Nomina dell`Agente quale Responsabile trattamento dati
Transcript
Nomina dell`Agente quale Responsabile trattamento dati
CIRCOLARE N° S58-2011 A Da: Amministratore Delegato A: Agenzie MILANO ASSICURAZIONI Divisione Sasa Milano, 21 novembre 2011 Oggetto: Nomina dell’Agente a Responsabile del trattamento dei dati personali - D.Lgs. 30/6/2003 n. 196 (Codice Privacy) A seguito dei mutamenti intervenuti nel quadro normativo con l’entrata in vigore del Codice Privacy e tenuto conto del recepimento della normativa comunitaria in materia di intermediazione assicurativa mediante l’adozione del Codice delle assicurazioni private, la Compagnia, in qualità di Titolare, deve nominare ciascuna persona fisica o giuridica, cui sia stato conferito il mandato di Agente, Responsabile per il trattamento dei dati personali effettuato per finalità assicurative in relazione all’espletamento del mandato medesimo. A tal fine, il Gruppo FONDIARIA SAI sta interessando le proprie reti agenziali nei termini di cui alla Circolare in oggetto, rivolta agli Agenti della Rete MILANO ASSICURAZIONI, Divisione Sasa. Ciò premesso, con l’Atto di nomina a Responsabile del trattamento in allegato, parte integrante della presente Circolare, l’Agente è, con decorrenza immediata, nominato Responsabile e in tale qualità deve attenersi alle istruzioni ricevute dal Titolare nonché adempiere agli obblighi imposti dal Codice Privacy. D’ora innanzi, l’Agente rivestirà pertanto il ruolo di Responsabile del trattamento dei dati personali relativo alle attività direttamente connesse al mandato ricevuto dalla Compagnia per lo svolgimento dell’attività assicurativa (a mero titolo di esempio, non esaustivo: nella gestione dei dati personali relativi al portafoglio clienti). MILANO ASSICURAZIONI S.p.A. Sede Legale e Direzione 20161 Milano - Via Senigallia, 18/2 Tel. (+39) 02.6402.1 Fax (+39) 02.6402.2331 www.milass.it Capitale sociale € 373.682.600,42 int. vers. - Numero di iscrizione al Registro delle Imprese di Milano, Codice Fiscale e Partita I.V.A. 00957670151 Impresa autorizzata all’esercizio delle assicurazioni (art. 65 R.D.L. 29-4-1923 n. 966) - Iscritta alla Sez. I dell’Albo Imprese presso l’Isvap al n. 1.00010 Direzione Trieste 34123 Trieste - Riva Tommaso Gulli, 12 Società appartenente al gruppo assicurativo Fondiaria-SAI, iscritto all’Albo dei Tel (+39) 040.3190.111 gruppi assicurativi al n. 030 Fax (+39) 040.300.624 Direzione e coordinamento FONDIARIA-SAI S.p.A. Divisione SASA Resta peraltro fermo che l’Agente ha un duplice ruolo a seconda dell’ambito di trattamento, posto che il medesimo è altresì Titolare laddove il trattamento dei dati sia svolto dall’Agenzia in qualità di impresa autonoma (ad esempio nella gestione dei dati personali relativi ai propri dipendenti, collaboratori o fornitori). La nomina a Responsabile conferisce, tra l’altro, all’Agente il compito di attribuire formalmente ai propri dipendenti e collaboratori di Agenzia la qualifica di Incaricati ai sensi del Codice Privacy, fornendo loro specifiche istruzioni. In allegato si trova la documentazione di riferimento relativa a tale incarico e, in particolare, la bozza del modello di Atto di nomina dell’Incaricato, il Modello di riferimento per il Manuale Operativo Incaricati di Agenzia ed il facsimile della Lista degli Incaricati di Agenzia che potrà essere utilizzata al riguardo. I documenti di cui sopra sono altresì disponibili sul portale agenziale sasaweb.ag nella sezione Area Info, Privacy, Area Agenzie, Istruzioni. Inoltre, per eventuali chiarimenti, sono disponibili i seguenti servizi: • • Faq (Frequently Asked Questions): elenco di domande e risposte consultabile sul portale agenziale sasaweb.ag nella sezione Area Info, Privacy, Faq, Agenzie; Chiamate di assistenza all'ente Customer Care attraverso UHD, specificando l'applicativo "Webagenzie". L’occasione è gradita per porgervi i nostri migliori saluti. MILANO ASSICURAZIONI S.p.A. L’Amministratore Delegato Dr. Emanuele ERBETTA Allegato 1 - Atto di nomina a Responsabile del trattamento dei dati personali Allegato 2 - Nota accompagnatoria alla nomina Documentazione di riferimento per le nomine ad incaricato: Allegato a) – Bozza di modello di Atto di nomina ad Incaricato del trattamento dei dati personali Allegato b) – Modello di riferimento per il Manuale Operativo Incaricati di Agenzia Allegato c) – Facsimile della Lista degli Incaricati di Agenzia Allegato 1 - Atto di nomina a Responsabile del trattamento dei dati personali Alle Agenzie Generali Milano Assicurazioni Divisione Sasa Nomina a Responsabile del trattamento dei dati personali ai sensi dell’art. 29 D.Lgs. 30/6/2003 n. 196 Come noto, a seguito dell’introduzione nel nostro ordinamento della normativa in materia di protezione dei dati personali (L. 675/1996), venne stabilito, in sede di prima applicazione, che il trattamento effettuato per conto della Compagnia, Titolare del trattamento, dagli Agenti fosse da quest’ultimi espletato in veste di Incaricati. A seguito dei mutamenti intervenuti con l’entrata in vigore del D.Lgs. 30/6/2003 n. 196 “Codice in materia di protezione dei dati personali” (di seguito abbreviato in “Codice”) e tenuto conto del recepimento della normativa comunitaria in materia di intermediazione assicurativa mediante l’adozione del “Codice delle assicurazioni private” di cui al D.Lgs 209/2005, la Compagnia deve nominare ciascuna persona fisica/giuridica cui sia stato conferito