggiornamento COSEA La lan comunale è stata ricablata e certificata secondo gli standard a livello europeo. Misura M5 Descrizione Sintetica Rischio contrastato Modalità di conservazione dei dati Data Compilatore aggiornamento COSEA I supporti rimovibili a nastro, i supporti floppy e CD su cui sono memorizzati dati personali sono custoditi diligentemente dagli incaricati in armadi e cassetti chiusi a chiave Documento programmatico sulla sicurezza Pag. n° 32 Misura M6 Descrizione Sintetica Rischio contrastato Accessi non autorizzati Data Compilatore aggiornamento COSEA L’accesso ai locali può avvenire solo in presenza del personale del Comune in possesso delle chiavi di accesso ai rispettivi uffici. Ogni personal computer sarà dotato di password sul bios e di password sullo screen-saver per inibire l’accesso in caso di allontanamento dell’operatore che comunque ha ricevuto istruzioni scritte per non far accedere estranei agli strumenti elettronici. Armadi e scrivanie sono dotati di serrature con chiavi, Gli accessi e le uscite del personale sono registrati attraverso il sistema di rilevazione delle presenze. Chi effettua le pulizie è stato edotto sulle modalità di accesso e comportamento in caso di mancanza del personale. Misura M7 Descrizione Sintetica Rischio contrastato Sottrazione di elaboratori, programmi, supporti o dati Data Compilatore aggiornamento COSEA La sede amministrativa del Comune di Piteglio e’ accessibile attraverso un portone principale di accesso Gli uffici comunali sono posti al piano terra, al primo e secondo piano dell’edificio Tutti gli uffici sono muniti di serratura e sono chiusi a chiave quando il personale dipendente non e' presente. Negli uffici, gli armadi e le scrivanie sono muniti di serratura con chiave. I dati personali sensibili, su supporto cartaceo, sono custoditi in armadi e/o cassetti accessibili solo agli incaricati del trattamento durante l’orario di lavoro. Documento programmatico sulla sicurezza Pag. n° 33 Misura Descrizione Sintetica Data Compilatore Rischio contrastato aggiornamento M8 Alterazione/danneggiamento COSEA accidentale o doloso del sistema, dei programmi e/o dati In ogni elaboratore è stato installato il software antivirus Norton Symantec che controlla automaticamente all’avvio la disponibilità di un nuovo aggiornamento Si prevede la tenuta di un apposito registro di rilevazione dei virus informatici che hanno causato perdita o danneggiamento di dati. Verrà installato un gruppo di continuità che permetta l'erogazione di energia elettrica ai server e agli apparati di internetworking in caso di black-out. Il server di rete per la gestione tramite sistema Operativo Unix e' provvisto di dispositivo Dat Gli incaricati del trattamento, secondo le istruzioni impartite, devono provvedere ad effettuare la copia di salvataggio delle banche dati assegnate residenti sui server di rete, in locale, su supporti magnetici e/o ottici (floppy disk e cd). I supporti magnetici e/o ottici esterni (floppy disk, cd e dat) sono custoditi in modo da proteggerli da: • Fonti di calore • Campi magnetici • Incendio • Furto • Agenti chimici • Campi magnetici • Intrusioni ed atti vandalici • Allagamento I supporti magnetici esterni contenenti dati saranno riutilizzati qualora le informazioni precedentemente contenute non siano tecnicamente recuperabili in alcun modo altrimenti saranno distrutti Documento programmatico sulla sicurezza Pag. n° 34 Misura Descrizione Sintetica Data Compilatore Rischio contrastato aggiornamento M9 Danneggiamento delle risorse COSEA informatiche per disastri naturali (incendi ecc.) Sono presenti degli