Documento Programmatico sulla Sicurezza
Transcript
Documento Programmatico sulla Sicurezza
ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni (AR) Documento Programmatico sulla Sicurezza ai sensi dell'art. 34, c.1, lett. g), D.Lgs. n. 196/2003 Anno di riferimento: 2010 Data redazione: Martedì, 30-03-2010 Il presente Documento si compone di n. 41 pagine. Si richiede l’apposizione del timbro certificante data certa da parte Dell’Ufficio Postale: Pagina 1 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Guida Introduttiva Data:30-03-10 Guida operativa Conformemente a quanto prescrive il punto 19. del Disciplinare tecnico, allegato sub b) del Dlgs 196/2003, nel presente documento si forniscono idonee informazioni riguardanti: Regola 19.1: “l’elenco dei trattamenti di dati personali” L’elenco dei trattamenti sarà strutturato in modo da mettere in evidenza: - La natura dei dati trattati - La struttura in cui i dati vengono trattati - Gli strumenti elettronici sui quali i dati vengono trattati Quindi la struttura del DPS in riferimento alla regola 19.1 sarà la seguente: - Descrizione sintetica del trattamento; - La natura dei dati trattati e quindi se trattasi di dati sensibili o giudiziari; - La struttura di riferimento in cui i dati sono trattati; - La tipologia di strumenti utilizzati; - La tipologia di interconnessione cioè se trattasi di connessione da rete accessibile al pubblico, da rete non accessibile, stand alone etc. Regola 19.2: “la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati”. La distribuzione dei compiti e delle responsabilità sarà strutturata in modo da mettere in evidenza: - L’organizzazione della struttura di riferimento - I compiti e le responsabilità in relazione ai trattamenti effettuati Quindi la struttura del DPS in riferimento alla regola 19.2 sarà la seguente: - Incarico - Denominazione del soggetto incaricato ed eventuale gruppo di appartenenza - Gli archivi o il gruppo di archivi su cui il trattamento avviene - La distribuzione dei compiti e delle responsabilità Regola 19.3: “l’analisi dei rischi che incombono sui dati”; In questa sezione saranno evidenziati i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutate le possibili conseguenze e la gravità in relazione al contesto fisico–ambientale di riferimento e agli strumenti elettronici utilizzati. La struttura del DPS in riferimento alla regola 19.3 sarà la seguente: - Rischi assunti come parametro di valutazione per l’analisi dei rischi; - Archivi/Gruppo archivi interessati dal rischio considerato; - Descrizione dell’impatto sulla sicurezza qualora il rischio considerato diventi danno Regola 19.4: “le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità” Pagina 2 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Guida Introduttiva Data:30-03-10 In questa sezione saranno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. La struttura del DPS in riferimento alla regola 19.4 sarà la seguente: - Archivi/Gruppo archivi interessati dal rischio considerato; - Struttura o persona addetta all’adozione delle misure di sicurezza; - Misure in essere in relazione alle Tecnologie esistenti, alle Procedure adottate e al grado di formazione delle Risorse umane incaricate al trattamento dei dati; - Misure da adottare per raggiungere una bassa magnitudo (rischio=probabilità * danno) del rischio. Regola 19.5: “la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23” In questa sezione saranno riportate le procedure per il ripristino ed il salvataggio dei dati per garantirne comunque la disponibilità anche a seguito di distruzione o danneggiamento. Per effettuare una stampa di questo tipo è stato deciso, in linea con quanto proposto dal garante di dividere le stampe in due: una che prevederà le procedure per il ripristino; l’altra che prevederà le procedure per il salvataggio La struttura del DPS in riferimento alla regola 19.5 sarà la seguente: Salvataggio - Archivi/Gruppo archivi oggetto della procedura di salvataggio; - Luogo di custodia delle copie; - Persona addetta al salvataggio; - Procedure di salvataggio Ripristino - Archivi/Gruppo archivi oggetto della procedura di ripristino; - Pianificazione delle prove di ripristino - Persona addetta al ripristino - Procedure di ripristino Regola 19.6: “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” In relazione a ciò il Dps nella scheda 19.6 riporterà la descrizione sintetica degli interventi formativi, le Classi di incarico o tipologie di incaricati interessati, i Tempi previsti e i Rischi analizzati nel corso La struttura del DPS in riferimento alla regola 19.6 sarà la seguente: - Descrizione del corso; - Motivi del corso; - Data; - Rischi analizzati; - Soggetti partecipanti, con l’indicazione degli incarichi attribuiti. Pagina 3 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Guida Introduttiva Data:30-03-10 Regola 19.7: “la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare” In relazione a ciò il Dps nella scheda 19.7 riporterà le informazioni relative alla descrizione dell’attività “esternalizzata, al soggetto esterno esercente tale attività, alla descrizione dei criteri adottati. La struttura del DPS in riferimento alla regola 19.7 sarà la seguente: - Soggetto esterno a cui viene conferito l’incarico; - Tipo attività esternalizzata; - Archivi/Gruppo archivi interessato; - Descrizione dei criteri e degli impegni assunti per l’adozione delle misure. Regola 19.8: “per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato”. In relazione a ciò il Dps nella scheda 19.8 riporterà le informazioni relative al trattamenti di dati, alla protezione scelta e alla tecnica adottata. La struttura del DPS in riferimento alla regola 19.8 sarà la seguente: - Archivi/Gruppo archivi interessato; - Protezione scelta (crittografia o separazione); - Tecnica adottata (chiave pubblica, privata, etc); - Informazioni utili. Pagina 4 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni (AR) DPS: Organigramma Titolare Data:30-03-10 Organigramma Titolare ZUCCHETTI CENTRO SISTEMI SPA Responsabili Responsabile trattamento dati Nominativo Da MANETTI SIMONETTA 01-01-2000 A Unità Organizzativa AMMINISTRAZIONE Responsabile sicurezza informatica Nominativo Da NANNINI CESARE 01-01-2000 A Unità Organizzativa CED INTERNO Amministratore di sistema Nominativo Da A Unità Organizzativa BERNINI MIRKO 01-01-2000 CED INTERNO BONECHI LEONARDO 01-01-2000 CED INTERNO NANNINI CESARE 01-01-2000 CED INTERNO RAPINI ANDREA 01-01-2000 CED INTERNO Responsabile di servizi in esterno Nominativo Da MANETTI SIMONETTA 01-01-2000 A Unità Organizzativa AMMINISTRAZIONE Incaricati Incaricato al trattamento dati Nominativo Da A Unità Organizzativa BURZAGLI ALESSANDRO 01-01-2000 AMMINISTRAZIONE CAINI GIANNA 01-01-2000 AMMINISTRAZIONE CIAPERONI STEFANIA 01-01-2000 SEGRETERIA CHIMENTI LIDIA 01-01-2007 AMMINISTRAZIONE CONSOLATI ELISA 01-01-2008 SEGRETERIA GIAMPIERI MARIA GRAZIA 01-01-2000 SEGRETERIA GORI VALENTINA 01-01-2000 SEGRETERIA GORNI ARIANNA 21-01-2010 CENTRALINO KNOREN CORELLA 01-01-2008 SEGRETERIA Pagina 5 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Organigramma Titolare Data:30-03-10 LAPI SARA 01-01-2008 SEGRETERIA MINUCCI ROMINA 01-01-2008 SEGRETERIA NOMPARI ERIKA 01-01-2000 SEGRETERIA NUTUS CRISTINA 01-01-2000 AMMINISTRAZIONE PAOLETTI