l’incarico di Agente, Responsabile per il trattamento dei dati personali effettuato per finalità assicurative in relazione all’espletamento dell’incarico medesimo, ai sensi e per gli effetti di cui all’art. 29 del Codice. Per tali motivi con la presente Vi si nomina Responsabili evidenziandoVi che, al di là della nuova configurazione giuridica del Vostro ruolo, molti adempimenti che discendono dalla normativa sono analoghi a quelli da Voi già svolti in qualità di Incaricati. In particolare, nella veste di Responsabili siete preposti al trattamento di dati personali, quali soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. In dipendenza della presente nomina, pertanto, dovrete svolgere i compiti affidati, ferma la remunerazione del trattamento provvigionale pattuito, ottemperando alla normativa attualmente vigente e a quella di futura emanazione e garantendone il relativo rispetto da parte dei dipendenti o altri collaboratori che Vi coadiuvano nell’espletamento dell’incarico agenziale. MILANO ASSICURAZIONI S.p.A. Sede Legale e Direzione 20161 Milano - Via Senigallia, 18/2 Tel. (+39) 02.6402.1 Fax (+39) 02.6402.2331 www.milass.it Capitale sociale € 373.682.600,42 int. vers. - Numero di iscrizione al Registro delle Imprese di Milano, Codice Fiscale e Partita I.V.A. 00957670151 Impresa autorizzata all’esercizio delle assicurazioni (art. 65 R.D.L. 29-4-1923 n. 966) - Iscritta alla Sez. I dell’Albo Imprese presso l’Isvap al n. 1.00010 Direzione Trieste 34123 Trieste - Riva Tommaso Gulli, 12 Società appartenente al gruppo assicurativo Fondiaria-SAI, iscritto all’Albo dei Tel (+39) 040.3190.111 gruppi assicurativi al n. 030 Fax (+39) 040.300.624 Direzione e coordinamento FONDIARIA-SAI S.p.A. Divisione SASA Confermando ogni istruzione già impartita in materia in occasione dell’affidamento dell’incarico agenziale o nel corso del medesimo - tramite circolari aziendali o altre modalità (Manuale Operativo Privacy, ecc.) - la Compagnia si riserva di fornire ulteriori istruzioni, provvedendo, se del caso, a modificare/integrare/aggiornare quelle già comunicate precedentemente al mutamento del Vostro inquadramento da Incaricato a Responsabile per effetto della presente nomina. Precisiamo altresì che in qualità di Responsabile dovrete: a. coordinarVi con il Titolare, riferendogli puntualmente in merito all’attività espletata e al corretto adempimento della stessa; b. provvedere alla nomina ad Incaricato delle persone fisiche - siano essi dipendenti o altri collaboratori, diretti o indiretti, della Vostra organizzazione agenziale - da Voi autorizzate a compiere operazioni di trattamento. Conseguentemente dovrete designare per iscritto ciascun Incaricato, secondo la bozza di nomina fornita dal Titolare (Modello di Atto di nomina ad Incaricato del trattamento dei dati personali), avendo cura di individuare puntualmente l’ambito del trattamento consentito ad ognuno di essi e procedendo al relativo aggiornamento periodico con cadenza almeno annuale; c. predisporre ed aggiornare con regolarità la lista degli Incaricati, secondo il modello fornito dal Titolare (Facsimile della Lista degli Incaricati di Agenzia); d. coordinare gli Incaricati, attribuendo e delegando agli stessi i compiti per il perseguimento dell’incarico conferito, nonchè individuando le modalità e precauzioni da seguire affinché le operazioni di trattamento avvengano nel rispetto dei principi e delle disposizioni del Codice; e. erogare formazione agli Incaricati al momento dell’inizio dell’attività degli stessi, in caso di mutamento delle mansioni o di introduzione di nuovi significativi strumenti rilevanti rispetto al trattamento di dati personali effettuato, in relazione a: profili della disciplina regolante il trattamento dei dati personali più rilevanti in rapporto alle attività effettuate, rischi incombenti sui dati, responsabilità che ne derivano, misure disponibili per prevenire eventi dannosi, e modalità per aggiornarsi sulle misure minime adottate; f. impartire agli Incaricati le istruzioni per il trattamento da essi effettuato, anche contestualmente alla nomina, secondo quanto previsto nella bozza del Modello per la redazione del Manuale Operativo Privacy degli Incaricati di Agenzia, eventualmente integrando e/o dettagliando le istruzioni stesse in dipendenza delle specificità della Vostra organizzazione agenziale. g. vigilare sulla correttezza del trattamento effettuato dagli Incaricati, in relazione alla normativa in vigore e alle istruzioni loro impartite, provvedendo a regolari verifiche e controlli al riguardo; h. assicurare il rispetto delle misure di sicurezza adottate dal Titolare per garantire la sicurezza dei dati personali oggetto di trattamento, prevedendo eventuali ulteriori misure necessarie e opportune in dipendenza delle peculiarità della Vostra organizzazione agenziale. Resta infine inalterato il Vostro ruolo di Titolare per quei trattamenti di dati personali effettuati in autonomia ed estranei al trattamento effettuato per finalità assicurative nell’espletamento dell’incarico agenziale conferito, quali ad esempio i trattamenti dei dati personali dei Vostri dipendenti, altri collaboratori o fornitori. La presente nomina ha effetto immediato e durata per l’intero incarico agenziale, cessando automaticamente, senza necessità di espressa revoca, in caso di risoluzione dell’incarico medesimo. I migliori saluti. Data, 21novembre 2011 MILANO ASSICURAZIONI