Documento Programmatico sulla Sicurezza

Transcript

ZUCCHETTI CENTRO SISTEMI SPA
VIA LUNGARNO 305/A
52028 Terranuova B.ni (AR)
Documento Programmatico sulla Sicurezza
ai sensi dell'art. 34, c.1, lett. g), D.Lgs. n. 196/2003
Anno di riferimento: 2010
Data redazione: Martedì, 30-03-2010
Il presente Documento si compone di n. 41 pagine.
Si richiede l’apposizione del timbro certificante data certa da parte Dell’Ufficio Postale:
Pagina 1 di 41
VIA LUNGARNO 305/A
52028 Terranuova B.ni AR
DPS: Guida Introduttiva
Data:30-03-10
Guida operativa
Conformemente a quanto prescrive il punto 19. del Disciplinare tecnico, allegato sub b) del Dlgs 196/2003, nel presente
documento si forniscono idonee informazioni riguardanti:
Regola 19.1: “l’elenco dei trattamenti di dati personali”
L’elenco dei trattamenti sarà strutturato in modo da mettere in evidenza:
- La natura dei dati trattati
- La struttura in cui i dati vengono trattati
- Gli strumenti elettronici sui quali i dati vengono trattati
Quindi la struttura del DPS in riferimento alla regola 19.1 sarà la seguente:
- Descrizione sintetica del trattamento;
- La natura dei dati trattati e quindi se trattasi di dati sensibili o giudiziari;
- La struttura di riferimento in cui i dati sono trattati;
- La tipologia di strumenti utilizzati;
- La tipologia di interconnessione cioè se trattasi di connessione da rete accessibile al pubblico, da rete non accessibile,
stand alone etc.
Regola 19.2: “la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei
dati”.
La distribuzione dei compiti e delle responsabilità sarà strutturata in modo da mettere in evidenza:
- L’organizzazione della struttura di riferimento
- I compiti e le responsabilità in relazione ai trattamenti effettuati
Quindi la struttura del DPS in riferimento alla regola 19.2 sarà la seguente:
- Incarico
- Denominazione del soggetto incaricato ed eventuale gruppo di appartenenza
- Gli archivi o il gruppo di archivi su cui il trattamento avviene
- La distribuzione dei compiti e delle responsabilità
Regola 19.3: “l’analisi dei rischi che incombono sui dati”;
In questa sezione saranno evidenziati i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutate le
possibili conseguenze e la gravità in relazione al contesto fisico–ambientale di riferimento e agli strumenti elettronici
utilizzati.
La struttura del DPS in riferimento alla regola 19.3 sarà la seguente:
- Rischi assunti come parametro di valutazione per l’analisi dei rischi;
- Archivi/Gruppo archivi interessati dal rischio considerato;
- Descrizione dell’impatto sulla sicurezza qualora il rischio considerato diventi danno
Regola 19.4: “le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e accessibilità”
Pagina 2 di 41
VIA LUNGARNO 305/A
Data:30-03-10
In questa sezione saranno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi
individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire,
contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel
tempo, essenziali per assicurarne l’efficacia.
- Archivi/Gruppo archivi interessati dal rischio considerato;
- Struttura o persona addetta all’adozione delle misure di sicurezza;
- Misure in essere in relazione alle Tecnologie esistenti, alle Procedure adottate e al grado di formazione delle Risorse
umane incaricate al trattamento dei dati;
- Misure da adottare per raggiungere una bassa magnitudo (rischio=probabilità * danno) del rischio.
Regola 19.5: “la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione
o danneggiamento di cui al successivo punto 23”
In questa sezione saranno riportate le procedure per il ripristino ed il salvataggio dei dati per garantirne comunque la
disponibilità anche a seguito di distruzione o danneggiamento.
Per effettuare una stampa di questo tipo è stato deciso, in linea con quanto proposto dal garante di dividere le stampe in
due: una che prevederà le procedure per il ripristino; l’altra che prevederà le procedure per il salvataggio
Salvataggio
- Archivi/Gruppo archivi oggetto della procedura di salvataggio;
- Luogo di custodia delle copie;
- Persona addetta al salvataggio;
- Procedure di salvataggio
Ripristino
- Archivi/Gruppo archivi oggetto della procedura di ripristino;
- Pianificazione delle prove di ripristino
- Persona addetta al ripristino
- Procedure di ripristino
Regola 19.6: “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei
dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per
aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in
servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali”
In relazione a ciò il Dps nella scheda 19.6 riporterà la descrizione sintetica degli interventi formativi, le Classi di incarico o
tipologie di incaricati interessati, i Tempi previsti e i Rischi analizzati nel corso
- Descrizione del corso;
- Motivi del corso;
- Data;
- Rischi analizzati;
- Soggetti partecipanti, con l’indicazione degli incarichi attribuiti.
Pagina 3 di 41
VIA LUNGARNO 305/A
Data:30-03-10
Regola 19.7: “la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare”
In relazione a ciò il Dps nella scheda 19.7 riporterà le informazioni relative alla descrizione dell’attività “esternalizzata, al
soggetto esterno esercente tale attività, alla descrizione dei criteri adottati.
- Soggetto esterno a cui viene conferito l’incarico;
- Tipo attività esternalizzata;
- Archivi/Gruppo archivi interessato;
- Descrizione dei criteri e degli impegni assunti per l’adozione delle misure.
Regola 19.8: “per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione
dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato”.
In relazione a ciò il Dps nella scheda 19.8 riporterà le informazioni relative al trattamenti di dati, alla protezione scelta e
alla tecnica adottata.
- Archivi/Gruppo archivi interessato;
- Protezione scelta (crittografia o separazione);
- Tecnica adottata (chiave pubblica, privata, etc);
- Informazioni utili.
Pagina 4 di 41
VIA LUNGARNO 305/A
DPS: Organigramma Titolare
Data:30-03-10
Organigramma
Titolare
Responsabili
Responsabile trattamento dati
Nominativo
Da
MANETTI SIMONETTA
01-01-2000
A
Unità Organizzativa
AMMINISTRAZIONE
Responsabile sicurezza informatica
Nominativo
Da
NANNINI CESARE
01-01-2000
A
CED INTERNO
Amministratore di sistema
Nominativo
Da
A
BERNINI MIRKO
01-01-2000
CED INTERNO
BONECHI LEONARDO
01-01-2000
CED INTERNO
NANNINI CESARE
01-01-2000
CED INTERNO
RAPINI ANDREA
01-01-2000
CED INTERNO
Responsabile di servizi in esterno
Nominativo
Da
MANETTI SIMONETTA
01-01-2000
A
AMMINISTRAZIONE
Incaricati
Incaricato al trattamento dati