ALESSANDRO 01-01-2000 AMMINISTRAZIONE POETA ROBERTA 01-01-2008 SEGRETERIA SANCHIONI CHIARA 01-01-2008 SEGRETERIA SCARAMELLI ROBERTO 01-01-2000 AMMINISTRAZIONE SOLDANI MONIA 01-12-2006 SEGRETERIA TEMPESTA FRANCESCA 01-01-2009 AMMINISTRAZIONE ZAMPONI ROMINA 01-01-2006 SEGRETERIA Manutentore di sistema Nominativo Da A Unità Organizzativa BERNINI MIRKO 01-01-2000 CED INTERNO BONECHI LEONARDO 01-01-2000 CED INTERNO NANNINI CESARE 01-01-2000 CED INTERNO RAPINI ANDREA 01-01-2000 CED INTERNO Incaricato al salvataggio dati Nominativo Da A Unità Organizzativa BURZAGLI ALESSANDRO 01-01-2000 AMMINISTRAZIONE NANNINI CESARE 01-01-2000 CED INTERNO PAOLETTI ALESSANDRO 01-01-2000 AMMINISTRAZIONE GALANTE MICHELE 01-01-2000 LABORATORIO IDEE MAGI STEFANO 01-01-2000 HEALTHCARE DIVISION CIOFINI FABIO 01-01-2000 PROGRAMMAZIONE BENI GIANDOMENICO 01-01-2000 AUTOMATION DIVISION Incaricato al ripristino dei dati Nominativo Da BERNINI MIRKO 01-01-2000 A Unità Organizzativa CED INTERNO Pagina 6 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Organigramma Titolare Data:30-03-10 BONECHI LEONARDO 01-01-2000 CED INTERNO NANNINI CESARE 01-01-2000 CED INTERNO RAPINI ANDREA 01-01-2000 CED INTERNO Incaricato alla custodia delle password Nominativo Da NANNINI CESARE 01-01-2000 A Unità Organizzativa CED INTERNO Incaricato al controllo di accesso ai locali Nominativo Da A Unità Organizzativa ALDINUCCI CRISTINA 01-10-2009 CENTRALINO CAINI GIANNA 01-01-2000 AMMINISTRAZIONE GORNI ARIANNA 21-01-2010 CENTRALINO NUTUS CRISTINA 01-01-2000 AMMINISTRAZIONE SCARAMELLI ROBERTO 01-01-2000 AMMINISTRAZIONE Pagina 7 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni (AR) DPS: Regola 19.1 Data:30-03-10 Elenco dei trattamenti di dati personali (regola 19.1) Contenuti In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si terrà conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato. Informazioni essenziali Per ciascun trattamento verranno indicate le seguenti informazioni secondo il livello di sintesi determinato dal titolare: Trattamento e Oggetto del trattamento: verrà menzionato il trattamento (Gruppo Archivi) ed il relativo oggetto (archivio facente parte del gruppo archivi) attraverso l’indicazione della finalità perseguita o dell’attività svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.). Formato: verrà menzionata l’informazione se trattasi di trattamento effettuato su supporto elettronico o cartaceo. Natura dei dati trattati: verrà indicato se, tra i dati personali, sono presenti dati sensibili o giudiziari. Strumenti elettronici utilizzati: in caso di trattamento con strumenti elettronici verrà indicata la descrizione degli strumenti elettronici impiegati. Locale e ubicazione: verrà indicato il luogo in cui viene effettuato il trattamento sia che avvenga su archivi elettronici che cartacei. Tipo dispositivi d’accesso: verrà indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili). Tipo di interconnessione: verrà indicata la tipologia di interconnessione relativa allo strumento con cui si trattano i dati (elaboratore stand alone, connesso a rete pubblica, connesso a rete privata) Supporti di memorizzazione: verrà indicata la descrizione del supporto relativo all’oggetto del trattamento effettuato, il locale e l’ubicazione in cui tale supporto viene custodito. In scheda si avranno due ipotesi: I)i singoli archivi verranno memorizzati su un singolo supporto, in questo caso i supporti verranno riportati sotto all’oggetto del trattamento. II)Viceversa la base dati di un Trattamento (gruppo archivi), verrà memorizzata su un unico supporto, in questo caso il supporto verrà riportato un’unica volta sotto ai diversi oggetti del trattamento (archivi) Pagina 8 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.1 Data:30-03-10 Elenco dei trattamenti di dati Trattamento: Rete Interna Oggetto Trattamento: Database Contabilità Finalità principali Amministrativo - contabili; Finalità secondarie Adempimento di obblighi contabili e fiscali; Gestione clientela; Gestione fornitori; Gestione contenzioso; Categoria soggetti interessati Clienti/Utenti; Fornitori; Personale dipendente; Consulenti e liberi professionisti; Agenti e rappresentanti; Tipo Trattamento Natura Dati Strumenti Locale Tipo disp. Tipi Intercon. Elettronico Server Ammin Locale Server Primo Piano Server Rete Privata Ordinari Supporti di Memorizzazione Descrizione AMMINISTRAZIONE Locale Locale Amministrazione Ubicazione Scaffali Amministrativi - stanza amministrazione Oggetto Trattamento: Database per Gestione Paghe Finalità principali Amministrativo - contabili; Finalità secondarie Trattamento economico – giuridico del personale; Gestione del personale; Riscossione quote relative e deleghe sindacali. Categoria soggetti interessati Personale dipendente; Tipo Trattamento Natura Dati Strumenti Locale Tipo disp. Tipi Intercon. Elettronico PC Paoletti Locale Amministrazione Desktop Rete Privata Sensibili Oggetto Trattamento: Server Gandalf Finalità principali Amministrativo - contabili; Finalità secondarie Formazione; Gestione clientela; Gestione fornitori; Gestione contenzioso; Categoria soggetti interessati Clienti/Utenti; Fornitori; Tipo Trattamento Natura Dati Strumenti Locale Tipo disp. Tipi Intercon. Elettronico Server Gandalf Locale Server Primo Terra Server Rete Privata Ordinari Pagina 9 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.1 Data:30-03-10 Trattamento: Archivio Cartaceo Oggetto Trattamento: Archivio Cartaceo Amministrativo Finalità principali Amministrativo - contabili; Finalità secondarie Trattamento economico – giuridico del personale; Reclutamento, selezione, valutazione e monitoraggio del personale; adempimento di obblighi contabili e fiscali; Gestione del patrimonio immobiliare e mobiliare; Gestione clientela; Gestione fornitori; Gestione contenzioso; Categoria soggetti interessati Clienti/Utenti; Fornitori; Personale dipendente; Consulenti e liberi professionisti; Agenti e rappresentanti; Tipo Trattamento Natura Dati Locale Tipo disp. Cartaceo Locale Amministrazione Scaffali AmministrativiStanza amministrazione Ordinari Tipi Intercon. Oggetto Trattamento: Archivio Cartaceo – Piano Terra Finalità principali Amministrativo - contabili; Finalità secondarie Trattamento economico – giuridico del personale; Gestione del personale; adempimento di obblighi contabili e fiscali; Gestione del patrimonio immobiliare e mobiliare; Gestione clientela; Gestione fornitori; Gestione contenzioso; Categoria soggetti interessati Clienti/Utenti; Fornitori; Personale dipendente; Consulenti e liberi professionisti; Agenti e rappresentanti; Tipo Trattamento Natura Dati Locale Tipo disp. Cartaceo Locale Archivio Storico Piano Terra Scaffali Piano Terra Ordinari Tipi Intercon. Oggetto Trattamento: Cartelline Tecnico – Commerciali Finalità principali Amministrativo - contabili; Connesse all’attività commerciale; Finalità secondarie Gestione clientela; Gestione contenzioso; Categoria soggetti interessati Clienti/Utenti; Agenti e rappresentanti; Tipo Trattamento Natura Dati Locale Tipo disp. Cartaceo Stanza Segreteria Tecnico/Commerciali Scaffali Tecnico/Commerciali Ordinari Tipi Intercon. Pagina 10 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.2 Data:30-03-10 Distribuzione dei compiti e delle responsabilità (regola 