S.p.A. L’Amministratore Delegato Dr. Emanuele ERBETTA Allegato 2 - Nota accompagnatoria alla nomina Torino, xx xxxxxxx 2011 Alle Agenzie Generali Milano Assicurazioni Divisione Sasa Nota accompagnatoria alla nomina dell’Agente a Responsabile del trattamento dei dati personali - D.Lgs. 30/6/2003 n. 196 (Codice Privacy) La nomina a Responsabile, oltre ad inquadrare coerentemente con la normativa privacy ed il Codice delle Assicurazioni private i dipendenti ed i collaboratori di Agenzia attribuendo loro la corretta veste di Incaricati per i trattamenti chiarendo al contempo il ruolo dell’Agenzia, si è resa necessaria a seguito del recente provvedimento del Garante per la privacy (15/6/2011) “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali”, il quale dispone a carico dei Titolari l’obbligo di procedere alla designazione a Responsabile privacy - altrimenti facoltativa - di quei soggetti che svolgono trattamenti di dati nell’ambito di iniziative di carattere commerciale per invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato o comunicazione commerciale attuate in favore della società preponente (in questo caso la Compagnia). La suddetta nomina, effettuata mediante lo strumento della Circolare avente come oggetto “Nomina dell’Agente a Responsabile del trattamento dei dati personali D.Lgs. 30/6/2003 n. 196 (Codice Privacy)”, riguarda la persona fisica o giuridica cui sia stato conferito il mandato agenziale; quindi nel caso in cui tale mandato riguardi il rapporto con una società, esclusivamente quest’ultima è destinataria della designazione a Responsabile privacy; tale designazione decorre a partire della data di ricevimento della Circolare ed ha durata per l’intero mandato. Il ruolo di Responsabile riguarda unicamente il trattamento di dati relativo alle attività connesse al mandato agenziale; l’Agente è invece da considerasi Titolare rispetto ai trattamenti dei dati svolti in autonomia ed estranei alle finalità assicurative che derivano dal mandato (ad es. gestione dei propri dipendenti o fornitori). Per facilitare il ruolo di Responsabile vengono messi a disposizione dei modelli documentali da utilizzare per gli adempimenti normativi previsti, i quali devono essere svolti quanto prima e comunque in tempi ragionevolmente compatibili con la complessità dell’organizzazione agenziale. Di seguito evidenziamo alcuni compiti previsti per il Responsabile: • nominare Incaricato ogni dipendente e collaboratore di Agenzia (compresi i subagenti) che, nell’esercizio delle proprie mansioni connesse allo svolgimento del mandato agenziale, tratta dati personali; per tale nomina occorre attenersi ai seguenti passi: o individuazione degli Incaricati, o predisposizione della lettera di designazione ad Incaricato utilizzando la bozza di nomina messa a disposizione, o consegna agli Incaricati di tale lettera in duplice copia: una copia deve essere conservata da questi ultimi e l’altra, sottoscritta per presa visione ed accettazione, deve essere conservata presso l’Agenzia; • predisporre ed aggiornare periodicamente la lista degli Incaricati, la quale deve essere conservata presso l’Agenzia; • predisporre il Manuale operativo di istruzioni privacy per il trattamento dei dati personali, personalizzando il modello di manuale messo a disposizione; consegnare tale manuale agli Incaricati, conservando presso l’Agenzia la ricevuta dell’avvenuta consegna; • vigilare sulla correttezza del trattamento dei dati personali effettuato dagli Incaricati; • assicurare il rispetto delle misure di sicurezza adottate dalla Compagnia al fine di garantire la sicurezza dei dati personali oggetto del trattamento stesso; • erogare la formazione privacy ai propri incaricati, allo scopo di istruire gli stessi sul corretto trattamento dei dati nonché sui rischi che riguardano tali dati e le misure adottate per prevenirli; Infine si informa che è stato istituito il “Registro pubblico delle Opposizioni” (D.P.R. n.178 del 7/9/2010, provvedimento Garante privacy del 19/1/2011, Legge n.106 del 12/7/2011), al quale si possono iscrivere tutti i soggetti che intendono opporsi al trattamento dei propri dati tramite telefono o posta cartacea ai fini di invio di materiale pubblicitario, vendita diretta, comunicazione commerciale o compimento di ricerche di mercato. La comunicazione ufficiale dell’attuazione del suddetto Registro e delle relative linee guida è contenuta in una ulteriore Circolare, che integra le istruzioni alla nomina a Responsabile. Allegato a) – Bozza di Modello di Atto di nomina ad Incaricato del trattamento dei dati personali (carta intestata dell'Agenzia) BOZZA DA: AGENTE A: Oggetto: Dipendenti, subagenti, venditori, procacciatori, e collaboratori vari (compresi i dipendenti e collaboratori del subagente) Incarico per il trattamento dei dati personali ai sensi dell’art. 30 del D.Lgs. 30.6.2003, n. 196 Egregio Signor / Gentile Signora, …………………………… con riferimento al trattamento di dati personali effettuato per finalità connesse all’esercizio dell’attività assicurativa, la Compagnia - ai sensi dell’art. 29 del D. Lgs. 30.6.2003, n. 196 (di seguito indicato come “Codice”) - ha designato la sottoscritta Agenzia, quale Responsabile del trattamento limitatamente ai dati personali trattati in esecuzione del mandato agenziale. Nell’ambito di tale trattamento, Lei ha necessità di trattare i dati personali che sono funzionali allo svolgimento della Sua attività e pertanto il