estintori che vengono verificati periodicamente L’area in cui ha sede il comune di Piteglio non è soggetta a esondazioni, terremoti o altri disastri naturali. Misura M10 Descrizione Sintetica Rischio contrastato Intrusione dall’esterno nel sistema tramite connessione telematica Data aggiornamento Compilatore COSEA La connessione per i servizi di trasmissione dati avviene attraverso il collegamento di tipo HDSL. La sicurezza della trasmissione dei dati sui collegamenti e’ assicurata dalla tipologia di connessione non violabile dall’esterno che non consente l’intercettazione dei dati. Per quanto riguarda i collegamenti attraverso apparati router esistono i seguenti livelli di protezione rappresentati da: - n° telefonico di chiamata non pubblico - autenticazione dell’apparato attraverso identificativo dell’utente e relativa password - limitazione di routing al solo accesso ai servizi Internet (navigazione e posta elettronica) Nell’attuazione dei progetti di E-Government della Regione Toscana cui il Comune Piteglio ha aderito tramite convenzione è prevista l’installazione di un firewall presso la sede comunale. Documento programmatico sulla sicurezza Pag. n° 35 Misura M11 Descrizione Sintetica Rischio contrastato Non corretta applicazione delle parole chiave e delle user-id Data aggiornamento Compilatore COSEA Ogni incaricato deve consegnare al custode delle parole chiavi le proprie password di accesso al Personal computer e alle procedure, in una busta chiusa In caso di prolungata assenza di un incaricato il custode delle credenziali potrà fornire al responsabile del trattamento la busta chiusa contenente le password dell’incaricato mancante, per l’accesso all’elaboratore Il custode delle credenziali informa l’incaricato al suo rientro in servizio dell’accesso avvenuto. Misura M12 Descrizione Sintetica Data Rischio contrastato aggiornamento Trattamento/comunicazione/dif fusione non autorizzata dei dati Compilatore COSEA I dati personali oggetto di trattamento sono trattati in modo lecito e secondo correttezza come previsto dall’art. 11 del D.LGS 196/2003. I dati personali sono diffusi solo se lo prevede un’apposita disposizione o regolamento o autorizzazione del Garante I dati potranno essere comunicati ai soggetti richiedenti previa verifica con il Responsabile del trattamento della sussistenza dei requisiti per la comunicazione e diffusione dei dati. In tutti gli altri casi è fatto divieto a chiunque di: • Effettuare copie su supporto magnetico o trasmissioni non autorizzate • Effettuare copie fotostatiche o di qualsiasi altra natura non autorizzate • Sottrarre, cancellare distruggere senza autorizzazione stampe tabulati elenchi rubriche ed ogni altro materiale riguardante i dati oggetto del trattamento • Consegnare a persone non autorizzate stampe tabulati elenchi rubriche ed ogni altro materiale riguardante i dati oggetto del trattamento 6.c Criteri adottati per garantire l’integrità e la disponibilità dei dati trattati senza strumenti elettronici I dati personali sensibili contenuti in atti e documenti sono affidati agli incaricati che devono controllarli e custodirli fino alla restituzione e dovranno vigilare affinché persone non autorizzate non possano accedervi. Gli atti e i documenti contenenti dati sensibili e dati giudiziari devono essere conservati separatamente dagli atti contenenti dati personali comuni. Le persone che dopo l’orario di chiusura devono accedere agli archivi contenenti dati sensibili sono identificate e registrate dove non esistono sistemi elettronici di vigilanza e devono essere munite di preventiva autorizzazione. Documento