Nomina dell`Agente quale Responsabile trattamento dati

CIRCOLARE N° S58-2011 A
Da:
Amministratore Delegato
A:
Agenzie MILANO ASSICURAZIONI Divisione Sasa
Milano, 21 novembre 2011
Oggetto:
Nomina dell’Agente a Responsabile del trattamento dei dati
personali - D.Lgs. 30/6/2003 n. 196 (Codice Privacy)
A seguito dei mutamenti intervenuti nel quadro normativo con l’entrata in
vigore del Codice Privacy e tenuto conto del recepimento della normativa comunitaria
in materia di intermediazione assicurativa mediante l’adozione del Codice delle
assicurazioni private, la Compagnia, in qualità di Titolare, deve nominare ciascuna
persona fisica o giuridica, cui sia stato conferito il mandato di Agente, Responsabile
per il trattamento dei dati personali effettuato per finalità assicurative in relazione
all’espletamento del mandato medesimo.
A tal fine, il Gruppo FONDIARIA SAI sta interessando le proprie reti agenziali nei
termini di cui alla Circolare in oggetto, rivolta agli Agenti della Rete MILANO
ASSICURAZIONI, Divisione Sasa.
Ciò premesso, con l’Atto di nomina a Responsabile del trattamento in allegato,
parte integrante della presente Circolare, l’Agente è, con decorrenza immediata,
nominato Responsabile e in tale qualità deve attenersi alle istruzioni ricevute dal
Titolare nonché adempiere agli obblighi imposti dal Codice Privacy.
D’ora innanzi, l’Agente rivestirà pertanto il ruolo di Responsabile del
trattamento dei dati personali relativo alle attività direttamente connesse al mandato
ricevuto dalla Compagnia per lo svolgimento dell’attività assicurativa (a mero titolo di
esempio, non esaustivo: nella gestione dei dati personali relativi al portafoglio clienti).
MILANO ASSICURAZIONI S.p.A.
Sede Legale e Direzione
20161 Milano - Via Senigallia, 18/2
Tel. (+39) 02.6402.1
Fax (+39) 02.6402.2331
www.milass.it
Capitale sociale € 373.682.600,42 int. vers. - Numero di iscrizione al Registro
delle Imprese di Milano, Codice Fiscale e Partita I.V.A. 00957670151
Impresa autorizzata all’esercizio delle assicurazioni (art. 65 R.D.L. 29-4-1923 n.
966) - Iscritta alla Sez. I dell’Albo Imprese presso l’Isvap al n. 1.00010
Direzione Trieste
34123 Trieste - Riva Tommaso Gulli, 12 Società appartenente al gruppo assicurativo Fondiaria-SAI, iscritto all’Albo dei
Tel (+39) 040.3190.111
gruppi assicurativi al n. 030
Fax (+39) 040.300.624
Direzione e coordinamento FONDIARIA-SAI S.p.A.
Divisione SASA
Resta peraltro fermo che l’Agente ha un duplice ruolo a seconda dell’ambito di
trattamento, posto che il medesimo è altresì Titolare laddove il trattamento dei dati
sia svolto dall’Agenzia in qualità di impresa autonoma (ad esempio nella gestione dei
dati personali relativi ai propri dipendenti, collaboratori o fornitori).
La nomina a Responsabile conferisce, tra l’altro, all’Agente il compito di
attribuire formalmente ai propri dipendenti e collaboratori di Agenzia la qualifica di
Incaricati ai sensi del Codice Privacy, fornendo loro specifiche istruzioni.
In allegato si trova la documentazione di riferimento relativa a tale incarico e, in
particolare, la bozza del modello di Atto di nomina dell’Incaricato, il Modello di
riferimento per il Manuale Operativo Incaricati di Agenzia ed il facsimile della Lista
degli Incaricati di Agenzia che potrà essere utilizzata al riguardo.
I documenti di cui sopra sono altresì disponibili sul portale agenziale
sasaweb.ag nella sezione Area Info, Privacy, Area Agenzie, Istruzioni.
Inoltre, per eventuali chiarimenti, sono disponibili i seguenti servizi:
•
•
Faq (Frequently Asked Questions): elenco di domande e risposte consultabile
sul portale agenziale sasaweb.ag nella sezione Area Info, Privacy, Faq,
Agenzie;
Chiamate di assistenza all'ente Customer Care attraverso UHD, specificando
l'applicativo "Webagenzie".
L’occasione è gradita per porgervi i nostri migliori saluti.
MILANO ASSICURAZIONI S.p.A.
L’Amministratore Delegato
Dr. Emanuele ERBETTA
Allegato 1 - Atto di nomina a Responsabile del trattamento dei dati personali
Allegato 2 - Nota accompagnatoria alla nomina
Documentazione di riferimento per le nomine ad incaricato:
Allegato a) – Bozza di modello di Atto di nomina ad Incaricato del trattamento dei dati personali
Allegato b) – Modello di riferimento per il Manuale Operativo Incaricati di Agenzia
Allegato c) – Facsimile della Lista degli Incaricati di Agenzia
Allegato 1 - Atto di nomina a Responsabile del trattamento dei dati personali
Alle Agenzie Generali
Milano Assicurazioni
Divisione Sasa
Nomina a Responsabile del trattamento dei dati personali ai sensi dell’art. 29
D.Lgs. 30/6/2003 n. 196
Come noto, a seguito dell’introduzione nel nostro ordinamento della normativa
in materia di protezione dei dati personali (L. 675/1996), venne stabilito, in sede di
prima applicazione, che il trattamento effettuato per conto della Compagnia, Titolare
del trattamento, dagli Agenti fosse da quest’ultimi espletato in veste di Incaricati.