sottoscritto Responsabile La nomina incaricato ai sensi dell’art. 30 del Codice. Per effetto di tale incarico, le operazioni di trattamento di dati personali da Lei eseguite vengono ad essere ricomprese nel trattamento di cui è Titolare la Compagnia. Si precisa, per maggior chiarezza, che ai sensi di quanto previsto dal Codice: - - per “incaricati” si intendono le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; per "trattamento" si intende qualunque operazione o complesso di operazioni effettuati anche senza l'ausilio di mezzi elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca di dati; per "dato personale" si intende qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; - - per “dati sensibili” si intendono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; per “dati giudiziari” si intendono i dati personali idonei a rivelare provvedimenti di cui all’art. 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di indagato o imputato ai sensi degli artt. 60 e 61 del codice di procedura penale. Lei potrà, pertanto, eseguire tutte le operazioni di trattamento di dati personali, anche sensibili e giudiziari, necessarie all'adempimento delle Sue mansioni / funzioni. Ai fini di una corretta applicazione del Codice e di una adeguata tutela dei diritti degli interessati, Lei dovrà attenersi alle seguenti prescrizioni di carattere generale, nonchè ad ogni ulteriore istruzione che Le dovesse essere impartita dal Titolare o dal Responsabile del trattamento: • • • • • • • • • • • trattare i dati personali di cui viene a conoscenza nello svolgimento delle Sua attività, in modo lecito e secondo correttezza e, comunque, in modo tale da garantire, in ogni operazione di trattamento, la massima riservatezza; raccogliere e registrare i dati personali esclusivamente per le finalità e con le modalità stabilite dal Titolare o dal Responsabile; verificare che i dati personali siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti e successivamente trattati; verificare, ove possibile, che i dati personali siano esatti e, se necessario, aggiornati; conservare i dati personali in osservanza alle misure di sicurezza predisposte dal Titolare o dal Responsabile; comunicare e trasferire i dati personali esclusivamente ai soggetti autorizzati a riceverli, per le finalità per le quali i dati stessi sono stati raccolti e comunque nel rispetto delle istruzioni ricevute; astenersi dal diffondere i dati personali; custodire con la massima attenzione e non divulgare il codice di identificazione personale (username) e la password di accesso agli strumenti informatici; evitare di lasciare incustoditi e accessibili a terzi gli strumenti informatici durante le sessioni di trattamento; informare tempestivamente il Responsabile del trattamento di ogni richiesta di accesso ai dati personali da parte dei soggetti interessati; osservare tutte le misure di sicurezza - adottando la massima cautela soprattutto nel caso di trattamento di dati sensibili e giudiziari - disposte dal Titolare o dal Responsabile del trattamento, atte ad evitare rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito o non conforme alle finalità di raccolta dei dati stessi. Ferma la facoltà del Titolare e del Responsabile del trattamento di revocare in qualsiasi momento il presente incarico, resta inteso che quest’ultimo avrà la stessa durata del rapporto contrattuale che La riguarda e che, cessato tale rapporto, Lei non sarà più autorizzato/a ad effettuare alcun tipo di trattamento sui dati personali dei quali sia venuto/a in possesso o a conoscenza nello svolgimento o per effetto della Sua attività. PregandoLa di restituire copia della presente comunicazione sottoscritta per presa visione e accettazione, si porgono distinti saluti. Luogo e data …………………… Firma dell’Agente …………………………….. Firma per presa visione e accettazione …………………………………………………….. Allegato b) – Modello di riferimento per il Manuale Operativo Incaricati di Agenzia Agli Agenti Responsabili Modello di riferimento per il Manuale Operativo Privacy Incaricati di Agenzia da personalizzare e predisporre su carta intestata Manuale Operativo Privacy Incaricati di Agenzia LA SICUREZZA E LA TUTELA DEI DATI PERSONALI Redatto da ……….…………………….…………..…….….. (indicare Nome/Cognome oppure Ragione Sociale) Agenzia di …………………………….…………..…(……..) Responsabile Privacy di ….………………………………………….……. (indicare la Compagnia specificandone la Divisione) ai sensi dell’art. 29 del D.Lgs 196/03 Data Emissione aaaa/mm/gg Versione 01 Sommario PREMESSA.......................................................................................................................................... 15 DEFINIZIONI DEL CODICE ................................................................................................................. 16 AUTORIZZAZIONI ED ISTRUZIONI PER IL TRATTAMENTO DI DATI PERSONALI ...................... 18 Informativa e Consenso Privacy ................................................................................................... 18 Consultazione .................................................................................................................................. 19 Custodia ........................................................................................................................................... 19 Comunicazione ................................................................................................................................ 