programmatico sulla sicurezza Pag. n° 36 7) DESCRIZIONE DEI CRITERI E DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO 6 7.1 Ripristino della disponibilità dei dati Gli aspetti di criticità sulla disponibilità dei dati sono riferiti a: • Errori software provocati dall'utente • Danneggiamento di applicazioni software • Danneggiamento del sistema operativo • Attacchi virus o intrusioni non autorizzate A seguito di distruzione o danneggiamento dei dati , vengono adottate tutte le misure organizzative e tecniche, anche attraverso consulenti esterni con le modalità descritte nel capitolo 9, per ripristinare nel minor tempo possibile l’accesso ai dati. Diverse possibilità di copie di back up effettuate dagli incaricati in locale e da operazioni pianificate direttamente sul server, permettono il ripristino della disponibilità dei dati gestionali. In caso di danneggiamento dei prodotti software le Ditte fornitrici con cui sono in essere contratti di manutenzione, saranno contattate per rendere operativo nel minor tempo possibile le procedure. E’ attivo un contratto per la manutenzione del server con Sistema operativo di rete UNIX 7.2 Ripristino della disponibilità degli strumenti elettronici In caso di danneggiamento degli strumenti elettronici verrà dato incarico di procedere alla sostituzione di tutto o di parte dell’apparecchiatura danneggiata e di ripristinare i collegamenti con le procedure di trattamento dei dati nel minor tempo possibile. Gli incaricati esterni di cui si avvale l’Amministrazione per il ripristino dei dati delle procedure di gestione, e per il ripristino della parte documentale, oppure per il ripristino degli strumenti elettronici, agiscono in conformità alle disposizioni del presente disciplinare tecnico. 6 Art.19 comma 19.5 “Allegato B) Disciplinare tecnico in materia di misure minime di sicurezza” Documento programmatico sulla sicurezza Pag. n° 37 7.3 Elenco operazioni di Salvataggio DataBase Dati Criteri individuati Sensibili o (procedure operative Giudiziari in essere) contenuti Ubicazione locale per conservazione copie Struttura operativa incaricata del salvataggio BANCA DATI DELLA POPOLAZIONE RESIDENTE. BANCA DATI DEGLI ELETTORI Copia di sicurezza su Ufficio Area incaricato Area supporto esterno Amministrativa Amministrativa BANCA DATI DEGLI INCARICHI ELETTORALI (PRESIDENTI SEGRETARISCRUTATORI DI SEGGIO) BANCA DATI ITALIANI RESIDENTI ALL’ESTERO BANCA DATI CITTADINI STRANIERI (APPARTENENTI ALLA COMUNITÀ EUROPEA ED EXTRACOMUNITARI) ELENCO DEI GIUDICI POPOLARI Copia di sicurezza su Ufficio Area incaricato Area supporto esterno Amministrativa Amministrativa BANCA DATI LEVA MILITARE Copia di sicurezza su Ufficio Area incaricato Area supporto esterno Amministrativa Amministrativa BANCA DATI TRIBUTI COMUNALI Copia di sicurezza su Area supporto esterno Economico finanziaria Copia di sicurezza su Area supporto esterno Economico finanziaria Copia di sicurezza su supporto esterno incaricato Area Economico finanziaria Copia di sicurezza su Area Economico supporto esterno finanziaria Copia di sicurezza su Area Economico supporto esterno finanziaria Copia di sicurezza su Area supporto esterno Econ/finanz, Amministrativa Tecnica, Vigil. Comm incaricato Area Economico finanziaria BANCA DATI DICHIARAZIONI ICI BANCA DATI DEGLI INSEDIAMENTI PRODUTTIVI BANCA DATI DEBITORI BANCA DATI CREDITORI. BANCA DATI FORNITORI DEL COMUNE. Documento programmatico sulla sicurezza Copia di sicurezza su Ufficio Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Ufficio Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Ufficio Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Ufficio