Nominativo
Da
A
BURZAGLI ALESSANDRO
01-01-2000
AMMINISTRAZIONE
CAINI GIANNA
01-01-2000
AMMINISTRAZIONE
CIAPERONI STEFANIA
01-01-2000
SEGRETERIA
CHIMENTI LIDIA
01-01-2007
AMMINISTRAZIONE
CONSOLATI ELISA
01-01-2008
SEGRETERIA
GIAMPIERI MARIA GRAZIA
01-01-2000
SEGRETERIA
GORI VALENTINA
01-01-2000
SEGRETERIA
GORNI ARIANNA
21-01-2010
CENTRALINO
KNOREN CORELLA
01-01-2008
SEGRETERIA
Pagina 5 di 41
VIA LUNGARNO 305/A
Data:30-03-10
LAPI SARA
01-01-2008
SEGRETERIA
MINUCCI ROMINA
01-01-2008
SEGRETERIA
NOMPARI ERIKA
01-01-2000
SEGRETERIA
NUTUS CRISTINA
01-01-2000
AMMINISTRAZIONE
PAOLETTI ALESSANDRO
01-01-2000
AMMINISTRAZIONE
POETA ROBERTA
01-01-2008
SEGRETERIA
SANCHIONI CHIARA
01-01-2008
SEGRETERIA
SCARAMELLI ROBERTO
01-01-2000
AMMINISTRAZIONE
SOLDANI MONIA
01-12-2006
SEGRETERIA
TEMPESTA FRANCESCA
01-01-2009
AMMINISTRAZIONE
ZAMPONI ROMINA
01-01-2006
SEGRETERIA
Manutentore di sistema
Nominativo
Da
A
BERNINI MIRKO
01-01-2000
CED INTERNO
BONECHI LEONARDO
01-01-2000
CED INTERNO
NANNINI CESARE
01-01-2000
CED INTERNO
RAPINI ANDREA
01-01-2000
CED INTERNO
Incaricato al salvataggio dati
Nominativo
Da
A
BURZAGLI ALESSANDRO
01-01-2000
AMMINISTRAZIONE
NANNINI CESARE
01-01-2000
CED INTERNO
PAOLETTI ALESSANDRO
01-01-2000
AMMINISTRAZIONE
GALANTE MICHELE
01-01-2000
LABORATORIO IDEE
MAGI STEFANO
01-01-2000
HEALTHCARE DIVISION
CIOFINI FABIO
01-01-2000
PROGRAMMAZIONE
BENI GIANDOMENICO
01-01-2000
AUTOMATION DIVISION
Incaricato al ripristino dei dati
Nominativo
Da
BERNINI MIRKO
01-01-2000
A
CED INTERNO
Pagina 6 di 41
VIA LUNGARNO 305/A
Data:30-03-10
BONECHI LEONARDO
01-01-2000
CED INTERNO
NANNINI CESARE
01-01-2000
CED INTERNO
RAPINI ANDREA
01-01-2000
CED INTERNO
Incaricato alla custodia delle password
Nominativo
Da
NANNINI CESARE
01-01-2000
A
CED INTERNO
Incaricato al controllo di accesso ai locali
Nominativo
Da
A
ALDINUCCI CRISTINA
01-10-2009
CENTRALINO
CAINI GIANNA
01-01-2000
AMMINISTRAZIONE
GORNI ARIANNA
21-01-2010
CENTRALINO
NUTUS CRISTINA
01-01-2000
AMMINISTRAZIONE
SCARAMELLI ROBERTO
01-01-2000
AMMINISTRAZIONE
Pagina 7 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.1
Data:30-03-10
Elenco dei trattamenti di dati personali (regola 19.1)
Contenuti
In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne,
con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente
preposta, nonché degli strumenti elettronici impiegati.
Nella redazione della lista si terrà conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al
Garante anche in passato.
Informazioni essenziali
Per ciascun trattamento verranno indicate le seguenti informazioni secondo il livello di sintesi determinato dal titolare:
Trattamento e Oggetto del trattamento: verrà menzionato il trattamento (Gruppo Archivi) ed il relativo oggetto (archivio
facente parte del gruppo archivi) attraverso l’indicazione della finalità perseguita o dell’attività svolta (es., fornitura di
beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti,
dipendenti e/o collaboratori, fornitori, ecc.).
Formato: verrà menzionata l’informazione se trattasi di trattamento effettuato su supporto elettronico o cartaceo.
Natura dei dati trattati: verrà indicato se, tra i dati personali, sono presenti dati sensibili o giudiziari.
Strumenti elettronici utilizzati: in caso di trattamento con strumenti elettronici verrà indicata la descrizione degli
strumenti elettronici impiegati.
Locale e ubicazione: verrà indicato il luogo in cui viene effettuato il trattamento sia che avvenga su archivi elettronici che
cartacei.
Tipo dispositivi d’accesso: verrà indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili).
Tipo di interconnessione: verrà indicata la tipologia di interconnessione relativa allo strumento con cui si trattano i dati
(elaboratore stand alone, connesso a rete pubblica, connesso a rete privata)
Supporti di memorizzazione: verrà indicata la descrizione del supporto relativo all’oggetto del trattamento effettuato, il
locale e l’ubicazione in cui tale supporto viene custodito. In scheda si avranno due ipotesi:
I)i singoli archivi verranno memorizzati su un singolo supporto, in questo caso i supporti verranno riportati sotto
all’oggetto del trattamento.
II)Viceversa la base dati di un Trattamento (gruppo archivi), verrà memorizzata su un unico supporto, in questo caso il
supporto verrà riportato un’unica volta sotto ai diversi oggetti del trattamento (archivi)
Pagina 8 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.1
Data:30-03-10
Elenco dei trattamenti di dati
Trattamento: Rete Interna
Oggetto Trattamento: Database Contabilità
Finalità principali
Amministrativo - contabili;
Finalità secondarie
Adempimento di obblighi contabili e fiscali; Gestione clientela; Gestione fornitori; Gestione contenzioso;
Categoria soggetti interessati
Clienti/Utenti; Fornitori; Personale dipendente; Consulenti e liberi professionisti; Agenti e rappresentanti;
Tipo Trattamento Natura Dati
Strumenti
Locale
Tipo disp.
Tipi Intercon.
Elettronico
Server Ammin
Locale Server Primo Piano
Server
Rete Privata
Ordinari
Supporti di Memorizzazione
Descrizione
AMMINISTRAZIONE
Locale
Locale Amministrazione
Ubicazione
Scaffali Amministrativi - stanza amministrazione
Oggetto Trattamento: Database per Gestione Paghe
Trattamento economico – giuridico del personale; Gestione del personale; Riscossione quote relative e
deleghe sindacali.
Personale dipendente;
Strumenti
Locale
Tipo disp.
Tipi Intercon.
Elettronico
PC Paoletti
Desktop
Rete Privata
Sensibili
Oggetto Trattamento: Server Gandalf
Formazione; Gestione clientela; Gestione fornitori; Gestione contenzioso;
Clienti/Utenti; Fornitori;
Strumenti
Locale
Tipo disp.
Tipi Intercon.
Elettronico
Server Gandalf
Locale Server Primo Terra
Server
Rete Privata
Ordinari
Pagina 9 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.1
Data:30-03-10
Trattamento: Archivio Cartaceo
Oggetto Trattamento: Archivio Cartaceo Amministrativo
Trattamento economico – giuridico del personale; Reclutamento, selezione, valutazione e monitoraggio
del personale; adempimento di obblighi contabili e fiscali; Gestione del patrimonio immobiliare e
mobiliare; Gestione clientela; Gestione fornitori; Gestione contenzioso;
Locale
Tipo disp.
Cartaceo
Scaffali AmministrativiStanza amministrazione
Ordinari
Tipi Intercon.
Oggetto Trattamento: Archivio Cartaceo – Piano Terra
Trattamento economico – giuridico del personale; Gestione del personale; adempimento di obblighi
contabili e fiscali; Gestione del patrimonio immobiliare e mobiliare; Gestione clientela; Gestione fornitori;
Gestione contenzioso;
