relazione - Unione Comuni Garfagnana

Transcript

UNIONE COMUNI GARFAGNANA
Il Presidente
Visti:
-
Il D.lgs. n. 196 del 30 giugno 2003 nonché il relativo allegato B contenente il disciplinare tecnico in
materia di misure minime di sicurezza
-
Il decreto legge n.70 del 13 maggio 2011 convertito con modificazioni nella legge n.106 del 12 luglio
2011
-
Il decreto legge n.201 del 6 dicembre 2011 convertito con modificazioni nella legge n. 214 del 22
dicembre 2011
-
Il decreto legge “semplificazioni” del 27 gennaio 2012
Si predispone la seguente:
RELAZIONE ANNUALE SULLO STATO DI ATTUAZIONE DEL
D.LGS. 196/2003 – CODICE IN MATERIA DI PROTEZIONE DEI
DATI PERSONALI
ANNO 2013
inerente l’insieme dei trattamenti di dati personali effettuati in ambito aziendale, con specifico riferimento
all’insieme delle misure minime di sicurezza organizzative, fisiche e logiche previste dall’allegato B del
sopracitato decreto legislativo.
Castelnuovo di Garfagnana, Lì 14-05-2013
Il Presidente
_______________________________________
(Mario Puppa)
RELAZIONE ANNUALE SULLO STATO DI ATTUAZIONE DEL
D.LGS. 196/2003 – CODICE IN MATERIA DI PROTEZIONE DEI
DATI PERSONALI
Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e
logiche, da adottare per il trattamento dei dati personali effettuato da codesta azienda.
====================
Il presente documento è articolato al fine di illustrare compiutamente i seguenti aspetti:
1.
l’elenco dei trattamenti di dati personali al fine di individuare il contesto in cui le persone
opportunamente disegnate possono operare. Tale elenco contemplerà i seguenti aspetti:
la individuazione delle tipologie di dati personali trattati
la descrizione delle aree, dei locali e degli strumenti con i quali si effettuano i trattamenti
la elaborazione della mappa dei trattamenti effettuati, che si ottiene incrociando le coordinate
dei due punti precedenti
nell’ambito di questa sezione saranno anche evidenziati gli eventuali trattamenti di videosorveglianza
(art. 154 comma 1 lett. C – Provvedimento garante 08/04/2010 GU n. 99 del 29/04/2010)
2.
la distribuzione dei compiti e delle responsabilità, nell’ambito delle strutture preposte al trattamento dei
dati (analisi del mansionario privacy) e individuazione degli interventi formativi rivolti agli incaricati del
trattamento
3.
l’analisi dei rischi che incombono sui dati al fine di correttamente individuare le misure idonee e
preventive di contrasto come previsto dall’articolo 31 del D.lgs.196/2003
4.
le misure, già adottate e da adottare, per garantire l’integrità e la disponibilità dei dati
5.
la definizione delle regole di attuazione degli aggiornamenti periodici dei programmi di elaborazione
(punti 15,16 e 17 allegato B)
6.
i criteri e le modalità di ripristino dei dati, in seguito a distruzione o danneggiamento
7.
l’individuazione dei soggetti esterni che possono operare in qualità di responsabili di trattamento ai
sensi dell’articolo 29 del D.lgs 196/2003
8.
la definizione delle regole adottate dall’azienda nell’ambito dei trattamenti dei dati del personale
dipendente (Deliberazione del Garante per la Protezione dei dati personali n. 53 del 23 novembre
2006 pubblicata sulla Gu n.285 del 7 dicembre 2006 avente come oggetto Rapporti di lavoro: adottate
le linee guida per il trattamento di dati dei dipendenti privati).
9.
la definizione delle regole per l’utilizzo di internet e della posta elettronica (Art. 154 comma 1 lett. C del
D.lgs – provvedimento garante 01/03/2007 – n. 13)
10.
la definizione delle regole per la gestione della problematica denominata “Amministratori di Sistema”
(Art. 154 comma 1 lett. C- H del D.lgs – Provvedimento garante 27/11/2008 – GU 300/2008)
11.
dichiarazioni d’impegno e firma.