19.2) Contenuti In questa sezione sono descritte sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si farà specifico riferimento anche ai documenti già predisposti qualora esistenti (provvedimenti, ordini di servizio, regolamenti interni, circolari). Informazioni essenziali Struttura: verranno riportate le indicazioni delle strutture che effettuano i trattamenti. In particolare verrà riportata la Categoria di soggetti che effettua il trattamento con gli specifici soggetti che ne fanno parte o con le Unità operative di cui fan parte quei soggetti. Trattamenti effettuati dalla struttura: verranno riportati i trattamenti di competenza di ciascuna struttura. Compiti e responsabilità della struttura: verranno descritti sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Vi sarà inoltre l’indicazione di eventuali documenti esterni che riportano informazioni relative alla distribuzione dei compiti e delle responsabilità. Pagina 11 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.2 Data:30-03-10 Distribuzione dei compiti e delle responsabilità Tipo soggetto: Responsabile trattamento dati Nominativo: MANETTI SIMONETTA Trattamenti: Rete Interna Compiti - responsabilità: Accesso/stampa Cancellazione Diffusione Modifica Inserimento Tipo soggetto: Responsabile sicurezza informatica Nominativo: NANNINI CESARE Trattamenti: Rete Interna Compiti - responsabilità: Accesso/stampa Cancellazione Diffusione Modifica Inserimento Tipo soggetto: Amministratore di sistema Nominativo: NANNINI CESARE Trattamenti: Rete Interna Nominativo: BERNINI MIRKO Trattamenti: Rete Interna Nominativo: BONECHI LEONARDO Trattamenti: Rete Interna Nominativo: RAPINI ANDREA Trattamenti: Rete Interna Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Pagina 12 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.2 Data:30-03-10 Distribuzione dei compiti e delle responsabilità Tipo soggetto: Incaricato al trattamento dati Nominativo: PAOLETTI ALESSANDRO Trattamenti: Rete Interna Nominativo: NUTUS CRISTINA Trattamenti: Rete Interna Nominativo: SCARAMELLI ROBERTO Trattamenti: Rete Interna Nominativo: GORI VALENTINA Trattamenti: Rete Interna Nominativo: NOMPARI ERIKA Trattamenti: Rete Interna Nominativo: CAINI GIANNA Trattamenti: Rete Interna Nominativo: GIAMPIERI MARIAGRAZIA Trattamenti: Rete Interna Nominativo: TEMPESTA FRANCESCA Trattamenti: Rete Interna Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Pagina 13 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.2 Data:30-03-10 Distribuzione dei compiti e delle responsabilità Nominativo: CHIMENTI LIDIA Trattamenti: Rete Interna Nominativo: POETA ROBERTA Trattamenti: Rete Interna Nominativo: LAPI SARA Trattamenti: Rete Interna Nominativo: SANCHIONI CHIARA Trattamenti: Rete Interna Nominativo: CIAPERONI STEFANIA Trattamenti: Rete Interna Nominativo: SOLDANI MONIA Trattamenti: Rete Interna Nominativo: CONSOLATI ELISA Trattamenti: Rete Interna Nominativo: SOLDANI MONIA Trattamenti: Rete Interna Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Pagina 14 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.2 Data:30-03-10 Distribuzione dei compiti e delle responsabilità Nominativo: KNOREN CORELLA Trattamenti: Rete Interna Nominativo: ZAMPONI ROMINA Trattamenti: Rete Interna Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Tipo soggetto: Incaricato al salvataggio dati Nominativo: BURZAGLI ALESSANDRO Trattamenti: Database Contabilità Nominativo: PAOLETTI ALESSANDRO Trattamenti: Database per Gestione Paghe Nominativo: CIOFINI FABIO Trattamenti: Database per Programmatori Nominativo: MAGI STEFANO Trattamenti: Database per Healthcare Division Nominativo: GALANTE MICHELE Trattamenti: Database Laboratorio delle Idee Nominativo: BENI GIANDOMENICO Trattamenti: Database per Automation Division Compiti - responsabilità: Accesso/stampa Cancellazione Diffusione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica - Inserimento Pagina 15 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.2 Data:30-03-10 Distribuzione dei compiti e delle responsabilità Nominativo: NANNINI CESARE Trattamenti: Server Gandalf Nominativo: BERNINI MIRKO Trattamenti: Server Gandalf Nominativo: BONECHI LEONARDO Trattamenti: Server Gandalf Nominativo: RAPINI ANDREA Trattamenti: Server Gandalf Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Tipo soggetto: Incaricato al controllo accesso ai locali Nominativo: ALDINUCCI CRISTINA Trattamenti: Rete interna Nominativo: GORNI ARIANNA Trattamenti: Rete interna Nominativo: POETA ROBERTA Trattamenti: Cartelline Tecnico-Commerciali e rete interna Nominativo: LAPI SARA Trattamenti: Cartelline Tecnico-Commerciali e rete interna Compiti - responsabilità: Accesso/stampa Modifica Inserimento Compiti - responsabilità: Accesso/stampa Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Pagina 16 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.2 Data:30-03-10 Distribuzione dei compiti e delle responsabilità Nominativo: SANCHIONI CHIARA Trattamenti: Cartelline Tecnico-Commerciali e rete interna Nominativo: GIAMPIERI MARIA GRAZIA Trattamenti: Cartelline Tecnico-Commerciali e rete interna Nominativo: MINUCCI ROMINA Trattamenti: Cartelline Tecnico-Commerciali e rete interna Nominativo: ZAMPONI ROMINA Trattamenti: Cartelline Tecnico-Commerciali e rete interna Nominativo: SCARAMELLI ROBERTO Trattamenti: Archivio Cartaceo – Piano Terra Nominativo: NUTUS CRISTINA Trattamenti: Archivio Cartaceo Amministrativo Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Accesso/stampa Cancellazione Modifica Inserimento Compiti - responsabilità: Controllo Compiti - responsabilità: Controllo Pagina 17 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.3 Data:30-03-10 Analisi dei rischi che incombono sui dati (regola 19.3) Contenuti Verranno descritti in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutate le possibili conseguenze e la gravità in relazione al contesto fisico–ambientale di riferimento e agli strumenti utilizzati per fronteggiare tali rischi. Informazioni essenziali Elenco degli eventi: saranno individuati gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, verrà presa in considerazione la lista esemplificativa dei seguenti eventi: 1) comportamenti degli operatori: 1 2 3 4 - sottrazione di credenziali di autenticazione carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale 2) eventi relativi agli strumenti: 1 2 3 4 5 - azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti accessi esterni non autorizzati intercettazione di informazioni in rete 3) eventi relativi al contesto fisico-ambientale: 1 - ingressi non autorizzati a locali/aree ad accesso ristretto 2 - sottrazione di strumenti contenenti dati 3 - eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria 4 - guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) 5 - errori umani nella gestione della sicurezza fisica Trattamenti interessati: verranno riportati i trattamenti interessati dal tipo di rischio in esame. Impatto sulla sicurezza: verranno descritte le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutata la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell’evento in termini sintetici: alta/media/bassa. In questo modo sarà possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare. Pagina 18 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.3 