A seguito dei mutamenti intervenuti con l’entrata in vigore del D.Lgs.
30/6/2003 n. 196 “Codice in materia di protezione dei dati personali” (di seguito
abbreviato in “Codice”) e tenuto conto del recepimento della normativa comunitaria in
materia di intermediazione assicurativa mediante l’adozione del “Codice delle
assicurazioni private” di cui al D.Lgs 209/2005, la Compagnia deve nominare ciascuna
persona fisica/giuridica cui sia stato conferito l’incarico di Agente, Responsabile per il
trattamento dei dati personali effettuato per finalità assicurative in relazione
all’espletamento dell’incarico medesimo, ai sensi e per gli effetti di cui all’art. 29 del
Codice.
Per tali motivi con la presente Vi si nomina Responsabili evidenziandoVi che, al
di là della nuova configurazione giuridica del Vostro ruolo, molti adempimenti che
discendono dalla normativa sono analoghi a quelli da Voi già svolti in qualità di
Incaricati.
In particolare, nella veste di Responsabili siete preposti al trattamento di dati
personali, quali soggetti che per esperienza, capacità ed affidabilità forniscono idonea
garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza.
In dipendenza della presente nomina, pertanto, dovrete svolgere i compiti
affidati, ferma la remunerazione del trattamento provvigionale pattuito, ottemperando
alla normativa attualmente vigente e a quella di futura emanazione e garantendone il
relativo rispetto da parte dei dipendenti o altri collaboratori che Vi coadiuvano
nell’espletamento dell’incarico agenziale.
MILANO ASSICURAZIONI S.p.A.
Sede Legale e Direzione
20161 Milano - Via Senigallia, 18/2
Tel. (+39) 02.6402.1
Fax (+39) 02.6402.2331
www.milass.it
Capitale sociale € 373.682.600,42 int. vers. - Numero di iscrizione al Registro
delle Imprese di Milano, Codice Fiscale e Partita I.V.A. 00957670151
Impresa autorizzata all’esercizio delle assicurazioni (art. 65 R.D.L. 29-4-1923 n.
966) - Iscritta alla Sez. I dell’Albo Imprese presso l’Isvap al n. 1.00010
Direzione Trieste
34123 Trieste - Riva Tommaso Gulli, 12 Società appartenente al gruppo assicurativo Fondiaria-SAI, iscritto all’Albo dei
Tel (+39) 040.3190.111
gruppi assicurativi al n. 030
Fax (+39) 040.300.624
Direzione e coordinamento FONDIARIA-SAI S.p.A.
Divisione SASA
Confermando ogni istruzione già impartita in materia in occasione
dell’affidamento dell’incarico agenziale o nel corso del medesimo - tramite circolari
aziendali o altre modalità (Manuale Operativo Privacy, ecc.) - la Compagnia si riserva
di
fornire
ulteriori
istruzioni,
provvedendo,
se
del
caso,
a
modificare/integrare/aggiornare
quelle
già
comunicate
precedentemente
al
mutamento del Vostro inquadramento da Incaricato a Responsabile per effetto della
presente nomina.
Precisiamo altresì che in qualità di Responsabile dovrete:
a. coordinarVi con il Titolare, riferendogli puntualmente in merito all’attività
espletata e al corretto adempimento della stessa;
b. provvedere alla nomina ad Incaricato delle persone fisiche - siano essi
dipendenti o altri collaboratori, diretti o indiretti, della Vostra organizzazione
agenziale - da Voi autorizzate a compiere operazioni di trattamento.
Conseguentemente dovrete designare per iscritto ciascun Incaricato, secondo la
bozza di nomina fornita dal Titolare (Modello di Atto di nomina ad Incaricato del
trattamento dei dati personali), avendo cura di individuare puntualmente
l’ambito del trattamento consentito ad ognuno di essi e procedendo al relativo
aggiornamento periodico con cadenza almeno annuale;
c. predisporre ed aggiornare con regolarità la lista degli Incaricati, secondo il
modello fornito dal Titolare (Facsimile della Lista degli Incaricati di Agenzia);
d. coordinare gli Incaricati, attribuendo e delegando agli stessi i compiti per il
perseguimento dell’incarico conferito, nonchè individuando le modalità e
precauzioni da seguire affinché le operazioni di trattamento avvengano nel
rispetto dei principi e delle disposizioni del Codice;
e. erogare formazione agli Incaricati al momento dell’inizio dell’attività degli stessi,
in caso di mutamento delle mansioni o di introduzione di nuovi significativi
strumenti rilevanti rispetto al trattamento di dati personali effettuato, in
relazione a: profili della disciplina regolante il trattamento dei dati personali più
rilevanti in rapporto alle attività effettuate, rischi incombenti sui dati,
responsabilità che ne derivano, misure disponibili per prevenire eventi dannosi,
e modalità per aggiornarsi sulle misure minime adottate;
f. impartire agli Incaricati le istruzioni per il trattamento da essi effettuato, anche
contestualmente alla nomina, secondo quanto previsto nella bozza del Modello
per la redazione del Manuale Operativo Privacy degli Incaricati di Agenzia,
eventualmente integrando e/o dettagliando le istruzioni stesse in dipendenza
delle specificità della Vostra organizzazione agenziale.
g. vigilare sulla correttezza del trattamento effettuato dagli Incaricati, in relazione
alla normativa in vigore e alle istruzioni loro impartite, provvedendo a regolari
verifiche e controlli al riguardo;
h. assicurare il rispetto delle misure di sicurezza adottate dal Titolare per garantire
la sicurezza dei dati personali oggetto di trattamento, prevedendo eventuali
ulteriori misure necessarie e opportune in dipendenza delle peculiarità della
Vostra organizzazione agenziale.