Locale
Tipo disp.
Cartaceo
Locale Archivio Storico
Piano Terra
Scaffali Piano Terra
Ordinari
Tipi Intercon.
Oggetto Trattamento: Cartelline Tecnico – Commerciali
Amministrativo - contabili; Connesse all’attività commerciale;
Gestione clientela; Gestione contenzioso;
Clienti/Utenti; Agenti e rappresentanti;
Locale
Tipo disp.
Cartaceo
Stanza Segreteria
Tecnico/Commerciali
Scaffali
Tecnico/Commerciali
Ordinari
Tipi Intercon.
Pagina 10 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.2
Data:30-03-10
Distribuzione dei compiti e delle responsabilità (regola 19.2)
Contenuti
In questa sezione sono descritte sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative
responsabilità, in relazione ai trattamenti effettuati. Si farà specifico riferimento anche ai documenti già predisposti
qualora esistenti (provvedimenti, ordini di servizio, regolamenti interni, circolari).
Struttura: verranno riportate le indicazioni delle strutture che effettuano i trattamenti. In particolare verrà riportata la
Categoria di soggetti che effettua il trattamento con gli specifici soggetti che ne fanno parte o con le Unità operative di cui
fan parte quei soggetti.
Trattamenti effettuati dalla struttura: verranno riportati i trattamenti di competenza di ciascuna struttura.
Compiti e responsabilità della struttura: verranno descritti sinteticamente i compiti e le responsabilità della struttura
rispetto ai trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a
terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.).
Vi sarà inoltre l’indicazione di eventuali documenti esterni che riportano informazioni relative alla distribuzione dei compiti e
delle responsabilità.
Pagina 11 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.2
Data:30-03-10
Distribuzione dei compiti e delle responsabilità
Tipo soggetto: Responsabile trattamento dati
Nominativo: MANETTI SIMONETTA
Trattamenti: Rete Interna
Compiti - responsabilità:
Accesso/stampa
Cancellazione
Diffusione
Modifica
Inserimento
Tipo soggetto: Responsabile sicurezza informatica
Nominativo: NANNINI CESARE
Accesso/stampa
Cancellazione
Diffusione
Modifica
Inserimento
Tipo soggetto: Amministratore di sistema
Nominativo: BERNINI MIRKO
Nominativo: BONECHI LEONARDO
Nominativo: RAPINI ANDREA
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Pagina 12 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.2
Data:30-03-10
Tipo soggetto: Incaricato al trattamento dati
Nominativo: PAOLETTI ALESSANDRO
Nominativo: NUTUS CRISTINA
Nominativo: SCARAMELLI ROBERTO
Nominativo: GORI VALENTINA
Nominativo: NOMPARI ERIKA
Nominativo: CAINI GIANNA
Nominativo: GIAMPIERI MARIAGRAZIA
Nominativo: TEMPESTA FRANCESCA
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Pagina 13 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.2
Data:30-03-10
Nominativo: CHIMENTI LIDIA
Nominativo: POETA ROBERTA
Nominativo: LAPI SARA
Nominativo: SANCHIONI CHIARA
Nominativo: CIAPERONI STEFANIA
Nominativo: SOLDANI MONIA
Nominativo: CONSOLATI ELISA
Nominativo: SOLDANI MONIA
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Pagina 14 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.2
Data:30-03-10
Nominativo: KNOREN CORELLA
Nominativo: ZAMPONI ROMINA
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Tipo soggetto: Incaricato al salvataggio dati
Nominativo: BURZAGLI ALESSANDRO
Trattamenti: Database Contabilità
Nominativo: PAOLETTI ALESSANDRO
Trattamenti: Database per Gestione Paghe
Nominativo: CIOFINI FABIO
Trattamenti: Database per Programmatori
Nominativo: MAGI STEFANO
Trattamenti: Database per Healthcare Division
Nominativo: GALANTE MICHELE
Trattamenti: Database Laboratorio delle Idee
Nominativo: BENI GIANDOMENICO
Trattamenti: Database per Automation Division
Accesso/stampa
Cancellazione
Diffusione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica - Inserimento
Pagina 15 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.2
Data:30-03-10
Trattamenti: Server Gandalf
Nominativo: BERNINI MIRKO
Nominativo: BONECHI LEONARDO
Nominativo: RAPINI ANDREA
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Tipo soggetto: Incaricato al controllo accesso ai locali
Nominativo: ALDINUCCI CRISTINA
Trattamenti: Rete interna
Nominativo: GORNI ARIANNA
Trattamenti: Rete interna
Nominativo: POETA ROBERTA
Trattamenti: Cartelline Tecnico-Commerciali
e rete interna
Nominativo: LAPI SARA
e rete interna
Accesso/stampa
Modifica
Inserimento
Accesso/stampa
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Pagina 16 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.2
Data:30-03-10
Nominativo: SANCHIONI CHIARA
e rete interna
Nominativo: GIAMPIERI MARIA GRAZIA
e rete interna
Nominativo: MINUCCI ROMINA
e rete interna
Nominativo: ZAMPONI ROMINA
e rete interna
Nominativo: SCARAMELLI ROBERTO
Trattamenti: Archivio Cartaceo – Piano Terra
Nominativo: NUTUS CRISTINA
Trattamenti: Archivio Cartaceo Amministrativo
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Accesso/stampa
Cancellazione
Modifica
Inserimento
Controllo
Controllo
Pagina 17 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.3
Data:30-03-10
Analisi dei rischi che incombono sui dati (regola 19.3)
Contenuti
Verranno descritti in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e
valutate le possibili conseguenze e la gravità in relazione al contesto fisico–ambientale di riferimento e agli
strumenti utilizzati per fronteggiare tali rischi.
Elenco degli eventi: saranno individuati gli eventi che possono generare danni e che comportano, quindi,
rischi per la sicurezza dei dati personali. In particolare, verrà presa in considerazione la lista esemplificativa dei
seguenti eventi:
1) comportamenti degli operatori:
1
2
3
4
-
sottrazione di credenziali di autenticazione
carenza di consapevolezza, disattenzione o incuria
comportamenti sleali o fraudolenti
errore materiale
2) eventi relativi agli strumenti:
1
2
3
4
5
-
azione di virus informatici o di programmi suscettibili di recare danno
spamming o tecniche di sabotaggio
malfunzionamento, indisponibilità o degrado degli strumenti
accessi esterni non autorizzati
intercettazione di informazioni in rete
3) eventi relativi al contesto fisico-ambientale:
1 - ingressi non autorizzati a locali/aree ad accesso ristretto
2 - sottrazione di strumenti contenenti dati
3 - eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti,
condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
4 - guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
5 - errori umani nella gestione della sicurezza fisica