19 Cessazione del rapporto di lavoro/collaborazione ...................................................................... 19 Cancellazione o distruzione ........................................................................................................... 19 Segnalazioni .................................................................................................................................... 19 Richieste di accesso ai dati personali .......................................................................................... 19 USO DEL FAX ...................................................................................................................................... 20 POSTA ELETTRONICA DELLA COMPAGNIA .................................................................................. 20 UTILIZZO DEI SISTEMI INFORMATICI .............................................................................................. 22 Credenziali di accesso ai sistemi .................................................................................................. 22 Personal Computer ......................................................................................................................... 23 PROTEZIONE DEI DOCUMENTI CARTACEI ..................................................................................... 24 PREMESSA Il Decreto Legislativo n. 196 del 2003, Codice in materia di protezione dei dati personali (d’ora in avanti abbreviato in “Codice”), in vigore dal 1 gennaio 2004, ha organicamente riordinato la materia in relazione ai criteri e alle condizioni per il trattamento dei dati personali. Il Codice pone precisi obblighi in materia di sicurezza, individuando quelle “misure minime” la cui mancata adozione può comportare anche sanzioni penali. Il presente documento intende richiamare i dipendenti o i collaboratori di Agenzia che effettuano operazioni di trattamento di dati personali in qualità di Incaricati alla stretta e puntuale osservanza delle seguenti istruzioni per la protezione dei dati personali, impartite dall’Agente in qualità di Responsabile Privacy nominato dalla Compagnia, in conformità a quanto previsto dal Codice. Tali istruzioni sono da ritenersi vincolanti e immediatamente operanti. Le normative aziendali della Compagnia in materia di protezione di dati personali sono reperibili nella sezione Privacy del sito Intranet del Gruppo FONDIARIA SAI, direttamente richiamabile dal Portale di Agenzia. DEFINIZIONI DEL CODICE Per AUTENTICAZIONE INFORMATICA si intende (ai sensi dell’Art. 4, comma 3 lettera c); “l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità”. Per CREDENZIALI DI AUTENTICAZIONE si intende (ai sensi dell’Art. 4, comma 3 lettera d) “i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica”. Per DATI GIUDIZIARII, si intende (ai sensi dell'Art. 4, comma 1 lettera e): “i dati idonei a i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale". Per DATI SENSIBILI, si intende (ai sensi dell'Art. 4, comma 1 lettera d): “I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Per DATO PERSONALE, si intende (ai sensi dell’Art. 4, comma 1 lettera b): "Qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale". Per DIRITTO DI ACCESSO AI DATI PERSONALI si intende (ai sensi dell’Art. 7, comma 1) che: ”L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile”. Inoltre, (ai sensi dell’Art. 7, comma 3) “L’interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge”. Per DIFFUSIONE, si intende (ai sensi dell’Art. 4, comma 1 lettera m): “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”. Per INCARICATI, si intendono (ai sensi dell’Art. 4, comma 1 lettera h): “le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile”. Per INTERESSATO, si intende (ai sensi dell’Art. 4, comma 1 lettera i): “la persona fisica, la persona giuridica, l’ente o l’associazione a cui si riferiscono i dati personali”. Per MISURE MINIME si intende (ai sensi dell’Art. 4, comma 3 lettera a); “il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione”. Per PAROLA CHIAVE si intende (ai sensi dell’Art. 4, comma 3 lettera e); “componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica”. Per PROFILO DI AUTORIZZAZIONE si intende (ai sensi dell’Art. 4, comma 3 lettera f) “l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti). Per RESPONSABILE, si intende (ai sensi dell’Art. 4, comma 1 lettera g): “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. Per TITOLARE, si intende (ai sensi dell’Art. 4, comma 1 lettera f): “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Per TRATTAMENTO, si intende (ai sensi dell’Art. 4, comma 1 lettera a): "Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati"; AUTORIZZAZIONI ED ISTRUZIONI PER IL TRATTAMENTO DI DATI PERSONALI E’ consentito accedere ai soli dati personali, anche sensibili e giudiziari, la cui conoscenza è necessaria e strumentale per l'espletamento dei compiti e delle funzioni attribuite per le finalità direttamente connesse con l’esercizio dell’attività Assicurativa. Il trattamento dei dati dovrà essere effettuato nel rispetto dei principi che seguono: o esclusivamente nell’ambito consentito e unicamente sui dati ai quali si ha legittimo accesso; o limitatamente al solo necessario adempimento delle mansioni o incarichi svolti nell’ambito dell’organizzazione Agenziale; o in modo lecito e secondo correttezza; o mantenendo i dati in modo tale che