Indice della relazione
1
L’elenco dei trattamenti dei dati personali ............................................................................................................ 4
1.1
Trattamenti – Informazioni di base ................................................................................................................ 4
1.2
Trattamenti – Caratteristiche di aree, locali e strumenti con cui si effettuano i trattamenti................... 1
1.3
La mappa dei trattamenti effettuati .............................................................................................................. 24
2 Distribuzione dei compiti e delle responsabilità................................................................................................. 26
2.1
Profili di responsabilità .................................................................................................................................. 26
2.2
Soggetti incaricati sui trattamenti................................................................................................................. 28
2.2.1
Modalità di designazione e principi generali ...................................................................................... 28
2.2.2
Modalità di formulazione degli incarichi .............................................................................................. 28
2.3
Interventi formativi.......................................................................................................................................... 32
2.3.1
Piani di formazione ed interventi formativi.......................................................................................... 32
3 Analisi dei rischi che incombono sui dati ............................................................................................................ 34
4 Misure in essere e da adottare atte a garantire l’integrità e la disponibilità dei dati .................................... 37
4.1
La protezione di aree e locali ....................................................................................................................... 37
4.2
La custodia e l’archiviazione di atti, documenti e supporti ....................................................................... 38
4.3
Le misure logiche di sicurezza ..................................................................................................................... 40
5 Regole di attuazione degli aggiornamenti periodici dei programmi di elaborazione.................................... 48
6 Criteri e modalità di ripristino dei dati .................................................................................................................. 51
7 Trattamenti affidati all’esterno .............................................................................................................................. 53
8 Specificità del Trattamento dei dati personali dei dipendenti .......................................................................... 55
9 Amministratori di sistema...................................................................................................................................... 60
10
Dichiarazioni d’impegno e firma......................................................................................................................... 1
1 L’elenco dei trattamenti dei dati personali
In questa sezione sono individuati i trattamenti effettuati, direttamente o attraverso collaborazioni esterne,
con l’indicazione della natura dei dati, delle categorie di interessati e della struttura (ufficio, funzione, ecc.)
interna od esterna operativamente preposta.
1.1 Trattamenti – Informazioni di base
Per ciascun trattamento sono indicate le seguenti informazioni in forma tabellare:
Identificativo del trattamento: si tratta di un codice univoco che viene associato ad ogni trattamento. Nel
seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione del
trattamento per esigenze di sintesi.
Descrizione: è una breve descrizione del trattamento effettuato corredato dall’indicazione della finalità
perseguita (o dell’attività svolta) e delle categorie di persone cui i dati si riferiscono.
Natura dei dati trattati: i dati personali trattati vengono classificati in base al loro livello di delicatezza e
sensibilità. In particolare verranno evidenziati se, tra i dati personali, sono presenti solo dati comuni o anche
dati sensibili o giudiziari.
Si rammentano a tale proposito le lettere b,c,d,e del comma 1 dell’ art. 4. del d.lgs. 196/03 (“Definizioni”) così
come modificate dall’art. 40 comma 2 lettere a e b del decreto legge n.201 del 6 dicembre 2011 convertito in
legge n.214 del 22 dicembre 2011:
b) “dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione
personale;
c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni
a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute
e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a)
a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle
sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di
indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
Categorie di interessati. Vengono indicate le categorie di soggetti di cui vengono trattati i dati personali.
Struttura di riferimento: viene indicata la struttura di riferimento, intesa come ufficio preposto o unità
organizzativa, all’interno della quale viene effettuato il trattamento. La scelta effettuata è quella di
mantenersi ad un livello di definizione intermedio e cioè che consenta sicuramente di individuare l’ambito in
cui il trattamento viene effettuato senza scendere in un dettaglio troppo spinto che renderebbe troppo
frammentario il quadro che si vuole illustrare.
Altre strutture che concorrono al trattamento: vengono indicate tutte le eventuali strutture che
concorrono, completamente o in parte, al trattamento oltre quella che cura primariamente l’attività e che è
stata indicata al punto precedente. Tale strutture possono essere sia interne che esterne.
Riferimento al regolamento ai sensi artt.20 e 21 d.lgs.196/2003: per i trattamenti che coinvolgono dati
sensibili e giudiziari vengono indicati i riferimenti ai “macro-trattamenti” elencati nel regolamento sui dati
sensibili e giudiziari approvato dall’ente.
Note. Sono indicate, eventualmente, alcune caratteristiche o particolarità del trattamento.