Data:30-03-10 Analisi dei Rischi Formato Dati: Elettronico Rischi: Sottrazione di credenziali di autenticazione Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Rischi: Carenza di consapevolezza, disattenzione o incuria Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Medio Rischi: Comportamenti sleali o fraudolenti Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Rischi: Errore materiale Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Medio Rischi: Azione di virus informatici o di programmi suscettibili a recar danno Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Rischi: Spamming o tecniche di sabotaggio Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Rischi: Malfunzionamento, indisponibilità o degrado degli strumenti Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Rischi: Accessi esterni non autorizzati Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Rischi: Intercettazione di informazioni in rete Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Rischi: Sottrazione di strumenti contenenti dati Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Rischi: Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi) Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Pagina 19 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.3 Data:30-03-10 Analisi dei Rischi Rischi: Guasto a sistemi complementari (Impianto elettrico, climatizzazione, ecc.) Trattamenti Rete Interna Descrizione dell'impatto sulla sicurezza Rischio Basso Pagina 20 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.3 Data:30-03-10 Analisi dei Rischi Formato Dati: Elettronico Rischi: Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi) Trattamenti Archivio Cartaceo Descrizione dell'impatto sulla sicurezza Rischio Medio Rischi: Ingressi non autorizzati a locali /aree ad accesso ristretto) Trattamenti Archivio Cartaceo Descrizione dell'impatto sulla sicurezza Rischio Medio Pagina 21 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.4 Data:30-03-10 Misure di sicurezza adottate o da adottare (regola 19.4) Contenuti In questa sezione verranno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. Informazioni essenziali Descrizione dei rischi: per ciascuna misura saranno indicati i rischi che si intende contrastare). Trattamenti interessati: verranno indicati i trattamenti interessati per ciascuna delle misure adottate. Struttura o persone addette all’adozione: verranno indicate la struttura o la persona responsabili o preposte all’adozione delle misure indicate. Misure di sicurezza: saranno descritte le misure adottate e da adottare(divise in tecnologie, procedure e risorse umane Pagina 22 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.4 Misure di sicurezza adottate o da adottare Data:30-03-10 Formato Dati: Elettronico Rischi Trattamenti Sottrazione di credenziali di autenticazione Rete Interna Struttura o persona addetta all’adozione Procedure adottate Per l’accesso alla rete aziendale gli utenti vengono autenticati attraverso una username ed una password costituita da almeno 8 caratteri alfanumerici che non possono essere simili alla username ne’ facilmente riconducibili alla persona autorizzata. La username non viene assegnata a diversi utenti neppure in tempi diversi, vengono sensibilizzati gli operatori sulle misure minime di sicurezza nel trattamento dei dati. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia (http://www.cassiopea.centrosistemi.it/zcswiki). Procedure da adottare La password dovrà essere modificata dagli utenti ogni 6 mesi. Dovranno essere rafforzati i controlli utenti e password sul programma Teseo. Rischi Trattamenti Carenza di consapevolezza, disattenzione o incuria Rete Interna Struttura o persona addetta all’adozione Procedure adottate Gli operatori vengono informati e sensibilizzati sulle misure minime di sicurezza nel trattamento dei dati tramite la documentazione interna a disposizione su zcswiki. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Rischi Comportamenti sleali o fraudolenti Trattamenti Rete Interna Struttura o persona addetta all’adozione Procedure adottate Gli operatori vengono informati e sensibilizzati sulle misure minime di sicurezza nel trattamento dei dati tramite la documentazione interna a disposizione su zcswiki. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Rischi Trattamenti Errore Materiale Rete Interna Struttura o persona addetta all’adozione Procedure adottate Gli operatori vengono informati e sensibilizzati sulle misure minime di sicurezza nel trattamento dei dati tramite la documentazione interna a disposizione su zcswiki. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Pagina 23 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.4 Misure di sicurezza adottate o da adottare Data:30-03-10 Rischi Trattamenti Azione antivirus informatici o di programmi Suscettibili di recar danno Rete Interna Struttura o persona addetta all’adozione Procedure e tecnologie adottate Antivirus: Installazione di software per l'intercettazione di virus informatici e di attività potenzialmente dannose. Il sistema antivirus è impostato con più livelli di protezione: 1) Firewall (antivirus, antispam, antintrusione) Watchguard 2) Antivirus su PC e Server per la protezione sia di posta elettronica che di file Symantec end Poin Protection 11. Il sistemi viene aggiornato quotidianamente in automatico. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Rischi Trattamenti Spamming o tecniche di sabotaggio Rete interna Struttura o persona addetta all’adozione Procedure e tecnologie adottate Firewall (antivirus, antispam, antintrusione) Watchguard è un software di intercettazione e di bloccaggio di comunicazioni o pacchetti non autorizzati nella rete. La sua configurazione inibisce l’accesso alla rete aziendale da parte di tutti coloro che non vengano appositamente autorizzati dall’Amministratore di sistema. Symantec end Poin Protection 11 controlla la posta elettronica in ingresso e in uscita. Il sistemi viene aggiornato quotidianamente in automatico. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Rischi Malfunzionamento, indisponibilità o degrado degli strumenti Trattamenti Rete interna Struttura o persona addetta all’adozione Procedure adottate Aggiornamenti software: gli aggiornamenti dei sistemi operativi e dei software gestionali avvengono tutte le volte che la casa produttrice li rende disponibili, verifica Annuale degli strumenti installati e successivo adeguamento. Formazione Risorse Umane effettuata La configurazione della rete aziendale Rischi Accessi esterni non autorizzati Trattamenti Rete interna Struttura o persona addetta all’adozione Procedure e tecnologie adottate Firewall (antivirus, antispam, antintrusione) Watchguard è un software di intercettazione e di bloccaggio di comunicazioni o pacchetti non autorizzati nella rete. La sua configurazione inibisce l’accesso alla rete aziendale da parte di tutti coloro che non vengano appositamente autorizzati dall’Amministratore di sistema. Symantec end Poin Protection 11 controlla la posta elettronica in ingresso e in uscita. Il sistemi viene aggiornato quotidianamente in automatico. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Pagina 24 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.4 Misure di sicurezza adottate o da adottare Data:30-03-10 Rischi Trattamenti Intercettazione di informazioni in rete Rete interna Struttura o persona addetta all’adozione Procedure e tecnologie adottate Firewall (antivirus, antispam, antintrusione) Watchguard è un software di intercettazione e di bloccaggio di comunicazioni o pacchetti non autorizzati nella rete. La sua configurazione inibisce l’accesso alla rete aziendale da parte di tutti coloro che non vengano appositamente autorizzati dall’Amministratore di sistema. Symantec end Poin Protection 11 controlla la posta elettronica in ingresso e in uscita. Il sistemi viene aggiornato quotidianamente in automatico. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Rischi Sottrazione di strumenti contenenti dati Trattamenti Rete interna Struttura o persona addetta all’adozione Procedure adottate Le copie di salvataggio vengono effettuate su appositi supporti rimovibili, che sono codificati e tenuti aggiornati. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Rischi Trattamenti Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad Incuria. Rete interna Struttura o persona addetta all’adozione Procedure e tecnologie adottate Estintori Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Rischi Guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) Trattamenti Rete interna Struttura o persona addetta all’adozione Procedure adottate Richiesta intervento ad azienda specializzata. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Pagina 25 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.4 Misure di sicurezza adottate o da adottare Data:30-03-10 Formato Dati: Cartaceo Rischi Ingressi non autorizzati a locali/aree ad Accesso ristretto Trattamenti Struttura o persona addetta all’adozione Archivio Cartaceo Procedure e tecnologie adottate: 1. 2. 3. 4. 5. 6. Identificazione e riconoscimento alla reception, di ogni persona che accede all’interno dell’azienda Telefonata all’ufficio richiesto dall’ospite. Se la persona richiesta è disponibile si chiede di attendere e nel frattempo viene consegnato all’ospite un cartellino della zcs, in questo modo l’ospite viaggia accompagnato e munito di riconoscimento. Si apre il programma Cassiopea e alla pagina della reception. Viene inserita la ditta e il nome dell’ospite, l’ora di arrivo, il nominativo del Personale Interno che ha ricevuto la visita. Quando il visitatore esce e riconsegna i cartellini viene inserita l’ora di uscita. Si ha così una tracciabilità e storicizzazione delle visite, con possibilità di fissare appuntamenti per visite programmate. Fuori dall’orario di lavoro viene inserito un allarme per entrambi gli ingressi collegato con un ditta di vigilanza locale. Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Procedure da adottare Serratura Mettere in sicurezza l’archivio Paghe Cartaceo. Rischi Trattamenti Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad Incuria. Archivio Cartaceo Struttura o persona addetta all’adozione Procedure e tecnologie adottate Estintori Formazione Risorse Umane effettuata Misure minime di sicurezza La configurazione della rete aziendale Informativa aggiornata all’attuale legislazione sul sito aziendale tramite il programma Wikimedia. Pagina 26 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.5 – 1 Data:30-03-10 Criteri e procedure per il salvataggio ed il ripristino della disponibilità dei dati (regola 19.5) – Salvataggio dati Contenuti In questa sezione saranno descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. L’importanza di queste attività deriva dall’ eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di re installazione siano efficaci. Informazioni essenziali Banca dati/Data base/Archivio: sarà indicata la banca dati, il data base o l’archivio interessati. Criteri e procedure per il salvataggio e il ripristino dei dati: verranno descritte la periodicità e la frequenza delle prove di ripristino. Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia delle procedure di salvataggio/ripristino dei dati adottate. Persona incaricata al ripristino: saranno indicate le persone incaricate di effettuare il ripristino dei dati e di controllare il buono stato di conservazione delle copie di backup. Procedura di ripristino: saranno indicatele procedure pianificate per garantire un efficace ripristino dei dati. Pagina 27 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.5 – 1 Data:30-03-10 Criteri e procedure per il salvataggio dei dati Trattamenti Pianificazione delle prove di salvataggio Persona addetta al salvataggio Server Gandalf Periodicità: Giorno Frequenza: 1 NANNINI CESARE BERNINI MIRKO RAPINI ANDREA BONECHI LEONARDO Per server di settore Periodicità: Giorno Frequenza: 1 GALANTE MICHELE CIOFINI FABIO BENI GIANDOMENICO Procedure Le copie di salvataggio vengono salvate su appositi supporti rimovibili che sono codificati e tenuti aggiornati. Pagina 28 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.5 – 2 Data:30-03-10 Criteri e procedure per il salvataggio ed il ripristino della disponibilità dei dati (regola 19.5) Ripristino dati Contenuti In questa sezione saranno descritti i criteri e le procedure adottati per il salvataggio dei dati. L’importanza di queste attività deriva dalla necessità che le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci nel momento in cui sia necessario effettuare un ripristino. Informazioni essenziali Banca dati/Data base/Archivio: sarà indicata la banca dati, il data base o l’archivio interessati. Supporti di memorizzazione: verranno descritti i supporti su cui le base dati vengono salvate e la loro ubicazione. Persona incaricata al salvataggio: saranno indicate le persone incaricate di effettuare il salvataggio dei dati o di controllare che i salvataggi schedulati avvengano in modo corretto. Pagina 29 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.5 – 2 Data:30-03-10 Criteri e procedure per il ripristino dei dati Trattamenti Rete Interna Luogo di custodia delle copie Supporto Locale Persona addetta al ripristino Ubicazione NANNINI CESARE BERNINI MIRKO RAPINI ANDREA BONECHI LEONARDO Procedure Ripristino dati: Le copie di salvataggio vengono salvate su appositi supporti rimovibili che sono codificati e tenuti aggiornati con procedure che partono in automatico ogni giorno. Ogni 6 mesi da parte dei manutentori di sistema appositamente incaricati vengono effettuate delle prove di ripristino dei dati. Pagina 30 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.6 Data:30-03-10 Pianificazione degli interventi formativi previsti (regola 19.6) Contenuti In questa sezione saranno riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. Informazioni essenziali Descrizione sintetica degli interventi formativi: saranno descritti sinteticamente i contenuti degli interventi formativi in relazione agli obiettivi e alle modalità dello stesso. Motivo del corso: in relazione a quanto previsto dalla regola 19.6 verranno descritti i motivi per i quali il corso verrà svolto (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc). Classi di incarico o tipologie di incaricati interessati: verranno individuati gli incaricati a cui l’intervento è destinato e le tipologie di incaricati interessati. Tempi previsti: verranno indicati i tempi previsti per lo svolgimento degli interventi formativi. Pagina 