Documento Programmatico sulla sicurezza
Transcript
Documento Programmatico sulla sicurezza
COMUNE DI FONTANELLE Provincia di Treviso DOCUMENTO PROGRAMMATICO SULLA SICUREZZA ANNO 2016 Redatto in base alle disposizioni del DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA del CODICE IN MATERIA DI DATI PERSONALI (D. Lgs. n. 196/2003) Il presente documento si compone di n. 99 pagine (inclusi gli allegati) 1 1. INTRODUZIONE Scopo di questo Documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche da adottare affinché siano rispettati gli obblighi, in materia di sicurezza del trattamento dei dati effettuato dall’ente pubblico “Comune di Fontanelle” con sede in Piazza G. Marconi n. 1 – 31043 Fontanelle (TV), Codice Fiscale 80011410265, Partita Iva 01519300261 (nel seguito del Documento indicato come Titolare) previsti dal D. Lgs. n. 196/2003 “Codice in materia di protezione dei dati personali”. Il tutto finalizzato a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, intendendosi per misure di sicurezza il complesso degli accorgimenti tecnici, informatici, organizzativi, logistici e procedurali di sicurezza. Il Documento Programmatico Sulla Sicurezza definisce le politiche e gli standard di sicurezza in merito al trattamento dei dati personali. Riguarda il trattamento di tutti i dati personali (comuni, sensibili e giudiziari) effettuato per mezzo di strumenti elettronici di elaborazione e di strumenti non elettronici di elaborazione (cartacei, audio, visivi, audiovisivi, etc.). Deve essere conosciuto ed applicato da tutte le funzioni che fanno parte dell’organizzazione. Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente Documento dovranno essere rimosse nel più breve tempo possibile. 1.1 – APPLICABILITA’ Il presente Documento Programmatico sulla Sicurezza si applica a tutti gli elaboratori elettronici e supporti cartacei, a tutte le sedi, tutti i locali, tutti gli Incaricati, gli eventuali Responsabili, i Titolari del trattamento ed a tutto il personale coinvolto, a vario titolo, nelle sessioni di trattamento dati effettuati per nome e conto del Comune di Fontanelle. 1.2 – REVISIONE E VALIDITA’ DEL PRESENTE DOCUMENTO Il presente Documento è valido fino a quando gli elementi dell’ente che intervengono durante il corso del trattamento dei dati non subiscono variazioni. Nel momento in cui uno o più elementi subissero variazioni, il presente Documento dovrà essere immediatamente aggiornato e portato a conoscenza del personale. Gli aggiornamenti terranno presente anche i livelli di rischio a cui sono soggetti i dati personali, comuni, sensibili e giudiziari nonché eventuali modifiche della tecnologia informatica. 1.3 - QUADRO NORMATIVO DI RIFERIMENTO • D. Lgs. n. 196/2003 (Codice in materia di dati personali) • Allegato B al D. Lgs. n. 196/2003 (Disciplinare Tecnico in Materia di Misure Minime di Sicurezza). 1.4 - STRUTTURA DEL DOCUMENTO Nel presente Documento si forniscono idonee informazioni riguardanti: 1. l’elenco dei trattamenti di dati personali, mediante: • la elencazione dei soggetti che trattano i dati, la descrizione delle aree, dei locali e degli strumenti con i quali si effettuano i trattamenti; • la individuazione dei tipi di dati personali trattati; • l’elaborazione della mappa dei trattamenti effettuati, che si ottiene incrociando le coordinate dei due punti precedenti; 2. la distribuzione dei compiti e delle responsabilità, nell’ambito delle strutture preposte al trattamento dei dati; 3. l’analisi dei rischi che incombono sui dati; 4. le misure, già adottate e da adottare, per garantire l’integrità e la disponibilità dei dati; 2 5. i criteri e le modalità di ripristino dei dati, in seguito a distruzione o danneggiamento; 6. la previsione di interventi formativi degli incaricati del trattamento; 7. i criteri da adottare, per garantire l’adozione delle misure minime di sicurezza, in caso di trattamenti di dati personali affidati all’esterno; 8. dichiarazioni d’impegno e firma. 1.5 – DEFINIZIONI Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. Dato anonimo: dato che, in origine o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Dato identificativo: dato personale che permette l’identificazione diretta dell’interessato. Dato sensibile: dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché dato personale idoneo a rivelare lo stato di salute e la vita sessuale. Dato giudiziario: dato personale idoneo a rivelare provvedimenti di cui all’art. 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del Codice di Procedura Penale. Titolare del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisione in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Responsabile del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. La designazione di un responsabile è facoltativa e non esonera da responsabilità il titolare, il quale ha comunque l’obbligo di impartirgli precise istruzioni e di vigilare sull’attuazione di queste. Il responsabile deve essere un soggetto che fornisce, per esperienza, capacità ed affidabilità, idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile del trattamento dei dati personali, ai fini della sicurezza, ha le responsabilità indicate nella lettera di incarico. Incaricato del trattamento: il soggetto, nominato dal titolare o dal responsabile del trattamento, che tratta i dati. L’incaricato del trattamento dei dati, con specifico riferimento alla sicurezza, ha le responsabilità indicate nella lettera di incarico. Interessato del trattamento: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali. 3 Comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Blocco: la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento. Banca dati: qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento. Misure minime: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’art. 31 del d. Lgs. 196/2003. 4 2. ORGANIGRAMMA 2.1 – TITOLARE DEL TRATTAMENTO (Art. 28 d. Lgs. n. 196/2003) Titolare del trattamento dei dati personali, identificativi, sensibili e giudiziari è il Comune di Fontanelle. 2.2 – RESPONSABILI DEL TRATTAMENTO (Art. 29 d. Lgs. n. 196/2003) Responsabili del trattamento sono: ID NOME E COGNOME RT 01 Polesel Mauro RT 02 Giacomin Sandro RT 03 Pinese Roberto RT 04 Tinazzi Giuliano RT 05 Zanusso Stefania COMPETENZE E UFFICI/STRUTTURE DI COMPETENZA Sostituto degli altri Responsabili in caso di assenza o impossibilità Ufficio del Segretario Ufficio Demografico Ufficio Assistente Sociale Ufficio Protocollo Ufficio Segreteria/Tributi Ufficio Socio Economico/Culturale Sportivo Biblioteca Centro Giovani Archivio Storico Ufficio Urbanistica Ufficio Lavori Pubblici Ufficio Polizia Locale Struttura Polivalente Ufficio Ragioneria Nella tabella precedente si fa riferimento ai Responsabili e loro uffici/strutture di competenza. Per completezza si illustra, nella tabella successiva, la dotazione organica completa in vigore al 1° gennaio 2016: Ufficio Ragioneria Programmazione Bilancio e Controllo Ufficio Tributi - Segreteria Personale Anagrafe - Stato Civile - URP Socio Economico Culturale e Sportivo Ufficio Urbanistica e gestione del territorio AREA FINANZIARIA Profilo professionale Funzionario Amministrativo Istruttore amministrativo contabile Istruttore amministrativo contabile AREA AFFARI GENERALI Profilo professionale Funzionario Amministrativo Istruttore direttivo amministrativo contabile Istruttore amministrativo contabile Istruttore amministrativo contabile Collaboratore amministrativo Collaboratore amministrativo Istruttore amministrativo contabile Istruttore amministrativo contabile Istruttore direttivo amministrativo Istruttore amministrativo contabile Istruttore amministrativo contabile Istruttore amministrativo bibliotecario Istruttore dir. assist. sociale AREA URBANISTICA Profilo professionale Funzionario Tecnico Istruttore tecnico 5 Categoria D3/D3 C1/C3 C1/C3 Dipendente Zanusso Stefania Zanusso Irena Dassie Ilenia Categoria D3/D3 D1/D4 C1/C3 C1/C1 B1/B6 B1/B1 C1/C5 C1/C1 D1/D4 C1/C4 C1/C3 C1/C1 D1/D1 Dipendente Giacomin Sandro Soldan Donatella Cazorzi Marisa Tochet Silvia Cellini Luciana Brugnaro Silvia Cescon Lorenzina Brugnera Silvia Casagrande Edda Cattelan Francesca Battistella Nadia Vacante Vacante Categoria D3/D3 C1/C1 Dipendente Pinese Roberto Bortolotto Luca Ufficio LL.PP. Manutenzioni Polizia Locale AREA LAVORI PUBBLICI E POLIZIA LOCALE Profilo professionale Categoria Funzionario Tecnico D3/D3 Istruttore tecnico C1/C3 Coll. Prof. operaio B3/B3 Coll. Necrof. Autista B3/B5 Istr. Dir. Polizia Locale D1/D1 Agente di Polizia Locale C1/C4 Agente di Polizia Locale C1/C1 Dipendente Tinazzi Giuliano D'Agostino Luigi Grando Denis Cattai Ermes Vacante Pessotto Alessandra Dorigo Michele 2.3 – INCARICATI DEL TRATTAMENTO INTERNI ALLA STRUTTURA COMUNALE (Art. 30 d. Lgs. n. 196/2003) Incaricati del trattamento sono: ID HR 00 HR 01 HR 03 HR 04 HR 05 HR 06 HR 07 HR 08 HR 09 HR 10 HR 11 HR 12 HR 13 HR 14 HR 18 HR 19 HR 20 HR 21 HR 22 HR 23 HR 24 HR 25 HR 26 HR 27 HR 28 HR 29 HR 30 NOME E COGNOME Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Zanusso Irene Battistella Nadia Casagrande Edda Cattelan Francesca Bortolotto Luca Tinazzi Giuliano Pinese Roberto Zanusso Stefania Dassie Ilenia Cescon Lorenzina Pessotto Alessandra Polesel Mauro Cellini Luciana Montesel Elisa Dan Ezio Brugnera Silvia D’Agostino Luigi Dorigo Michele Toldo Mirella Brugnaro Silvia Cattai Laura Cattai Ermes Grando Denis PROFILO PROFESSIONALE Istruttore amministrativo contabile Funzionario Amministrativo Istruttore direttivo amm.vo contabile Istruttore amministrativo contabile Istruttore amministrativo contabile Istruttore amministrativo contabile Istruttore direttivo amministrativo Istruttore amministrativo contabile Istruttore tecnico Funzionario Tecnico Funzionario Tecnico Funzionario Amministrativo Istruttore amministrativo contabile Istruttore amministrativo contabile Agente di Polizia Locale Segretario Generale Collaboratore amministrativo Assistente Sociale Sindaco Istruttore amministrativo contabile Istruttore tecnico Agente di Polizia Locale Assistente Domiciliare Esecutore addetto ai serv. di segreter. Bibliotecaria Operaio Operaio UFFICIO Segreteria/Tributi Segreteria/Tributi Segreteria/Tributi Segreteria/Tributi Ragioneria Culturale Sportivo/Socio Economico Socio Economico Culturale Sportivo Urbanistica Lavori Pubblici Urbanistica Ragioneria Ragioneria Demografico Polizia Locale Segretario Protocollo Assistente Sociale e Socio Economico Sindaco Demografico Lavori Pubblici Polizia Locale + Lavori Pubblici Assistente Sociale Protocollo Biblioteca e Centro Giovani Struttura Polivalente Struttura Polivalente N.B. Sono presenti anche alcuni soggetti che prestano il Servizio Civile e che vengono incaricati, di volta in volta, per il tempo di loro permanenza in Comune (1 anno). Nelle singole lettere d’incarico viene specificato il ruolo e l’ambito di trattamento svolto. 2.4 – AMMINISTRATORE DEL SISTEMA INFORMATIVO E’ presente la figura di “Amministratore del Sistema Informativo” che ha il compito di controllare il buon funzionamento del sistema informativo e, in caso di necessità, di procedere alla risoluzione delle problematiche tecniche o procedere ad avvisare l’assistenza tecnica esterna per l’immediata risoluzione. L’Amministratore del Sistema Informativo è inoltre responsabile del mantenimento e dell’evoluzione del sistema informativo, della garanzia di accesso alle banche dati ed ai PC, della manutenzione dei backup. 6 Amministratore del Sistema Informativo, come risulta da specifica lettera di nomina allegata al presente Documento Programmatico, è Sandro Giacomin. 2.5 - OUTSOURCER Si riporta nello schema seguente l’elenco dei fornitori di servizi esterni che trattano dati personali per conto del Titolare. ID OU 01 OU 02 OU 03 OU 04 OU 05 OU 06 OU 07 OU 08 OU 09 OU 10 OU 11 OU 12 OU 14 OU 15 OU 16 SOGGETTO Revisori dei Conti Sistemi e Soluzioni di Antenucci Alessandro COSIMA Avv. Garofalo Avv. Zanchettin Studio Associato Fantozzi Kibernetes S.r.l. SAVNO F.A.P. Autoservizi S.p.a. SISP ASCOPIAVE ABACO ATER Marsh S.p.a. Massent Giovanni ATTIVITA’ Gestione bilanci Gestioni rapporti contrattuali Consulenza medica Consulenze legali Consulenze legali Consulenze legali Assistenza informatica e Gestione dipendenti Gestione TIA Gestione trasporti pubblici Gestione acquedotto e fogne Gestione gas Gestione pubblicità ed ingiunzioni di pagamento Gestione graduatorie case popolari Broker assicurativo Trasporto cibi 2.6 – SOGGETTI AUTORIZZATI ALL’ACCESSO AI LOCALI FUORI DALL’ORARIO DI LAVORO ID FO 01 SOGGETTO Pupin Anna Maria ATTIVITA’ Pulizia locali 7 3. DESCRIZIONE DELLA STRUTTURA 3.1 - DATI GENERALI DELL’ENTE Nome dell’ente: COMUNE DI FONTANELLE Forma giuridica: Ente Pubblico Minore Partita Iva: 01519300261 Codice Fiscale: 80011410265 Indirizzo sede legale: Piazza G. Marconi, 1 – 31043 Fontanelle (TV) Sedi secondarie: ID SS 01 SS 02 SS 03 SS 04 DENOMINAZIONE SEDE Biblioteca Centro Giovani Archivio Storico Struttura Polivalente INDIRIZZO Via J. Kennedy, 3/a – Fontanelle (TV) Via Roma, 305 – Fontanelle (TV) Via A. Luciani, 7 – Vallonto di Fontanelle (TV) Via J. Kennedy, 1/a – Fontanelle (TV) 3.2 - L’ATTIVITA’ Il Comune di Fontanelle è ente autarchico territoriale di base, dotato di autonomia statutaria e finanziaria, che rappresenta, cura e promuove lo sviluppo della comunità locale. 3.3 - DESCRIZIONE DEI LUOGHI FISICI: LA SEDE PRINCIPALE Il Comune di Fontanelle occupa una intera palazzina di quattro piani (piano terra, primo piano, secondo piano e terzo piano) in centro del paese di Fontanelle. La costruzione ha circa 40 anni ma è stata di recente rinnovata. La palazzina è circondata da giardini pubblici e non presenta recinzioni di confine. L’accesso alla sede è garantito da due ingressi, tutti e due al piano terra: uno principale (ingresso principale) nel lato anteriore dell’edificio (verso est) ed uno (ingresso secondario) nel lato posteriore (verso ovest). L’accesso normale, al personale ed ai cittadini, avviene attraverso l’ingresso principale. L’ingresso secondario è utilizzato per l’accesso all’Ufficio della Polizia Locale, da parte del personale di quest’ufficio. L’ingresso secondario dà, comunque, la possibilità di accedere a tutti gli altri locali della sede principale. 