Tabella 1. - Elenco dei trattamenti ed informazioni di base
Data di ultimo aggiornamento: 14-05-2013
Identificativo
Descrizione
Natura dei
Categorie di
Struttura principale
dati trattati
interessati
di riferimento
21 - ARCHIVIO E
PROTOCOLLO
Attività di archiviazione generale e di
protocollazione della corrispondenza.
Dati comuni
clienti ed utenti
Personale Dipendente
UNIONE COMUNI
GARFAGNANA
23 - CLIENTI ED UTENZE
Attività inerenti la gestione dei clienti e
delle utenze.
Dati comuni
Dati giudiziari
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
24 - CONTABILITA' E FISCALE
Attività connesse alla gestione dei libri
contabili della contabilità e di tutti gli
aspetti fiscali.
Gestione del rapporto di lavoro del
personale impiegato a vario titolo presso
la Comunità Montana
Attività legate alla gestione dei dati al fine
di applicare la normastiva in termini di
tutela dei dati personali.
Attività inerenti alla produzione di
statistiche sulla popolazione dei comuni
della Comunità Montana
Attività legate alla gestione dei rapporti
con soggetti esterni quali liberi
professionisti e consulenti con rapporti
contrattuali.
Attività dello sportello unico per le attività
produttive
01 - PERSONALE
25 - PRIVACY
27 - STATISTICA
26 - RAPPORTI CON TERZI
29 - SUAP
28 - SVILUPPO ECONOMICO,
AMBIENTE
Attività per la gestione delle pratiche
inerenti allo sviluppo economico del
territorio, alla tutela dell'ambiente
UNIONE COMUNI
GARFAGNANA
Dati comuni
Dati giudiziari
Dati sensibili
Dati comuni
Dati comuni
Dati sensibili
UNIONE COMUNI
GARFAGNANA
clienti ed utenti
fornitori
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
Dati comuni
clienti ed utenti
fornitori
UNIONE COMUNI
GARFAGNANA
Dati comuni
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
Dati comuni
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
Identificativo
Descrizione
Natura dei
Categorie di
dati trattati
interessati
di riferimento
22 - CED
Attività legate alla manutenzione delle
risorse hardware e software dell'ente.
Dati comuni
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
02 - PERSONALE
CONCESSIONE BENEFICI
Attività relatva al riconoscimento di
benefici connessi invalidità civile e
all'invalidità derivente da cause di servizio,
nonchè al riconoscimento di inabilità a
svolgere attività lavorativa.
Attività ricreativa per la promozione del
benessere della persona e della comunità,
per il sostegno dei progetti di vita delle
persone e delle famiglie e per la rimozione
del disagio sociale.
Gestione delle biblioteche e dei centri di
documentazione
Dati comuni
Dati giudiziari
Dati sensibili
UNIONE COMUNI
GARFAGNANA
Dati comuni
Dati sensibili
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
Dati comuni
Dati sensibili
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
12 - PROCEDURE
SANZIONATORIE
Gestione delle procedure sanzionatorie
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
13 - POLIZIA MUNICIPALE GESTIONE ASSOCIATA
Attività di polizia municiaple in gestiona
associata fra i comuni aderenti all'Unione.
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
16 - AVVOCATURA
Attività relativa alla consulenza giuridica,
al patrocinio ed alla difesa
dell'amministrazione, nonchè alla
consulenza e copertura assicurativa in
caso di responsabilità civile verso terzi
dell'amministrazione
Gestione delle attività relative all'incontro
domanda/offerta di lavoro, comprese
quelle relative alla formazione
professionale
Gestione dei dati relativi agli organi
istituzionali dell'ente
Dati comuni
Dati giudiziari
Dati sensibili
Dati comuni
Dati giudiziari
Dati sensibili
Dati comuni
Dati giudiziari
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
Dati comuni
Dati sensibili
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
Dati comuni
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
05 - ATTIVITA' RICREATIVA
10 - BIBLIOTECHE - BANCA
DELLA MEMORIA
17 - INCONTRO
DOMANDA/OFFERTA
18 - ORGANI ISTITUZIONALI
Identificativo
19 - ATTIVITA' POLITICA
Descrizione
Natura dei
Categorie di
dati trattati
interessati
di riferimento
Attività politica, di indirizzo e di controllo,
sindacato ispettivo e documentazione
dell'attività istituzionale degli organi delle
Comunità Montane
gestioni dei dati del Comprensorio di
Bonifica
Dati comuni
Dati sensibili
UNIONE COMUNI
GARFAGNANA
Dati comuni
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
20 - PROTEZIONE CIVILE
Attività inerente la protezione civile
Dati comuni
Dati sensibili
clienti ed utenti
UNIONE COMUNI
GARFAGNANA
32 - CATASTO
Attività per la gestione delle pratiche
inerenti la gstione catastale
33 - SPORTELLO CCIAA
Attività lo sportello all'utenza per la
Camera di Commercio
34 - CENTRALE UNICA DI
COMMITTENZA
Attività legata alla centrale unica di
committenza/stazione unica appaltante
per le gare d'appalto e le forniture dei
Comuni dell'unione
30 - RUOLI BONIFICA
UNIONE COMUNI
GARFAGNANA
fornitori
UNIONE COMUNI
GARFAGNANA
1.2 Trattamenti – Caratteristiche di aree, locali e strumenti con cui si
effettuano i trattamenti
Il trattamento dei dati personali avviene nelle sedi/edifici riportati nel prospetto che segue.