siano esatti e, se necessario, aggiornati, veritieri, completi, pertinenti e non eccedenti le finalità per le quali sono trattati, secondo le vigenti procedure quelle di futura emanazione; o mediante l’applicazione delle misure di sicurezza predisposte - sia informatiche che cartacee, usando la massima cautela soprattutto in caso di trattamenti riguardanti dati sensibili e giudiziari - per evitarne i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta dei dati stessi; o astenendosi dal trasferire o comunicare i dati a soggetti diversi da quelli indicati dall’Agente e coerentemente con quanto previsto dall’informativa privacy consegnata agli interessati; o astenendosi dal diffondere i dati; o a seguito della cessazione del rapporto svolto nell’ambito dell’organizzazione Agenziale, restituendo integralmente all’Agente i dati, con espresso divieto di conservarli, duplicarli, comunicarli o diffonderli; o attenendosi ad ulteriori istruzioni impartite dall’Agente. Nel trattamento dei dati personali, si dovranno quindi osservare, in particolare, le seguenti disposizioni: Informativa e Consenso Privacy Ogni Incaricato deve disporre affinché, a fronte di ogni contatto con l’Interessato (contraente, assicurato, danneggiato, beneficiario, ecc…) che comporta una raccolta di dati personali nell’ambito dell’attività assicurativa, sia consegnata l’Informativa Privacy prevista e raccolto il relativo Consenso al trattamento per le finalità assicurative, secondo le istruzioni ricevute e le modalità previste per la gestione del contratto. Inoltre, al fine di poter proporre alla clientela una gamma di servizi completa (quali promozioni assicurative o finanziarie, servizi di assistenza, ecc…), è necessario raccogliere il Consenso commerciale del cliente, anche potenziale, utilizzando l’applicazione informatica o la modulistica cartacea predisposta. E’ necessario inoltre raccogliere l’eventuale diniego a tale consenso, in modo da evitare qualsiasi ricorso da parte dell’interessato per trattamenti di dati non conformi alla volontà espressa. Consultazione La consultazione (cartacea o informatica) dei dati deve essere limitata, anche temporalmente, alle finalità ed alle mansioni assegnate all’incaricato nell’ambito della struttura agenziale. Ciò comporta che si possa accedere esclusivamente - secondo il profilo di autorizzazione attribuito - a quei dati personali, anche sensibili e giudiziari, necessari per svolgere le mansioni connesse con l’attività di Agenzia. La restituzione dei documenti in archivio deve avvenire immediatamente terminate le operazioni svolte. Custodia La custodia dei documenti e dei supporti magnetici contenenti dati personali dovrà essere effettuata con la massima cura, adottando le necessarie precauzioni per evitare l’accesso da parte di persone non autorizzate, evitando di lasciare i dati incustoditi su scrivanie, in locali comuni o in altri luoghi accessibili. Comunicazione La comunicazione dei dati può avvenire solo nei confronti dei soggetti indicati dall’Agente e coerentemente con quanto riportato dall’informativa privacy consegnata all’Interessato. I colloqui si dovranno svolgere con modalità atte alla tutela della riservatezza dei dati relativi ai clienti, anche potenziali; L'invio dei documenti contenenti dati sensibili o giudiziari, anche all'interno della struttura Agenziale, deve avvenire: • se per posta (anche interna), in busta o pacco chiuso riservato al destinatario (per questo tipo di documenti non utilizzare buste aperte o che non garantiscano la riservatezza); • nel caso di posta elettronica, avendo particolare cura nella verifica dell’indirizzo dei destinatari; • se consegnati a mano, avendo cura di recapitarli personalmente al destinatario in busta chiusa, evitando di lasciarli incustoditi su scrivanie o altri luoghi accessibili. Cessazione del rapporto di lavoro/collaborazione Nel caso di cessazione del rapporto di lavoro o di collaborazione, l’Incaricato dovrà provvedere alla restituzione integrale all’Agente dei dati, con espresso divieto di conservarli, duplicarli, comunicarli o diffonderli. Cancellazione o distruzione Una volta cessato il trattamento, se non vigono obblighi di legge alla conservazione e si sono esauriti gli scopi per i quali i dati sono stati raccolti, o successivamente trattati, è necessario provvedere alla cancellazione. Al fine di evitarne la diffusione, anche all'esterno, devono essere distrutti, avendo cura di renderli illeggibili ed inutilizzabili. Segnalazioni Ciascun Incaricato è tenuto a segnalare tempestivamente all’Agente ogni problematica inerente la Privacy, nonché eventuali situazioni non consone a quanto indicato nelle presenti istruzioni e, in generale, alla tutela dei dati personali. Richieste di accesso ai dati personali In presenza di una richiesta di accesso da parte di Interessati - siano essi contraenti, assicurati, controparti, fornitori o altro - facente riferimento alla tutela dei dati personali, si dovrà provvedere ad evaderla immediatamente affinché sia possibile rispettare, nei termini e nei tempi (ovvero entro 15 giorni dal ricevimento della richiesta) stabiliti dal Codice, il diritto di accesso ai dati trattati. USO DEL FAX La spedizione dei Fax contenenti dati personali, deve avvenire inserendo, nella copertina o sulla prima pagina del fax, una formula del tipo: "Ai sensi del Decreto Legislativo n.196/03, si precisa che le informazioni contenute in questo facsimile sono riservate e per uso esclusivo del destinatario. Persone diverse dallo stesso non possono copiare o consegnare il facsimile a terzi. Chiunque riceva questo facsimile per errore, è pregato di informare immediatamente il mittente per telefono chiamando il numero …….”