3.4 - DESCRIZIONE DEI LUOGHI FISICI: LE SEDI SECONDARIE Nello schema che segue, la descrizione e l’ubicazione delle sedi secondarie e dei rispettivi locali interni. ID DENOMINAZIONE SEDE SS 01 Biblioteca SS 02 Centro Giovani SS 03 Archivio Storico SS 04 Struttura Polivalente DESCRIZIONE SEDE E CONTENUTO Ha sede al piano terra di un moderno edificio di recente costruzione. Contiene archivi cartacei e supporti informatici (questi ultimi senza banche dati) Ha sede al piano terra di un edificio costruito circa 40 anni fa. Non contiene supporti informatici e tantomeno archivi cartacei Ha sede al piano terra di un edificio con qualche decennio di vita. Contiene l’archivio cartaceo storico del Comune E’ un moderno edificio di costruzione recente. Vi si conservano i Registri Cimiteri 8 3.5 – DESCRIZIONE DEI LUOGHI FISICI: I LOCALI DELLA SEDE PRINCIPALE La struttura della Sede Principale si presenta a pianta quadrata con al centro una tromba di scale a chiocciola che conducono al primo, al secondo ed al terzo piano. Per ogni piano, un corridoio di forma quasi circolare, perimetrale alla tromba delle scale, consente l’accesso ai vari locali. Nello schema che segue, la descrizione e l’ubicazione dei principali locali. ID NOME LOCALE PIANO L 01 Ufficio Demografico Terra L 02 Ufficio Assistente Sociale Terra L 03 Ufficio Polizia Locale Terra L 04 Ufficio Protocollo Terra L 05 Ufficio Segreteria/Tributi Primo L 06 Sala CED Primo L 07 Ufficio Socio Economico/Culturale Sportivo Primo L 08 Ufficio del Sindaco Primo L 09 Sala Giunta Primo L 10 Ufficio del Segretario Primo L 11 Ufficio Ragioneria Secondo L 12 Ufficio Urbanistica Secondo L 13 Ufficio Lavori Pubblici Secondo DESCRIZIONE UBICAZIONE E CONTENUTO E’ composto da tre locali: l’Ufficio Anagrafe/Leva, lo Sportello Demografico e l’Ufficio Stato Civile/Elettorale. Entrati dall’ingresso principale, si trovano a sinistra (lato sud dell’edificio). Vi si accede dalla prima porta a sinistra o dalla seconda, dopo lo Sportello Demografico. Contiene archivi cartacei e supporti informatici Seguendo in senso orario il corridoio che circonda la tromba delle scale è il locale successivo a L 01 (lato ovest dell’edificio). Vi si accede da un disimpegno che dà accesso anche a L 03. E’ attiguo all’ingresso secondario (vedi par. 3.3). Contiene archivi cartacei e supporti informatici E’ il locale nel lato nord-ovest dell’edificio. Vi si accede dal disimpegno di cui a L 02 oppure dall’ingresso secondario passando per una piccola sala d’attesa. Contiene archivi cartacei e supporti informatici E’ il primo locale a destra una volta entrati nella sede dall’ingresso principale (lato nord-est dell’edificio). Vi si accede dal corridoio. Contiene archivi cartacei e supporti informatici Salite le scale, è il primo locale a destra (lato sud-ovest dell’edificio). Vi si accede dal corridoio che circonda la tromba delle scale e comunica con L 06 e L 07. Presenta anche una porta verso un terrazzino esterno. Contiene archivi cartacei e supporti informatici E’ il locale di fronte all’apertura delle scale (lato sud dell’edificio), ma vi si accede solo da L 05. Contiene supporti informatici E’ il secondo locale che si trova percorrendo in senso orario il corridoio che circonda la tromba delle scale una volta saliti al primo piano (lato nord-ovest dell’edificio). Vi si accede dal corridoio e comunica anche con L 05. Contiene archivi cartacei e supporti informatici Salite le scale, è il primo locale a sinistra (lato sud-est dell’edificio). Vi si accede solo dal corridoio che circonda la tromba delle scale. Contiene archivi cartacei e supporti informatici E’ il secondo locale a sinistra una volta salite le scale (lato est dell’edificio). Contiene archivi cartacei (smistamento posta degli Assessori) E’ il terzo locale che si trova percorrendo in senso antiorario il corridoio che circonda la tromba delle scale una volta saliti al primo piano (lato nord-est dell’edificio). Vi si accede solo dal corridoio che circonda la tromba delle scale ma presenta anche una porta verso un terrazzino esterno. Contiene archivi cartacei e supporti informatici Salite le scale, è il primo locale a destra (lato sud-ovest dell’edificio). Vi si accede dal corridoio che circonda la tromba delle scale e si compone anche di una seconda stanza archivio. Presenta anche una porta verso un terrazzino esterno. Contiene archivi cartacei e supporti informatici Salite le scale, girato a sinistra ed oltrepassata una porta, è il primo locale che si trova a destra. Occupa la parte sud-est ed est dell’edificio. Comunica anche con L 13. Contiene archivi cartacei e supporti informatici Salite le scale, girato a sinistra ed oltrepassata una porta, è il secondo locale che si trova a destra. Occupa la parte nord-est dell’edificio. Comunica anche con L 12. Presenta anche una porta verso un terrazzino esterno. Contiene archivi cartacei e supporti informatici 9 ID NOME LOCALE PIANO L 14 Stanza Archivio Cartaceo Secondo L 15 Stanza Archivio Principale Terzo DESCRIZIONE UBICAZIONE E CONTENUTO Salite le scale, girato a sinistra ed oltrepassata una porta, è il quarto locale che si trova a destra, dopo i servizi igienici. Occupa parte del lato nord dell’edificio. Contiene archivi cartacei Occupa tutto il terzo ed ultimo piano dell’edificio. Vi si accede salendo le scale. Contiene archivi cartacei N.B. Oltre ai suddetti locali, la sede principale ne presenta altri, non importanti ai fini del presente Documento: − al piano terra una stanza ENEL, dei servizi igienici e la stanza termica (quest’ultima ha l’unico accesso dall’esterno e non comunica con l’interno dell’edificio); − al primo piano una Break Room e servizi igienici; − al secondo piano la Sala Consiglio e servizi igienici. 10 4 – STRUMENTI UTILIZZATI PER IL TRATTAMENTO DEI DATI In questa sezione vengono descritti dettagliatamente tutti gli strumenti utilizzati nel trattamento dei dati personali, sia elettronici che cartacei, la loro ubicazione e le loro caratteristiche. 4.1 – MAPPA DEGLI STRUMENTI ELETTRONICI ID STRUMENTO PC 00 PC 01 PC 03 PC 04 PC 05 PC 06 PC 07 PC 08 PC 09 PC 10 PC 11 PC 12 PC 13 PC 14 PC 15 PC 16 PC 17 PC 18 PC 19 PC 20 PC 21 PC 22 PC 23 PC 24 PC 25 PC 27 PC 28 PC 29 PC 30 PC 111 PC 112 TIPO DI SUPPORTO PC client Notebook PC client PC client PC client PC client PC client PC client PC client PC client PC client PC client PC client PC client Notebook PC client PC client PC client PC client PC client PC client PC client Notebook PC client PC client PC client Notebook PC client Notebook PC Server PC Server LOCALE UBICAZIONE L 05 L 05 L 05 L 05 L 11 L 07 L 07 L 07 L 12 L 13 L 12 L 11 L 11 L 01 L 01 L 01 L 03 L 03 L 10 L 04 L 02 L 13 L 07 L 13 L 01 L 03 L 03 L 12 L 11 L 12 L 12 Entrando nel locale, presso la penultima scrivania più a destra Entrando nel locale dal corridoio, presso la scrivania più a sinistra Presso la scrivania al centro del locale Entrando nel locale dal corridoio, presso la scrivania più a destra Entrando nel locale dal corridoio, il primo PC che si incontra Entrando nel locale dal corridoio, presso la scrivania più a sinistra Entrando nel locale dal corridoio, presso la scrivania più a destra Nella scrivania al centro del locale, tra PC 06 e PC 07 Entrando nel locale dal corridoio, presso la scrivania più a sinistra Entrando nel locale dal corridoio, presso la scrivania più a sinistra Entrando nel locale dal corridoio, presso la scrivania più a destra Entrando nel locale dal corridoio, il PC più distante dall’ingresso Tra PC 05 e PC 12 Uno dei due PC presenti nell’Ufficio Anagrafe/Leva E’ l’unico PC presente nello Sportello Demografico Entrando nel locale dal corridoio, è il PC più a sinistra Entrando nel locale, è il PC più a destra Appena dentro il locale, a sinistra E’ l’unico PC presente nel locale E’ l’unico PC presente nel locale E’ l’unico PC presente nel locale Presso una delle scrivanie Entrando nel locale dal corridoio, è il PC a sinistra di PC 06 Entrando nel locale dal corridoio, presso la scrivania più a destra Uno dei due PC presenti nell’Ufficio Anagrafe/Leva Entrando nel locale, è il PC di fronte Presso una delle scrivanie presenti Dentro l'unico armadio grigliato RAC Tra PC 05 e PC 12 Dentro l'unico armadio grigliato RAC Dentro l'unico armadio grigliato RAC 11 4.2 – CARATTERISTICHE TECNICHE DEGLI STRUMENTI ELETTRONICI ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: PC 00 PC_00 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 silvia.tocchet SI Nome: “Comune” SI Agg.: Auto PC 01 PC_01 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows Seven Professional sandro.giacomin SI Nome: “Comune” SI Agg.: Auto PC 03 PC_03 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 donatella.soldan SI Nome: “Comune” SI Agg.: Auto PC 04 PC_04 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 marisa.cazorzi SI Nome: “Comune” SI Agg.: Auto PC 05 PC_05 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 irene.zanusso SI Nome: “Comune” SI Agg.: Auto 12 ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: PC 06 PC_06 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 nadia.battistella SI Nome: “Comune” SI Agg.: Auto PC 07 PC_07 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 edda.casagrande SI Nome: “Comune” SI Agg.: Auto PC 08 PC_08 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 francesca.cattelan SI Nome: “Comune” SI Agg.: Auto PC 09 PC_09 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 luca.bortolotto SI Nome: “Comune” SI Agg.: Auto PC 10 PC_10 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft XP PRO SP3 luigi.dagostino SI Nome: “Comune” SI Agg.: Auto 13 ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: PC 11 PC_11 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 roberto.pinese SI Nome: “Comune” SI Agg.: Auto PC 12 PC_12 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 stefania.zanusso SI Nome: “Comune” SI Agg.: Auto PC 13 PC_13 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 ilenia.dassie SI Nome: “Comune” SI Agg.: Auto PC 14 PC_14 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 lorenzina.cescon SI Nome: “Comune” SI Agg.: Auto PC 15 PC_15 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus 14 Microsoft XP PRO SP3 sportello.demografici, lorenzina.cescon, silvia.brugnera SI Nome: “Comune” NO ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: PC 16 PC_16 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft XP PRO SP3 silvia.brugnera SI Nome: “Comune” SI Agg.: Auto PC 17 PC_17 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus SI Nome: “Comune” SI PC 18 PC_18 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows 2000 SP4 alessandra.pessotto SI Nome: “Comune” SI Agg.: Auto PC 19 PC_19 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft XP PRO SP3 mauro.polesel SI Nome: “Comune” SI Agg.: Auto PC 20 PC_20 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows 2000 SP4 luciana.cellini SI Nome: “Comune” SI Agg.: Auto 15 Microsoft XP Pro SP3 Agg.: Auto ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: PC 21 PC_21 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft XP PRO SP3 elisa.montesel SI Nome: “Comune” SI Agg.: Auto PC 22 PC_22 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 michele.dorigo SI Nome: “Comune” SI Agg.: Auto PC 23 PC_23 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 PC_23 SI Nome: “Comune” SI PC 24 PC_24 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Windows XP PRO SP3 giuliano.tinazzi SI Nome: “Comune” SI Agg.: Auto PC 25 PC_25 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft XP PRO SP3 lorenzina.cescon.cert SI Nome: “Comune” SI Agg.: Auto 16 ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: NOME COMPUTER: SISTEMA OPERATIVO: CONNESSIONE A RETE LOCALE: SOFTWARE INSTALLATO: NOTE: ID STRUMENTO: MARCA E MODELLO: RUOLO DEL COMPUTER: SISTEMA OPERATIVO: PROCESSORE MEMORIA RAM MEMORIA DI MASSA CONNESSIONE A RETE LOCALE: ASSISTENZA REMOTA: PC 27 PC_27 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft XP PRO SP3 michele.dorigo SI Nome: “Comune” SI Agg.: Auto PC 28 PC_28 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus SI Nome: “Comune” SI PC 29 PC TV Nome Nome Utenti Registrati: Scheda di rete Ubuntu 14.04 LTS Comune SI Antivirus NO PC 30 PC_30 Nome Nome Utenti Registrati: Scheda di rete Si con Dominio Antivirus Microsoft Win 7 PRO sportello.ragioneria SI Nome: “Comune” SI PC 111 Server IBM 3650 Server per Virtualizzazioni Nome 2 processori 40 Gb Ram 5 Hd 300 Gb sas ( Raid 5 ) 4 Schede Ethernet SI 17 Microsoft XP PRO SP3 Agg.: Auto Agg.: Auto VMWARE ESXi 5.1.0 Essentials Nome: Comune Software: ID STRUMENTO: MARCA E MODELLO: RUOLO DEL COMPUTER: SISTEMA OPERATIVO: PROCESSORE MEMORIA RAM MEMORIA DI MASSA CONNESSIONE A RETE LOCALE: ASSISTENZA REMOTA: SERVIZI SOFTWARE: PC 112 Server IBM 3250 Server di Dominio Nome Quad Core 2.13 Ghz 8 Gb Ram 2 Hd 300 Gb SAS ( Raid 1 ) Si con Dominio SI Backup Servizi Microsoft Server 2008 R2 standard Nome: Comune Software: Backup EXEC Server + Veem Backup & Replication Active Directory 4.3 – SERVER VIRTUALI ID STRUMENTO: NOME COMPUTER: Note: VPC 101 Lxfontanelle (Server 1) Sistema Operativo: Linux RedHat ES4 Procedure X-System FI.LO-COBI-EDPR-GPE Agente Backup EXEC, Veeam Backup & Replication ID STRUMENTO: NOME COMPUTER: Note: VPC 102 Lxfontanelle2 (Server 2) Sistema Operativo: Linux RedHat ES5 Procedura PeA Agente Backup EXEC, Veeam Backup & Replication ID STRUMENTO: NOME COMPUTER: Note: VPC 103 Vmanagrafe (Server 3) Sistema Operativo: Windows server WEB SP2 Nuova Anagrafe Agente Backup EXEC, Veeam Backup & Replication ID STRUMENTO: NOME COMPUTER: Note: VPC 104 Vmcontab (Server 5) Sistema Operativo: Linux CentOS Nuova Contabilità Agente Backup EXEC, Veeam Backup & Replication ID STRUMENTO: NOME COMPUTER: Note: VPC 105 VMwindows2008 (Server 4) Sistema Operativo: Windows Server 2008 R2 Standard Edition Active Directory, Symantec Endpoint Protection, DC 1 Agente Backup EXEC, Veeam Backup & Replication 18 ID STRUMENTO: NOME COMPUTER: Note: VPC 106 Mail-server Sistema Operativo: Windows 7 64 beat MDaemon 14.5.3 Backup Veeam Backup & Replication ID STRUMENTO: NOME COMPUTER: Note: VPC 107 VMConcilia Sistema Operativo: Linux CentOS Software Maggioli Concilia (Gestione verbali C.d.S. - Polizia Locale) Backup Veeam Backup & Replication 4.4 - SUPPORTI CARTACEI In ogni locale sono presenti vari armadi, mensole, cassettiere, schedari, in metallo o in legno. Ve ne sono, altresì, nel corridoio al piano terra, nel disimpegno tra L 02 e L 03 e nel corridoio di fronte all’ingresso di L 13. In L 15 sono presenti scafalature aperte lungo tutto il perimetro del locale. 19 5. DESCRIZIONE COMPLESSIVA TRATTAMENTO DATI 5.1 – ELENCO DEI TRATTAMENTI: INFORMAZIONI DI BASE Viene di seguito fatto un elenco dei trattamenti effettuati dal Comune di Fontanelle, con diversi livelli di dettaglio descrittivo e soggetti interessati coinvolti. Completa la mappa la indicazione della natura dei singoli trattamenti, la struttura di riferimento per singolo trattamento e l’indicazione delle strutture che concorrono allo specifico trattamento. DEFINIZIONE GENERALE DESCRIZIONE SINTETICA TRATTAMENTO TR 01 Anagrafe e stato civile Attività relativa alla tenuta degli atti e dei registri dell’anagrafe e dello stato civile, anche di popolazione straniera o nomade TR 02 Elettorato TR 03 Albi scrutatori e presidenti di seggio TR 04 Elenchi giudici popolari TR 05 Liste leva e registri matricolari TR 06 T.S.O. e A.S.O. ID SOGGETTI INTERESSATI Attività relativa all’elettorato attivo e passivo – Tenuta delle liste elettorali e gestione delle consultazioni elettorali (art. 62 d. lgs. n. 196/2003) Attività relativa alla tenuta degli albi degli scrutatori e dei presidenti di seggio – Predisposizione degli albi per la nomina degli scrutatori per le consultazioni elettorali Attività dirette alla tenuta degli elenchi dei giudici popolari (art. 65, comma 1, lett. a), d. lgs. n. 196/2003) Attività relativa alla tenuta delle liste di leva e dei registri matricolari (art. 73, comma 2, lett. e), d. lgs. n. 196/2003) Attività relativa ai trattamenti sanitari obbligatori (T.S.O.) ed all’assistenza sanitaria obbligatoria (A.S.O.) 20 NATURA DEI DATI Cittadini SENSIBILI Cittadini residenti, AIRE COMUNI Cittadini residenti COMUNI Cittadini residenti COMUNI Cittadini residenti SENSIBILI Cittadini residenti SENSIBILI STRUTTURA DI RIFERIMENTO Ufficio Demografico (Anagrafe-Leva, Stato CivileElettorale) Ufficio Demografico (Elettorale) ALTRE STRUTTURE CONCORRENTI SAVNO e ASL Ufficio Demografico (Elettorale) Ufficio Demografico (Elettorale) Ufficio Demografico (Leva) Uffi. Assistente Sociale, Uff. Socio-Economico, Uff. Polizia Municipale ASL, Tribunale, Carabinieri ID DEFINIZIONE GENERALE DESCRIZIONE SINTETICA TRATTAMENTO Attività relative alla concessione di benefici economici, ivi comprese le assegnazioni di alloggi di edilizia residenziale pubblica e le esenzioni di carattere tributario e sostegno alle famiglie: applicazione, anche tramite concessionari, delle disposizioni in materia di tributi (art. 66 d. lgs. n. 196/2003); concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti ed abilitazioni (art. 68 d. lgs. n. 196/2003); assegnazione di alloggi di edilizia residenziale pubblica (art. 73, comma 2, lett. d), d. lgs. n. 196/2003) Gestione amministrativa della mensa e del trasporto scolastico SOGGETTI INTERESSATI NATURA DEI DATI STRUTTURA DI RIFERIMENTO ALTRE STRUTTURE CONCORRENTI Cittadini residenti SENSIBILI E GIUDIZIARI¹ Uff. Assistente Sociale, Uff. Socio-Economico, Uff. Tributi ATER Allievi COMUNI TR 07 Benefici economici TR 08 Servizi per la scuola TR 09 Integrazione sociale Attività relative all’integrazione sociale (anche in ambito scolastico) di soggetti portatori di handicap o in condizioni di disagio sociale Cittadini residenti SENSIBILI TR 10 Telesoccorso Gestione del telesoccorso Pubblico (generico) SENSIBILI TR 11 Istruzione e cultura TR 12 Infortunistica stradale TR 13 Procedure sanzionatorie Gestione della biblioteca e del centro di documentazione: attività di promozione della cultura (art. 73, comma 2, lett. c), d. lgs. n. 196/2003), offerta di strumenti atti ad accrescere la cultura degli individui e momenti di svago. Utilizzo del servizio Internet Attività relativa all’infortunistica stradale: attività di polizia amministrativa (art. 73, comma 2, lett. f), d. lgs. n. 196/2003). Ricostruzione della dinamica del sinistro e in caso di presenza di feriti indagini di P.G. per i reati di lesioni od omicidio Gestione delle procedure sanzionatorie: applicazione delle norme in materia di sanzioni amministrative e ricorsi (art. 71, comma 1 d. lgs. n. 196/2003) 21 Ufficio Culturale Sportivo Uff. Assistente Sociale, Uff. Socio Economico/ Culturale Sportivo Uff. Assistente Sociale Pubblico (generico) COMUNI Ufficio Culturale Sportivo, Biblioteca, Centro Giovani Pubblico (generico) SENSIBILI e GIUDIZIARI Ufficio Polizia Municipale Pubblico (generico) SENSIBILI e GIUDIZIARI Ufficio Polizia Municipale F.A.P. Autoservizi S.p.a. SS 01, SS 02 ID DEFINIZIONE GENERALE DESCRIZIONE SINTETICA TRATTAMENTO SOGGETTI INTERESSATI NATURA DEI DATI TR 14 Polizia annonaria, commerciale ed amministrativa TR 15 Vigilanza TR 16 Permessi per invalidi Attività relativa ai servizi di igiene (art. 73, comma 2, lett. f), d. lgs. n. 196/2003); regolamentazione dei mercati interni, vigilanza sulle frodi, etc. Pubblico (generico) SENSIBILI e GIUDIZIARI Attività di vigilanza edilizia, in materia di ambiente (tutela delle risorse idriche e del suolo) e sanità, nonché di polizia mortuaria (attività che assicuri inumazione, tumulazione, cremazione, raccolta resti, trasporti funebri, concessione di manufatti ed aree cimiteriali, etc.) Pubblico (generico) SENSIBILI e GIUDIZIARI² Pubblico (generico) SENSIBILI Ufficio Socio Economico TR 17 Licenze Pubblico (generico) SENSIBILI e GIUDIZIARI³ Ufficio Socio Economico TR 18 Avvocatura Pubblico (generico) SENSIBILI e GIUDIZIARI Uff. Segreteria, Uff. Urbanistica, Uff. LL.PP. TR 19 Istituti di democrazia diretta COMUNI Ufficio Demografico (Elettorale), Uff. Protocollo Attività della polizia amministrativa locale relativa al rilascio di permessi per invalidi (art. 73, comma 2, lett. f), d. lgs. n. 196/2003) Attività relativa al rilascio di licenze, autorizzazioni ed altri titoli abilitativi previsti dalla legge, da un regolamento o dalla normativa comunitaria (art. 68, comma 2, lett. g), d. lgs. n. 196/2003) per il commercio, il pubblico esercizio, l’artigianato e la pubblica sicurezza Attività relative alla consulenza giuridica, nonché al patrocinio e alla difesa in giudizio dell’amministrazione nonché alla consulenza e copertura assicurativa in caso di responsabilità civile verso terzi dell’amministrazione, con la finalità di fare valere il diritto di difesa in sede amministrativa o giudiziaria (art. 71 d. lgs. n. 196/2003) Esercizio dell’iniziativa popolare, richieste di referendum e presentazione di petizioni, verifica della relativa regolarità (art. 65, comma 2, lett. b) e d) d. lgs. n. 196/2003) 22 Cittadini STRUTTURA DI RIFERIMENTO Ufficio Polizia Municipale, Ufficio Socio Economico Uff. Polizia Municipale, Uff. LL.PP., Uff. Demografico (Stato Civile), Uff. Urbanistica, Uff. Segreteria ALTRE STRUTTURE CONCORRENTI SS 04 Legale nominato e Compagnie Assicurative ID DEFINIZIONE GENERALE DESCRIZIONE SINTETICA TRATTAMENTO Amministrazione dei beni pubblici e del patrimonio comunale: amministrazione relativa a strade, illuminazione pubblica, acquedotto, fognatura, cimitero, etc.; gestione degli immobili comunali (fabbricati, beni, terreni, etc.); gestione dei beni mobili comunali; tenuta inventario cespiti Gestione dei fitti attivi Gestione dell’archivio dell’inventario comunale Gestione protocollo, documenti e corrispondenza; protocollazione atti e documenti in arrivo ed in partenza;registrazione degli atti/documenti trasmessi e ricevuti dall’Amministrazione; spedizione della posta (distinte lettere raccomandate A.R. spedite) Gestione delle richieste e del rilascio delle carte d’identità SOGGETTI INTERESSATI NATURA DEI DATI STRUTTURA DI RIFERIMENTO ALTRE STRUTTURE CONCORRENTI Pubblico (generico) COMUNI Ufficio Ragioneria, Ufficio LL.PP. SISP, ASCO PIAVE Pubblico (generico) Ente COMUNI COMUNI SENSIBILI e GIUDIZIARI in quanto contenuti negli atti e documenti da protocollare TR 20 Gestione beni pubblici TR 21 TR 22 Fitti Inventario TR 23 Gestione del protocollo TR 24 Carte di identità TR 25 Delibere Gestione delibere Pubblico (generico) TR 26 Determine Gestione determine Pubblico (generico) TR 27 Acquisizione di beni e servizi Gestione degli acquisti di materiale e servizi necessari per l’espletamento dell’attività dell’Ente. Gestione dei contratti con i fornitori e potenziali fornitori per ottemperare agli obblighi di legge (di natura fiscale e contabile), per adempiere agli obblighi derivanti dalla determina/delibera di acquisto, per elaborare analisi, valutazioni e statistiche ad uso elusivo interno Fornitori/potenziali fornitori COMUNI Tutti TR 28 Bilancio Comunale Gestione del bilancio comunale Pubblico (generico) COMUNI Ufficio Ragioneria 23 Pubblico (generico) Cittadini residenti COMUNI SENSIBILI e GIUDIZIARI SENSIBILI e GIUDIZIARI Ufficio Ragioneria Ufficio Ragioneria Ufficio Protocollo Uff. Demografico (Anagrafe) Tutti Tutti Tutti i Responsabili dei Trattamenti ID DEFINIZIONE GENERALE TR 29 Gestione Tributi TR 30 Gestione Catasto TR 31 Gestione Gare e Appalti DESCRIZIONE SINTETICA TRATTAMENTO Attività connessa all’applicazione delle disposizioni in materia di ICI-COSAP-TARSUAgevolazioni tributarie ed altre entrate comunali (Regolamento comunale per l’applicazione della COSAP – Regolamento per l’applicazione della tariffa per la gestione dei rifiuti solidi urbani – Regolamento comunale per l’applicazione dell’imposta comunale sulla pubblicità e del diritto sulle pubbliche affissioni); registrazione degli atti/documenti/ordinanze trasmessi dall’amministrazione (Servizio Tributi); gestione tasse comunali Attività di sola consultazione dei dati che vengono dal catasto aggiornati e forniti Gestione ed amministrazione delle gare d’appalto; sono presenti nel trattamento i dati anagrafici delle aziende e tutti i documenti che per legge o per specifiche attività si rende necessario richiedere, raccogliere e conservare; talvolta sono presenti dati e curriculum vitae relativi a personale dipendente e/o collaboratore delle aziende che partecipano alla gara d’appalto SOGGETTI INTERESSATI NATURA DEI DATI STRUTTURA DI RIFERIMENTO ALTRE STRUTTURE CONCORRENTI Cittadini COMUNI Ufficio Ragioneria e Ufficio Tributi SAVNO ABACO Pubblico (generico) COMUNI Uff. Urbanistica, Uff. Tributi Fornitori SENSIBILI (finanziari, previdenziali) e GIUDIZIARI (casellario giudiziale, reati, fallimenti, comunicazioni e/o certificazioni antimafia) Ufficio Segreteria, Ufficio Ragioneria, Ufficio Socio Economico, Ufficio Culturale Sportivo, Ufficio LL.PP., Ufficio del Segretario, Ufficio Urbanistica TR 32 Ingiunzioni Gestioni delle ingiunzioni di pagamento Pubblico (generico) COMUNI TR 33 Gestione infortuni e sinistri Attività connessa ai sinistri nei quali l’Amministrazione Comunale risulta una delle controparti; gestione danni arrecati al patrimonio comunale, assicurazione patrimonio e attività Pubblico (generico) COMUNI 24 Uff. Polizia Municipale, Uff. Tributi, Uff. Ragioneria, Uff. Socio Economico Uff. Polizia Comunale, Uff. Segreteria, Uff. LL.PP., Uff. Ragioneria Sistemi e Soluzioni di Antenucci Alessandro ABACO ID DEFINIZIONE GENERALE TR 34 Gestione oggetti rinvenuti TR 35 Autorizzazioni sanitarie TR 36 Permessi ed autorizzazioni di costruire TR 37 Archivio di deposito TR 38 Gestione Nomine TR 39 Personale dipendente DESCRIZIONE SINTETICA TRATTAMENTO Gestione degli oggetti rinvenuti ed eventuale riassegnamento al proprietario; recupero degli oggetti smarriti e deposito presso la Casa Comunale per la pubblicazione all’albo pretorio di quanto ritrovato finalizzato alla restituzione al legittimo proprietario; nel caso di documenti immediata restituzione al proprietario identificato e invitato a ritirarli Gestione delle domande e del rilascio di autorizzazioni sanitarie Gestione delle domande e del rilascio di permessi ed autorizzazioni di costruire Conservazione degli atti e documenti comunali – R.D. 1163/1911, D.P.R. 1409/1963, Circolare Ministero Interno n. 17100/2 del 1997, D.P.R. 444/2000, D.P.R. 445/2000, D. Lgs. 490/1999, D. Lgs. 135/1999, D. Lgs. 196/2003 Nomine per funzioni demografiche e per altre attività di cui si renda necessaria l’assegnazione a particolari figure per professionalità, capacità, semplice esigenza o norma di legge Gestione del rapporto di lavoro con i dipendenti, loro reperibilità e corrispondenza con gli stessi; dati richiesti a fini fiscali, previdenziali e assistenziali; dati di natura bancaria e curriculare; dati giudiziari o concernenti l’adesione ad organizzazioni sindacali, cessione dello stipendio, anamnesi; dati di candidati a nuove assunzioni ¹ Vedi nota del Garante del 22 novembre 2006. ² Vedi nota del Garante del 21 novembre 2006. ³ Vedi nota del Garante del 22 dicembre 2006. 25 ALTRE STRUTTURE CONCORRENTI SOGGETTI INTERESSATI NATURA DEI DATI STRUTTURA DI RIFERIMENTO Pubblico (generico) SENSIBILI Ufficio Polizia Municipale Pubblico (generico) COMUNI Ufficio Socio Economico Pubblico (generico) COMUNI Ufficio Urbanistica Pubblico (generico) SENSIBILI e GIUDIZIARI Tutti Le sedi secondarie Pubblico (generico) COMUNI Ufficio Demografico Ufficio del Sindaco Dipendenti e potenziali dipendenti SENSIBILI Ufficio Segreteria, Ufficio Ragioneria Kibernetes S.r.l. 5.2 – ELENCO DELLE BANCHE DATI ELETTRONICHE Le banche dati elettroniche sono costituite dai files fisici che le definiscono. ID BANCA DATI BDP 01 BDP 02 BDP 03 BDP 04 BDP 05 BDP 06 BDP 07 DESCRIZIONE BANCA DATI Archivio dei documenti creati con Office organizzato su server con Active Directory Ragioneria Servizi Demografici Tributi e Imposte Segreteria / Protocollo Ufficio Tecnico Archivio della posta elettronica 5.3 – ELENCO DEGLI STRUMENTI ELETTRONICI ASSEGNATI AGLI INCARICATI ID STRUMENTO LOCALE INCARICATO RESPONSABILE PC 00 PC 01 PC 03 PC 04 PC 05 PC 06 PC 07 PC 08 PC 09 PC 10 PC 11 PC 12 PC 13 PC 14 PC 15 PC 16 PC 17 PC 18 PC 19 PC 20 PC 21 PC 22 PC 23 PC 24 PC 25 PC 27 PC 28 PC 29 PC 30 L 05 L 05 L 05 L 05 L 11 L 07 L 07 L 07 L 12 L 13 L 12 L 11 L 11 L 01 L 01 L 01 L 03 L 03 L 10 L 04 L 02 L 13 L 01 L 13 L 01 L 03 L 03 L 12 L 11 Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Zanusso Irene Battistella Nadia Casagrande Edda Cattelan Francesca Bortolotto Luca D’Agostino Luigi Pinese Roberto Zanusso Stefania Dassie Ilenia Cescon Lorenzina Cescon Lorenzina, Brugnera Silvia Brugnera Silvia Pessotto Alessandra Polesel Mauro Cellini Luciana Montesel Elisa Dorigo Michele Stagisti vari, Servizio civile e sedi varie* Tinazzi Giuliano Cescon Lorenzina (cert.) Dorigo Michele Dorigo Michele e Pessotto Alessandra Giacomin Sandro Dassie Ilenia, Zanusso Stefania, Zanusso Irene * Al PC 23 si alternano vari studenti che effettuano uno stage in Comune in vari periodi dell’anno oppure gli incaricati che prestano il servizio civile. All’inizio dell'incarico viene fatta firmare loro apposita lettera d’incarico. 26 5.4 – ELENCO DEI TRATTAMENTI: ULTERIORI INFORMAZIONI ID TRATT. DEFINIZIONE GENERALE TR 01 Anagrafe e stato civile TR 02 Elettorato TR 03 Albi scrutatori e presidenti di seggio TR 04 Elenchi giudici popolari TR 05 Liste leva e registri matricolari TR 06 T.S.O. e A.S.O. TR 07 Benefici economici SOGGETTI LEGITTIMATI AL TRATTAMENTO Cescon Lorenzina Brugnera Silvia Dan Ezio Polesel Mauro Cescon Lorenzina Brugnera Silvia Dan Ezio Polesel Mauro Cescon Lorenzina Brugnera Silvia Dan Ezio Polesel Mauro Cescon Lorenzina Brugnera Silvia Dan Ezio Polesel Mauro Cescon Lorenzina Brugnera Silvia Dan Ezio Polesel Mauro Montesel Elisa Toldo Mirella Casagrande Edda Pessotto Alessandra Dorigo Michele Dan Ezio Polesel Mauro Montesel Elisa Casagrande Edda Battistella Nadia Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Dan Ezio Polesel Mauro STRUMENTI UTILIZZATI UBICAZIONE SUPPORTO DI MEMORIZZAZIONE TIPOLOGIA DI INTERCONNESSIONE Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza - - Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN 27 ID TRATT. DEFINIZIONE GENERALE TR 08 Servizi per la scuola TR 09 Integrazione sociale TR 10 TR 11 Telesoccorso Istruzione e cultura TR 12 Infortunistica stradale TR 13 Procedure sanzionatorie TR 14 Polizia annonaria, commerciale ed amministrativa STRUMENTI UTILIZZATI UBICAZIONE SUPPORTO DI MEMORIZZAZIONE TIPOLOGIA DI INTERCONNESSIONE Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza - - Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN SOGGETTI LEGITTIMATI AL TRATTAMENTO Battistella Nadia Cattelan Francesca Dan Ezio Polesel Mauro Montesel Elisa Casagrande Edda Battistella Nadia Cattelan Francesca Dan Ezio Polesel Mauro Montesel Elisa Dan Ezio Polesel Mauro Battistella Nadia Cattelan Francesca Cattai Laura Dan Ezio Polesel Mauro Pessotto Alessandra Dorigo Michele Dan Ezio Polesel Mauro Pessotto Alessandra Dorigo Michele Dan Ezio Polesel Mauro Pessotto Alessandra Dorigo Michele Battistella Nadia Casagrande Edda Dan Ezio Polesel Mauro Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 28 ID TRATT. TR 15 TR 16 TR 17 TR 18 DEFINIZIONE GENERALE Vigilanza Permessi per invalidi Licenze Avvocatura STRUMENTI UTILIZZATI UBICAZIONE SUPPORTO DI MEMORIZZAZIONE TIPOLOGIA DI INTERCONNESSIONE Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN SOGGETTI LEGITTIMATI AL TRATTAMENTO Pessotto Alessandra Dorigo Michele Tinazzi Giuliano D’Agostino Luigi Cescon Lorenzina Brugnera Silvia Bortolotto Luca Pinese Roberto Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Cattai Ermes Grando Denis Dan Ezio Polesel Mauro Battistella Nadia Casagrande Edda Montesel Elisa Dan Ezio Polesel Mauro Battistella Nadia Casagrande Edda Dan Ezio Polesel Mauro Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Bortolotto Luca Pinese Roberto Tinazzi Giuliano D’Agostino Luigi Dan Ezio Polesel Mauro Dorigo Michele 29 ID TRATT. TR 19 TR 20 TR 21 TR 22 TR 23 DEFINIZIONE GENERALE Istituti di democrazia diretta Gestione beni pubblici Fitti Inventario Gestione del protocollo TR 24 Carte di identità TR 25 Delibere STRUMENTI UTILIZZATI UBICAZIONE SUPPORTO DI MEMORIZZAZIONE TIPOLOGIA DI INTERCONNESSIONE Archivi cartacei nei locali di competenza - - Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN SOGGETTI LEGITTIMATI AL TRATTAMENTO Cescon Lorenzina Brugnera Silvia Cellini Luciana Dan Ezio Polesel Mauro Zanusso Irene Zanusso Stefania Dassie Ilenia Tinazzi Giuliano D’Agostino Luigi Dan Ezio Polesel Mauro Dorigo Michele Zanusso Irene Zanusso Stefania Dassie Ilenia Dan Ezio Polesel Mauro Zanusso Irene Zanusso Stefania Dassie Ilenia Dan Ezio Polesel Mauro Cellini Luciana (in caso di assenza anche Cazorzi Marisa Tocchet Silvia) Dan Ezio Polesel Mauro Cescon Lorenzina Brugnera Silvia Dan Ezio Polesel Mauro Tutti Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 30 ID TRATT. DEFINIZIONE GENERALE TR 26 Determine Tutti TR 27 Acquisizione di beni e servizi Tutti TR 28 TR 29 TR 30 Bilancio Comunale Gestione Tributi Gestione Catasto UBICAZIONE SUPPORTO DI MEMORIZZAZIONE TIPOLOGIA DI INTERCONNESSIONE Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN SOGGETTI LEGITTIMATI AL TRATTAMENTO Zanusso Irene Zanusso Stefania Dassie Ilenia Dan Ezio Polesel Mauro Zanusso Irene Zanusso Stefania Dassie Ilenia Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Casagrande Edda Dan Ezio Polesel Mauro Bortolotto Luca Pinese Roberto Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Dan Ezio Polesel Mauro STRUMENTI UTILIZZATI Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 31 ID TRATT. TR 31 TR 32 DEFINIZIONE GENERALE Gestione Gare e Appalti Ingiunzioni STRUMENTI UTILIZZATI UBICAZIONE SUPPORTO DI MEMORIZZAZIONE TIPOLOGIA DI INTERCONNESSIONE Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN SOGGETTI LEGITTIMATI AL TRATTAMENTO Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Zanusso Irene Zanusso Stefania Dassie Ilenia Battistella Nadia Casagrande Edda Cattelan Francesca Tinazzi Giuliano D’Agostino Luigi Bortolotto Luca Pinese Roberto Polesel Mauro Dorigo Michele Pessotto Alessandra Dorigo Michele Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Zanusso Irene Zanusso Stefania Dassie Ilenia Battistella Nadia Casagrande Edda Dan Ezio Polesel Mauro 32 ID TRATT. TR 33 DEFINIZIONE GENERALE Gestione infortuni e sinistri TR 34 Gestione oggetti rinvenuti TR 35 Autorizzazioni sanitarie TR 36 Permessi ed autorizzazioni di costruire TR 37 Archivio di deposito TR 38 Gestione Nomine STRUMENTI UTILIZZATI UBICAZIONE SUPPORTO DI MEMORIZZAZIONE TIPOLOGIA DI INTERCONNESSIONE Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN Server in sala CED Rete Interna LAN SOGGETTI LEGITTIMATI AL TRATTAMENTO Zanusso Irene Zanusso Stefania Dassie Ilenia Pessotto Alessandra Dorigo Michele Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Tinazzi Giuliano D’Agostino Luigi Dan Ezio Polesel Mauro Pessotto Alessandra Dorigo Michele Dan Ezio Polesel Mauro Battistella Nadia Casagrande Edda Dan Ezio Polesel Mauro Bortolotto Luca Pinese Roberto Dan Ezio Polesel Mauro Tutti Cescon Lorenzina Brugnera