31 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Regola 19.6 Data:30-03-10 Pianificazione degli interventi formativi effettuati e previsti Descrizione Corso Motivo del corso Data Ora inizio Ora fine Misure minime di sicurezza cambiamento mansioni 06-04-2006 8:30 11:30 Rischi analizzati: Sottrazione di credenziali di autenticazione;Carenza di consapevolezza, disattenzione o incuria; Comportamenti sleali o fraudolenti;Errore materiale;Azione di virus informatici o di programmi suscettibili di recar danno;Spamming o tecniche di sabotaggio;Accessi esterni non autorizzati; Intercettazione di informazioni in rete;Ingressi non autorizzati a locali/aree ad accesso ristretto;Sottrazione di strumenti contenenti dati;Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria; Guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) Soggetti partecipanti Nominativo Tipo Soggetto PASQUINI LAURA NANNINI CESARE Dipendenti Dipendenti Descrizione Corso Motivo del corso La configurazione della rete aziendale cambiamento mansioni Data 06-04-2006 Ora inizio Ora fine 8:30 11:30 Rischi analizzati: Sottrazione di credenziali di autenticazione;Carenza di consapevolezza, disattenzione o incuria; Comportamenti sleali o fraudolenti;Errore materiale;Azione di virus informatici o di programmi suscettibili di recar danno;Spamming o tecniche di sabotaggio;Malfunzionamento, indisponibilità o degrado degli strumenti ;Accessi esterni non autorizzati;Intercettazione di informazioni in rete;Ingressi non autorizzati a locali/aree ad accesso ristretto;Sottrazione di strumenti contenenti dati;Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria ;Guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) ;Errori umani nella gestione della sicurezza fisica; Soggetti partecipanti Nominativo Tipo Soggetto PASQUINI LAURA NANNINI CESARE Dipendenti Dipendenti Descrizione Corso Motivo del corso Data Corso base Privacy (auto-formazione e online tramite documentazione dal nostro sito) Informativa risorse umane inizio incarico e ad ogni aggiornamento Rischi analizzati: Quelli previsti dalla normativa come da sito del Garante della Privacy Soggetti partecipanti Nominativo Tipo Soggetto Nuovi Assunti Risorse Umane Dipendenti Dipendenti/Collaboratori Pagina 32 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS Data:30-03-10 MD-AM-GE-02 Pag.33 di 41 Rev.1.0 Del 25.03.09 Amministrazione Generale Informativa e Consenso Dati Ordinari e Sensibili Nei rapporti di lavoro – Dlgs 196-30.06.03 Gentile Collaboratore NOME COGNOME INDIRIZZO Terranuova, 25.03.09 OGGETTO: Informativa e consenso per i rapporti di lavoro Gentile Collaboratore, Informativa ai dipendenti e soggetti assimilati ex art. 13 D.Lgs. 196/2003 La informiamo che, in relazione all’esecuzione del Suo rapporto lavorativo con Lei in essere, siamo tenuti ad entrare in possesso ed a trattare dati a Lei relativi, qualificati come personali dal Dlgs 196/2003 – Codice in materia di protezione dei dati personali. Il codice in oggetto prevede che chi effettua trattamenti di dati personali è tenuto ad informare il soggetto interessato, su quali dati vengano trattati e su taluni elementi qualificanti il trattamento: esso deve avvenire con correttezza liceità e trasparenza, tutelando la Sua riservatezza ed i Suoi diritti. INFORMATIVA Conformemente a quanto previsto dall’articolo 13 del Dlgs 196/2003, Le forniamo le seguenti informazioni: Natura dei dati trattati Oltre ai Suoi dati anagrafici e fiscali, definiti dalla legge come comuni, per il corretto svolgimento del rapporto di lavoro e contrattuale abbiamo necessità di trattare taluni dati definiti dalla legge come sensibili: più in particolare, si tratta dei dati dai quali si ricavano informazioni sullo stato di salute (es. certificati medici di malattia, infortunio o maternità, ecc.) o sull’adesione a sindacati, nei limiti in cui il trattamento è necessario per ottemperare agli obblighi previsti dalla legge, dai regolamenti, dalla normativa comunitaria e dai contratti collettivi di lavoro. Precisiamo che, nel trattare tali dati, ci atterremo scrupolosamente ai limiti ed alle condizioni imposti dal Garante privacy nell’autorizzazione generale n. 1/2004, relativa al trattamento dei dati sensibili nei rapporti di lavoro, nonché a quanto previsto dal codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per finalità previdenziali e per la gestione del rapporto di lavoro, quando tale documento sarà approvato. Finalità del trattamento I dati personali, Suoi ed eventualmente dei Suoi familiari, che Le vengono richiesti sono necessari per l'elaborazione della retribuzione e per ogni adempimento di legge e di contratto nei confronti degli istituti previdenziali e assistenziali, anche integrativi, dell'amministrazione finanziaria nonché in applicazione della normativa in materia di igiene e sicurezza del lavoro. I dati verranno trattati per tutta la durata del rapporto contrattuale ed anche successivamente, nei limiti necessari per l’espletamento di obblighi di legge e per finalità amministrative. Modalità del trattamento Il trattamento dei dati avviene mediante l’utilizzo di strumenti e procedure idonei a garantirne la sicurezza e la riservatezza e potrà essere effettuato sia mediante supporti cartacei, sia attraverso l’ausilio di mezzi informatici. Obbligo o facoltà di conferire i dati Pur essendo sul piano astratto per Lei facoltativo fornirci i dati, La informiamo che, in loro mancanza, sarà per lo scrivente Pagina 33 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS Data:30-03-10 impossibile adempiere ad alcuni obblighi previsti dal rapporto di lavoro (es. calcolo delle retribuzioni, pagamento dei contributi, ecc.). Il loro mancato conferimento da parte Sua comporta quindi, di fatto, l’impossibilità di instaurare o proseguire il rapporto di lavoro, nei limiti in cui tali dati sono necessari all’esecuzione dello stesso. Ambito di conoscenza dei Suoi dati Le seguenti categorie di soggetti possono venire a conoscenza dei Suoi dati, in qualità di responsabili o incaricati del trattamento, nominati dallo scrivente Studio, titolare del trattamento: Soggetti interni alla nostra organizzazione addetti dell’ufficio personale addetti alla contabilità Consulenti e/o professionisti, nei limiti necessari per svolgere il loro incarico presso la loro sede, previo nostra lettera che imponga il dovere di riservatezza e sicurezza, in relazione all’elaborazione delle buste paga e più in generale per attività riguardanti la materia lavoro, previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro. Comunicazione e diffusione I Suoi dati non verranno da noi diffusi, con tale termine intendendosi il darne conoscenza a soggetti indeterminati in qualunque modo, anche mediante la loro messa a disposizione o consultazione. I Suoi dati verranno da noi comunicati, con tale termine intendendosi il darne conoscenza ad uno o più soggetti determinati, nei seguenti termini: a soggetti, pubblici e privati, che possono accedere ai dati in forza di disposizione di legge, di regolamento o di normativa comunitaria, nei limiti previsti da tali norme (si citano ad esempio gli istituti ed enti previdenziali e assistenziali, le compagnie di assicurazione e casse di previdenza e assistenza, gli uffici dell’amministrazione pubblica e