Per ogni sede/edificio vengono indicate le seguenti informazioni:
Codice Sede: si tratta di un progressivo univoco che viene associato ad ogni sede/edificio per scopi di
codifica. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione
della sede/edificio per esigenze di sintesi.
Indirizzo: è l’indirizzo esatto in cui è ubicata la sede/edificio
Città: è la città in cui è ubicata la sede/ufficio
Tipologia: viene indicata la tipologia di sede/edificio utilizzando brevi descrittori del tipo: Palazzo municipale,
biblioteca, asilo, etc...
Descrizione: viene descritta la sede/ufficio e le sue principali funzionalità
Tabella 2. Caratteristiche delle sedi e degli edifici
Codice
Sede
Indirizzo
0001
Via Vittorio Emanuele
0002
Località La Piana
0004
Località Orto Murato
Città
Tipologia
Descrizione
Castelnuovo di
Garfagnana
Camporgiano
Sede Operativa
Sede Operativa
Sede legale ed operativa
dell'ente
Sede distaccata - Vivaio
Castelnuovo di
Garfagnana
Sede Protezione
Civile
Sede Operativa servizio
di Protezione Civile
Di seguito, in un prospetto tabellare, vengono identificati i locali (uffici) presenti nelle varie sedi/edifici
precedentemente individuate all’interno della quale viene effettuato almeno un trattamento di dati personali .
Per ogni locale/ufficio sono riportate le seguenti caratteristiche:
Codice Sede: si tratta del codice identificativo della sede di appartenenza dell’ufficio già adottato nel
precedente prospetto.
Sigla locale/ufficio: si tratta di un progressivo univoco dell’ufficio all’interno della sede. Nel seguito del
documento spesso si farà riferimento a questo codice anziché all’intera descrizione del locale/ufficio per
esigenze di sintesi.
Locazione: viene indicata la dislocazione fisica dell’ufficio (ex: piano terreno, primo piano, seminterrato ,
etc..).
Descrizione/Uso: viene indicata la descrizione ed il tipo di uso che si fa dell’ufficio con particolare
riferimento agli aspetti che riguardano il trattamento dei dati personali (Ex: l’ufficio è adibito ad archivio di
dati, il locale è un ufficio operativo in cui i dati vengono trattati, etc...)
1
Tabella 3. Caratteristiche dei locali e degli uffici ove avviene almeno un trattamento di dati personali
Codice
Sede
Sigla Locale/Ufficio
Locazione
0001
46 -PROTOCOLLO
PIANO TERRA
0001
47 -STAFF PRESIDENZA
PIANO TERRA
0001
36 -CULTURA
PIANO TERRA
0001
38 -INTERCOMUNICAZ.
PIANO TERRA
0001
53 -TURISMO
0001
23 -AGRICOLTURA
PRIMO PIANO
0001
22 -ATT. AGRICOLE
PRIMO PIANO
0001
27 -SELVICOLTURA
PRIMO PIANO
0001
28 -DIRIGENZA EC.