Silvia Dan Ezio Polesel Mauro Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 33 ID TRATT. TR 39 DEFINIZIONE GENERALE Personale dipendente STRUMENTI UTILIZZATI UBICAZIONE SUPPORTO DI MEMORIZZAZIONE TIPOLOGIA DI INTERCONNESSIONE Archivi cartacei nei locali di competenza e rispettivi PC assegnati secondo lo schema al paragrafo 5.3 Server in sala CED Rete Interna LAN SOGGETTI LEGITTIMATI AL TRATTAMENTO Tocchet Silvia Giacomin Sandro Soldan Donatella Cazorzi Marisa Zanusso Irene Zanusso Stefania Dassie Ilenia Dan Ezio Polesel Mauro 34 6. DISTRIBUZIONI DI COMPITI E RESPONSABILITA’ In questa sezione è costruita una mappa che associa ad ogni struttura (o reparto, dipartimento, ufficio) i trattamenti da questa effettuati, con la descrizione sintetica dell’organizzazione della struttura medesima e le relative responsabilità. Per il trattamento dei dati personali il Titolare ha suddiviso la struttura in cinque aree di competenza di rispettivi Responsabili che sono stati nominati con apposite lettere d’incarico (in allegato al presente D.P.S.). Tali Responsabili hanno assunto direttamente l’incarico di progettare, realizzare e mantenere in efficienza le misure di sicurezza. Uno dei Responsabili (il Segretario Generale) sostituisce gli altri in caso di assenza o impedimento a svolgere la propria funzione. Il trattamento di tutti i dati effettuato dagli incaricati e soggetti esterni (outsourcers) avviene su disposizione scritta dei Responsabili in via generale: ogni incaricato è stato nominato con una formale lettera di incarico al trattamento dei dati (in allegato al presente D.P.S.) in cui si individua puntualmente l’ambito del trattamento consentito. Oltre alle istruzioni generali, su come devono essere trattati i dati personali, a tutti gli incaricati verranno fornite esplicite istruzioni in merito ai seguenti punti, aventi specifica attinenza con la sicurezza: • Procedure da seguire per la classificazione dei dati, al fine di distinguere quelli sensibili e giudiziari, per garantire la sicurezza dei quali occorrono maggiori cautele, rispetto a quanto è previsto per i dati di natura comune. • Modalità di reperimento dei documenti, contenenti dati personali, e modalità da osservare per la custodia degli stessi e la loro archiviazione, al termine dello svolgimento del lavoro per il quale è stato necessario utilizzare i documenti. • Modalità per elaborare e custodire le password, necessarie per accedere agli elaboratori elettronici ed ai dati in essi contenuti, nonché per fornirne una copia al preposto alla custodia delle parole chiave. • Procedure e modalità di utilizzo degli strumenti e dei programmi atti a proteggere i sistemi informatici. • Procedure per il salvataggio dei dati. • Modalità di custodia ed utilizzo dei supporti rimuovibili, contenenti dati personali. • Dovere di aggiornarsi, utilizzando il materiale e gli strumenti forniti dal Titolare, sulle misure di sicurezza. Tutti coloro che sono autorizzati al trattamento dei dati verranno resi edotti, inoltre, sulle responsabilità di natura patrimoniale, sanzionatoria, amministrativa e penale circa il trattamento effettuato in disprezzo delle istruzioni ricevute, circa la divulgazione non autorizzata dei dati e circa il trattamento illecito degli stessi. Il Titolare ha nominato, con apposita lettera d’incarico, un Amministratore del Sistema Informativo. La lettera d’incarico, in allegato al presente Documento, contiene le disposizioni per svolgere questa funzione. 35 6.1 – MAPPA DELLE DISTRIBUZIONI DI RUOLI Lo schema che segue riassume la distribuzione delle diverse funzioni. STRUTTURA Ufficio Demografico Ufficio Assistente Sociale Ufficio Protocollo RESPONSABILE STRUTTURA* Giacomin Sandro Giacomin Sandro Giacomin Sandro RESPONSABILE TRATTAMENTO INCARICATI OPERANTI ALL’INTERNO DELLA STRUTTURA TRATTAMENTI EFFETTUATI Cescon Lorenzina TR 01, 02, 03, 04, 05, 15, 19, 24, 25, 26, 27, 37, 38 Brugnera Silvia TR 01, 02, 03, 04, 05, 15, 19, 24, 25, 26, 27, 37, 38 Montesel Elisa TR 06, 07, 09, 10, 16, 25, 26, 27, 37 Toldo Mirella TR 06, 25, 26, 27, 37 Cellini Luciana TR 19, 23, 25, 26, 27, 37 Brugnaro Silvia Nessuno Giacomin Sandro Giacomin Sandro Giacomin Sandro 36 COMPITI ASSEGNATI** Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, conservazione, blocco ed archiviazione dei dati - STRUTTURA Ufficio Polizia Locale Ufficio Segreteria/Tributi RESPONSABILE STRUTTURA* Tinazzi Giuliano Giacomin Sandro RESPONSABILE TRATTAMENTO INCARICATI OPERANTI ALL’INTERNO DELLA STRUTTURA TRATTAMENTI EFFETTUATI Pessotto Alessandra TR 06, 12, 13, 14, 15, 25, 26, 27, 32, 33, 34, 37 Dorigo Michele TR 06, 12, 13, 14, 15, 25, 26, 27, 32, 33, 34, 37 Giacomin Sandro TR 07, 15, 18, 25, 26, 27, 29, 30, 31, 32, 33, 37, 39 Soldan Donatella TR 07, 15, 18, 25, 26, 27, 29, 30, 31, 32, 33, 37, 39 Cazorzi Marisa TR 07, 15, 18, 23, 25, 26, 27, 29, 30, 31, 32, 33, 37, 39 Tocchet Silvia TR 07, 15, 18, 23, 25, 26, 27, 29, 30, 31, 32, 33, 37, 39 Tinazzi Giuliano Giacomin Sandro 37 COMPITI ASSEGNATI** Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati STRUTTURA Ufficio Socio Economico/Culturale Sportivo Ufficio del Sindaco Ufficio del Segretario RESPONSABILE STRUTTURA* Giacomin Sandro - Polesel Mauro RESPONSABILE TRATTAMENTO Giacomin Sandro - Polesel Mauro INCARICATI OPERANTI ALL’INTERNO DELLA STRUTTURA TRATTAMENTI EFFETTUATI Casagrande Edda TR 06, 07, 09, 14, 16, 17, 25, 26, 27, 29, 31, 32, 35, 37 Cattelan Francesca TR 08, 09, 11, 25, 26, 27, 31, 37 Battistella Nadia TR 07, 08, 09, 11, 14, 16, 17, 25, 26, 27, 31, 32, 35, 37 Dan Ezio Polesel Mauro 38 COMPITI ASSEGNATI** Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati TR 01, 02, 03, 04, 05, 06, 07, 08, 09, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 28, 29, 30, 32, 33, 34, 35, 36, 38 Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, conservazione, blocco ed archiviazione dei dati TR 25, 26, 27, 37, 39 Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati TR 01, 02, 03, 04, 05, 06, 07, 08, 09, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 28, 29, 30, 31, 32, 33, 34, 35, 36, 38 Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, conservazione, blocco ed archiviazione dei dati TR 25, 26, 27, 37, 39 Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati STRUTTURA Ufficio Ragioneria Ufficio Urbanistica Ufficio Lavori Pubblici RESPONSABILE STRUTTURA* Zanusso Stefania Pinese Roberto Tinazzi Giuliano RESPONSABILE TRATTAMENTO Zanusso Stefania INCARICATI OPERANTI ALL’INTERNO DELLA STRUTTURA TRATTAMENTI EFFETTUATI Zanusso Stefania TR 20, 21, 22, 25, 26, 27, 28, 29, 31, 32, 33, 37, 39 Zanusso Irene TR 20, 21, 22, 25, 26, 27, 28, 29, 31, 32, 33, 37, 39 Dassie Ilenia TR 20, 21, 22, 25, 26, 27, 28, 29, 31, 32, 33, 37, 39 Pinese Roberto TR 15, 18, 25, 26, 27, 30, 31, 36, 37 Bortolotto Luca TR 15, 18, 25, 26, 27, 30, 31, 36, 37 Tinazzi Giuliano TR 15, 18, 20, 25, 26, 27, 31, 33, 37 D’Agostino Luigi TR 15, 18, 20, 25, 26, 27, 31, 33, 37 Pinese Roberto Tinazzi Giuliano 39 COMPITI ASSEGNATI** Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati STRUTTURA RESPONSABILE STRUTTURA* RESPONSABILE TRATTAMENTO INCARICATI OPERANTI ALL’INTERNO DELLA STRUTTURA TRATTAMENTI EFFETTUATI Ufficio Lavori Pubblici Tinazzi Giuliano Tinazzi Giuliano Dorigo Michele TR 18, 20, 31 Biblioteca Giacomin Sandro Giacomin Sandro Cattai Laura TR 11, 25, 26, 27, 37 Centro Giovani Giacomin Sandro Giacomin Sandro Cattai Laura TR 11, 25, 26, 27, 37 Archivio Storico Giacomin Sandro Giacomin Sandro Tutti - Cattai Ermes TR 15, 37 Grando Denis TR 15, 37 Struttura Polivalente Tinazzi Giuliano Tinazzi Giuliano COMPITI ASSEGNATI** Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, modificazione, elaborazione, interconnessione, comunicazione, diffusione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, conservazione, blocco ed archiviazione dei dati Raccolta, registrazione, organizzazione, selezione, estrazione, utilizzo, lettura, consultazione, conservazione, blocco ed archiviazione dei dati * Alla voce “Responsabile Struttura” sono stati riportati, come esplicitamente indicato dal Garante per la Protezione dei Dati Personali, gli effettivi responsabili dei servizi, quindi i Dirigenti e le Posizioni Organizzative, indipendentemente dal fatto che ricoprano o meno anche la qualifica di “Responsabile del trattamento dei dati personali”. Per scelta amministrativa, comunque, i responsabili dei servizi sono gli stessi dei corrispondenti trattamenti. **Per: - “raccolta” si intende l’acquisizione e reperimento dei dati direttamente dall’interessato ovvero su sua indicazione o da terzi o estraendoli da elenchi pubblici; “registrazione, organizzazione ed elaborazione” si intende l’inserimento dei dati in supporti informatici o cartacei; “consultazione, selezione, estrazione ed utilizzo” si intende a seconda dell’uso necessario per lo svolgimento della singola funzione amministrativa; “modificazione” si intende anche l’aggiornamento dei dati; 40 - - “interconnessione, comunicazione e diffusione” si intende a seconda dell’uso necessario per lo svolgimento della singola funzione amministrativa; “conservazione ed archiviazione” si intende dei dati nei supporti informatici posizionati in modo da garantire la loro riservatezza e sicurezza, ovvero in supporti cartacei consistenti in fascicoli riposti in schedari contenuti negli armadi; “blocco” dei dati si intende nel caso in cui possa pregiudicarsi il diritto dell’interessato. 41 7 – ANALISI DEI RISCHI CHE INCOMBONO SUI DATI L’analisi delle criticità e rischi che incombono sui dati riassume, sulla base delle conoscenze acquisite sia in campo tecnologico che rispetto alla situazione aziendale vigente, i potenziali rischi ai quali sono sottoposti i dati trattati. Il Titolare che voglia tutelarsi maggiormente da eventuali richieste di risarcimento in sede civile derivanti da danni (sia materiali che morali) cagionati da impropri o illeciti trattamenti dei dati a lui affidati deve adottare tutte le misure al momento tecnicamente possibili per offrire la massima protezione ai dati contro trattamenti impropri o illeciti. L’analisi dei possibili rischi che gravano sui dati è stata effettuata combinando tre tipi di rilevazioni: - la tipologia dei dati trattati, la loro appetibilità, nonché la loro pericolosità per la privacy dei soggetti cui essi si riferiscono; - le caratteristiche degli strumenti utilizzati per il trattamento dei dati; - le strutture dei luoghi fisici in cui sono conservati i dati ed avviene il loro trattamento. Il livello di gravità stimata è dato considerando sia la probabilità che l’evento si verifichi, sia la stima del danno provocato dal verificarsi dell’evento. Di seguito la tabella che individua i principali eventi potenzialmente dannosi per la sicurezza dei dati, con le valutazioni sulle possibili conseguenze per i dati ed i relativi livelli di gravità. 7.1 - COMPORTAMENTI DEGLI OPERATORI ID EVENTO EVENTO E 01 Furto di credenziali di autenticazione E 02 Errori umani nella gestione delle macchine elettroniche E 03 Errori umani nella gestione dei trattamenti per mancanza di formazione sulla disciplina privacy E 04 Impossibilità di ripristino dei dati per cattiva gestione dei back up IMPATTO SULLA SICUREZZA DEI DATI GRAVITA’ STIMATA MOTIVAZIONE STIMA Il personale è formato con le nuove disposizioni dell’Allegato B; inoltre Medio-bassa per l’accesso ai singoli PC si utilizza un corretto metodo di autenticazione. Tutti gli archivi sono centralizzati su Server sul Bassa quale viene svolto un Backup giornaliero Il personale attualmente è formato con le nuove Medio-bassa disposizioni dell’Allegato B Tutti gli archivi sono centralizzati su Server sul Bassa quale viene svolto un Backup giornaliero 7.2 - EVENTI RELATIVI AGLI STRUMENTI ID EVENTO EVENTO E 05 Azione di virus informatico o codici maligni IMPATTO SULLA SICUREZZA DEI DATI GRAVITA’ STIMATA MOTIVAZIONE STIMA Il sistema è fornito di Bassa software antivirus e di Firewall Hardware 42 ID EVENTO EVENTO E 06 Malfunzionamento degli strumenti per vetustà degli stessi E 07 Accessi non autorizzati agli strumenti elettronici (ad es. per mancanza delle password) E 08 Intercettazioni di informazioni transitanti in rete interna per cattiva gestione del dominio o gruppo di lavoro IMPATTO SULLA SICUREZZA DEI DATI GRAVITA’ STIMATA MOTIVAZIONE STIMA Tutte le macchine vecchie sono state sostituite o rientrano in un piano di Bassa imminente sostituzione, inoltre non contengono archivi. Gli strumenti sono dotati sia di corretta procedura di autenticazione sia di Medio-bassa disconnessione automatica con screen saver e password temporizzati Nel sistema non è presente alcun sistema wireless; La Bassa rete locale con Dominio gestita da server fornisce un buona sicurezza. 7.3 - EVENTI RELATIVI AL CONTESTO ID EVENTO EVENTO E 11 Accesso non autorizzato ai locali da cui si può accedere ai dati per insicurezza della struttura E 12 Accesso non autorizzato agli archivi in cui sono custoditi i documenti per scarsa protezione degli stessi E 13 Allagamenti E 14 Incendi E 15 Sbalzi di tensione della rete elettrica per mancanza di UPS IMPATTO SULLA SICUREZZA DEI DATI GRAVITA’ STIMATA MOTIVAZIONE STIMA Presenza degli incaricati durante l’orario lavoro, impianto di allarme fuori Medio-bassa dall’orario di lavoro. La struttura è considerata sufficientemente sicura I locali in cui sono custoditi gli archivi cartacei vengono Medio-bassa chiusi a chiave dagli incaricati fuori dell’orario di lavoro Tutti i PC sono sollevati da Bassa terra La struttura è fornita di Bassa estintori a norma di legge E’ presente apposito Bassa apparecchio UPS 43 8. MISURE IN ESSERE E DA ADOTTARE PER GARANTIRE L’INTEGRITA’ E LA DISPONIBILITA’ DEI DATI Alla luce dei fattori di rischio individuati nel precedente paragrafo, vengono descritte di seguito le misure atte a garantire: • la protezione delle aree e dei locali ove si svolge il trattamento dei dati personali; • la corretta archiviazione e custodia di atti, documenti e supporti contenenti dati personali; • la sicurezza logica, nell’ambito degli strumenti elettronici. La presente analisi prende in considerazione sia le misure già adottate al momento della stesura del presente Documento, sia le ulteriori misure finalizzate ad incrementare il livello di sicurezza nel trattamento dei dati. 8.1 – PROTEZIONE DI AREE E LOCALI Vengono di seguito analizzate le misure di sicurezza adottate e da adottare nel Comune di Fontanelle in riferimento alla protezione di aree e locali in cui avvengono i trattamenti dei dati. • Struttura fisica della sede. Il palazzo presso cui ha sede il Comune di Fontanelle è di costruzione relativamente recente, con struttura portante interamente in cemento armato e si ipotizza non sia possibile un improvviso collasso strutturale, anche perché eventuali cedimenti sarebbero preceduti da segni evidenti (crepe, rigonfiamenti,m etc.) facilmente diagnosticabili dai tecnici che operano nello stesso palazzo. • Protezione dall’accesso esterno. Il palazzo del Comune è dotato di portone di ingresso tradizionale ad apertura automatica. Durante l’orario di lavoro l’accesso al Comune è controllato dal personale. Ogni finestra è dotata di persiane che vengono chiuse dopo l’orario di lavoro. Le persiane sono fornite di chiavistelli di sicurezza. I vetri sono doppi. Non si ritiene opportuno adottare ulteriori misure fisiche di sicurezza per scongiurare l’ingresso nel palazzo da parte di estranei. • Accesso ai singoli locali: in generale. La sorveglianza dei singoli locali, che custodiscono archivi informatici ed elettronici, durante l’orario di lavoro è garantita dalla presenza del personale incaricato. In caso di temporanee assenze durante l’orario di lavoro, però, vi è il rischio che cittadini o soggetti interessati ai servizi comunali entrino nei locali della struttura con la possibilità di accesso non consentito ai dati ivi custoditi. Per tale motivo, i Responsabili del trattamento nel 2009 hanno deciso di adottare entro i successivi tre anni le seguenti misure di sicurezza idonee a scongiurare tale rischio: 1. Adozione di serrature nuove in tutte le porte dei singoli uffici. 2. Definizione degli incaricati preposti ad accedere ai singoli locali e fornitura delle chiavi dei rispettivi locali. 3. Definizione delle istruzioni da seguire da parte degli incaricati circa la chiusura dei singoli locali durante la loro assenza. 4. Fornitura di apposito passe-partout alla ditta delle pulizie (autorizzata per iscritto ad accedere ai locali fuori dell’orario di lavoro ed istruita sul comportamento da tenere) ed ai Responsabili del trattamento per consentire l’accesso a tutti i locali. 