Trattamenti interessati: verranno riportati i trattamenti interessati dal tipo di rischio in esame.
Impatto sulla sicurezza: verranno descritte le principali conseguenze individuate per la sicurezza dei dati, in
relazione a ciascun evento, e valutata la loro gravità anche in relazione alla rilevanza e alla probabilità stimata
dell’evento in termini sintetici: alta/media/bassa. In questo modo sarà possibile formulare un primo indicatore
omogeneo per i diversi rischi da contrastare.
Pagina 18 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.3
Data:30-03-10
Analisi dei Rischi
Formato Dati: Elettronico
Rischi: Sottrazione di credenziali di autenticazione
Trattamenti
Rete Interna
Descrizione dell'impatto sulla sicurezza
Rischio Basso
Rischi: Carenza di consapevolezza, disattenzione o incuria
Trattamenti
Rete Interna
Rischio Medio
Rischi: Comportamenti sleali o fraudolenti
Trattamenti
Rete Interna
Rischio Basso
Rischi: Errore materiale
Trattamenti
Rete Interna
Rischio Medio
Rischi: Azione di virus informatici o di programmi suscettibili a recar danno
Trattamenti
Rete Interna
Rischio Basso
Rischi: Spamming o tecniche di sabotaggio
Trattamenti
Rete Interna
Rischio Basso
Rischi: Malfunzionamento, indisponibilità o degrado degli strumenti
Trattamenti
Rete Interna
Rischio Basso
Rischi: Accessi esterni non autorizzati
Trattamenti
Rete Interna
Rischio Basso
Rischi: Intercettazione di informazioni in rete
Trattamenti
Rete Interna
Rischio Basso
Rischi: Sottrazione di strumenti contenenti dati
Trattamenti
Rete Interna
Rischio Basso
Rischi: Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi)
Trattamenti
Rete Interna
Rischio Basso
Pagina 19 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.3
Data:30-03-10
Analisi dei Rischi
Rischi: Guasto a sistemi complementari (Impianto elettrico, climatizzazione, ecc.)
Trattamenti
Rete Interna
Rischio Basso
Pagina 20 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.3
Data:30-03-10
Analisi dei Rischi
Rischi: Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi)
Trattamenti
Archivio Cartaceo
Rischio Medio
Rischi: Ingressi non autorizzati a locali /aree ad accesso ristretto)
Trattamenti
Archivio Cartaceo
Rischio Medio
Pagina 21 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.4
Data:30-03-10
Misure di sicurezza adottate o da adottare (regola 19.4)
Contenuti
In questa sezione verranno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i
rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per
prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di
verifica e controllo nel tempo, essenziali per assicurarne l’efficacia.
Descrizione dei rischi: per ciascuna misura saranno indicati i rischi che si intende contrastare).
Trattamenti interessati: verranno indicati i trattamenti interessati per ciascuna delle misure adottate.
Struttura o persone addette all’adozione: verranno indicate la struttura o la persona responsabili o preposte
all’adozione delle misure indicate.
Misure di sicurezza: saranno descritte le misure adottate e da adottare(divise in tecnologie, procedure e risorse
umane
Pagina 22 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.4
Misure di sicurezza adottate o da adottare
Data:30-03-10
Rischi
Trattamenti
Sottrazione di credenziali di autenticazione
Rete Interna
Struttura o persona addetta all’adozione
Procedure adottate
Per l’accesso alla rete aziendale gli utenti vengono autenticati attraverso una username ed una password costituita da
almeno 8 caratteri alfanumerici che non possono essere simili alla username ne’ facilmente riconducibili alla persona
autorizzata. La username non viene assegnata a diversi utenti neppure in tempi diversi, vengono sensibilizzati gli operatori
sulle misure minime di sicurezza nel trattamento dei dati.
Formazione Risorse Umane effettuata
Misure minime di sicurezza
La configurazione della rete aziendale
Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia
(http://www.cassiopea.centrosistemi.it/zcswiki).
Procedure da adottare
La password dovrà essere modificata dagli utenti ogni 6 mesi.
Dovranno essere rafforzati i controlli utenti e password sul programma Teseo.
Rischi
Trattamenti
Carenza di consapevolezza, disattenzione o
incuria
Rete Interna
Procedure adottate
Gli operatori vengono informati e sensibilizzati sulle misure minime di sicurezza nel trattamento dei dati tramite la
documentazione interna a disposizione su zcswiki.
Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia.
Rischi
Comportamenti sleali o fraudolenti
Trattamenti
Rete Interna
Procedure adottate
Rischi
Trattamenti
Errore Materiale
Rete Interna
Procedure adottate
Pagina 23 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.4
Data:30-03-10
Rischi
Trattamenti
Azione antivirus informatici o di programmi
Suscettibili di recar danno
Rete Interna
Procedure e tecnologie adottate
Antivirus:
Installazione di software per l'intercettazione di virus informatici e di attività potenzialmente dannose. Il sistema antivirus è
impostato con più livelli di protezione:
1) Firewall (antivirus, antispam, antintrusione) Watchguard
2) Antivirus su PC e Server per la protezione sia di posta elettronica che di file Symantec end Poin Protection 11.
Il sistemi viene aggiornato quotidianamente in automatico.
Rischi
Trattamenti
Spamming o tecniche di sabotaggio
Rete interna
Firewall (antivirus, antispam, antintrusione) Watchguard è un software di intercettazione e di bloccaggio di comunicazioni
o pacchetti non autorizzati nella rete. La sua configurazione inibisce l’accesso alla rete aziendale da parte di tutti coloro che
non vengano appositamente autorizzati dall’Amministratore di sistema. Symantec end Poin Protection 11 controlla la
posta elettronica in ingresso e in uscita.
Rischi
Malfunzionamento, indisponibilità o degrado
degli strumenti
Trattamenti
Rete interna
Procedure adottate
Aggiornamenti software:
gli aggiornamenti dei sistemi operativi e dei software gestionali avvengono tutte le volte che la casa produttrice li rende
disponibili, verifica Annuale degli strumenti installati e successivo adeguamento.
Rischi
Accessi esterni non autorizzati
Trattamenti
Rete interna
Pagina 24 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.4
Data:30-03-10
Rischi
Trattamenti
Intercettazione di informazioni in rete
Rete interna
Rischi
Sottrazione di strumenti contenenti dati
Trattamenti
Rete interna
Procedure adottate
Le copie di salvataggio vengono effettuate su appositi supporti rimovibili, che sono codificati e tenuti aggiornati.
Rischi
Trattamenti