Resta infine inalterato il Vostro ruolo di Titolare per quei trattamenti di dati
personali effettuati in autonomia ed estranei al trattamento effettuato per finalità
assicurative nell’espletamento dell’incarico agenziale conferito, quali ad esempio i
trattamenti dei dati personali dei Vostri dipendenti, altri collaboratori o fornitori.
La presente nomina ha effetto immediato e durata per l’intero incarico
agenziale, cessando automaticamente, senza necessità di espressa revoca, in caso di
risoluzione dell’incarico medesimo.
I migliori saluti.
Data, 21novembre 2011
MILANO ASSICURAZIONI S.p.A.
L’Amministratore Delegato
Dr. Emanuele ERBETTA
Allegato 2 - Nota accompagnatoria alla nomina
Torino, xx xxxxxxx 2011
Alle Agenzie Generali
Milano Assicurazioni
Divisione Sasa
Nota accompagnatoria alla nomina dell’Agente a Responsabile del
trattamento dei dati personali - D.Lgs. 30/6/2003 n. 196 (Codice Privacy)
La nomina a Responsabile, oltre ad inquadrare coerentemente con la normativa
privacy ed il Codice delle Assicurazioni private i dipendenti ed i collaboratori di Agenzia
attribuendo loro la corretta veste di Incaricati per i trattamenti chiarendo al contempo
il ruolo dell’Agenzia, si è resa necessaria a seguito del recente provvedimento del
Garante per la privacy (15/6/2011) “Titolarità del trattamento di dati personali in capo
ai soggetti che si avvalgono di agenti per attività promozionali”, il quale dispone a
carico dei Titolari l’obbligo di procedere alla designazione a Responsabile privacy
- altrimenti facoltativa - di quei soggetti che svolgono trattamenti di dati nell’ambito di
iniziative di carattere commerciale per invio di materiale pubblicitario, vendita diretta,
compimento di ricerche di mercato o comunicazione commerciale attuate in favore
della società preponente (in questo caso la Compagnia).
La suddetta nomina, effettuata mediante lo strumento della Circolare avente
come oggetto “Nomina dell’Agente a Responsabile del trattamento dei dati personali D.Lgs. 30/6/2003 n. 196 (Codice Privacy)”, riguarda la persona fisica o giuridica cui
sia stato conferito il mandato agenziale; quindi nel caso in cui tale mandato riguardi il
rapporto con una società, esclusivamente quest’ultima è destinataria della
designazione a Responsabile privacy; tale designazione decorre a partire della data di
ricevimento della Circolare ed ha durata per l’intero mandato.
Il ruolo di Responsabile riguarda unicamente il trattamento di dati relativo alle
attività connesse al mandato agenziale; l’Agente è invece da considerasi Titolare
rispetto ai trattamenti dei dati svolti in autonomia ed estranei alle finalità assicurative
che derivano dal mandato (ad es. gestione dei propri dipendenti o fornitori).
Per facilitare il ruolo di Responsabile vengono messi a disposizione dei modelli
documentali da utilizzare per gli adempimenti normativi previsti, i quali devono essere
svolti quanto prima e comunque in tempi ragionevolmente compatibili con la
complessità dell’organizzazione agenziale.
Di seguito evidenziamo alcuni compiti previsti per il Responsabile:
•
nominare Incaricato ogni dipendente e collaboratore di Agenzia (compresi i
subagenti) che, nell’esercizio delle proprie mansioni connesse allo svolgimento
del mandato agenziale, tratta dati personali; per tale nomina occorre attenersi
ai seguenti passi:
o individuazione degli Incaricati,
o predisposizione della lettera di designazione ad Incaricato utilizzando la
bozza di nomina messa a disposizione,
o consegna agli Incaricati di tale lettera in duplice copia: una copia deve
essere conservata da questi ultimi e l’altra, sottoscritta per presa visione ed
accettazione, deve essere conservata presso l’Agenzia;
•
predisporre ed aggiornare periodicamente la lista degli Incaricati, la quale deve
essere conservata presso l’Agenzia;
•
predisporre il Manuale operativo di istruzioni privacy per il trattamento dei dati
personali, personalizzando il modello di manuale messo a disposizione;
consegnare tale manuale agli Incaricati, conservando presso l’Agenzia la
ricevuta dell’avvenuta consegna;
•
vigilare sulla correttezza del trattamento dei dati personali effettuato dagli
Incaricati;
•
assicurare il rispetto delle misure di sicurezza adottate dalla Compagnia
al fine di garantire la sicurezza dei dati personali oggetto del trattamento
stesso;
•
erogare la formazione privacy ai propri incaricati, allo scopo di istruire gli stessi
sul corretto trattamento dei dati nonché sui rischi che riguardano tali dati e le
misure adottate per prevenirli;
Infine si informa che è stato istituito il “Registro pubblico delle Opposizioni”
(D.P.R. n.178 del 7/9/2010, provvedimento Garante privacy del 19/1/2011, Legge
n.106 del 12/7/2011), al quale si possono iscrivere tutti i soggetti che intendono
opporsi al trattamento dei propri dati tramite telefono o posta cartacea ai fini di invio
di materiale pubblicitario, vendita diretta, comunicazione commerciale o compimento
di ricerche di mercato.
La comunicazione ufficiale dell’attuazione del suddetto Registro e delle relative
linee guida è contenuta in una ulteriore Circolare, che integra le istruzioni alla nomina
a Responsabile.