5. Definizione nel dettaglio dello stato di avanzamento dell’adozione di tali misure nei Documenti Programmatici del 2010, 2011 e 2012. Alla data di redazione del presente Documento Programmatico lo stato di avanzamento del programma è il seguente: 1. L’Ufficio Lavori Pubblici ha provveduto all’acquisto e al montaggio delle nuove serrature. 2. Sono stati definiti gli incaricati legittimati all’accesso ai singoli locali secondo lo schema che segue: 44 INCARICATI LEGITTIMATI ALL’ACCESSO DELL’UFFICIO/STRUTTURA Cescon Lorenzina Brugnera Silvia Montesel Elisa Toldo Mirella Cellini Luciana Brugnaro Silvia Pessotto Alessandra Dorigo Michele Giacomin Sandro Soldan Donatella Cazorzi Marisa Tocchet Silvia Casagrande Edda Cattelan Francesca Battistella Nadia UFFICIO/STRUTTURA RESPONSABILE STRUTTURA E TRATTAMENTO Ufficio Demografico Giacomin Sandro Ufficio Assistente Sociale Giacomin Sandro Ufficio Protocollo Giacomin Sandro Ufficio Polizia Locale Tinazzi Giuliano Ufficio Segreteria/Tributi Giacomin Sandro Ufficio Socio Economico/Culturale Sportivo Giacomin Sandro Ufficio del Sindaco - Dan Ezio Ufficio del Segretario Polesel Mauro Polesel Mauro Ufficio Ragioneria Zanusso Stefania Ufficio Urbanistica Pinese Roberto Ufficio Lavori Pubblici Tinazzi Giuliano Zanusso Stefania Zanusso Irene Dassie Ilenia Pinese Roberto Bortolotto Luca Tinazzi Giuliano D’Agostino Luigi Dorigo Michele 3. Sono state inserire nelle lettere d’incarico degli incaricati e dei Responsabili alcune norme comportamentali che disciplinino l’uso delle chiavi dei locali (vedi lettere d’incarico). Inoltre, al momento della consegna delle chiavi agli incaricati, è stata fatta sottoscrivere specifica lettera contenente le istruzioni per l'utilizzo delle chiavi. In generale, comunque, le sitruzioni prevedono che ogni incaricato sia in possesso di copia delle chiavi dell’ufficio/struttura in cui opera e che tutti i Responsabili siano in possesso di apposito pass-partout per l’accesso a tutti i locali. All’inizio della giornata lavorativa il primo incaricato che arriva nel proprio ufficio apre la porta con la chiave e l’ultimo che lo lascia la richiude a chiave. Ogni incaricato ha la custodia delle proprie chiavi. 4. La ditta delle pulizie è stata dotata di pass-partout per l’accesso a tutti i locali ed è stata istruita con apposita lettera d’incarico sul comportamento da tenere. • • Accesso ai locali fuori dall’orario di lavoro. La ditta delle pulizie accede ai locali del Comune, per svolgere le sue mansioni di pulizia, fuori dall’orario di lavoro. L’accesso è autorizzato da apposita lettera sottoscritta dai soggetti che accedono in data 9 marzo 2009. In seguito all’adozione delle nuove serrature delle porte degli uffici, la lettera è stata modificata e sottoscritta nuovamente alla data del presente Documento Programmatico. Detta lettera contiene anche istruzioni sul comportamento da tenere. Gli orari di accesso ed uscita dalla struttura comunale vengono registrati attraverso apposito badge fornito al personale. Altre misure di sicurezza finalizzate ad evitare l’accesso da parte di estranei. Al fine di incrementare la sicurezza contro l’accesso di estranei fuori dall’orario di lavoro, il Titolare 45 • • • ha predisposto un impianto di allarme che viene attivato quotidianamente al termine dell’attività. Rischi idrogeologici. Per ciò che concerne il rischio di perdita dei dati in seguito ad allagamento, considerata la posizione dell’immobile in cui è situato il Comune, si esclude che detto rischio possa verificarsi. In ogni caso si è provveduto, nel corso del 2009, a rialzare da terra tutti gli strumenti elettronici con appositi zoccoli. Rischi sismici. La zona non è considerata a rischio di movimenti tellurici. Protezioni anti incendio. In riferimento al rischio di incendio, gli impianti dell’immobile sono di realizzazione recente e viene effettuata comunque in maniera regolare la verifica periodica di caldaie, impianto elettrico, etc. I locali sono comunque forniti di estintori, a norma del Testo Unico n. 81/2008. Viene così scongiurato il pericolo di perdita dati in seguito ad incendio. 8.2 – CUSTODIA E ARCHIVIAZIONE DEI DATI Vengono di seguito analizzate le modalità di custodia ed archiviazione dei documenti cartacei con relative misure di sicurezza nel Comune di Fontanelle. • Separazione dei documenti. Il Titolare ha distribuito i diversi documenti contenenti dati personali in vari armadi, in modo distinto per le diverse funzioni istituzionali. • Conservazione dei documenti. I documenti contenenti dati sensibili sono conservati in vari armadi anche non chiusi a chiave. Poiché l’adozione di armadi chiudibili a chiave non viene ritenuta misura idonea a scongiurare il pericolo di accesso non autorizzato ai vari archivi, si è deciso di considerare come autonomi archivi i singoli locali. Questi, quindi, sono stati chiusi a chiave secondo il programma descritto al punto “Accesso ai singoli locali: in generale” al paragrafo 8.1. • Utilizzazione dei documenti. I vari documenti vengono utilizzati per il tempo strettamente necessario allo svolgimento del singolo incarico e nell’ipotesi di ricevimento di utenti, gli stessi vengono chiusi per evitare letture indesiderate dei dati contenuti ovvero la lettura a contrario dei documenti. • Distruzione dei documenti non necessari al trattamento. Si è provveduto a dotare il Comune di un dispositivo tritadocumenti nel quale vengono trinciati i documenti inutili, tutti gli appunti e le fotocopie mal riuscite. I documenti che non devono essere conservati per obblighi di legge vengono quindi distrutti. • Formazione degli incaricati. Al fine di eseguire in maniera corretta i singoli trattamenti e la custodia dei documenti contenenti i dati personali, il personale incaricato ha seguito i corsi di formazione come specificato al capitolo 10 del presente Documento Programmatico. I corsi sono finalizzati a ridurre i rischi di errori umani nella gestione fisica e logica dei trattamenti. 8.3 – MISURE LOGICHE DI SICUREZZA Il trattamento dei dati attraverso supporti informatici avviene nel seguente modo. Sono utilizzati due Server fisici , un NAS ed un Tape Library hardware per il backup. Nel Server PC 111 è installato il software Vmware Esxi 5.1.0 Essentials che è in grado di generare e gestire diverse macchine virtuali. Nella fattispecie sono state generate 7 macchine virtuali: VPC 101 per le procedure X-System e FI.LO-COBI-EDPR-GPE VPC 102 per la procedura PeA (Protocollo) VPC 103 per la procedura Nuova Anagrafe VPC 104 per la procedura Contabilità 46 VPC 105 servizio Domain Controller 1: per la definizione del dominio, la gestione degli utenti, per le regole ed i servizi di Active Directory Symantec Endpoint Protection (in concorrenza con il server fisico PC 112). VPC 106 per la gestione interna del servizio di posta elettronica ( attraverso software MDaemon 14.5.3) VPC 107 per l'applicativo della Polizia Locale. Nel server PC 112 è installato un software Microsoft Server 2008 e viene utilizzato in concorrenza con il VPC 105 per il servizio Domain Controller 2: la definizione del dominio, la gestione degli utenti, per le regole ed i servizi di Active Directory. Nel Server PC 112 è, inoltre, presente il software Symantec Backup Exec che si occupa di tenere copia di backup di ogni singolo VPC su hardware dedicato Tape Library LTO5. Nel NAS vengono registrati tutti gli archivi documentali gestiti da Active directory ed anche il backup giornaliero di tutte le VM tramite Veem Backup & Replication presente nel Server PC 112. Sono presenti 29 PC client collegati in rete attraverso il dominio “Comune”. L’interconnessione (Internet) avviene attraverso fibra ottica fornita da ASCO TLC. La rete lan è protetta da apparecchio Firewall hardware dedicato (WatchGuard firebox XTM 515). Ogni PC client è dotato di Internet Explorer e/o Firefox Mozilla e Google Chrome. I servizi di posta elettronica interna sono gestiti nel server virtuale VPC 106 con l’ausilio del software MDaemon 14.5.3. La definizione delle email è affidata a Register.it S.p.A. I fax arrivano in una macchina fotocopiatrice che li trasforma in email. Successivamente queste vengono lette dall’incaricata Luciana Cellini che stampa solo quelle di interesse del Titolare, distribuendone il cartaceo agli uffici di volta in volta interessati e scartando i fax di non interesse. Con questo metodo viene scongiurato il rischio che i fax vengano visionati indifferentemente da tutti gli incaricati o da altri soggetti. Di seguito viene descritta più nel dettaglio la situazione del sistema informativo. • Autenticazione informatica. Il sistema informativo del Comune utilizza il sistema di autenticazione. Ogni PC client possiede una utenza necessaria per accedere al dominio. La gestione della password avviene in modo corretto, in linea con quanto prescritto ai punti 4 e 5 dell’Allegato B al d. lgs. n. 196/2003. • Sistema di autorizzazione. Il sistema informativo del Comune utilizza un sistema di autorizzazione per l’accesso ai moduli del programma Gestionale. • Attacchi maligni. Per evitare i rischi derivanti da attacchi informatici si è deciso di dotare ogni singolo computer di dispositivo antivirus che permetta l’aggiornamento automatico attraverso rete esterna (Internet). Tutti i PC sono forniti di software antivirus controllato centralmente da Server. Non si ritiene opportuno adottare ulteriori misure di sicurezza contro i virus. E’ inoltre presente un apparato Firewall Hardware che incrementa sensibilmente la sicurezza. • Firewall. E’ presente un apparato Firewall Hardware opportunamente configurato che incrementa sensibilmente la sicurezza. • Garanzia di accesso ai dati e ai PC. La disponibilità di accesso ai dati e ai singoli PC in caso di prolungata assenza e/o impedimento dell’incaricato, come descritto al punto 10 dell’Allegato B è garantita dall’architettura della rete con Dominio e dalla presenza di un amministratore del Sistema Informativo in grado di sostituire le password in caso di necessità quindi di accedere alle macchine. • Aggiornamento sistema operativo. Tutti i PC sono attualmente aggiornati ed hanno il servizio di autoaggiornamento del S.O. attivato. • Aggiornamento dei programmi. L’aggiornamento del programma gestionale è garantito dal contratto di assistenza stipulato con il fornitore dei servizi informatici. 47 • Garanzie generali. In generale la presenza di un servizio di assistenza tecnica attraverso fornitore esterno, che affianca il responsabile di rete interno, da ulteriori garanzie al buon funzionamento dell’intero sistema informativo. • Connessione remota. Si è stabilito di utilizzare la connessione remota solo per i due server. In questo modo l’assistenza esterna può operare con immediatezza in caso di necessità; inoltre può garantire una maggiore efficienza ed aggiornamento dei software installati nei server. • Allontanamento durante una sessione di lavoro. E’ stata attivata la funzione di screen saver con password temporizzato per scongiurare l’accesso da parte di estranei ai PC durante l’abbandono temporaneo dei PC stessi da parte degli incaricati. • Garanzia per sbalzi di tensione o dismissione temporanea di energia elettrica. Onde evitare la perdita accidentale o corruzione di dati in seguito a sbalzi di tensione o dismissione temporanea di energia elettrica, la sala ced è provvista di apposito apparecchio UPS che garantisce la continuità di servizio per il tempo necessario alla corretta chiusura delle sessioni di lavoro. Per tutti i PC client non si ritiene necessario affiancare alcun UPS. Per prevenire i rischi da errori umani, si è provveduto ad istruire tutti gli incaricati circa il comportamento da tenere per prevenire pericoli ed errori; quanto ai pericoli per uso infedele delle apparecchiature e comportamento doloso si è provveduto alla scelta di incaricati scrupolosi, fedeli e professionalmente preparati. 8.4 – LE MISURE DI SICUREZZA NELLE SEDI SECONDARIE Vengono di seguito analizzate le misure di sicurezza adottate e da adottare nelle sedi secondarie del Comune di Fontanelle in riferimento alla protezione di aree, locali, modalità di custodia ed archiviazione dei documenti nonché strumenti informatici presenti. • Biblioteca (SS 01). I pochi documenti cartacei presenti in Biblioteca non contengono dati sensibili e sono custoditi in appositi armadi. Il personale addetto alla loro custodia è istruito circa il comportamento da tenere per evitare che utenti della Biblioteca entrino in contatto con tali documenti. Sono presenti 3 PC che, però, non contengono banche di dati personali. In ogni caso gli aggiornamenti sono fatti con regolarità, compresi quelli degli antivirus. • Centro Giovani (SS 02). La struttura “Centro Giovani” conteneva una sala informatica che è stata smantellata negli scorsi mesi. I PC ivi contenuti, che non contenevano dati, sono stati dismessi. Per far ciò è stata adottata la procedura prevista dal provvedimento del Garante della Privacy “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali” del 13 ottobre 2008. • Archivio Storico (SS 03). La struttura, che contiene l’archivio cartaceo del Comune, è stata oggetto di recente riordino (dicembre 2009): seguendo le indicazioni del “Piano di conservazione” (redatto dal “Gruppo di lavoro per la formulazione di proposte e modelli per la riorganizzazione dell’archivio dei Comuni” su istanza, tramite decreto, del Direttore generale per gli archivi del Ministero per i beni e le attività culturali – dicembre 2005) è stata redatta una lista di documenti da sottoporre a scarto (distruzione fisica). Tale lista, come prevede il D. Lgs. n. 42/2004, è stata vagliata dalla Soprintendenza Archivistica per il Veneto (con richiesta protocollata n. 11733) che si è espressa favorevolmente allo scarto ed ha fornito anche indicazioni sulle metodologie di distruzione per alcuni dei documenti da distruggere. Successivamente, il materiale scartato è stato consegnato (Form. n. XFIR30545/09 del 24/02/2010) all’azienda Trevisan S.r.l. di Noale (VE) che ha provveduto a triturarlo, imballarlo e consegnarlo alle Cartiere come carta da macero (art. 8 D.P.R. n. 37/2001), come risulta dal Verbale di distruzione dell’azienda Trevisan S.r.l. del 12 marzo 2010 (Rif. SC/Chinaglia, Prot. del Comune nr. 2629). Detto Verbale di distruzione è stato inviato in data 19/03/2010 alla Soprintendenza Archivistica per il Veneto (Prot. del Comune n. 2810) a conclusione della pratica. 48 • Struttura Polivalente (SS 04). Rileva solamente perché ivi custoditi i Registri Cimiteri che, comunque, sono conservati in stanza chiusa a chiave ed utilizzati solamente dal personale incaricato nelle occasioni previste. 