Eventi distruttivi, naturali o artificiali
(movimenti tellurici, scariche atmosferiche,
incendi, allagamenti, condizioni ambientali,
...), nonché dolosi, accidentali o dovuti ad
Incuria.
Rete interna
Estintori
Rischi
Guasto a sistemi complementari (impianto
elettrico, climatizzazione, ecc.)
Trattamenti
Rete interna
Procedure adottate
Richiesta intervento ad azienda specializzata.
Pagina 25 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.4
Data:30-03-10
Formato Dati: Cartaceo
Rischi
Ingressi non autorizzati a locali/aree ad
Accesso ristretto
Trattamenti
Archivio Cartaceo
Procedure e tecnologie adottate:
1.
2.
3.
4.
5.
6.
Identificazione e riconoscimento alla reception, di ogni persona che accede all’interno dell’azienda
Telefonata all’ufficio richiesto dall’ospite.
Se la persona richiesta è disponibile si chiede di attendere e nel frattempo viene consegnato all’ospite un cartellino
della zcs, in questo modo l’ospite viaggia accompagnato e munito di riconoscimento.
Si apre il programma Cassiopea e alla pagina della reception.
Viene inserita la ditta e il nome dell’ospite, l’ora di arrivo, il nominativo del Personale Interno che ha ricevuto la
visita.
Quando il visitatore esce e riconsegna i cartellini viene inserita l’ora di uscita.
Si ha così una tracciabilità e storicizzazione delle visite, con possibilità di fissare appuntamenti per visite programmate.
Fuori dall’orario di lavoro viene inserito un allarme per entrambi gli ingressi collegato con un ditta di vigilanza locale.
Procedure da adottare
Serratura
Mettere in sicurezza l’archivio Paghe Cartaceo.
Rischi
Trattamenti
Eventi distruttivi, naturali o artificiali
(movimenti tellurici, scariche atmosferiche,
incendi, allagamenti, condizioni ambientali,
...), nonché dolosi, accidentali o dovuti ad
Incuria.
Archivio Cartaceo
Estintori
Pagina 26 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.5 – 1
Data:30-03-10
Criteri e procedure per il salvataggio ed il ripristino della disponibilità dei dati (regola 19.5) –
Salvataggio dati
Contenuti
In questa sezione saranno descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro
danneggiamento o di inaffidabilità della base dati. L’importanza di queste attività deriva dall’ eccezionalità delle
situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano
disponibili e che le procedure di re installazione siano efficaci.
Banca dati/Data base/Archivio: sarà indicata la banca dati, il data base o l’archivio interessati.
Criteri e procedure per il salvataggio e il ripristino dei dati: verranno descritte la periodicità e la frequenza delle
prove di ripristino.
Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia delle procedure
di salvataggio/ripristino dei dati adottate.
Persona incaricata al ripristino: saranno indicate le persone incaricate di effettuare il ripristino dei dati e di
controllare il buono stato di conservazione delle copie di backup.
Procedura di ripristino: saranno indicatele procedure pianificate per garantire un efficace ripristino dei dati.
Pagina 27 di 41
VIA LUNGARNO 305/A
Data:30-03-10
Criteri e procedure per il salvataggio dei dati
Trattamenti
Pianificazione delle prove di salvataggio
Persona addetta al salvataggio
Server Gandalf
Periodicità: Giorno
Frequenza: 1
NANNINI CESARE
BERNINI MIRKO
RAPINI ANDREA
BONECHI LEONARDO
Per server di settore
Periodicità: Giorno
Frequenza: 1
GALANTE MICHELE
CIOFINI FABIO
BENI GIANDOMENICO
Procedure
Le copie di salvataggio vengono salvate su appositi supporti rimovibili che sono codificati e tenuti
aggiornati.
Pagina 28 di 41
VIA LUNGARNO 305/A
Data:30-03-10
Criteri e procedure per il salvataggio ed il ripristino della disponibilità dei dati (regola 19.5) Ripristino dati
Contenuti
In questa sezione saranno descritti i criteri e le procedure adottati per il salvataggio dei dati. L’importanza di
queste attività deriva dalla necessità che le copie dei dati siano disponibili e che le procedure di reinstallazione
siano efficaci nel momento in cui sia necessario effettuare un ripristino.
Banca dati/Data base/Archivio: sarà indicata la banca dati, il data base o l’archivio interessati.
Supporti di memorizzazione: verranno descritti i supporti su cui le base dati vengono salvate e la loro
ubicazione.
Persona incaricata al salvataggio: saranno indicate le persone incaricate di effettuare il salvataggio dei dati o
di controllare che i salvataggi schedulati avvengano in modo corretto.
Pagina 29 di 41
VIA LUNGARNO 305/A
Data:30-03-10
Criteri e procedure per il ripristino dei dati
Trattamenti
Rete Interna
Luogo di custodia delle copie
Supporto
Locale
Persona addetta al ripristino
Ubicazione
NANNINI CESARE
BERNINI MIRKO
RAPINI ANDREA
BONECHI LEONARDO
Procedure
Ripristino dati:
Le copie di salvataggio vengono salvate su appositi supporti rimovibili che sono codificati e tenuti aggiornati
con procedure che partono in automatico ogni giorno. Ogni 6 mesi da parte dei manutentori di sistema
appositamente incaricati vengono effettuate delle prove di ripristino dei dati.
Pagina 30 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.6
Data:30-03-10
Pianificazione degli interventi formativi previsti (regola 19.6)
Contenuti
In questa sezione saranno riportate le informazioni necessarie per individuare il quadro sintetico degli
interventi formativi che si prevede di svolgere.
Descrizione sintetica degli interventi formativi: saranno descritti sinteticamente i contenuti degli interventi
formativi in relazione agli obiettivi e alle modalità dello stesso.
Motivo del corso: in relazione a quanto previsto dalla regola 19.6 verranno descritti i motivi per i quali il corso
verrà svolto (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori,
programmi o sistemi informatici, ecc).
Classi di incarico o tipologie di incaricati interessati: verranno individuati gli incaricati a cui l’intervento è
destinato e le tipologie di incaricati interessati.
Tempi previsti: verranno indicati i tempi previsti per lo svolgimento degli interventi formativi.
Pagina 31 di 41
VIA LUNGARNO 305/A
DPS: Regola 19.6
Data:30-03-10
Pianificazione degli interventi formativi effettuati e previsti
Descrizione Corso
Motivo del corso
Data
Ora inizio
Ora fine
cambiamento mansioni
06-04-2006
8:30
11:30
Rischi analizzati:
Sottrazione di credenziali di autenticazione;Carenza di consapevolezza, disattenzione o incuria;
Comportamenti sleali o fraudolenti;Errore materiale;Azione di virus informatici o di programmi suscettibili
di recar danno;Spamming o tecniche di sabotaggio;Accessi esterni non autorizzati;