Allegato a) – Bozza di Modello di Atto di nomina ad Incaricato del trattamento dei dati
personali
(carta intestata dell'Agenzia)
BOZZA
DA:
AGENTE
A:
Oggetto:
Dipendenti, subagenti, venditori,
procacciatori, e collaboratori vari
(compresi i dipendenti e collaboratori
del subagente)
Incarico per il trattamento dei dati personali ai sensi dell’art. 30 del
D.Lgs. 30.6.2003, n. 196
Egregio Signor / Gentile Signora, ……………………………
con riferimento al trattamento di dati personali effettuato per finalità connesse
all’esercizio dell’attività assicurativa, la Compagnia - ai sensi dell’art. 29 del D. Lgs.
30.6.2003, n. 196 (di seguito indicato come “Codice”) - ha designato la sottoscritta
Agenzia, quale Responsabile del trattamento limitatamente ai dati personali trattati in
esecuzione del mandato agenziale.
Nell’ambito di tale trattamento, Lei ha necessità di trattare i dati personali che sono
funzionali allo svolgimento della Sua attività e pertanto il sottoscritto Responsabile La
nomina incaricato ai sensi dell’art. 30 del Codice.
Per effetto di tale incarico, le operazioni di trattamento di dati personali da Lei
eseguite vengono ad essere ricomprese nel trattamento di cui è Titolare la
Compagnia.
Si precisa, per maggior chiarezza, che ai sensi di quanto previsto dal Codice:
-
-
per “incaricati” si intendono le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile;
per "trattamento" si intende qualunque operazione o complesso di operazioni
effettuati anche senza l'ausilio di mezzi elettronici, concernenti la raccolta, la
registrazione,
l’organizzazione,
la
conservazione,
l’elaborazione,
la
modificazione,
la
selezione,
l’estrazione,
il
raffronto,
l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e
la distruzione dei dati, anche se non registrati in una banca di dati;
per "dato personale" si intende qualunque informazione relativa a persona
fisica, persona giuridica, ente o associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
-
-
per “dati sensibili” si intendono i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei
a rivelare lo stato di salute e la vita sessuale;
per “dati giudiziari” si intendono i dati personali idonei a rivelare
provvedimenti di cui all’art. 3, comma 1, lettere da a) a o) e da r) a u), del
D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziale, di anagrafe
delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti,
o la qualità di indagato o imputato ai sensi degli artt. 60 e 61 del codice di
procedura penale.
Lei potrà, pertanto, eseguire tutte le operazioni di trattamento di dati personali, anche
sensibili e giudiziari, necessarie all'adempimento delle Sue mansioni / funzioni. Ai fini
di una corretta applicazione del Codice e di una adeguata tutela dei diritti degli
interessati, Lei dovrà attenersi alle seguenti prescrizioni di carattere generale, nonchè
ad ogni ulteriore istruzione che Le dovesse essere impartita dal Titolare o dal
Responsabile del trattamento:
•
•
•
•
•
•
•
•
•
•
•
trattare i dati personali di cui viene a conoscenza nello svolgimento delle Sua
attività, in modo lecito e secondo correttezza e, comunque, in modo tale da
garantire, in ogni operazione di trattamento, la massima riservatezza;
raccogliere e registrare i dati personali esclusivamente per le finalità e con le
modalità stabilite dal Titolare o dal Responsabile;
verificare che i dati personali siano pertinenti, completi e non eccedenti le finalità
per le quali sono stati raccolti e successivamente trattati;
verificare, ove possibile, che i dati personali siano esatti e, se necessario,
aggiornati;
conservare i dati personali in osservanza alle misure di sicurezza predisposte dal
Titolare o dal Responsabile;
comunicare e trasferire i dati personali esclusivamente ai soggetti autorizzati a
riceverli, per le finalità per le quali i dati stessi sono stati raccolti e comunque nel
rispetto delle istruzioni ricevute;
astenersi dal diffondere i dati personali;
custodire con la massima attenzione e non divulgare il codice di identificazione
personale (username) e la password di accesso agli strumenti informatici;
evitare di lasciare incustoditi e accessibili a terzi gli strumenti informatici durante le
sessioni di trattamento;
informare tempestivamente il Responsabile del trattamento di ogni richiesta di
accesso ai dati personali da parte dei soggetti interessati;
osservare tutte le misure di sicurezza - adottando la massima cautela soprattutto
nel caso di trattamento di dati sensibili e giudiziari - disposte dal Titolare o dal
Responsabile del trattamento, atte ad evitare rischi di distruzione, perdita, accesso
non autorizzato o trattamento non consentito o non conforme alle finalità di
raccolta dei dati stessi.
Ferma la facoltà del Titolare e del Responsabile del trattamento di revocare in
qualsiasi momento il presente incarico, resta inteso che quest’ultimo avrà la stessa
durata del rapporto contrattuale che La riguarda e che, cessato tale rapporto, Lei non
sarà più autorizzato/a ad effettuare alcun tipo di trattamento sui dati personali dei
quali sia venuto/a in possesso o a conoscenza nello svolgimento o per effetto della
Sua attività.
PregandoLa di restituire copia della presente comunicazione sottoscritta per presa
visione e accettazione, si porgono distinti saluti.
Luogo e data
……………………
Firma dell’Agente
……………………………..
Firma per presa visione e accettazione
……………………………………………………..
Allegato b) – Modello di riferimento per il Manuale Operativo Incaricati di Agenzia
Agli Agenti Responsabili
Modello di riferimento per il
Manuale Operativo Privacy Incaricati di Agenzia
da personalizzare e predisporre su carta intestata
Manuale Operativo Privacy Incaricati di Agenzia
LA SICUREZZA E LA TUTELA
DEI DATI PERSONALI
Redatto da
……….…………………….…………..…….…..
(indicare Nome/Cognome oppure Ragione Sociale)
Agenzia di
…………………………….…………..…(……..)