8.5 – MAPPA DELLE MISURE ADOTTATE MISURE Adozione di nuove serrature alle porte di accesso agli uffici ed adozione di disciplinare comportamentale per gli incaricati Adozione del corretto sistema di autenticazione Sostituzione degli ultimi HW/SW obsoleti Adozione del sistema di screen saver temporizzato Adozione di adeguato anti virus Adozione di firewall Aggiornamento dei programmi Aggiornamento dei sistemi operativi Adozione di sistema di allarme Adozione di un sistema antincendio Predisposiz. di un gruppo di continuità Custodia copie back up in cassaforte RISCHIO CONTRASTATO TRATTAMENTI INTERESSATI DATA EFFETTIVITA’ Accessi non autorizzati ai locali che custodiscono documenti sensibili Tutti Dal 2011 Accessi non autorizzati agli strumenti elettronici Malfunzionamento degli strumenti Accessi non autorizzati agli strumenti elettronici Azione di virus informatico o codici maligni Spamming o altre tecniche di sabotaggio Malfunzionamento degli strumenti Malfunzionamento degli strumenti Accesso non autorizzato ai locali Tutti eccetto TR 06, 09, 19 Tutti eccetto TR 06, 09, 19 Tutti eccetto TR 06, 09, 19 Tutti eccetto TR 06, 09, 19 Tutti eccetto TR 06, 09, 19 Tutti eccetto TR 06, 09, 19 Tutti eccetto TR 06, 09, 19 Tutti Incendi Tutti Sbalzi di tensione della corrente elettrica Perdita irreversibile dei dati contenuti nei PC Tutti eccetto TR 06, 09, 19 Tutti eccetto TR 06, 09, 19 Tutti eccetto TR 06, 09, 19 Da qualche anno Dal 2008 Dal 2008 Dal 2008 Da qualche anno Da qualche anno Da qualche anno Da qualche anno Da qualche anno Da qualche anno Da qualche anno Rialzamento da terra di tutti i PC Danni ai PC per allagamenti Corso di formazione per gli incaricati Riorganizzazione dei documenti creati con Office Smantellamento Centro Giovani con dismissione dei PC Errori umani nella gestione della sicurezza fisica Condivisione dei dati tra gli utenti Tutti Gennaio 2009 Tutti eccetto TR 06, 09, 19 Dal 2010 Diffusione di dati n.p. Nel 2012 49 Gennaio 2009 9 – CRITERI E MODALITA’ DI SALVATAGGIO E DI RIPRISTINO DELLA DISPONIBILITA’ DEI DATI Si descrivono di seguito i criteri e le procedure adotti per il salvataggio dei dati e per il loro ripristino in caso di danneggiamento o di inaffidabilità della base dati. La decisione di ripristinare la disponibilità dei dati in questi casi è compito esclusivo del Titolare e deve essere presa rapidamente; in ogni caso la disponibilità dei dati, se sensibili o giudiziari, deve essere ripristinata al massimo entro sette giorni. Il back up avviene con procedura automatica con cadenza giornaliera. Viene utilizzato un apparato a nastro magnetico con 24 cassette, Tape Library LTO 5 gestito dal Server PC 112. Il sistema si occupa di effettuare il backup di 5 dei server Virtuali, il secondo server fisico. Incaricato al controllo della procedura è l’Amministratore di Sistema Sandro Giacomin. Da dicembre 2014 è stato implementato il sistema di backup (1° step per il disaster recovery) installando nel Server PC 112 il software "Veen Backup & Replication", che salva giornalmente le immagini delle macchine virtuali presenti nel Server PC 111 su una NAS QNAP TS-653 PRO. Ad oggi (marzo 2016) è in fase realizzazione il 2° step per il disaster recovery che consiste nell'installazione e la programmazione di una nuova NAS QNAP TS-451+ collocata presso il Centro Polivalente Marcuzzo (SS 04). Il ripristino dei dati avviene con procedura comandata manualmente. Il responsabile dei backup, su necessità, richiede l’intervento da remoto dell’assistenza tecnica la quale è in grado di operare con puntualità e professionalità. 9.1 – MAPPA DEI CRITERI E PROCEDURE PER IL SALVATAGGIO DEI DATI BANCA DATI CRITERI E PROCEDURE PER IL SALVATAGGIO UBICAZIONE CONSERVAZIONE COPIE SOGGETTO INCARICATO DEL SALVATAGGIO BDP 01, BDP 02, BDP 03, BDP 04, BDP 05, BDP 06, BDP 07 Registrazione su cassetta a nastro magnetico Cassaforte L’Amministratore di Sistema Sandro Giacomin 50 10. PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI La normativa vigente stabilisce in maniera esplicita che il fabbisogno formativo deve essere considerato con adeguata priorità e ne scandisce i momenti principali. La formazione deve essere pertanto programmata: • al momento dell’ingresso in servizio del soggetto incaricato del trattamento; • in occasione di cambiamenti di mansioni; • all’atto dell’introduzione, nell’ambito organizzativo, di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Ovviamente il personale incaricato deve essere tenuto aggiornato anche in ragione dell’eventuale normativa in proposito. La formazione degli incaricati, nel Comune di Fontanelle, verrà effettuata all’ingresso in servizio di eventuali nuovi incaricati, all’installazione di nuovi strumenti per il trattamento dei dati, e comunque con frequenza annuale. Essa tende a sensibilizzare gli incaricati sulle tematiche di sicurezza, facendo comprendere i rischi e le responsabilità (con specificazione delle sanzioni connesse penali e disciplinari) che riguardano il trattamento dei dati personali. Inoltre, essa tende alla compiuta spiegazione del concetto di quale sia la natura ed il contenuto dei dati sensibili e giudiziari, con l’invito a segnalare eventuali disfunzioni dei sistemi operativi e, nel dubbio, di richiedere ai Responsabili del trattamento se un dato possa avere o meno natura sensibile o giudiziaria. La formazione comprende la spiegazione di tutte le istruzioni dirette alla tutela della riservatezza ed alla tutela dei dati per evitare che gli stessi possano essere involontariamente resi disponibili a terzi. 10.1 - ELENCO DEI CORSI DI FORMAZIONE GIA’ ESEGUITI La formazione annuale è a carico dei Responsabili del trattamento i quali, senza indire formali riunioni, periodicamente istruiscono gli incaricati dei rispettivi uffici di competenza (vedi schema 2.2). Ulteriore formazione è stata eseguita, come previsto dal D.P.S. del 2008, nel corso dei primi mesi del 2009, da un consulente esterno. Gli incaricati ed i Responsabili del trattamento sono stati divisi in tre gruppi ed ogni gruppo ha seguito una lezione di 4 ore. Ogni lezione è stata divisa in due parti: 1. Nella prima parte si è analizzata la disciplina generale del D. Lgs. n. 196/2003 affrontando i seguenti temi: • Descrizione delle vigenti disposizioni di legge in materia di Privacy ed analisi dettagliata delle misure minime di sicurezza. • Descrizione dei profili di riferimento (titolare, responsabili, incaricati, etc.). • Analisi dei rischi che minacciano i supporti elettronici e cartacei e metodologie di prevenzione e difesa. • Descrizione delle misure minime ed idonee adottate dal Titolare e dai Responsabili del trattamento. 2. Nella seconda parte sono stati analizzati i trattamenti svolti dai singoli incaricati, per singolo ufficio e per singola mansione. Lo schema che segue riassume il calendario dei corsi eseguiti. ID HR 01 HR 03 HR 04 NOME E COGNOME Giacomin Sandro Soldan Donatella Cazorzi Marisa UFFICIO Segreteria/Tributi Segreteria/Tributi Segreteria/Tributi 51 DATA CORSO SEGUITO 23/01/2009 23/01/2009 23/01/2009 DOCENTE ESTERNO ID HR 05 HR 06 HR 07 HR 08 HR 09 HR 10 HR 11 HR 12 HR 13 HR 14 HR 18 HR 19 HR 20 HR 23 HR 24 HR 26 HR 28 HR 29 HR 30 NOME E COGNOME Zanusso Irene Battistella Nadia Casagrande Edda Cattelan Francesca Bortolotto Luca Tinazzi Giuliano Pinese Roberto Zanusso Stefania Dassie Ilenia Cescon Lorenzina Pessotto Alessandra Polesel Mauro Cellini Luciana Brugnera Silvia D’Agostino Luigi Toldo Mirella Cattai Laura Cattai Ermes Grando Denis UFFICIO Ragioneria Culturale Sportivo/Socio Economico Socio Economico Culturale Sportivo Urbanistica Lavori Pubblici Urbanistica Ragioneria Ragioneria Demografico Polizia Locale Segretario Protocollo Demografico Lavori Pubblici Assistente Sociale Biblioteca e Centro Giovani Struttura Polivalente Struttura Polivalente DATA CORSO SEGUITO 30/01/2009 23/01/2009 23/01/2009 30/01/2009 30/01/2009 30/01/2009 30/01/2009 30/01/2009 30/01/2009 20/01/2009 23/01/2009 30/01/2009 20/01/2009 20/01/2009 30/01/2009 20/01/2009 30/01/2009 30/01/2009 30/01/2009 DOCENTE ESTERNO Dott. Paolo Corbolante Nel corso del 2011 è stato eseguito un corso di 2 ore, del medesimo contenuto di quello eseguito nel 2009, per nuove risorse umane operanti nel Comune. ID NOME E COGNOME UFFICIO DATA CORSO SEGUITO HR 25 Dorigo Michele Polizia Locale 29/03/2011 DOCENTE ESTERNO Dott. Paolo Corbolante Per ogni corso eseguito il docente formatore ha rilasciato apposito attestato di frequenza. 10.2 - PIANIFICAZIONE DEGLI ULTERIORI INTERVENTI FORMATIVI Due nuovi incaricati operanti all’interno della struttura del Comune seguiranno un corso avente come contenuto la normativa sulla privacy. ID HR 21 HR 00 COGNOME E NOME Montesel Elisa Tocchet Silvia PROFILO PROFESSIONALE Assistente Sociale Istruttore amministrativo contabile UFFICIO Assistente Sociale e Socio Economico Segreteria/Tributi Il corso avrà, nel dettaglio, i seguenti contenuti: - Descrizione delle vigenti disposizioni di legge in materia di Privacy - Analisi dettagliata delle misure minime di sicurezza - Descrizione dei profili di riferimento (titolare, responsabili, incaricati, etc.) - Analisi dei rischi che minacciano i supporti elettronici e cartacei e metodologie di prevenzione e difesa 52 11 – TRATTAMENTI AFFIDATI ALL’ESTERNO Il Titolare può decidere di affidare il trattamento dei dati in tutto o in parte all’esterno della struttura del Titolare stesso, a fini di collaborazione nell’attività, per necessità di raggiungimento dello scopo sociale, a scopo fiscale, previdenziale, etc. In questo caso è necessario redigere e aggiornare ad ogni variazione l’elenco dei soggetti che effettuano il trattamento dei dati in tutto o in parte all’esterno della struttura del titolare, ed indicare per ognuno di essi il tipo di trattamento effettuato specificando i soggetti interessati, i luoghi dove fisicamente avviene il trattamento dei dati e gli eventuali responsabili del trattamento di dati personali. Nel caso in cui, per i trattamenti dei dati affidati in tutto o in parte all’esterno della struttura del titolare, non sia possibile nominare i responsabili del trattamento, in quanto soggetti autonomi non controllabili dal Titolare del trattamento stesso, questi verranno indicati come Titolari autonomi del trattamento in Out-sourcing, i quali sono a loro volta soggetti ai corrispettivi obblighi e pertanto rispondono direttamente ed in via esclusiva per le eventuali violazioni di legge. Per ogni trattamento affidato ad un soggetto esterno alla struttura del Titolare, il Titolare stesso deve assicurarsi che siano rispettate le norme di sicurezza di un livello non inferiore a quanto stabilito per il trattamento interno. 11.1 – ELENCO TRATTAMENTI AFFIDATI IN OUTSOURCING ID SOGGETTO ESTERNO ATTIVITA’ DELEGATA DESCRIZIONE SINTETICA OU 01 Revisori dei Conti Gestione oneri fiscali Controllo gestione, analisi e bilanci OU 02 Sistemi e Soluzioni di Antenucci Alessandro Gestioni rapporti contrattuali OU 03 COSIMA Consulenza medica OU 04 Avv. Garofalo Consulenza legale Svolgimento pratiche legali OU 05 Avv. Zanchettin Consulenza legale Svolgimento pratiche legali OU 06 Studio Associato Fantozzi Consulenza legale Svolgimento pratiche legali Consulenze generali per la stipula di contratti digitali di appalto o relativi alle questioni urbanistiche Visite ai dipendenti secondo la normativa sulla sicurezza (l. 626/94) 53 DATI INTERESSATI Dati comuni del Titolare, fornitori e dipendenti Dati comuni e potenzialmente sensibili dei soggetti coinvolti Dati sanitari dei dipendenti Dati comuni, sensibili e giudiziari dei soggetti coinvolti Dati comuni, sensibili e giudiziari dei soggetti coinvolti Dati comuni, sensibili e giudiziari dei soggetti coinvolti POSIZIONE RISPETTO AL COMUNE DESCRIZIONE IMPEGNI ASSUNTI Titolari esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni ID OU 07 SOGGETTO ESTERNO ATTIVITA’ DELEGATA DESCRIZIONE SINTETICA Assistenza informatica Forniture, manutenzione ed assistenza SW e HW, Manutenzione ed assistenza al SW gestionale Kibernetes S.r.l. Gestione rapporto di lavoro con i dipendenti Elaborazione delle buste paga dei dipendenti OU 08 SAVNO Gestione TIA Redazione del piano finanziario T.I.A. per servizio di raccolta e smaltimento rifiuti OU 09 F.A.P. Autoservizi S.p.a. Gestione trasporti pubblici Attività connesse al trasporto degli scolari residenti nel Comune OU 10 SISP Gestione acquedotto e fogne Attività connesse alla gestione degli utenti dell’acquedotto e fogne, residenti nel Comune OU 11 ASCOPIAVE Gestione gas Attività connesse alla gestione degli utenti del gas, residenti nel Comune ABACO Gestione pubblicità ed ingiunzioni di pagamento Attività relativa alla imposta sulla pubblicità, pubbliche affissioni, ingiunzioni di pagamento OU 12 54 DATI INTERESSATI Visione dei dati contenuti negli strumenti elettronici al solo scopo di manutenzione degli strumenti Dati comuni e sensibili dei dipendenti e familiari dipendenti Dati anagrafici comuni di cittadini ed aziende residenti nel territorio comunale Dati anagrafici comuni di scolari residenti nel territorio comunale Dati anagrafici comuni di cittadini ed aziende residenti nel territorio comunale Dati anagrafici comuni di cittadini ed aziende residenti nel territorio comunale Dati anagrafici comuni di cittadini ed aziende residenti nel territorio comunale POSIZIONE RISPETTO AL COMUNE DESCRIZIONE IMPEGNI ASSUNTI Incaricato esterno Vedi lettere d’incarico integrate nei contratti di fornitura di servizi tra il Comune ed il soggetto esterno Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni SOGGETTO ESTERNO ATTIVITA’ DELEGATA OU 14 ATER Gestione assegnazione case popolari OU 15 Marsh S.p.a. Broker assicurativo OU 16 Massent Giovanni Trasporto cibi ID DESCRIZIONE SINTETICA DATI INTERESSATI POSIZIONE RISPETTO AL COMUNE DESCRIZIONE IMPEGNI ASSUNTI Attività relativa alla creazione delle graduatorie per l’assegnazione delle case popolari Consulenze generali per le pratiche assicurative del Comune Consegna ai cittadini di cibi per conto del Comune Dati anagrafici comuni di cittadini residenti nel territorio comunale Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Dati comuni del Titolare Titolare esterni autonomi Vedi documento presso Ufficio Segreteria/Tribuni Dati sensibili dei cittadini Collaboratore esterno Vedi lettera d'incarico in allegato al presente D.P.S. 11.2 – PROGRAMMA DI REGOLARIZZAZIONE RAPPORTI CON GLI OUTSOURCER Non tutti i soggetti elencati nello schema al paragrafo 11.1 sono da considerarsi veri e propri outsourcer: ad alcuni di loro, infatti, vengono semplicemente comunicati dati anagrafici e non sensibili al fine di svolgere l’attività (es. lista degli alunni per il trasporto scolastico, lista residenti per invio bollette T.I.A., etc.). Altri soggetti, invece, svolgono proprio attività per conto del Comune di Fontanelle: ad esempio Kibernetes S.r.l. gestisce il rapporto di lavoro tra i dipendenti del Comune ed il Comune stesso. Si è deciso, comunque, di considerare tutti questi soggetti come Titolari autonomi dei trattamenti e non incaricarli specificatamente. Si è provveduto, quindi, a farsi rilasciare una dichiarazione di ottemperanza in cui detti soggetti attestano che operano da autonomi Titolari esterni e che il trattamento dei dati da loro effettuato avviene a norma del D. Lgs. n. 196/2003 (con l’adozione, quindi, di tutte le misure di sicurezza previste dall’allegato B di detto D. Lgs.). Alla data di redazione del presente Documento Programmatico non tutti i soggetti hanno rilasciato tale dichiarazione: l’Ufficio Segreteria/Tributi si è, quindi, attivato per sollecitare i soggetti ancora mancanti al rilascio della stessa. Con il consulente informatico (“Kibernetes S.r.l.”, OU 07) il Comune ha formalizzato il rapporto nei contratti triennali di fornitura dei servizi. In tali contratti sono descritti gli impegni assunti. Il consulente informatico, inoltre, è stato edotto circa l’obbligo di rilascio della certificazione di conformità alle disposizioni dell’allegato B nei casi in cui il Titolare adotti misure minime di sicurezza avvalendosi di tali soggetti esterni, secondo l’obbligo previsto dal punto 25 del detto allegato B. Un collaboratore esterno (OU 16) svolge attività di consegna di cibo a cittadini per conto del Comune. Per questo viene a conoscenza di dati sanitari di cittadini. Per garantire la dovuta riservatezza, gli viene fatta sottoscrivere lettera d'incarico, in allegato al presente Documento. 55 12 - DICHIARAZIONE D’IMPEGNO E FIRMA Il presente Documento Programmatico sulla Sicurezza è stato redatto in maniera precisa e consapevole con lo specifico obbiettivo di: • fotografare l’ambito di trattamento dei dati; • individuare i fattori di criticità; • localizzare i punti deboli delle diverse fasi; • esaminare le possibilità di rimediare alle situazioni in cui è a rischio di compromissione la riservatezza delle informazioni; • identificare le soluzioni organizzative e tecniche per fronteggiare immediatamente insidie e pericoli riconosciuti in corso di analisi e scongiurare il verificarsi di incidenti futuri che possano pregiudicare i dati e recare danno ai soggetti cui i dati stessi si riferiscono; • ravvisare ogni utile opportunità di formazione del personale al fine di garantire la massima sensibilità alle questioni inerenti la riservatezza delle informazioni personali e la più metodica professionalità nello svolgimento dei compiti demandati; • assicurare il totale rispetto delle norme vigenti in materia di privacy. Il presente Documento Programmatico sulla Sicurezza si compone di n. 99 pagine. Viene acquisito agli atti della realtà che esegue il trattamento dei dati per la sua idonea conservazione e viene messo a disposizione: • degli organi designati dal Garante per la Protezione dei Dati personali per le iniziative di accertamento dell’osservanza delle prescrizioni di legge; • di chiunque – soggetto interessato – voglia verificare l’adeguatezza delle misure di sicurezza adottate a salvaguardia della riservatezza. Il presente Documento Programmatico sulla Sicurezza, redatto in data 29 marzo 2016 viene firmato in calce dal legale rappresentante del Comune di Fontanelle in qualità di Titolare del trattamento. Fontanelle, 29 marzo 2016 Il Titolare del trattamento Per il Comune di Fontanelle Il Sindaco Ezio Dan ………………………………….. 