Intercettazione di informazioni in rete;Ingressi non autorizzati a locali/aree ad accesso ristretto;Sottrazione
di strumenti contenenti dati;Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche
atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria;
Guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
Soggetti partecipanti
Nominativo
Tipo Soggetto
PASQUINI LAURA
NANNINI CESARE
Dipendenti
Dipendenti
Descrizione Corso
Motivo del corso
La configurazione della rete aziendale cambiamento mansioni
Data
06-04-2006
Ora inizio
Ora fine
8:30
11:30
Rischi analizzati:
Sottrazione di credenziali di autenticazione;Carenza di consapevolezza, disattenzione o incuria;
Comportamenti sleali o fraudolenti;Errore materiale;Azione di virus informatici o di programmi suscettibili
di recar danno;Spamming o tecniche di sabotaggio;Malfunzionamento, indisponibilità o degrado degli
strumenti ;Accessi esterni non autorizzati;Intercettazione di informazioni in rete;Ingressi non autorizzati a
locali/aree ad accesso ristretto;Sottrazione di strumenti contenenti dati;Eventi distruttivi, naturali o
artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...),
nonché dolosi, accidentali o dovuti ad incuria ;Guasto a sistemi complementari (impianto elettrico,
climatizzazione, ecc.) ;Errori umani nella gestione della sicurezza fisica;
Nominativo
Tipo Soggetto
PASQUINI LAURA
NANNINI CESARE
Dipendenti
Dipendenti
Descrizione Corso
Motivo del corso
Data
Corso base Privacy
(auto-formazione e online
tramite documentazione dal
nostro sito)
Informativa risorse
umane
inizio incarico
e ad ogni aggiornamento
Rischi analizzati:
Quelli previsti dalla normativa come da sito del Garante della Privacy
Nominativo
Tipo Soggetto
Nuovi Assunti
Risorse Umane
Dipendenti
Dipendenti/Collaboratori
Pagina 32 di 41
VIA LUNGARNO 305/A
DPS: Allegati al DPS
Data:30-03-10
MD-AM-GE-02
Pag.33 di 41
Rev.1.0
Del 25.03.09
Amministrazione
Generale
Informativa e Consenso Dati Ordinari e Sensibili
Nei rapporti di lavoro – Dlgs 196-30.06.03
Gentile Collaboratore
NOME COGNOME
INDIRIZZO
Terranuova, 25.03.09
OGGETTO: Informativa e consenso per i rapporti di lavoro
Gentile Collaboratore,
Informativa ai dipendenti e soggetti assimilati ex art. 13 D.Lgs. 196/2003
La informiamo che, in relazione all’esecuzione del Suo rapporto lavorativo con Lei in essere, siamo tenuti ad entrare in
possesso ed a trattare dati a Lei relativi, qualificati come personali dal Dlgs 196/2003 – Codice in materia di
protezione dei dati personali.
Il codice in oggetto prevede che chi effettua trattamenti di dati personali è tenuto ad informare il soggetto interessato, su
quali dati vengano trattati e su taluni elementi qualificanti il trattamento: esso deve avvenire con correttezza liceità e
trasparenza, tutelando la Sua riservatezza ed i Suoi diritti.
INFORMATIVA
Conformemente a quanto previsto dall’articolo 13 del Dlgs 196/2003, Le forniamo le seguenti informazioni:
Natura dei dati trattati
Oltre ai Suoi dati anagrafici e fiscali, definiti dalla legge come comuni, per il corretto svolgimento del rapporto di lavoro e
contrattuale abbiamo necessità di trattare taluni dati definiti dalla legge come sensibili: più in particolare, si tratta dei dati
dai quali si ricavano informazioni sullo stato di salute (es. certificati medici di malattia, infortunio o maternità, ecc.) o
sull’adesione a sindacati, nei limiti in cui il trattamento è necessario per ottemperare agli obblighi previsti dalla legge, dai
regolamenti, dalla normativa comunitaria e dai contratti collettivi di lavoro.
Precisiamo che, nel trattare tali dati, ci atterremo scrupolosamente ai limiti ed alle condizioni imposti dal Garante privacy
nell’autorizzazione generale n. 1/2004, relativa al trattamento dei dati sensibili nei rapporti di lavoro, nonché a quanto
previsto dal codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per finalità
previdenziali e per la gestione del rapporto di lavoro, quando tale documento sarà approvato.
Finalità del trattamento
I dati personali, Suoi ed eventualmente dei Suoi familiari, che Le vengono richiesti sono necessari per l'elaborazione della
retribuzione e per ogni adempimento di legge e di contratto nei confronti degli istituti previdenziali e assistenziali, anche
integrativi, dell'amministrazione finanziaria nonché in applicazione della normativa in materia di igiene e sicurezza del
lavoro.
I dati verranno trattati per tutta la durata del rapporto contrattuale ed anche successivamente, nei limiti necessari per
l’espletamento di obblighi di legge e per finalità amministrative.
Modalità del trattamento
Il trattamento dei dati avviene mediante l’utilizzo di strumenti e procedure idonei a garantirne la sicurezza e la riservatezza
e potrà essere effettuato sia mediante supporti cartacei, sia attraverso l’ausilio di mezzi informatici.
Obbligo o facoltà di conferire i dati
Pur essendo sul piano astratto per Lei facoltativo fornirci i dati, La informiamo che, in loro mancanza, sarà per lo scrivente
Pagina 33 di 41
VIA LUNGARNO 305/A
Data:30-03-10
impossibile adempiere ad alcuni obblighi previsti dal rapporto di lavoro (es. calcolo delle retribuzioni, pagamento dei
contributi, ecc.). Il loro mancato conferimento da parte Sua comporta quindi, di fatto, l’impossibilità di instaurare o
proseguire il rapporto di lavoro, nei limiti in cui tali dati sono necessari all’esecuzione dello stesso.
Ambito di conoscenza dei Suoi dati
Le seguenti categorie di soggetti possono venire a conoscenza dei Suoi dati, in qualità di responsabili o incaricati del
trattamento, nominati dallo scrivente Studio, titolare del trattamento:
Soggetti interni alla nostra organizzazione
addetti dell’ufficio personale
addetti alla contabilità
Consulenti e/o professionisti, nei limiti necessari per svolgere il loro incarico presso la loro sede, previo nostra lettera che
imponga il dovere di riservatezza e sicurezza, in relazione all’elaborazione delle buste paga e più in generale per attività
riguardanti la materia lavoro, previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un
rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di
consulente del lavoro.
Comunicazione e diffusione
I Suoi dati non verranno da noi diffusi, con tale termine intendendosi il darne conoscenza a soggetti indeterminati in
qualunque modo, anche mediante la loro messa a disposizione o consultazione.
I Suoi dati verranno da noi comunicati, con tale termine intendendosi il darne conoscenza ad uno o più soggetti
determinati, nei seguenti termini:

a soggetti, pubblici e privati, che possono accedere ai dati in forza di disposizione di legge, di regolamento o di
normativa comunitaria, nei limiti previsti da tali norme (si citano ad esempio gli istituti ed enti previdenziali e
assistenziali, le compagnie di assicurazione e casse di previdenza e assistenza, gli uffici dell’amministrazione
pubblica e finanziaria, organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche
aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, ecc.)

a soggetti che hanno necessità di accedere ai Suoi dati per finalità ausiliare al rapporto che intercorre tra Lei e
noi, nei limiti strettamente necessari per svolgere i compiti ausiliari (si citano a titolo indicativo gli istituti di
credito)

a soggetti nostri Consulenti e/o professionisti, nei limiti necessari per svolgere il loro incarico presso la loro sede,
previo nostra lettera che imponga il dovere di riservatezza e sicurezza, in relazione all’elaborazione delle buste
paga e più in generale per attività riguardanti la materia lavoro, previdenza ed assistenza sociale e fiscale
nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge
11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro.
I Suoi diritti
Riportiamo di seguito l’estratto dell’articolo 7 D.lgs 196/2003, per ricordarLe che può esercitare nei nostri confronti i
seguenti diritti:
- ottenere la conferma dell’esistenza di dati personali che La riguardano, anche se non ancora registrati, e la
comunicazione in forma intelligibile
- ottenere l’indicazione dell’origine dei dati personali, nonché delle finalità e modalità del trattamento
- ottenere l’indicazione della logica applicata nei trattamenti effettuati con l’ausilio di strumenti elettronici
- ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati
- ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge
- ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati di cui non è necessaria la
conservazione, in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati
- ottenere l’attestazione che l’aggiornamento, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma
anonima o il blocco sono stati portati a conoscenza, anche per quanto riguarda il contenuto, di coloro ai quali i dati sono
stati comunicati o diffusi, tranne che nei casi in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi
manifestamente sproporzionato rispetto al diritto tutelato
- opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che La riguardano, ancorché pertinenti
allo scopo della raccolta.
Per esercitare tali diritti potrà rivolgersi al responsabile, da noi all’uopo nominato ai sensi dell’articolo 13 lettera f) Dlgs
96/2003:
SIMONETTA MANETTI
come Responsabile trattamento dati
[email protected]
ALESSANDRO PAOLETTI
come incaricato al trattamento dei dati [email protected]
CESARE NANNINI
come Responsabile sicurezza informatica
[email protected]
Titolare del trattamento è lo scrivente Titolare che stampa, i cui dati anagrafici sono riportati nell’intestazione della
presente lettera.
Il Titolare del trattamento
Zucchetti Centro Sistemi SpA - Via Lungarno, 305/A - 52028 Terranuova B.ni AR
Pagina 34 di 41
VIA LUNGARNO 305/A
Data:30-03-10
CONSENSO
DELL’INTERESSATO
Il sottoscritto:
Nome Cognome :
codice fiscale:
acquisite le informazioni sopra riportate in osservanza del disposto di cui all’art. 13 del D.Lgs 196/2003, esprimo di seguito
la mia decisione in merito alla concessione a Titolare che stampa del consenso per effettuare i trattamenti dei dati
personali necessari per l’esecuzione degli obblighi derivanti dal contratto di lavoro, del quale il sottoscritto è parte, nonché
per le finalità sopra indicate e nei limiti sopra descritti, ivi compreso, il trattamento dei dati rientranti nel novero dei «dati
sensibili», di cui all’art. 26 del citato decreto legislativo e dei quali ho preso coscienza attraverso un’attenta lettura della
suddetta informativa.
Per accordare il mio consenso, provvedo a barrare la casella “SI”;
Per negare la concessione dello stesso, provvedo a barrare la casella “NO”:
[ ] Do il consenso
[ ] Nego il consenso
al trattamento dei dati personali di natura comune e sensibile per i fini indicati nella suddetta informativa
[ ] Do il consenso
[ ] Nego il consenso
per la comunicazione dei dati personali di natura comune e sensibile per le finalità ed ai soggetti indicati nell'informativa
Terranuova B.ni, lì ……
Firma del soggetto Interessato
……………………………………
Pagina 35 di 41
VIA LUNGARNO 305/A