Area incaricato Area supporto esterno Amministrativa Amministrativa incaricato Area Economico finanziaria I compiti relativi a questa attività sono rimasti di competenza dell’area tecnica solo fino al 01/02/11, in attesa di definizione del Servizio associato incaricato Area Economico finanziaria incaricato Econ/finanz, Amministrativa, Tecnica, Vigil/comm Pag. n° 38 BANCA DATI DEI DIPENDENTI DEL COMUNE. Copia di sicurezza su Area supporto esterno Economico finanziaria incaricato Area Economico finanziaria BANCA DATI RILEVAZIONE PRESENZE DEL PERSONALE DEL COMUNE. BANCA DATI MODELLO 730. Copia di sicurezza su Area supporto esterno Economico finanziaria incaricato Area Economico finanziaria Copia di sicurezza su Area supporto esterno Economico finanziaria incaricato Area Economico finanziaria BANCA DATI INPDAP. Copia di sicurezza su Area supporto esterno Economico finanziaria Copia di sicurezza su Area supporto esterno Economico finanziaria Copia di sicurezza su Area supporto esterno Economico finanziaria Copia di sicurezza su Area Tecnica supporto esterno incaricato Area Economico finanziaria Copia di sicurezza su Area Tecnica supporto esterno incaricato Area Tecnica BANCA DATI MODELLO 770. BANCA DATI INQUADRAMENTO CONTRATTUALE. BANCA DATI DITTE PER GARE D’APPALTO. BANCA DATI DEGLI INCARICHI PROFESSIONALI DEL COMUNE BANCA DATI DEGLI AMMINISTRATORI DEL COMUNE. BANCA DATI DEGLI INSEDIAMENTI PRODUTTIVI AI FINI DELLA LEGGE 319 (DEPURAZIONE DELLE ACQUE) BANCA DATI PRATICHE EDILIZIE. BANCA DATI CONDONO EDILIZIO BANCA DATI ASSOCIAZIONI CULTURALIRICREATIVESPORTIVE. BANCA DATI SERVIZIO PASTI E TRASPORTO SCOLASTICO Documento programmatico sulla sicurezza incaricato Area Economico finanziaria incaricato Area Economico finanziaria incaricato Area Tecnica Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Area Tecnica supporto esterno incaricato Area Tecnica Copia di sicurezza su Area Tecnica supporto esterno Copia di sicurezza su Area Tecnica supporto esterno Copia di sicurezza su Area supporto esterno Amministrativa incaricato Area Tecnica incaricato Area Tecnica incaricato Area Amministrativa Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa Pag. n° 39 DataBase Dati Criteri individuati Sensibili o (procedure operative Giudiziari in essere) contenuti Ubicazione locale per conservazione copie Struttura operativa incaricata del salvataggio BANCA DATI DEI VERBALI DI CONTESTAZIONE ALLE VIOLAZIONI DEL CODICE STRADALE BANCA DATI INFRAZIONI AL CODICE DELLA STRADA. BANCA DATI CESSIONI DI FABBRICATO LEGGE N. 191/78. BANCA DATI TITOLARI DI AUTORIZZAZIONE AL COMMERCIO FISSO. BANCA DATI TITOLARI PUBBLICI ESERCIZI. BANCA DATI COMMERCIO AREE PUBBLICHE. BANCA DATI DELLA POPOLAZIONE RESIDENTE PRATICHE IMMIGRAZIONE EMIGRAZIONE CARTELLINI CARTE D’IDENTITÀ. Copia di sicurezza su Area Vigilanza supporto esterno e commercio Incaricato Area Vigilanza e Commercio Copia di sicurezza su Area Vigilanza e commercio supporto esterno Incaricato Area Vigilanza e Commercio Copia di sicurezza su Area Vigilanza supporto esterno e commercio Incaricato Area Vigilanza e Commercio ALBI SEZIONALI E GENERALI DEGLI ELETTORI. LISTE DI LEVA. Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa REGISTRI DEI DEFUNTI. BANCA DATI STATO AVANZAMENTO LAVORI. PROTOCOLLO DEL COMUNE E ARCHIVIO GENERALE. Copia di sicurezza su Area Tecnica supporto esterno Copia di sicurezza su Area Tecnica supporto esterno Documento programmatico sulla sicurezza Copia di sicurezza su supporto esterno Area Vigilanza Incaricato Area Vigilanza e commercio e Commercio Copia di sicurezza su supporto esterno Area Vigilanza Incaricato Area Vigilanza e commercio e Commercio Copia di sicurezza su supporto esterno Area Vigilanza Incaricato Area Vigilanza e commercio e Commercio Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa incaricato Area Tecnica incaricato Area Tecnica Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa Pag. n° 40 DataBase Dati Criteri individuati Sensibili o (procedure operative Giudiziari in essere) contenuti Ubicazione locale per conservazione copie Struttura operativa incaricata del salvataggio VERBALI DELLE DELIBERAZIONI DI GIUNTA COMUNALE. VERBALI DI DELIBERAZIONI DI CONSIGLIO COMUNALE. ELENCO DETERMINE Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa BANCA DATI DI BENEFICIARI DI CONTRIBUTI AD INTEGRAZIONE DEL CANONE DI LOCAZIONE BANCA DATI DEGLI AFFITTUARI DI IMMOBILI Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Area incaricato Area supporto esterno Amministrativa Amministrativa Copia di sicurezza su Area Tecnica supporto esterno Incaricato Area Tecnica 7.4 Ripristino e verifica Quando si è reso necessario ripristinare dalle copie l’operazione è sempre stata realizzata in maniera corretta. Si effettueranno delle verifiche a campione sui supporti per la verifica dei dati memorizzati. Documento programmatico sulla sicurezza Pag. n° 41 8) PIANO DI FORMAZIONE.7 8.1 Incontro formativo ai Responsabili ed Incaricati del trattamento La formazione ha lo scopo di illustrare la normativa vigente, le responsabilità, i rischi individuati e i modi per prevenire eventuali danni. Gli incaricati saranno edotti su: • Analisi delle vigenti disposizioni di legge (Decreto Legislativo n°196 del 30/06/2003) • Analisi e spiegazione dei ruoli: titolare, responsabile, incaricato • Misure minime ed appropriate di sicurezza con particolare riferimento a: criteri logici, fisici ed organizzativi per la protezione dei sistemi informativi, prevenzione e contenimento del danno, strumenti di protezione hardware e software (in particolare antivirus e misure antihacker), contenitori di sicurezza, sistemi anti-intrusione, importanza e modalità di realizzazione delle operazioni di back up, etc. • comunicazione delle metodologie e dei criteri adottati dall'Amministrazione, per l’adozione delle misure di sicurezza e delle istruzioni impartite agli incaricati per lo svolgimento delle loro attività. I partecipanti verranno registrati ed ad ognuno verrà consegnato copia del Documento Programmatico sulla Sicurezza con relativi allegati. A cadenza semestrale sono organizzati incontri informativi per la comunicazione delle eventuali revisioni apportate alla struttura organizzativa funzionale al trattamento dei dati. 7 Corso di formazione Descrizione sintetica Classi di incarico interessate Numero di incaricati interessati Numero di incaricati già formati da formare nell’anno Calendario F1 Corso di formazione sul Decreto Legislativo n°196 del 30/06/2003 Tutte Tutti Tutti Nel corso dell’anno 2006 Art.19 comma 19.6 “Allegato B) Disciplinare tecnico in materia di misure minime di sicurezza” Documento programmatico sulla sicurezza Pag. n° 42 9) DESCRIZIONE DEI CRITERI DA ADOTTARE PER GARANTIRE L’ADOZIONE DELLE MISURE MINIME DI SICUREZZA IN CASO DI TRATTAMENTI DI DATI PERSONALI AFFIDATI ESTERNAMENTE ALLA STRUTTURA DEL TITOLARE8 I trattamenti di dati personali effettuati esternamente alla struttura sono riferiti a quelli svolti da soggetti incaricati dal Comune di Piteglio per svolgere funzioni istituzionali rese possibili da una norma vigente Il trattamento dei dati personali acquisiti nell’ambito dell’attività del Comune potrà essere effettuato: • Da