56 ALLEGATI AL D.P.S. • • • • • • Allegato A: Revisioni, aggiornamenti e modifiche Allegato B: Disciplinare Tecnico (Artt. Da 33 a 36 del Codice) Allegato C: Nomina dei Responsabili del trattamento Allegato D: Lettere d’incarico Allegato E: Nomina Amministratore del Sistema Informativo Allegato F: Lettera d'incarico Volontario del Servizio Civile 57 ALLEGATO A - REVISIONI, AGGIORNAMENTI E MODIFICHE Dal momento della dichiarazione d’impegno del presente Documento Programmatico sulla Sicurezza, possono effettuarsi delle revisioni, degli aggiornamenti o delle modifiche a quanto sottoscritto. Di tutto ciò il Titolare del trattamento dovrà darne la relativa relazione nel presente paragrafo, al fine di tenere sempre aggiornato il Documento circa le modalità di trattamento e le tipologie dei dati trattati, gli strumenti utilizzati per il trattamento e le relative misure di sicurezza adottate, prima della redazione del successivo Documento Programmatico sulla Sicurezza. ID. REVISIONE DATA DESCRIZIONE 58 APPROVAZIONE ALLEGATO B – DISCIPLINARE TECNICO Si riporta di seguito il “Disciplinare Tecnico in materia di Misure Minime di Sicurezza”, Allegato B al D. Lgs. n. 196/2003. Trattamenti con strumenti elettronici Modalita' tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. 59 Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Documento programmatico sulla sicurezza 19. [soppresso]* Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita' di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identita' genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico e' cifrato. 60 Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico. 26. [soppresso]* Trattamenti senza l'ausilio di strumenti elettronici Modalita' tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. *Paragrafi soppressi dall'art. 45, comma 1, lettera d), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. 61 ALLEGATO C - NOMINA DEI RESPONSABILI DEL TRATTAMENTO COMUNE DI FONTANELLE Provincia di Treviso Oggetto: Nomina dei Responsabili del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signori Mauro Polesel Sandro Giacomin Roberto Pinese Giuliano Tinazzi Stefania Zanusso Ai sensi dell’art. 29 del d. lgs. n. 196/2003 ed in base alle intese intercorse, in considerazione delle funzioni da Voi espletate all’interno del Comune, Vi comunico la nomina a Responsabili del trattamento dei dati personali del Comune di Fontanelle. In particolare designo: Mauro Polesel Responsabile dell’Ufficio del Segretario Generale e sostituto Responsabile in caso di assenza o impedimento degli altri Responsabili; Rag. Sandro Giacomin Responsabile dell’Ufficio Demografico, Ufficio Assistente Sociale, Ufficio Protocollo, Ufficio Segreteria Tributi, Ufficio Socio Economico e Culturale Sportivo, Biblioteca, Centro Giovani e Archivio Storico; Geom. Roberto Pinese Responsabile dell’Ufficio Urbanistica; Geom. Giuliano Tinazzi Responsabile dell’Ufficio Lavori Pubblici, Ufficio Polizia Locale e Struttura Polivalente; Rag. Stefania Zanusso Responsabile dell’Ufficio Ragioneria. In particolare, Voi sarete tenuti a: 1. Assicurare che il trattamento dei dati si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone fisiche, con particolare riferimento alla riservatezza ed all’identità personale. 2. Individuare gli incaricati e predisporre le istruzioni scritte; le istruzioni dovranno essere integrate con le adeguate prescrizioni sulle misure di sicurezza da applicare. 3. Catalogare analiticamente le banche dati con tutti gli elementi necessari al loro corretto utilizzo anche ai fini della eventuale notifica al Garante. 4. Predisporre ed aggiornare la modulistica riguardante l’interessato in conformità alla normativa vigente (informative, richieste di consenso, nomine degli incaricati, nomine dei preposti, etc.) 5. Attuare gli obblighi di informazione e acquisizione del consenso, quando richiesto, nei confronti degli interessati. 6. Ove necessario, predisporre la notificazione iniziale e le eventuali successive variazioni verificando l’esattezza e la completezza dei dati contenuti. 7. Predisporre la eventuale richiesta di autorizzazione preventiva al trattamento di dati sensibili da inviare al Garante; applicare le disposizioni contenute nelle autorizzazioni generali del Garante relative al trattamento dei dati sensibili e giudiziari nell’ente pubblico. 8. Soddisfare le eventuali richieste di cui all’art. 7 del d. lgs. n. 196/2003 che possano essere inviate dagli interessati al trattamento dei dati personali (accesso ai dati, aggiornamento, rettificazione, cancellazione, opposizione, etc.) 9. Collaborare per l’attuazione delle prescrizioni del Garante. 10. Mettere in atto ed aggiornare le misure di sicurezza determinate dal Titolare. 62 11. In particolare: custodire con cura le chiavi pass-partout dei locali ed utilizzarle solamente per le necessità di accesso ai locali previste dal presente mansionario. Vigilare, inoltre, sul corretto uso delle chiavi personali assegnate ai singoli incaricati. 12. Verificare l’effettiva funzionalità delle misure di sicurezza organizzative, fisiche e logiche al fine di evitare rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 13. Pianificare e realizzare l’attività di formazione nei confronti degli incaricati ai fini del corretto adempimento della normativa. 14. Controllare il rispetto delle finalità e modalità del trattamento stabilite dal Titolare e delle misure di sicurezza adottate dal Comune di Fontanelle da parte degli incaricati. In relazione ai poteri come sopra conferiti, Voi: - dovete rispettare le misure di sicurezza adottate; - dovete collaborare ai fini dell’esatta applicazione della legge anche tramite riunioni periodiche; - dovete agire nell’ambito e nei limiti del proprio compito, autonomamente ma sempre secondo le direttive stabilite dal Titolare. Fontanelle, 29 marzo 2016 Il Titolare del trattamento Per il Comune di Fontanelle Il Sindaco Ezio Dan …………………………………………… Con la presente accettiamo la nomina a Responsabile del Trattamento dei dati personali così come specificato nella lettera di nomina. Il Responsabile del trattamento Mauro Polesel ………………………………………….... Il Responsabile del trattamento Sandro Giacomin ………………………………………….... Il Responsabile del trattamento Roberto Pinese ………………………………………….... Il Responsabile del trattamento Giuliano Tinazzi ………………………………………….... Il Responsabile del trattamento Stefania Zanusso ………………………………………….... 63 ALLEGATO D - LETTERE D’INCARICO Le seguenti lettere d’incarico vengono destinate, per gruppi, ai soggetti in relazione alla funzione istituzionale che svolgono. Ogni Responsabile del trattamento incarica i soggetti appartenenti alla struttura di sua competenza (vedi schema 2.2 del presente Documento Programmatico). Il Sindaco è nominato come incaricato direttamente dal Titolare (cioè dal Comune, nella persona del Sindaco). COMUNE DI FONTANELLE Provincia di Treviso Oggetto: Nomina ad Incaricato del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signor Ezio Dan Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a lei assegnate, viene designato “incaricato del trattamento” e le vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui è autorizzato ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune la fornisce di chiavi personali della porta del locale presso cui svolge i suoi incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: professionisti e consulenti esterni (SIstemi e Soluzioni). 64 Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrà accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Titolare del trattamento Per il Comune di Fontanelle Il Sindaco Ezio Dan …………………………………………… L’incaricato per presa visione ed accettazione Ezio Dan ………………………………………….... 65 COMUNE DI FONTANELLE Provincia di Treviso Mauro Polesel Responsabile del trattamento dell’Ufficio del Segretario Oggetto: Nomina ad Incaricato del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signor Mauro Polesel Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a lei assegnate, viene designato “incaricato del trattamento” e le vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui è autorizzato ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a lei assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune la fornisce di chiavi personali della porta del locale presso cui svolge i suoi incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: professionisti e consulenti esterni (SIstemi e Soluzioni). Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 66 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrà accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Mauro Polesel …………………………………………… L’incaricato per presa visione ed accettazione Mauro Polesel ………………………………………….... 67 COMUNE DI FONTANELLE Provincia di Treviso Sandro Giacomin Responsabile del trattamento dell’Ufficio Demografico Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signori Lorenzina Cescon Silvia Brugnera Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designati “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune vi fornisce di chiavi personali della porta del locale presso cui svolgete i vostri incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: società per la gestione dei rifiuti (SAVNO), Azienda Sanitaria Locale, professionisti o consulenti esterni. Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 68 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Sandro Giacomin …………………………………………… Gli incaricati per presa visione ed accettazione Lorenzina Cescon ………………………………………….... Silvia Brugnera ………………………………………….... 69 COMUNE DI FONTANELLE Provincia di Treviso Sandro Giacomin Responsabile del trattamento dell’Ufficio Assistente Sociale Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signore Elisa Montesel Mirella Toldo Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designati “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune vi fornisce di chiavi personali della porta del locale presso cui svolgete i vostri incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: Azienda Sanitaria Locale, professionisti o consulenti esterni, Enti giurisdizionali (Tribunale), Forze dell’Ordine (Carabinieri), enti di gestione case popolari (ATER). Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 70 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Sandro Giacomin …………………………………………… Gli incaricati per presa visione ed accettazione Elisa Montesel ………………………………………….... Mirella Toldo ………………………………………….... 71 COMUNE DI FONTANELLE Provincia di Treviso Sandro Giacomin Responsabile del trattamento dell’Ufficio Protocollo Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signora Luciana Cellini Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a lei assegnate, viene designata “incaricato del trattamento” e le vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui è autorizzata ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a lei assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune la fornisce di chiavi personali della porta del locale presso cui svolge i suoi incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: professionisti e consulenti esterni. Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 72 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrà accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Sandro Giacomin …………………………………………… L’incaricato per presa visione ed accettazione Luciana Cellini ………………………………………….... 73 COMUNE DI FONTANELLE Provincia di Treviso Sandro Giacomin Responsabile del trattamento dell’Ufficio Segreteria/Tributi Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signori Sandro Giacomin Donatella Soldan Marisa Cazorzi Silvia Tocchet Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designati “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune vi fornisce di chiavi personali della porta del locale presso cui svolgete i vostri incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: società di recupero crediti per attività di recupero (ABACO), consulenti legali, organizzazioni sindacali cui è stato conferito il mandato, professionisti e consulenti esterni, (es. Sistemi e Soluzioni, Kibernetes S.r.l.), studi medici in adempimento del D. Lgs. n. 626/1994, Società di assicurazioni, enti di gestione case popolari (ATER), società per la gestione dei rifiuti (SAVNO). 74 Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrà/ete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Sandro Giacomin …………………………………………… Gli incaricati per presa visione ed accettazione Sandro Giacomin ………………………………………….... (segue) 75 Donatella Soldan ………………………………………….... Marisa Cazorzi ………………………………………….... Silvia Tocchet ………………………………………….... 76 COMUNE DI FONTANELLE Provincia di Treviso Sandro Giacomin Responsabile del trattamento dell’Ufficio Socio Economico/Culturale Sportivo Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signore Edda Casagrande Francesca Cattelan Nadia Battistella Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designate “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune vi fornisce di chiavi personali della porta del locale presso cui svolgete i vostri incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: − Edda Casagrande: società di recupero crediti per attività di recupero (ABACO), enti di gestione case popolari (ATER), professionisti e consulenti esterni, (es. Sistemi e Soluzioni), società per la gestione dei rifiuti (SAVNO). − Francesca Cattelan: società di trasporto pubblico (F.A.P.), professionisti e consulenti esterni. 77 − Nadia Battistella: società di recupero crediti per attività di recupero (ABACO), enti di gestione case popolari (ATER), società di trasporto pubblico (F.A.P.), professionisti e consulenti esterni, (es. Sistemi e Soluzioni). Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Sandro Giacomin …………………………………………… (segue) 78 Gli incaricati per presa visione ed accettazione Edda Casagrande ………………………………………….... Francesca Cattelan ………………………………………….... Nadia Battistella ………………………………………….... 79 COMUNE DI FONTANELLE Provincia di Treviso Sandro Giacomin Responsabile del trattamento della Biblioteca e del Centro Giovani Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signora Laura Cattai …………………………………(eventuale incaricato che presta Servizio Civile) …………………………………(eventuale incaricato che presta Servizio Civile) Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a lei assegnate, viene designata “incaricato del trattamento” e le vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui è autorizzato ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: professionisti e consulenti esterni. Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 80 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrà accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Sandro Giacomin …………………………………………… L’incaricato per presa visione ed accettazione Laura Cattai ………………………………………….... ……………………………………………(eventuale incaricato che presta Servizio Civile) ……………………………………………(eventuale incaricato che presta Servizio Civile) 81 COMUNE DI FONTANELLE Provincia di Treviso Sandro Giacomin Responsabile del trattamento dell'Ufficio Assistente Sociale Oggetto: Nomina ad Incaricato del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signor Giovanni Massent Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali o ne vengano a conoscenza nello svolgimento delle loro mansioni. Pertanto, nell’ambito delle mansioni a lei assegnate, viene designata “incaricato del trattamento” e le vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. 2. Trasmissione delle informazioni In relazione alla vostra mansione di consegna di cibi ai cittadini indicati dal Comune, non avete potere alcuno di comunicazione o diffusione delle informazioni relative alle tipologie di cibo o identità dei soggetti destinatari. 3. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 4. Divieti E’ fatto divieto di: • Fare parola con chicchessia al di fuori dei soggetti come voi incaricati al trattamento o di soggetti aventi diritto di conoscenza dei dati in questione. • Utilizzare dati di cui veniste a conoscenza per organizzare elenchi, inviare corrispondenza, ricavare statistiche, al di fuori di quelle che siano strettamente necessarie per lo svolgimento dei compiti che vi vengono assegnati. • Utilizzare in qualsiasi modo a vantaggio vostro o di terzi le informazioni con le quali venite a contatto nello svolgimento delle vostre mansioni. • Fornire informazioni, anche verbali, a terzi non incaricati senza esservi preventivamente accertati del diritto del richiedente alla conoscenza ovvero del consenso da parte dell’interessato a che la comunicazione avvenga. 