Responsabile Privacy di
….………………………………………….…….
(indicare la Compagnia specificandone la Divisione)
ai sensi dell’art. 29 del D.Lgs 196/03
Data Emissione
aaaa/mm/gg
Versione
01
Sommario
PREMESSA.......................................................................................................................................... 15
DEFINIZIONI DEL CODICE ................................................................................................................. 16
AUTORIZZAZIONI ED ISTRUZIONI PER IL TRATTAMENTO DI DATI PERSONALI ...................... 18
Informativa e Consenso Privacy ................................................................................................... 18
Consultazione .................................................................................................................................. 19
Custodia ........................................................................................................................................... 19
Comunicazione ................................................................................................................................ 19
Cessazione del rapporto di lavoro/collaborazione ...................................................................... 19
Cancellazione o distruzione ........................................................................................................... 19
Segnalazioni .................................................................................................................................... 19
Richieste di accesso ai dati personali .......................................................................................... 19
USO DEL FAX ...................................................................................................................................... 20
POSTA ELETTRONICA DELLA COMPAGNIA .................................................................................. 20
UTILIZZO DEI SISTEMI INFORMATICI .............................................................................................. 22
Credenziali di accesso ai sistemi .................................................................................................. 22
Personal Computer ......................................................................................................................... 23
PROTEZIONE DEI DOCUMENTI CARTACEI ..................................................................................... 24
PREMESSA
Il Decreto Legislativo n. 196 del 2003, Codice in materia di protezione dei dati personali (d’ora in
avanti abbreviato in “Codice”), in vigore dal 1 gennaio 2004, ha organicamente riordinato la
materia in relazione ai criteri e alle condizioni per il trattamento dei dati personali.
Il Codice pone precisi obblighi in materia di sicurezza, individuando quelle “misure minime” la cui
mancata adozione può comportare anche sanzioni penali.
Il presente documento intende richiamare i dipendenti o i collaboratori di Agenzia che effettuano
operazioni di trattamento di dati personali in qualità di Incaricati alla stretta e puntuale osservanza
delle seguenti istruzioni per la protezione dei dati personali, impartite dall’Agente in qualità di
Responsabile Privacy nominato dalla Compagnia, in conformità a quanto previsto dal Codice.
Tali istruzioni sono da ritenersi vincolanti e immediatamente operanti.
Le normative aziendali della Compagnia in materia di protezione di dati personali sono reperibili
nella sezione Privacy del sito Intranet del Gruppo FONDIARIA SAI, direttamente richiamabile dal
Portale di Agenzia.
DEFINIZIONI DEL CODICE
Per AUTENTICAZIONE INFORMATICA si intende (ai sensi dell’Art. 4, comma 3 lettera c);
“l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità”.
Per CREDENZIALI DI AUTENTICAZIONE si intende (ai sensi dell’Art. 4, comma 3 lettera d) “i dati
ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente
correlati, utilizzati per l’autenticazione informatica”.
Per DATI GIUDIZIARII, si intende (ai sensi dell'Art. 4, comma 1 lettera e): “i dati idonei a i dati
personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a
u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle
sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o
di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale".
Per DATI SENSIBILI, si intende (ai sensi dell'Art. 4, comma 1 lettera d): “I dati personali idonei a
rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita
sessuale”.
Per DATO PERSONALE, si intende (ai sensi dell’Art. 4, comma 1 lettera b): "Qualunque
informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero
di identificazione personale".
Per DIRITTO DI ACCESSO AI DATI PERSONALI si intende (ai sensi dell’Art. 7, comma 1) che:
”L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo
riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile”.
Inoltre, (ai sensi dell’Art. 7, comma 3) “L’interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di
legge”.
Per DIFFUSIONE, si intende (ai sensi dell’Art. 4, comma 1 lettera m): “il dare conoscenza dei dati
personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione”.
Per INCARICATI, si intendono (ai sensi dell’Art. 4, comma 1 lettera h): “le persone fisiche
autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile”.
Per INTERESSATO, si intende (ai sensi dell’Art. 4, comma 1 lettera i): “la persona fisica, la
persona giuridica, l’ente o l’associazione a cui si riferiscono i dati personali”.
Per MISURE MINIME si intende (ai sensi dell’Art. 4, comma 3 lettera a); “il complesso delle misure
tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello
minimo di protezione”.
Per PAROLA CHIAVE si intende (ai sensi dell’Art. 4, comma 3 lettera e); “componente di una
credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una
sequenza di caratteri o altri dati in forma elettronica”.
Per PROFILO DI AUTORIZZAZIONE si intende (ai sensi dell’Art. 4, comma 3 lettera f) “l’insieme
delle informazioni, univocamente associate ad una persona, che consente di individuare a quali
dati essa può accedere, nonché i trattamenti ad essa consentiti).
Per RESPONSABILE, si intende (ai sensi dell’Art. 4, comma 1 lettera g): “la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo
preposti dal titolare al trattamento di dati personali”.
Per TITOLARE, si intende (ai sensi dell’Art. 4, comma 1 lettera f): “la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui
competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.
Per TRATTAMENTO, si intende (ai sensi dell’Art. 4, comma 1 lettera a): "Qualunque operazione o
complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la
modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in
una banca di dati";
AUTORIZZAZIONI ED ISTRUZIONI PER IL TRATTAMENTO DI DATI PERSONALI
E’ consentito accedere ai soli dati personali, anche sensibili e giudiziari, la cui conoscenza è
necessaria e strumentale per l'espletamento dei compiti e delle funzioni attribuite per le finalità
direttamente connesse con l’esercizio dell’attività Assicurativa.