. L’invio e la ricezione di FAX contenenti dati personali devono comunque avvenire in condizioni che non mettano a rischio la riservatezza dei dati stessi. Per evitare che i dati trasmessi possano essere conosciuti da soggetti non autorizzati, si ricorda di ritirare senza indugio i documenti originali ed il rapporto di trasmissione. POSTA ELETTRONICA DELLA COMPAGNIA • La spedizione, il ricevimento e tutti gli usi della posta elettronica sono consentiti solo per finalità strettamente connesse all’adempimento delle mansioni lavorative. • L’Incaricato non può considerare personale quanto spedito o ricevuto per posta elettronica. • Le informazioni accessibili all’interno della struttura agenziale, in particolare quelle riservate o confidenziali, non possono essere inviate via e-mail all’esterno se non si è autorizzati dall’Agente. • Ogni e-mail inviata all’esterno contiene, come nota finale allegata in automatico, un’informativa (“disclaimer”) nella quale è evidenziato il carattere riservato del messaggio; in tale informativa si precisa inoltre che il messaggio inviato non riveste natura personale. • Prima di inviare all’esterno tramite e-mail qualsiasi tipo di informazione o documento l’Incaricato deve valutare l’impatto che un’eventuale intercettazione di tali informazioni (ogni comunicazione inviata tramite posta elettronica può essere intercettata e modificata) potrebbe avere sul Titolare o sull’Agente. • L’Incaricato non deve: o usare identificativi altrui; o comunicare all’esterno - se non per motivi collegati alla propria attività professionale - il proprio identificativo per l’invio della posta; o spedire messaggi per conto di terzi. L’Incaricato deve utilizzare la posta elettronica con le seguenti modalità: o controllare quotidianamente la propria casella di posta elettronica e cancellare i messaggi non desiderati; o valutare con la necessaria cautela l’invio di allegati aventi dimensioni rilevanti per non appesantire troppo il flusso di dati sulla rete; o mantenere basso lo spazio occupato dalla propria casella al fine di non superare la dimensione massima assegnata; o segnalare eventuali messaggi “sospetti” all’Agente. • • Nell’inviare o ricevere una e-mail è inoltre obbligatorio attenersi alle seguenti regole: o non inviare messaggi con contenuto o mittente falsi o alterati; o assicurarsi che il destinatario dell’e-mail sia effettivamente quello desiderato; o non spedire, ridistribuire o rispondere a messaggi diffamatori, calunniosi, minacciosi, ingannevoli o comunque estranei all’attività lavorativa; o non inviare messaggi con allegati o “link” (collegamenti) a siti considerati non pertinenti (si ricorda che la diffusione di virus è perseguibile per legge); o non aprire gli allegati o “cliccare” sui link di mail ricevute da persone sconosciute o riguardanti un oggetto sospetto al fine di limitare il rischio di attivazione di virus o altri codici maligni; o non partecipare alle cosiddette lettere a catena (conosciute come “catene di S. Antonio”). • Per quanto concerne l’iscrizione in “mailing list” (elenco di persone, con i relativi indirizzi e-mail, le quali discutono tramite posta elettronica) o in altri servizi esterni che richiedono l’utilizzo della posta elettronica, l’Incaricato deve attenersi alle seguenti regole: o valutare che tali servizi possono anche generare molti messaggi con degrado delle prestazioni della rete; o verificare la disponibilità delle informazioni all’interno dell’organizzazione agenziale prima di effettuare ricerche attraverso tali servizi; o approfondire al momento dell’iscrizione le modalità per richiedere la revoca, in quanto non sempre è possibile ritirare la propria adesione con facilità; o richiedere all’Agente la preventiva autorizzazione e solo in caso di esigenze connesse alla propria attività lavorativa. • L’Incaricato è inoltre tenuto a rispettare le seguenti regole di sicurezza: o è vietato abilitare programmi o macro ricevuti tramite posta elettronica dall’esterno; o è vietato inviare all’esterno tramite posta elettronica la propria User-ID o password, le configurazioni della rete interna, gli indirizzi e i nomi dei sistemi informatici. • Cessazione del rapporto di lavoro: o l’Incaricato, in caso di cessazione del rapporto di lavoro, deve rendere disponibili all’Agente i messaggi di posta elettronica inerenti le proprie mansioni. UTILIZZO DEI SISTEMI INFORMATICI • L’Incaricato non deve utilizzare i sistemi informatici in violazione di legge, né a rischio della sicurezza dei sistemi stessi o del patrimonio informativo del Titolare o comunque, in modo tale da arrecare pregiudizio - anche sotto il profilo del danno all’immagine - nei confronti di chiunque. • L’Incaricato deve applicare le misure di sicurezza previste al fine di evitare rischi di distruzione o perdita di dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta dei dati stessi. • L’incaricato non deve utilizzare o mettere a disposizione abusivamente codici di accesso (ad es. la parola chiave) o altri mezzi, i quali consentono di accedere, in modo logico o fisico, a sistemi informatici protetti da misure di sicurezza e non deve altresì permettere o ad agevolare