società, enti o consorzi, che per conto del Comune forniscono specifici servizi elaborativi o che svolgono attività connesse, strumentali o di supporto, a quelle del Comune, ovvero attività necessarie all’esecuzione delle operazioni e dei servizi imposti da leggi, regolamenti, norme comunitarie o che sono richieste dai cittadini o verranno dagli stessi richieste in futuro nei limiti delle finalità istituzionali del Comune. Nella lettera o nel contratto che sarà redatto per ogni soggetto esterno alla struttura saranno indicate apposite clausole di tutela delle informazioni. Il soggetto esterno dovrà: • Garantire la protezione dell'integrità dei dati contro perdita, o manomissioni (fortuite o dolose) • Dare autorizzazione per l'accesso ai dati solo a chi ne debba far uso • impedire l'intercettazione (fortuita o dolosa) nella fasi di trasmissione • precostituire sistemi di recupero in caso di perdite (es. backup ad intervalli regolari) Il soggetto esterno per svolgere le sue funzioni sarà conforme a delle rigide specifiche tecniche di sicurezza sia logica che fisica Sicurezza logica • procedure di aggiornamento definizioni antivirus • modalità di salvataggio dati, pianificazione back up, ripristino • utilizzo di password Sicurezza fisica: • prevenzione da disastri (incendi, allagamenti) • sistema di controllo degli accessi alle macchine (badge di riconoscimento, etc.) Poiché determinate informazioni possono venir conosciute o comunque accedute da parte del personale che lavora per il fornitore (magari mentre effettua operazioni di monitoraggio dei dati che transitano sulla rete), è necessario: 8 Art.19 comma 19.7 “Allegato B) Disciplinare tecnico in materia di misure minime di sicurezza” Documento programmatico sulla sicurezza Pag. n° 43 • proteggere determinate informazioni dalla diffusione al pubblico o la loro trasmissione indebita stabilire quali sono i dati che necessitano di essere trattati con il massimo grado di riservatezza, con quali modalità e per quanto tempo • Il soggetto esterno deve garantire ed assicurare la non divulgazione di informazioni riservate, e deve far sì che tali obbligazioni valgano per tutto il suo personale e per i propri incaricati interni. 9.1 Elenco delle attività del Comune esternalizzate N. Trattamento Banca dati Soggetto esterno responsabile Tutte le attività di gestione per l’accertamento e riscossione di tasse e imposte ICI COSEA Consorzio Servizi Ambientali Incaricati Cosea Nomina a Responsabile del trattamento Tutte le attività di assistenza sulle procedure in essere Tutte le banche dati relative alla gestione dell’anagrafe, dei tributi comunali, degli atti deliberativi, dei servizi mensa e trasporto scolastico Kibernetes Incaricati Kibernetes Nomina a Responsabile del trattamento Tutte le attività di assistenza sulle procedure in essere Tutte le banche dati relative alle violazioni del Codice della strada Maggioli Incaricati Maggioli Nomina a Responsabile del trattamento 55 Gestione dei contributi a persone non autosufficienti e bisognose BANCA DATI BENEFICIARI DI CONTRIBUTI A PERSONE BISOGNOSE O NON AUTOSUFFICIEN TI Comune di San Marcello Pistoiese Incaricato ufficio Servizi Sociali Nomina a Responsabile del trattamento 00 Gestione della tesoreria dell’Ente SERVIZIO DI TESORERIA Cassa di Risparmio di Pistoia e Pescia Incaricati Nomina a Responsabile del trattamento 9 Documento programmatico sulla sicurezza Incaricati Cassa di Risparmio di Pistoia e Misura da adottare Pag. n° 44 01 Filiale di Piteglio Pescia Controllo contabile SERVIZIO DI REVISORE DEI CONTI D.ssa Giovannetti Antonella D.ssa Giovannetti Antonella