Il trattamento dei dati dovrà essere effettuato nel rispetto dei principi che seguono:
o
esclusivamente nell’ambito consentito e unicamente sui dati ai quali si ha legittimo
accesso;
o
limitatamente al solo necessario adempimento delle mansioni o incarichi svolti nell’ambito
dell’organizzazione Agenziale;
o
in modo lecito e secondo correttezza;
o
mantenendo i dati in modo tale che siano esatti e, se necessario, aggiornati, veritieri,
completi, pertinenti e non eccedenti le finalità per le quali sono trattati, secondo le vigenti
procedure quelle di futura emanazione;
o
mediante l’applicazione delle misure di sicurezza predisposte - sia informatiche che
cartacee, usando la massima cautela soprattutto in caso di trattamenti riguardanti dati
sensibili e giudiziari - per evitarne i rischi di distruzione o perdita, di accesso non
autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta dei
dati stessi;
o
astenendosi dal trasferire o comunicare i dati a soggetti diversi da quelli indicati dall’Agente
e coerentemente con quanto previsto dall’informativa privacy consegnata agli interessati;
o
astenendosi dal diffondere i dati;
o
a seguito della cessazione del rapporto svolto nell’ambito dell’organizzazione Agenziale,
restituendo integralmente all’Agente i dati, con espresso divieto di conservarli, duplicarli,
comunicarli o diffonderli;
o
attenendosi ad ulteriori istruzioni impartite dall’Agente.
Nel trattamento dei dati personali, si dovranno quindi osservare, in particolare, le seguenti
disposizioni:
Informativa e Consenso Privacy
Ogni Incaricato deve disporre affinché, a fronte di ogni contatto con l’Interessato (contraente,
assicurato, danneggiato, beneficiario, ecc…) che comporta una raccolta di dati personali
nell’ambito dell’attività assicurativa, sia consegnata l’Informativa Privacy prevista e raccolto il
relativo Consenso al trattamento per le finalità assicurative, secondo le istruzioni ricevute e le
modalità previste per la gestione del contratto.
Inoltre, al fine di poter proporre alla clientela una gamma di servizi completa (quali promozioni
assicurative o finanziarie, servizi di assistenza, ecc…), è necessario raccogliere il Consenso
commerciale del cliente, anche potenziale, utilizzando l’applicazione informatica o la modulistica
cartacea predisposta. E’ necessario inoltre raccogliere l’eventuale diniego a tale consenso, in
modo da evitare qualsiasi ricorso da parte dell’interessato per trattamenti di dati non conformi alla
volontà espressa.
Consultazione
La consultazione (cartacea o informatica) dei dati deve essere limitata, anche temporalmente, alle
finalità ed alle mansioni assegnate all’incaricato nell’ambito della struttura agenziale. Ciò comporta
che si possa accedere esclusivamente - secondo il profilo di autorizzazione attribuito - a quei dati
personali, anche sensibili e giudiziari, necessari per svolgere le mansioni connesse con l’attività di
Agenzia. La restituzione dei documenti in archivio deve avvenire immediatamente terminate le
operazioni svolte.
Custodia
La custodia dei documenti e dei supporti magnetici contenenti dati personali dovrà essere
effettuata con la massima cura, adottando le necessarie precauzioni per evitare l’accesso da parte
di persone non autorizzate, evitando di lasciare i dati incustoditi su scrivanie, in locali comuni o in
altri luoghi accessibili.
Comunicazione
La comunicazione dei dati può avvenire solo nei confronti dei soggetti indicati dall’Agente e
coerentemente con quanto riportato dall’informativa privacy consegnata all’Interessato.
I colloqui si dovranno svolgere con modalità atte alla tutela della riservatezza dei dati relativi ai
clienti, anche potenziali;
L'invio dei documenti contenenti dati sensibili o giudiziari, anche all'interno della struttura
Agenziale, deve avvenire:
• se per posta (anche interna), in busta o pacco chiuso riservato al destinatario (per questo
tipo di documenti non utilizzare buste aperte o che non garantiscano la riservatezza);
• nel caso di posta elettronica, avendo particolare cura nella verifica dell’indirizzo dei
destinatari;
• se consegnati a mano, avendo cura di recapitarli personalmente al destinatario in busta
chiusa, evitando di lasciarli incustoditi su scrivanie o altri luoghi accessibili.
Cessazione del rapporto di lavoro/collaborazione
Nel caso di cessazione del rapporto di lavoro o di collaborazione, l’Incaricato dovrà provvedere alla
restituzione integrale all’Agente dei dati, con espresso divieto di conservarli, duplicarli, comunicarli
o diffonderli.
Cancellazione o distruzione
Una volta cessato il trattamento, se non vigono obblighi di legge alla conservazione e si sono
esauriti gli scopi per i quali i dati sono stati raccolti, o successivamente trattati, è necessario
provvedere alla cancellazione. Al fine di evitarne la diffusione, anche all'esterno, devono essere
distrutti, avendo cura di renderli illeggibili ed inutilizzabili.
Segnalazioni
Ciascun Incaricato è tenuto a segnalare tempestivamente all’Agente ogni problematica inerente la
Privacy, nonché eventuali situazioni non consone a quanto indicato nelle presenti istruzioni e, in
generale, alla tutela dei dati personali.
Richieste di accesso ai dati personali
In presenza di una richiesta di accesso da parte di Interessati - siano essi contraenti, assicurati,
controparti, fornitori o altro - facente riferimento alla tutela dei dati personali, si dovrà provvedere
ad evaderla immediatamente affinché sia possibile rispettare, nei termini e nei tempi
(ovvero entro 15 giorni dal ricevimento della richiesta) stabiliti dal Codice, il diritto di accesso ai dati
trattati.