un indebito accesso ai predetti sistemi. • E’ vietato modificare o cancellare abusivamente programmi informatici. • E’ altresì vietata, al fine di ridurre l’esposizione al rischio per i sistemi informatici, l’installazione o l’uso di ulteriore software oltre a quello in dotazione, in assenza di una espressa autorizzazione dell’Agente. Credenziali di accesso ai sistemi Il Disciplinare tecnico sulle misure minime di sicurezza (Allegato B del Codice) richiede, per l'accesso ai dati, l'uso di credenziali costituite da un "codice identificativo personale" (user-id) cioè un codice attribuito ad ogni utente, al fine di identificarlo univocamente nell'ambito del sistema informatico, nonché di una "parola chiave" (vale a dire di una parola riservata o password) che ogni utente deve adottare per confermare la propria identità in fase di autenticazione alle applicazioni. Caratteristiche della user-id: o assegnazione individuale; o uso strettamente personale; o una volta assegnata ad una persona non può più essere riassegnata, anche in tempi successivi, ad altra persona; o non è permesso accedere con la stessa user-id, nello stesso momento, alla stessa applicazione da postazioni di lavoro diverse; o le autorizzazioni di accesso sono attribuite sulla base delle effettive necessità di lavoro, in anticipo rispetto al primo accesso ai dati stessi; o la user-id sarà disattivata in caso di non utilizzo per più di sei mesi o al venire meno della necessità per cui è stata assegnata; o l’eventuale riattivazione della user-id deve essere richiesta all’Agente. In previsione della assenza definitiva o prolungata di un Incaricato (dimissioni, quiescenza ecc…), si dovrà disporre il passaggio di consegne, in modo tale che le user-id possano essere disabilitate simultaneamente all’uscita dell’intestatario. Nel caso in cui l’Incaricato che, cessando il rapporto di lavoro o di collaborazione nell’ambito dell’organizzazione agenziale, debba essere sostituito da un'altra persona, non è lecito riassegnare a questi la user-id di colui che lo ha preceduto, ma è invece necessario provvedere all’attribuzione di una nuova user-id. Caratteristiche della password: o a ciascuna user-id è associata una parola chiave (password); o la password è personale; o questa deve essere conosciuta solo dal singolo Incaricato che provvede a cambiarla durante il primo accesso al sistema. L’Incaricato è responsabile della segretezza e diligente custodia della propria password che dovrà essere adottata attenendosi alle seguenti regole: o deve essere diversa dalla propria user-id e dal valore iniziale; o non deve contenere riferimenti agevolmente riconducibili all’intestatario (nome, cognome, date di nascita - anche dei familiari - codice fiscale, indirizzi, ecc.); o non deve essere banale (ad es. si sconsiglia l'uso di nomi propri); o deve essere composta da almeno 8 caratteri, e possibilmente con mescolanza di lettere e numeri; o deve essere cambiata dall’Incaricato dopo un periodo massimo di 90 giorni; o non deve essere utilizzata più di una volta; o non deve essere conosciuta da altri se non dall’Incaricato (evitare di scriverla se osservati o su foglietti accessibili o di comunicarla a terzi, inclusi altri Incaricati o memorizzarla nel computer). Nei casi di malfunzionamento del sistema di accesso e smarrimento della propria password contattare immediatamente l’Agente. Personal Computer • L’utilizzo del personal computer è consentito esclusivamente per attività connesse con il proprio incarico. • Configurazione del personal computer: o qualsiasi modifica, fisica o relativa al software installato, deve essere esplicitamente autorizzata dall’Agente; o è vietata la disabilitazione o la modifica della configurazione del software antivirus e di eventuali componenti ad esso collegate per ragioni di sicurezza; o in presenza di virus segnalato dal software antivirus installato avvisare immediatamente l’Agente. • l’Incaricato non deve lasciare incustodito il personal computer e, in caso di allontanamento anche temporaneo, ha l’obbligo di attivare la funzione di blocco, al fine di proteggere l’accesso ai dati personali da lui trattati. • al termine dell’orario di lavoro l’Incaricato deve disattivare l’accesso alle informazioni; quindi deve chiudere le applicazioni, la chiave di accesso alla rete o al sistema e spegnere il personal computer. PROTEZIONE DEI DOCUMENTI CARTACEI • I documenti e gli atti contenenti dati personali comuni, sensibili o giudiziari che non siano oggetto di uso corrente devono essere conservati in archivi corredati di serratura o di chiusure idonee. • La documentazione utilizzata nello svolgimento delle attività lavorative, in particolare quella contenente dati sensibili o giudiziari, deve essere controllata e custodita, al fine di evitare che soggetti non autorizzati possano prenderne visione o manometterla, fino al termine delle operazioni effettuate. • Gli armadi adibiti ad archivio devono essere chiusi a chiave quando viene meno la possibilità del controllo diretto. • I locali adibiti ad archivio devono essere chiusi a chiave; le chiavi devono essere conservate a cura di soggetti preposti dall’Agente. Allegato c) – Facsimile di Lista degli Incaricati di Agenzia (carta intestata dell'Agenzia) LISTA DEGLI INCARICATI (nominati ai sensi dell'art. 30 del D. Lgs. 30.6.2003 n. 196) Cognome Nome Codice Fiscale Mansione / Ruolo User-ID Data di nomina Data termine collaborazione