Data:30-03-10
ALLEGATO
Autorizzazione n. 1/2004 del Garante al trattamento dei dati sensibili nei rapporti di lavoro
Autorizzazione n. 1/2004 al trattamento dei dati sensibili nei rapporti di lavoro (G.U. n. 190 del 14 agosto 2004)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vicepresidente,
del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i
dati sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati,
nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
Visto il comma 4, lett. d), del medesimo art. 26, il quale stabilisce che i dati sensibili possono essere oggetto di
trattamento anche senza consenso, previa autorizzazione del Garante, quando il trattamento medesimo è necessario per
adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la
gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e
assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona
condotta di cui all'art. 111 del Codice;
Considerato che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti
di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere
misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di
autorizzazione da parte di numerosi titolari del trattamento;
Ritenuto opportuno, dopo l'entrata in vigore del Codice, rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza
il 30 giugno 2004, armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato ai sensi dell'art. 41,
comma 5, del Codice, e, in particolare, efficaci per il periodo di dodici mesi, in relazione alla fase di prima applicazione delle
nuove disposizioni del Codice e ai lavori avviati per l'adozione del codice di deontologia e buona condotta di cui all'art.
111 del Codice;
Considerata la necessità di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i
trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e, in
particolare, per il diritto alla protezione dei dati personali sancito all'art. 1 del Codice;
Considerato che un elevato numero di trattamenti di dati sensibili è effettuato nell'ambito dei rapporti di lavoro;
Visto l'art. 167 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B al medesimo Codice recanti norme e
regole sulle misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n.
1/2000;
Relatore il prof. Stefano Rodotà;
AUTORIZZA
il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro,
secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al
minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità
perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che
permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.
Ambito di applicazione
La presente autorizzazione è rilasciata:
a) alle persone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e agli organismi che sono parte di un rapporto
di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un
incarico professionale alle figure indicate al successivo punto 2, lett. b) e c);
b) ad organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa comunitaria, dalle leggi,
dai regolamenti o dai contratti collettivi anche aziendali; l'autorizzazione riguarda anche l'attività svolta:
c) dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente
dei soggetti di cui alla lettera a) o di strutture convenzionate;
d) da associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine
di perseguire le finalità di cui al punto 3), lett. h).
Pagina 36 di 41
VIA LUNGARNO 305/A
Data:30-03-10
Interessati ai quali i dati si riferiscono
Il trattamento può riguardare i dati sensibili attinenti:
a) a lavoratori dipendenti, anche se prestatori di lavoro temporaneo o in rapporto di tirocinio, apprendistato e formazione e
lavoro, ovvero ad associati anche in compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi familiari e
conviventi;
b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari;
c) a soggetti che effettuano prestazioni coordinate e continuative o ad altri lavoratori autonomi in rapporto di
collaborazione con i soggetti di cui al punto 1);
d) a candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti;
e) a persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e
negli organismi di cui al punto 1);
f) a terzi danneggiati nell'esercizio dell'attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.
Il trattamento dei dati sensibili deve essere indispensabile:
a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa
comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione,
gestione ed estinzione del rapporto di lavoro, nonché dell'applicazione della normativa in materia di previdenza ed
Assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale,
sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica;
b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta
della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
c) per perseguire finalità di salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo;
d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle
procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai
contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al
loro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o
difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro
diritto o libertà fondamentale e inviolabile;
e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai
regolamenti in materia;
f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla
responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni
cagionati a terzi nell'esercizio dell'attività lavorativa o professionale;
g) per garantire le pari opportunità;
h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o
confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai
datori di lavoro.
Categorie di dati
Il trattamento può avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non
possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura
diversa, e in particolare:
a) nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l'adesione ad
associazioni od organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose
o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell'obiezione di coscienza;
b) nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere politico o sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi
sindacali (sempre che il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti
dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l'organizzazione di pubbliche iniziative, nonché
i dati inerenti alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od
organizzazioni politiche o sindacali;
c) nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità,
infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità psico-fisica a
svolgere determinate mansioni, all'appartenenza a determinate categorie protette, nonché i dati contenuti nella
certificazione sanitaria attestante lo stato di malattia, anche professionale dell'interessato, o comunque relativi anche
all'indicazione della malattia come specifica causa di assenza del lavoratore.
Modalità di trattamento
Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e
dall'Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni,
nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati
obblighi, compiti o finalità.
I dati sono raccolti, di regola, presso l'interessato.
Pagina 37 di 41
VIA LUNGARNO 305/A
Data:30-03-10
La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo
restando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la
conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.
Restano inoltre fermi gli obblighi di informare l'interessato e, ove necessario, di acquisirne il consenso scritto, in conformità
a quanto previsto dagli articoli 13, 23 e 26 del Codice.
Conservazione dei dati
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere
conservati per un che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano
eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a
norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per l'indispensabilità dei dati
riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
Comunicazione e diffusione dei dati
I dati sensibili possono essere comunicati e, ove necessario diffusi, nei limiti strettamente pertinenti agli obblighi, ai compiti
o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed
assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale,
agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti,
società esterne titolari di un autonomo trattamento di dati e familiari dell'interessato.
Ai sensi dell'art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.
Richieste di autorizzazione
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a
presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme
alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente
provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità dalle
prescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da
circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.
Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che
stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute:
a) nell'art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro ai fini dell'assunzione e nello svolgimento del
rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore,
nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore;
b) nell'art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare,
nei dipendenti o in persone prese in considerazione per l'instaurazione di un rapporto di lavoro, l'esistenza di uno stato di
sieropositività;
c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni;
d) fermo restando quanto disposto dall'art. 8 della legge 20 maggio 1970, n. 300, nell'art. 10 del d.lg. 10 settembre 2003,
n. 276, che
vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare qualsivoglia indagine o
comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni
personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale
o di famiglia o di gravidanza, alla età, all'handicap, alla razza, all'origine etnica, al colore, alla ascendenza, all'origine
nazionale, al gruppo linguistico, allo stato di salute e ad eventuali controversie con i precedenti datori di lavoro, nonché di
trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro
inserimento lavorativo.
Efficacia temporale e disciplina transitoria.
La presente autorizzazione ha efficacia a decorrere dal 1° luglio 2004 fino al 30 giugno 2005.
Qualora alla data della pubblicazione della presente autorizzazione il trattamento non sia già conforme alle prescrizioni non
contenute nella precedente autorizzazione n. 1/2002, il titolare deve adeguarsi ad esse entro il 30 settembre 2004.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 30 giugno 2004
IL PRESIDENTE
Rodotà
IL RELATORE
Rodotà
IL SEGRETARIO GENERALE
Pagina 38 di 41
VIA LUNGARNO 305/A
MD-AM-GE-01
Data:30-03-10
Pag.39 di 41
Rev.1.0
Del 25.03.09
Amministrazione
Generale
Informativa e Consenso Dati Ordinari – Dlgs 196-30.06.03
Spett.le ditta
Terranuova, lì…………….
OGGETTO: Informativa e richiesta consenso per il trattamento di dati ordinari
Spett.le Ditta,
Desideriamo informarLa che il D.Lgs. n. 196 del 30 giugno 2003 («Codice in materia di protezione dei dati personali»)
prevede la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.
Secondo la normativa indicata, tale trattamento sarà improntato ai principi di correttezza, liceità e trasparenza e di tutela
della Sua riservatezza e dei Suoi diritti.
Ai sensi dell'articolo 13 del D.Lgs. n. 196/2003, pertanto, Le forniamo le seguenti informazioni:
1. I dati da Lei forniti verranno trattati per le seguenti finalità:
Amministrativo-contabile: adempimento di obblighi contabili e fiscali, gestione clienti e fornitori, gestione del
contenzioso.
2. Il trattamento sarà effettuato con le seguenti modalità
Cartaceo – Elettronico
3. Il conferimento dei dati è obbligatorio. Il mancato consenso al trattamento dei dati in questo caso comporta
l’impossibilità di prosecuzione del rapporto contrattuale.
4. I dati non saranno comunicati ad altri soggetti, né saranno oggetto di diffusione.
5. Il titolare del trattamento è:
VIA LUNGARNO 305/A
6. Il responsabile del trattamento è:
- Simonetta Manetti come responsabile del trattamento dei dati
- Cesare Nannini come responsabile della sicurezza informatica
7. Il rappresentante del titolare nel territorio dello Stato è Fabrizio Bernini
8. In ogni momento potrà esercitare i Suoi diritti nei confronti del titolare del trattamento, ai sensi dell'art.7 del D.Lgs. n.
196/2003, che per Sua comodità riproduciamo integralmente.
Art. 7 - Diritto di accesso ai dati personali ed altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo
riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a
conoscenza in
qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di
cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il
loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela
impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
Pagina 39 di 41
VIA LUNGARNO 305/A
Data:30-03-10
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione commerciale.
Art. 24 - Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le
modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di
segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda
l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per
incapacità di intendere o di volere,
il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un
convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di
cui all'articolo 82, comma 2;
f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7
Dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano
trattati esclusivamente per tali finalità
e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto
aziendale e industriale;
g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge,
per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi
bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un
legittimo interesse dell'interessato;
h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza
scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il
perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con
modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi
dell'articolo 13;
i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici,
ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma
2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali
o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.
Pagina 40 di 41
VIA LUNGARNO 305/A
Data:30-03-10
Consenso per il trattamento di dati ordinari
Il/la sottoscritto/a, acquisite le informazioni fornite dal titolare del trattamento ai sensi dell'articolo 13 del D.Lgs. n.
196/2003:
- presta il suo consenso al trattamento dei dati personali per i fini indicati nella suddetta informativa
[ ] Si
[ ] No
(Qualora il trattamento non rientri in una delle ipotesi di esenzione di cui all'art. 24 del D.Lgs. n.196/2003)
Ragione Sociale:
Luogo
Timbro
Data:
Firma Leggibile
Con l’occasione porgiamo distinti Saluti.
Zucchetti Centro Sistemi SpA
N.B. Si prega di rinviare la presente pagina a mezzo fax 055/9797515 alla c.a. Francesca Tempesta. Grazie.
Pagina 41 di 41

Documento Programmatico sulla Sicurezza

Transcript

Documenti analoghi

Cobella rilancia la Day-Spa

Coupon Valido Per il Mese di Gennaio 2017 Gentile Cliente, la Petit

romantic escape - Grand Hotel Convento di Amalfi

mövenpick dead sea- cod aq 142 mar morto

Regolamento del Centro Benessere

Regolamento del Centro Benessere

Festa della Donna 2017

Determinazione del costo di produzione di uva da