Nomina a Responsabile del trattamento Tutte le attività di assistenza sulle procedure in essere Tutte le banche dati relative alla rilevazione delle presenze dei dipendenti interni Data Access consulting Incaricati Data Access consulting Nomina a Responsabile del trattamento Tutte le attività di assistenza sulle procedure in essere Tutte le banche dati relative alla rilevazione delle presenze dei dipendenti esterni Angiolo Berti Incaricati Angiolo Berti Nomina a Responsabile del trattamento Servizio Client per sistemi operativi Tutte le banche dati per l’applicazione delle misure sulla sicurezza ai fini della Privacy UTL di Tanganelli Luca e C. Incaricati Nomina a Responsabile del trattamento Documento programmatico sulla sicurezza Luca Tanganelli Pag. n° 45 10) TRATTAMENTO DI DATI PERSONALI IDONEI A RIVELARE LO STATO DI SALUTE 9 10.1 Trattamento di dati sensibili I dati personali sensibili relativi allo stato di salute trattati in Comune riferiscono alle seguenti banche dati: • • • • • • • • • • • • • • si BANCA DATI LEVA MILITARE. BANCA DATI DEI DIPENDENTI DEL COMUNE. BANCA DATI SERVIZIO PASTI E TRASPORTO SCOLASTICO BANCA DATI TITOLARI DI AUTORIZZAZIONE AL COMMERCIO FISSO. BANCA DATI TITOLARI PUBBLICI ESERCIZI. BANCA DATI COMMERCIO AREE PUBBLICHE. REGISTRI DEGLI ATTI DI NASCITA MATRIMONIO MORTE LISTE DI LEVA. REGISTRI DEI DEFUNTI. PROTOCOLLO DEL COMUNE E ARCHIVIO GENERALE. BANCA DATI NOTIFICAZIONI MESSI COMUNALI. ELENCO DETERMINE ASSEGNAZIONE CONTRIBUTI A.M. E A.N.F. BANCA DATI BENEFICIARI DI CONTRIBUTI Il trattamento dei dati di cui sopra e' effettuato utilizzando supporti cartacei e magnetici. Gli atti ed i documenti contenenti tali dati sono conservati in contenitori muniti di serratura; gli incaricati al trattamento hanno accesso ai soli dati personali la cui conoscenza è strettamente necessaria per adempiere ai compiti loro assegnati, devono provvedere alla conservazione della documentazione e restituirla al termine delle operazioni affidate. Non è consentito l’accesso a tali archivi dopo l’orario di chiusura degli uffici stessi. 11) VERIFICHE E CONTROLLI Ogni anno sarà effettuata una verifica delle apparecchiature hardware con cui sono trattati i dati. La verifica ha lo scopo di controllare l'affidabilità del sistema per quanto riguarda : • La sicurezza dei dati trattati • Il rischio di distruzione o perdita • Il rischio di accesso non autorizzato Nel caso sussistano rischi evidenti, saranno presi gli opportuni provvedimenti per assicurare il corretto trattamento dei dati in conformità alle norme in vigore. 9 Art.19 comma 19.8 “Allegato B) Disciplinare tecnico in materia di misure minime di sicurezza” Documento programmatico sulla sicurezza Pag. n° 46 Verrà eseguita una verifica periodica dei criteri di autorizzazione per l’accesso ai dati per verificarne la sussistenza Ogni anno sarà effettuata una verifica delle applicazioni software con cui vengono trattati i dati tenendo conto in particolare della disponibilità di nuove versioni migliorative delle applicazioni installate che consentano maggiore sicurezza contro i rischi di intrusione o danneggiamento dei dati. A seguito dei risultati scaturiti dalle operazioni di verifica e controllo si procederà alla revisione del presente Documento Programmatico della Sicurezza entro il 31 Marzo di ogni anno. Il Documento Programmatico sulla sicurezza è stato approvato con delibera Giunta Comunale n. 22 del 30.03.2006. Aggiornato: delibera G.C. n. 10 del 06.03.2007; delibera G.C. n. 27 del 26.03.2010; “ “ “ “ 25 “ 18.03.2008; “ “ “ “ 23 “ 26.03.2009; Documento programmatico sulla sicurezza Pag. n° 47