USO DEL FAX
La spedizione dei Fax contenenti dati personali, deve avvenire inserendo, nella copertina o sulla
prima pagina del fax, una formula del tipo:
"Ai sensi del Decreto Legislativo n.196/03, si precisa che le informazioni contenute in questo facsimile sono riservate e
per uso esclusivo del destinatario. Persone diverse dallo stesso non possono copiare o consegnare il facsimile a terzi.
Chiunque riceva questo facsimile per errore, è pregato di informare immediatamente il mittente per telefono chiamando il
numero …….”.
L’invio e la ricezione di FAX contenenti dati personali devono comunque avvenire in condizioni
che non mettano a rischio la riservatezza dei dati stessi.
Per evitare che i dati trasmessi possano essere conosciuti da soggetti non autorizzati, si ricorda di
ritirare senza indugio i documenti originali ed il rapporto di trasmissione.
POSTA ELETTRONICA DELLA COMPAGNIA
•
La spedizione, il ricevimento e tutti gli usi della posta elettronica sono consentiti solo per finalità
strettamente connesse all’adempimento delle mansioni lavorative.
•
L’Incaricato non può considerare personale quanto spedito o ricevuto per posta elettronica.
•
Le informazioni accessibili all’interno della struttura agenziale, in particolare quelle riservate o
confidenziali, non possono essere inviate via e-mail all’esterno se non si è autorizzati
dall’Agente.
•
Ogni e-mail inviata all’esterno contiene, come nota finale allegata in automatico, un’informativa
(“disclaimer”) nella quale è evidenziato il carattere riservato del messaggio; in tale informativa
si precisa inoltre che il messaggio inviato non riveste natura personale.
•
Prima di inviare all’esterno tramite e-mail qualsiasi tipo di informazione o documento
l’Incaricato deve valutare l’impatto che un’eventuale intercettazione di tali informazioni (ogni
comunicazione inviata tramite posta elettronica può essere intercettata e modificata) potrebbe
avere sul Titolare o sull’Agente.
•
L’Incaricato non deve:
o usare identificativi altrui;
o comunicare all’esterno - se non per motivi collegati alla propria attività professionale - il
proprio identificativo per l’invio della posta;
o spedire messaggi per conto di terzi.
L’Incaricato deve utilizzare la posta elettronica con le seguenti modalità:
o controllare quotidianamente la propria casella di posta elettronica e cancellare i
messaggi non desiderati;
o valutare con la necessaria cautela l’invio di allegati aventi dimensioni rilevanti per non
appesantire troppo il flusso di dati sulla rete;
o mantenere basso lo spazio occupato dalla propria casella al fine di non superare la
dimensione massima assegnata;
o segnalare eventuali messaggi “sospetti” all’Agente.
•
•
Nell’inviare o ricevere una e-mail è inoltre obbligatorio attenersi alle seguenti regole:
o non inviare messaggi con contenuto o mittente falsi o alterati;
o assicurarsi che il destinatario dell’e-mail sia effettivamente quello desiderato;
o non spedire, ridistribuire o rispondere a messaggi diffamatori, calunniosi, minacciosi,
ingannevoli o comunque estranei all’attività lavorativa;
o non inviare messaggi con allegati o “link” (collegamenti) a siti considerati non pertinenti
(si ricorda che la diffusione di virus è perseguibile per legge);
o non aprire gli allegati o “cliccare” sui link di mail ricevute da persone sconosciute o
riguardanti un oggetto sospetto al fine di limitare il rischio di attivazione di virus o altri
codici maligni;
o non partecipare alle cosiddette lettere a catena (conosciute come “catene di
S. Antonio”).
•
Per quanto concerne l’iscrizione in “mailing list” (elenco di persone, con i relativi indirizzi e-mail,
le quali discutono tramite posta elettronica) o in altri servizi esterni che richiedono l’utilizzo della
posta elettronica, l’Incaricato deve attenersi alle seguenti regole:
o valutare che tali servizi possono anche generare molti messaggi con degrado delle
prestazioni della rete;
o verificare la disponibilità delle informazioni all’interno dell’organizzazione agenziale
prima di effettuare ricerche attraverso tali servizi;
o approfondire al momento dell’iscrizione le modalità per richiedere la revoca, in quanto
non sempre è possibile ritirare la propria adesione con facilità;
o richiedere all’Agente la preventiva autorizzazione e solo in caso di esigenze connesse
alla propria attività lavorativa.
•
L’Incaricato è inoltre tenuto a rispettare le seguenti regole di sicurezza:
o è vietato abilitare programmi o macro ricevuti tramite posta elettronica dall’esterno;
o è vietato inviare all’esterno tramite posta elettronica la propria User-ID o password, le
configurazioni della rete interna, gli indirizzi e i nomi dei sistemi informatici.
•
Cessazione del rapporto di lavoro:
o l’Incaricato, in caso di cessazione del rapporto di lavoro, deve rendere disponibili
all’Agente i messaggi di posta elettronica inerenti le proprie mansioni.
UTILIZZO DEI SISTEMI INFORMATICI
•
L’Incaricato non deve utilizzare i sistemi informatici in violazione di legge, né a rischio della
sicurezza dei sistemi stessi o del patrimonio informativo del Titolare o comunque, in modo tale
da arrecare pregiudizio - anche sotto il profilo del danno all’immagine - nei confronti di
chiunque.
•
L’Incaricato deve applicare le misure di sicurezza previste al fine di evitare rischi di distruzione
o perdita di dati, di accesso non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta dei dati stessi.
•
L’incaricato non deve utilizzare o mettere a disposizione abusivamente codici di accesso (ad
es. la parola chiave) o altri mezzi, i quali consentono di accedere, in modo logico o fisico, a
sistemi informatici protetti da misure di sicurezza e non deve altresì permettere o ad agevolare
un indebito accesso ai predetti sistemi.