82 • Affidare ad altri soggetti non nominati a loro volta incaricati del trattamento elaborazioni sui dati di vostra competenza. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Sandro Giacomin …………………………………………… L’incaricato per presa visione ed accettazione Giovanni Massent ………………………………………….... 83 COMUNE DI FONTANELLE Provincia di Treviso Roberto Pinese Responsabile del trattamento dell’Ufficio Urbanistica Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signori Roberto Pinese Luca Bortolotto Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designati “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune vi fornisce di chiavi personali della porta del locale presso cui svolgete i vostri incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: consulenti legali, professionisti e consulenti esterni, (es. Sistemi e Soluzioni), Società di assicurazioni. Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 84 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Roberto Pinese …………………………………………… Gli incaricati per presa visione ed accettazione Roberto Pinese ………………………………………….... Luca Bortolotto ………………………………………….... 85 COMUNE DI FONTANELLE Provincia di Treviso Giuliano Tinazzi Responsabile del trattamento dell’Ufficio Lavori Pubblici Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signori Giuliano Tinazzi Luigi D’Agostino Michele Dorigo Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designati “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune vi fornisce di chiavi personali della porta del locale presso cui svolgete i vostri incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: consulenti legali, professionisti e consulenti esterni, (es. Sistemi e Soluzioni), studi medici in adempimento del D. Lgs. n. 626/1994, Società di assicurazioni, società per la gestione degli utenti acquedotto e fogne (SISP), società per la gestione degli utenti gas (ASCO PIAVE), società che gestiscono il sistema d’allarme. Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 86 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Giuliano Tinazzi …………………………………………… Gli incaricati per presa visione ed accettazione Giuliano Tinazzi Michele Dorigo ………………………………………….... ………………………………………….... Luigi D’Agostino ………………………………………….... 87 COMUNE DI FONTANELLE Provincia di Treviso Giuliano Tinazzi Responsabile del trattamento dell’Ufficio Polizia Locale Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signori Alessandra Pessotto Michele Dorigo Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designati “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune vi fornisce di chiavi personali della porta del locale presso cui svolgete i vostri incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: società di recupero crediti per attività di recupero (ABACO), professionisti e consulenti esterni. Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 88 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Giuliano Tinazzi …………………………………………… Gli incaricati per presa visione ed accettazione Alessandra Pessotto ………………………………………….... Michele Dorigo ………………………………………….... 89 COMUNE DI FONTANELLE Provincia di Treviso Giuliano Tinazzi Responsabile del trattamento della Struttura Polivalente Oggetto: Nomina ad Incaricato del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signori Ermes Cattai Denis Grando Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designati “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti cartacei, sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, non è autorizzata la comunicazione dei dati stessi ad alcun soggetto. Ogni ipotesi di eventuale comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 90 6. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso la struttura di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrete, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Giuliano Tinazzi …………………………………………… Gli incaricati per presa visione ed accettazione Ermes Cattai ………………………………………….... Denis Grando ………………………………………….... 91 COMUNE DI FONTANELLE Provincia di Treviso Stefania Zanusso Responsabile del trattamento dell’Ufficio Ragioneria Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Signori Stefania Zanusso Irene Zanusso Ilenia Dassie Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a voi assegnate, venite designati “incaricati del trattamento” e vi vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui siete autorizzati ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a voi assegnati secondo lo schema 6.1 del presente Documento Programmatico sulla Sicurezza. Il Comune vi fornisce di chiavi personali della porta del locale presso cui svolgete i vostri incarichi lavorativi. Tali chiavi andranno custodite con cura e non consegnate ad altri soggetti. Fuori dell’orario di lavoro ed, in ogni caso in cui nel locale non sia presente alcun incaricato, la porta andrà chiusa a chiave. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa. In particolare ai seguenti soggetti esterni indicati dal Comune: professionisti e consulenti esterni, (es. Sistemi e Soluzioni, Kibernetes S.r.l.), società per la gestione degli utenti acquedotto e fogne (SISP), società per la gestione degli utenti gas (ASCO PIAVE), società di recupero crediti per attività di recupero (ABACO), Istituti di credito per i pagamenti, società per la gestione dei rifiuti 92 (SAVNO), organizzazioni sindacali cui è stato conferito il mandato, fondi o casse anche private di previdenza ed assistenza. Ogni ipotesi diversa di comunicazione o, addirittura, di diffusione dei dati dovrà essere preventivamente autorizzata di volta in volta dal Comune. 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrete accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto previsto allo schema 2.3 del presente Documento Programmatico. Potrà, inoltre, accedere alla Stanza Archivio per la consultazione o l’archiviazione delle documentazioni necessarie allo svolgimento della propria mansione. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, 29 marzo 2016 Il Responsabile del trattamento Stefania Zanusso …………………………………………… Gli incaricati per presa visione ed accettazione Stefania Zanusso ………………………………………….... (segue) 93 Irene Zanusso ………………………………………….... Ilenia Dassie ………………………………………….... 94 ALLEGATO E – LETTERA DI INCARICO AMMINISTRATORE DEL SISTEMA INFORMATIVO COMUNE DI FONTANELLE Provincia di Treviso Oggetto: Nomina ad Amministratore del Sistema Informativo per conto del Comune di Fontanelle (TV) Egr. Sig. Sandro Giacomin Ai sensi del D. Lgs. n. 196/2003 e dell’Allegato B “Disciplinare Tecnico in materia di misure minime di sicurezza”, Le comunichiamo la nomina ad Amministratore del Sistema Informativo con i seguenti compiti: • Sovrintendere al funzionamento della Rete interna. • Monitorare lo stato dei sistemi con particolare attenzione alla sicurezza. • Coordinare gli interventi di manutenzione hardware e software. • Sovrintendere all’operato di eventuali tecnici esterni all’amministrazione. • Fare in modo che sia prevista la disattivazione dei codici identificativi personali in caso di perdita della qualità di incaricato o nel caso di mancato utilizzo per oltre sei mesi. • Gestire la password di Amministratore del Sistema Informativo • Collaborare con i Responsabili del trattamento dei dati personali • Forzare il sistema di autenticazione modificando la password nei casi in cui sia necessario accedere ai dati o ai PC secondo quanto previsto al punto 10 dell’Allegato B al D. Lgs. n. 196/2003. • Eseguire le procedure di back up secondo quanto descritto al capitolo 9 del presente Documento Programmatico L’Amministratore testè incaricato dichiara di essere a conoscenza di quanto stabilito dal D. Lgs. n. 196/2003 ed in particolare di quanto indicato nell’Allegato B allo stesso D. Lgs. e si impegna ad adottare tutte le misure necessarie all’attuazione delle norme descritte nel D.P.S., in relazione ai compiti sopra indicati. Fontanelle, 29 marzo 2016 Il Titolare del trattamento Per il Comune di Fontanelle Il Sindaco Ezio Dan …………………………………………… L’incaricato per presa visione ed accettazione Sandro Giacomin ………………………………………….... 95 ALLEGATO F – LETTERA DI INCARICO VOLONTARIO DEL SERVIZIO CIVILE COMUNE DI FONTANELLE Provincia di Treviso Oggetto: Nomina ad Incaricati del trattamento dei dati per conto del Comune di Fontanelle (TV) Egr. Sig. ........................................................... Il decreto legislativo 30 giugno 2003 n. 196 sulla tutela della riservatezza nel trattamento di dati personali ha introdotto rilevanti obblighi a carico del Comune, obblighi la cui inosservanza è sanzionata penalmente ed espone a responsabilità civili. Questo decreto ha la finalità di garantire che il trattamento di dati personali si svolga nel pieno rispetto dei diritti dell’interessato, sia esso persona fisica che società, ente od associazione. La legge prescrive (art. 30) che vengano impartite da parte del Responsabile del Trattamento specifiche istruzioni agli “incaricati del trattamento” e, cioè, a coloro che, nell’ambito dell’organizzazione stessa ed in relazione alle mansioni affidate, trattano dati personali sia mediante sistemi informatici che mediante documenti cartacei. Pertanto, nell’ambito delle mansioni a lei assegnate, viene designato “incaricato del trattamento” e le vengono impartite le seguenti istruzioni atte a garantire un trattamento lecito, corretto e sicuro dei dati. 1. Accesso a banche dati Le banche dati cui è autorizzato ad accedere per effettuare i trattamenti (sia informatici che cartacei), sempre strettamente pertinenti alle mansioni svolte e per le finalità previste dall’istituzione, rispettando i principi fondamentali sanciti dall’art. 11 del decreto legislativo n. 196/2003, sono solamente quelle necessarie a svolgere i trattamenti a lei assegnati dal Responsabile del trattamento che la nomina con la presente. 2. Creazione nuove banche dati. Gestione programmi Senza preventiva autorizzazione del Responsabile del trattamento non è permesso realizzare nuove ed autonome banche dati, con finalità diverse da quelle già previste. 3. Trattamento dei dati personali Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dal Comune e, pertanto, in conformità alle informazioni che il Comune comunica agli interessati. L’eventuale raccolta di dati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o consenso elaborati dal Comune. L’incaricato deve prestare particolare attenzione all’esattezza dei dati trattati e provvedere, inoltre, all’aggiornamento degli stessi. 4. Comunicazione e diffusione dei dati In relazione alle banche dati di cui è autorizzato il trattamento nello svolgimento delle mansioni affidate, è autorizzata la comunicazione dei dati stessi esclusivamente ai soggetti che per obbligo di legge necessitano della comunicazione stessa o ai soggetti di volta in volta indicati dal suo Responsabile. 5. Misure di sicurezza Ogni incaricato è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito, già predisposte dal Comune, nonché quelle che in futuro verranno comunicate. 6. Sistemi informatici (le indicazioni si riferiscono alle sole misure minime) Per ogni incaricato viene creata una “credenziale di autenticazione” che consente l’accesso in rete ai dati, attraverso una procedura di autenticazione (login). A tal fine, ad ogni incaricato è stata assegnata in via riservata una credenziale per l’autenticazione che consiste in un codice identificativo (user id) ed una parola 96 chiave riservata (password). Tale parola chiave non va comunicata ad altri incaricati; le variazioni sono disposte autonomamente dallo stesso incaricato con periodicità trimestrale. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magnetici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili. Si ricorda che il Comune, Titolare del trattamento, nei casi in cui sia indispensabile ed indifferibile accedere ai dati trattati dall’incaricato ed agli strumenti informatici in dotazione allo stesso, per la sicurezza ed operatività dello stesso sistema informatico (ad esempio nei casi di prolungata assenza od impedimento dell’incaricato), potrà accedere mediante intervento dell’ Amministratore del Sistema Informativo nominato dal Comune stesso. L’incaricato non può installare ed utilizzare programmi per elaboratore non autorizzati dal Comune né privi di licenza che legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate. 7. Trattamenti cartacei In base al principio di stretta pertinenza dei trattamenti rispetto alle mansioni svolte, potrà accedere agli archivi relativi alle banche dati di tipo cartaceo ubicate presso l’ufficio di propria competenza secondo quanto indicato dal suo Responsabile. L’incaricato, nel trattare documenti contenenti dati sensibili o giudiziari è tenuto a custodirli in modo da evitare l’accesso agli stessi dati a persone prive di autorizzazione. L’incaricato deve, inoltre, custodire gli archivi contenenti documenti con dati sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. L’accesso fuori dall’orario di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati a terzi preventivamente autorizzati in via generale dal Comune. Fontanelle, .................................................... Il Responsabile del trattamento (Nome e cognome)………………………………………….... (Firma)………………………………………….... L’incaricato per presa visione ed accettazione (Nome e cognome)………………………………………….... (Firma)………………………………………….... 97 INDICE 1. Introduzione 1.1 Applicabilità 1.2 Revisione e validità del presente Documento 1.3 Quadro normativo di riferimento 1.4 Struttura del Documento 1.5 Definizioni 2. Organigramma 2.1 Titolare del trattamento 2.2 Responsabili del trattamento 2.3 Incaricati del trattamento interni alla struttura Comunale 2.4 Amministratore del Sistema Informativo 2.5 Outsourcer 2.6 Soggetti autorizzati all’accesso ai locali fuori dall’orario di lavoro 3. Descrizione della Struttura 3.1 Dati generali dell’Ente 3.2 L’attività 3.3 Descrizione dei luoghi fisici: la sede principale 3.4 Descrizione dei luoghi fisici: le sedi secondarie 3.5 Descrizione dei luoghi fisici: i locali della sede principale 4. Strumenti utilizzati per il trattamento dei dati 4.1 Mappa degli strumenti elettronici 4.2 Caratteristiche tecniche degli strumenti elettronici 4.3 Server virtuali 4.4 Supporti cartacei 5. Descrizione complessiva trattamento dati 5.1 Elenco dei trattamenti: informazioni di base 5.2 Elenco delle banche dati elettroniche 5.3 Elenco degli strumenti elettronici assegnati agli incaricati 5.4 Elenco dei trattamenti: ulteriori informazioni 6. Distribuzioni di compiti e responsabilità 6.1 Mappa delle distribuzioni di ruoli 7. Analisi dei rischi che incombono sui dati 7.1 Comportamenti degli operatori 7.2 Eventi relativi agli strumenti 7.3 Eventi relativi al contesto 8. Misure in essere e da adottare per garantire l’integrità e la disponibilità dei dati 8.1 Protezione di aree e locali 8.2 Custodia e archiviazione dei dati 8.3 Misure logiche di sicurezza 8.4 Le misure di sicurezza nelle sedi secondarie 8.5 Mappa delle misure adottate 9. Criteri e modalità di salvataggio e di ripristino della disponibilità dei dati 9.1 Mappa dei criteri e procedure per il salvataggio dei dati 10. Pianificazione degli interventi formativi previsti 10.1 Elenco dei corsi di formazione già eseguiti 10.2 Pianificazione degli ulteriori interventi formativi 11. Trattamenti affidati all’esterno 11.1 Elenco dei trattamenti affidati in outsourcing 11.2 Programma di regolarizzazione rapporti con gli outsourcer 98 pag. 2 pag. 2 pag. 2 pag. 2 pag. 2 pag. 3 pag. 5 pag. 5 pag. 5 pag. 6 pag. 6 pag. 7 pag. 7 pag. 8 pag. 8 pag. 8 pag. 8 pag. 8 pag. 9 pag. 11 pag. 11 pag. 12 pag. 18 pag. 19 pag. 20 pag. 20 pag. 26 pag. 26 pag. 27 pag. 35 pag. 36 pag. 42 pag. 42 pag. 42 pag. 43 pag. 44 pag. 44 pag. 46 pag. 46 pag. 48 pag. 49 pag. 50 pag. 50 pag. 51 pag. 51 pag. 52 pag. 53 pag. 53 pag. 55 12. Dichiarazione d’impegno e firma pag. 56 Allegati al D.P.S. Allegato A – Revisioni, aggiornamenti e modifiche Allegato B – Disciplinare Tecnico Allegato C – Nomina dei Responsabili del trattamento Allegato D – Lettere d’incarico Allegato E – Lettera di incarico Amministratore del Sistema Informativo Allegato F – Lettera di incarico Volontario del Servizio Civile pag. 57 pag. 58 pag. 59 pag. 62 pag. 64 pag. 95 pag. 96 Indice pag. 98 99