finanziaria, organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, ecc.) a soggetti che hanno necessità di accedere ai Suoi dati per finalità ausiliare al rapporto che intercorre tra Lei e noi, nei limiti strettamente necessari per svolgere i compiti ausiliari (si citano a titolo indicativo gli istituti di credito) a soggetti nostri Consulenti e/o professionisti, nei limiti necessari per svolgere il loro incarico presso la loro sede, previo nostra lettera che imponga il dovere di riservatezza e sicurezza, in relazione all’elaborazione delle buste paga e più in generale per attività riguardanti la materia lavoro, previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro. I Suoi diritti Riportiamo di seguito l’estratto dell’articolo 7 D.lgs 196/2003, per ricordarLe che può esercitare nei nostri confronti i seguenti diritti: - ottenere la conferma dell’esistenza di dati personali che La riguardano, anche se non ancora registrati, e la comunicazione in forma intelligibile - ottenere l’indicazione dell’origine dei dati personali, nonché delle finalità e modalità del trattamento - ottenere l’indicazione della logica applicata nei trattamenti effettuati con l’ausilio di strumenti elettronici - ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati - ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge - ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati di cui non è necessaria la conservazione, in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati - ottenere l’attestazione che l’aggiornamento, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco sono stati portati a conoscenza, anche per quanto riguarda il contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, tranne che nei casi in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato - opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che La riguardano, ancorché pertinenti allo scopo della raccolta. Per esercitare tali diritti potrà rivolgersi al responsabile, da noi all’uopo nominato ai sensi dell’articolo 13 lettera f) Dlgs 96/2003: SIMONETTA MANETTI come Responsabile trattamento dati [email protected] ALESSANDRO PAOLETTI come incaricato al trattamento dei dati [email protected] CESARE NANNINI come Responsabile sicurezza informatica [email protected] Titolare del trattamento è lo scrivente Titolare che stampa, i cui dati anagrafici sono riportati nell’intestazione della presente lettera. Il Titolare del trattamento Zucchetti Centro Sistemi SpA - Via Lungarno, 305/A - 52028 Terranuova B.ni AR Pagina 34 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS Data:30-03-10 CONSENSO DELL’INTERESSATO Il sottoscritto: Nome Cognome : codice fiscale: acquisite le informazioni sopra riportate in osservanza del disposto di cui all’art. 13 del D.Lgs 196/2003, esprimo di seguito la mia decisione in merito alla concessione a Titolare che stampa del consenso per effettuare i trattamenti dei dati personali necessari per l’esecuzione degli obblighi derivanti dal contratto di lavoro, del quale il sottoscritto è parte, nonché per le finalità sopra indicate e nei limiti sopra descritti, ivi compreso, il trattamento dei dati rientranti nel novero dei «dati sensibili», di cui all’art. 26 del citato decreto legislativo e dei quali ho preso coscienza attraverso un’attenta lettura della suddetta informativa. Per accordare il mio consenso, provvedo a barrare la casella “SI”; Per negare la concessione dello stesso, provvedo a barrare la casella “NO”: [ ] Do il consenso [ ] Nego il consenso al trattamento dei dati personali di natura comune e sensibile per i fini indicati nella suddetta informativa [ ] Do il consenso [ ] Nego il consenso per la comunicazione dei dati personali di natura comune e sensibile per le finalità ed ai soggetti indicati nell'informativa Terranuova B.ni, lì …… Firma del soggetto Interessato …………………………………… Pagina 35 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS Data:30-03-10 ALLEGATO Autorizzazione n. 1/2004 del Garante al trattamento dei dati sensibili nei rapporti di lavoro Autorizzazione n. 1/2004 al trattamento dei dati sensibili nei rapporti di lavoro (G.U. n. 190 del 14 agosto 2004) IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vicepresidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali; Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili; Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti; Visto il comma 4, lett. d), del medesimo art. 26, il quale stabilisce che i dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante, quando il trattamento medesimo è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'art. 111 del Codice; Considerato che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice); Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento; Ritenuto opportuno, dopo l'entrata in vigore del Codice, rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 30 giugno 2004, armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata; Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato ai sensi dell'art. 41, comma 5, del Codice, e, in particolare, efficaci per il periodo di dodici mesi, in relazione alla fase di prima applicazione delle nuove disposizioni del Codice e ai lavori avviati per l'adozione del codice di deontologia e buona condotta di cui all'art. 111 del Codice; Considerata la necessità di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e, in particolare, per il diritto alla protezione dei dati personali sancito all'art. 1 del Codice; Considerato che un elevato numero di trattamenti di dati sensibili è effettuato nell'ambito dei rapporti di lavoro; Visto l'art. 167 del Codice; Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B al medesimo Codice recanti norme e regole sulle misure di sicurezza; Visto l'art. 41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Stefano Rodotà; AUTORIZZA il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro, secondo le prescrizioni di seguito indicate. Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice. Ambito di applicazione La presente autorizzazione è rilasciata: a) alle persone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e agli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 2, lett. b) e c); b) ad organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali; l'autorizzazione riguarda anche l'attività svolta: c) dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui alla lettera a) o di strutture convenzionate; d) da associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire le finalità di cui al punto 3), lett. h). Pagina 36 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS Data:30-03-10 Interessati ai quali i dati si riferiscono Il trattamento può riguardare i dati sensibili attinenti: a) a lavoratori dipendenti, anche se prestatori di lavoro temporaneo o in rapporto di tirocinio, apprendistato e formazione e lavoro, ovvero ad associati anche in compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi familiari e conviventi; b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari; c) a soggetti che effettuano prestazioni coordinate e continuative o ad altri lavoratori autonomi in rapporto di collaborazione con i soggetti di cui al punto 1); d) a candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti; e) a persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di cui al punto 1); f) a terzi danneggiati nell'esercizio dell'attività lavorativa o professionale dai soggetti di cui alle precedenti lettere. Il trattamento dei dati sensibili deve essere indispensabile: a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché dell'applicazione della normativa in materia di previdenza ed Assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica; b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori; c) per perseguire finalità di salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo; d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia; f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale; g) per garantire le pari opportunità; h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro. Categorie di dati Il trattamento può avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e in particolare: a) nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell'obiezione di coscienza; b) nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali (sempre che il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l'organizzazione di pubbliche iniziative, nonché i dati inerenti alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali; c) nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità psico-fisica a svolgere determinate mansioni, all'appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell'interessato, o comunque relativi anche all'indicazione della malattia come specifica causa di assenza del lavoratore. Modalità di trattamento Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall'Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità. I dati sono raccolti, di regola, presso l'interessato. Pagina 37 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS Data:30-03-10 La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia. Restano inoltre fermi gli obblighi di informare l'interessato e, ove necessario, di acquisirne il consenso scritto, in conformità a quanto previsto dagli articoli 13, 23 e 26 del Codice. Conservazione dei dati Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere conservati per un che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per l'indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti. Comunicazione e diffusione dei dati I dati sensibili possono essere comunicati e, ove necessario diffusi, nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell'interessato. Ai sensi dell'art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi. Richieste di autorizzazione I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo. Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità dalle prescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione. Norme finali. Restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute: a) nell'art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro ai fini dell'assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore; b) nell'art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare, nei dipendenti o in persone prese in considerazione per l'instaurazione di un rapporto di lavoro, l'esistenza di uno stato di sieropositività; c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni; d) fermo restando quanto disposto dall'art. 8 della legge 20 maggio 1970, n. 300, nell'art. 10 del d.lg. 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all'handicap, alla razza, all'origine etnica, al colore, alla ascendenza, all'origine nazionale, al gruppo linguistico, allo stato di salute e ad eventuali controversie con i precedenti datori di lavoro, nonché di trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo. Efficacia temporale e disciplina transitoria. La presente autorizzazione ha efficacia a decorrere dal 1° luglio 2004 fino al 30 giugno 2005. Qualora alla data della pubblicazione della presente autorizzazione il trattamento non sia già conforme alle prescrizioni non contenute nella precedente autorizzazione n. 1/2002, il titolare deve adeguarsi ad esse entro il 30 settembre 2004. La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana. Roma, 30 giugno 2004 IL PRESIDENTE Rodotà IL RELATORE Rodotà IL SEGRETARIO GENERALE Pagina 38 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS MD-AM-GE-01 Data:30-03-10 Pag.39 di 41 Rev.1.0 Del 25.03.09 Amministrazione Generale Informativa e Consenso Dati Ordinari – Dlgs 196-30.06.03 Spett.le ditta Terranuova, lì……………. OGGETTO: Informativa e richiesta consenso per il trattamento di dati ordinari Spett.le Ditta, Desideriamo informarLa che il D.Lgs. n. 196 del 30 giugno 2003 («Codice in materia di protezione dei dati personali») prevede la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. Secondo la normativa indicata, tale trattamento sarà improntato ai principi di correttezza, liceità e trasparenza e di tutela della Sua riservatezza e dei Suoi diritti. Ai sensi dell'articolo 13 del D.Lgs. n. 196/2003, pertanto, Le forniamo le seguenti informazioni: 1. I dati da Lei forniti verranno trattati per le seguenti finalità: Amministrativo-contabile: adempimento di obblighi contabili e fiscali, gestione clienti e fornitori, gestione del contenzioso. 2. Il trattamento sarà effettuato con le seguenti modalità Cartaceo – Elettronico 3. Il conferimento dei dati è obbligatorio. Il mancato consenso al trattamento dei dati in questo caso comporta l’impossibilità di prosecuzione del rapporto contrattuale. 4. I dati non saranno comunicati ad altri soggetti, né saranno oggetto di diffusione. 5. Il titolare del trattamento è: ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR 6. Il responsabile del trattamento è: - Simonetta Manetti come responsabile del trattamento dei dati - Cesare Nannini come responsabile della sicurezza informatica 7. Il rappresentante del titolare nel territorio dello Stato è Fabrizio Bernini 8. In ogni momento potrà esercitare i Suoi diritti nei confronti del titolare del trattamento, ai sensi dell'art.7 del D.Lgs. n. 196/2003, che per Sua comodità riproduciamo integralmente. Art. 7 - Diritto di accesso ai dati personali ed altri diritti 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: Pagina 39 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS Data:30-03-10 a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Art. 24 - Casi nei quali può essere effettuato il trattamento senza consenso 1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 Dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato; h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati. Pagina 40 di 41 ZUCCHETTI CENTRO SISTEMI SPA VIA LUNGARNO 305/A 52028 Terranuova B.ni AR DPS: Allegati al DPS Data:30-03-10 Consenso per il trattamento di dati ordinari Il/la sottoscritto/a, acquisite le informazioni fornite dal titolare del trattamento ai sensi dell'articolo 13 del D.Lgs. n. 196/2003: - presta il suo consenso al trattamento dei dati personali per i fini indicati nella suddetta informativa [ ] Si [ ] No (Qualora il trattamento non rientri in una delle ipotesi di esenzione di cui all'art. 24 del D.Lgs. n.196/2003) Ragione Sociale: Luogo Timbro Data: Firma Leggibile Con l’occasione porgiamo distinti Saluti. Zucchetti Centro Sistemi SpA N.B. Si prega di rinviare la presente pagina a mezzo fax 055/9797515 alla c.a. Francesca Tempesta. Grazie. Pagina 41 di 41