•
E’ vietato modificare o cancellare abusivamente programmi informatici.
•
E’ altresì vietata, al fine di ridurre l’esposizione al rischio per i sistemi informatici, l’installazione
o l’uso di ulteriore software oltre a quello in dotazione, in assenza di una espressa
autorizzazione dell’Agente.
Credenziali di accesso ai sistemi
Il Disciplinare tecnico sulle misure minime di sicurezza (Allegato B del Codice) richiede, per
l'accesso ai dati, l'uso di credenziali costituite da un "codice identificativo personale" (user-id) cioè
un codice attribuito ad ogni utente, al fine di identificarlo univocamente nell'ambito del sistema
informatico, nonché di una "parola chiave" (vale a dire di una parola riservata o password) che
ogni utente deve adottare per confermare la propria identità in fase di autenticazione alle
applicazioni.
Caratteristiche della user-id:
o assegnazione individuale;
o uso strettamente personale;
o una volta assegnata ad una persona non può più essere riassegnata, anche in tempi
successivi, ad altra persona;
o non è permesso accedere con la stessa user-id, nello stesso momento, alla stessa
applicazione da postazioni di lavoro diverse;
o le autorizzazioni di accesso sono attribuite sulla base delle effettive necessità di lavoro, in
anticipo rispetto al primo accesso ai dati stessi;
o la user-id sarà disattivata in caso di non utilizzo per più di sei mesi o al venire meno della
necessità per cui è stata assegnata;
o l’eventuale riattivazione della user-id deve essere richiesta all’Agente.
In previsione della assenza definitiva o prolungata di un Incaricato (dimissioni, quiescenza ecc…),
si dovrà disporre il passaggio di consegne, in modo tale che le user-id possano essere disabilitate
simultaneamente all’uscita dell’intestatario.
Nel caso in cui l’Incaricato che, cessando il rapporto di lavoro o di collaborazione nell’ambito
dell’organizzazione agenziale, debba essere sostituito da un'altra persona, non è lecito
riassegnare a questi la user-id di colui che lo ha preceduto, ma è invece necessario provvedere
all’attribuzione di una nuova user-id.
Caratteristiche della password:
o a ciascuna user-id è associata una parola chiave (password);
o la password è personale;
o questa deve essere conosciuta solo dal singolo Incaricato che provvede a cambiarla
durante il primo accesso al sistema.
L’Incaricato è responsabile della segretezza e diligente custodia della propria password che dovrà
essere adottata attenendosi alle seguenti regole:
o deve essere diversa dalla propria user-id e dal valore iniziale;
o non deve contenere riferimenti agevolmente riconducibili all’intestatario (nome, cognome,
date di nascita - anche dei familiari - codice fiscale, indirizzi, ecc.);
o non deve essere banale (ad es. si sconsiglia l'uso di nomi propri);
o deve essere composta da almeno 8 caratteri, e possibilmente con mescolanza di lettere e
numeri;
o deve essere cambiata dall’Incaricato dopo un periodo massimo di 90 giorni;
o non deve essere utilizzata più di una volta;
o non deve essere conosciuta da altri se non dall’Incaricato (evitare di scriverla se osservati o
su foglietti accessibili o di comunicarla a terzi, inclusi altri Incaricati o memorizzarla nel
computer).
Nei casi di malfunzionamento del sistema di accesso e smarrimento della propria password
contattare immediatamente l’Agente.
Personal Computer
•
L’utilizzo del personal computer è consentito esclusivamente per attività connesse con il
proprio incarico.
•
Configurazione del personal computer:
o qualsiasi modifica, fisica o relativa al software installato, deve essere esplicitamente
autorizzata dall’Agente;
o è vietata la disabilitazione o la modifica della configurazione del software antivirus e di
eventuali componenti ad esso collegate per ragioni di sicurezza;
o in presenza di virus segnalato dal software antivirus installato avvisare immediatamente
l’Agente.
•
l’Incaricato non deve lasciare incustodito il personal computer e, in caso di allontanamento
anche temporaneo, ha l’obbligo di attivare la funzione di blocco, al fine di proteggere l’accesso
ai dati personali da lui trattati.
•
al termine dell’orario di lavoro l’Incaricato deve disattivare l’accesso alle informazioni; quindi
deve chiudere le applicazioni, la chiave di accesso alla rete o al sistema e spegnere il personal
computer.
PROTEZIONE DEI DOCUMENTI CARTACEI
•
I documenti e gli atti contenenti dati personali comuni, sensibili o giudiziari che non siano
oggetto di uso corrente devono essere conservati in archivi corredati di serratura o di chiusure
idonee.
•
La documentazione utilizzata nello svolgimento delle attività lavorative, in particolare quella
contenente dati sensibili o giudiziari, deve essere controllata e custodita, al fine di evitare
che soggetti non autorizzati possano prenderne visione o manometterla, fino al termine delle
operazioni effettuate.
•
Gli armadi adibiti ad archivio devono essere chiusi a chiave quando viene meno la possibilità
del controllo diretto.
•
I locali adibiti ad archivio devono essere chiusi a chiave; le chiavi devono essere conservate a
cura di soggetti preposti dall’Agente.
Allegato c) – Facsimile di Lista degli Incaricati di Agenzia
(carta intestata dell'Agenzia)
LISTA DEGLI INCARICATI
(nominati ai sensi dell'art. 30 del D. Lgs. 30.6.2003 n. 196)
Cognome
Nome
Codice Fiscale
Mansione / Ruolo
User-ID
Data di nomina
Data termine
collaborazione