PRIMO PIANO
0001
26 -STAFF DIREZIONE
PRIMO PIANO
0001
24 -STATISTICA
PRIMO PIANO
0001
15 -DIFESASUOLO
PRIMO PIANO
0001
42 -CATASTO
PIANO TERRA
0001
27 -FORESTAZIONE
PRIMO PIANO
0001
25 -DIRIGENTE CED
PRIMO PIANO
0001
52 -CONCESSIONI
0001
1 -PERSONALE
0001
11 -SEGRETARIO
SECONDO PIANO
0001
12 -SEGRETERIA
SECONDO PIANO
0001
2 -RAGIONERIA
SECONDO PIANO
0001
3 - CENTR. UNI. COMM
SECONDO PIANO
0001
13 -FINANZIARIA
SECONDO PIANO
0001
14 -RIS.UMANE
SECONDO PIANO
0001
17 -PROT.CIVILE
0001
26 -STAFF DIREZIONE
SECONDO PIANO
0001
4 -SUPPORTO AMM.
SECONDO PIANO
0001
62 -SERVER
SEMINTERRATO 2° PIANO
0001
58 -ARCHIVIO1
0001
59 -ARCHIVIO2
0001
66 -BANCA MEMORIA
0001
54 -SUAP
0001
52 -VINCOLO
0001
16 -RIS.AMBIENTALI
0001
BONIFICA
0001
66 -SUPP.BANCAMEM.
0001
34 -ASSESSORI
0001
CORRSUAP
PRIMO PIANO
PRIMO PIANO
PRIMO PIANO
ALA CON INGRESSO SEPARATO - PRIMO PIANO
SECONDO PIANO
PIANO TERRA
2
Codice
Sede
Sigla Locale/Ufficio
0001
21 -SUPP. DIREZIONE
Locazione
PRIMO PIANO
Molti dati personali sono elaborati con l’ausilio di strumenti elettronici.
Il seguente prospetto evidenzia per ogni elaboratore i seguenti aspetti:
Codice: si tratta di un progressivo univoco all’interno dell’insieme degli elaboratori di cui dispone l’ente. Nel
seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione dello
strumento elettronico.
Nome: viene indicato un breve nome dello strumento elaborativo di ausilio alla sua identificazione all’interno
dei locali dell’ente.
Descrizione: viene indicata una breve descrizione dello strumento elaborativo di ausilio alla sua
identificazione all’interno dei locali dell’ente.
Modello: vengono indicati il modello, il produttore e le eventuali caratteristiche hardware del sistema
Sistema operativo: viene indicato il sistema operativo del sistema elaborativo in oggetto (Ex: Microsoft
Windows Vista, etc..)
Tipo: viene indicata la tipologia dell’unità elaborativa (Ex: personal computer, notebook, palmare, terminale,
server di rete, mainframe, etc...).
Tipo di interconnessione: Tipologia di connessione di cui è dotato il sistema elaborativo (rete locale,
internet, etc...)
Sede/Ufficio in cui è situato l’elaboratore: viene indicato il riferimento codificato alla sede ed all’ufficio
(locale) dove fisicamente l’elaboratore è situato.
Tabella 4. Caratteristiche degli elaboratori con i quali sono operati i trattamenti
Codice
G.REALI
Nome
Descrizione
REALI
PC REALI
GABRIELLA GABRIELLA
A.GIANN GIANNOTTI
OTT
ALBERICE
PC
GIANNOTTI
ALBERICE
Modello
LENOVO
ASSEMBLATO
3
Sistema
operativo
Sede/ufficio
Tipo
in cui è situato
l'elaboratore
WIN7
Altro
dispositivo
elettronico
WIN7
Altro
dispositivo
elettronico
0001 - Sede
legale ed
operativa
dell'ente - 2 RAGIONERIA SECONDO
PIANO 0001 - Sede
legale ed
operativa
dell'ente - 14 RIS.UMANE SECONDO
PIANO -
Codice
Nome
Descrizione
Modello
VICOLO
VIN.IDR.2 IDR. 2
PC VICOLO
IDROGEOLO
GICO E
LENOVO
GUARDI
GIUNTINI
F.GIUNTI FRANCESC
NI
O
PC GIUNTINI
FRANCESCO MITAS
F.REALI
REALI
FABIO
PC REALI
FABIO
F.FIORA
NI
FIORANI
FABIANA
PC FIORANI
FABIANA
PC POSTA
PC UTENTE
POSTA
POSTA
ASSEMBLATO
MITAS
HP
PC UFFICIO
REGOLAME
REGOLAME NTI
NTI
COMUNITAR
REGCOM COMUNITA I
LENOVO
Sistema
operativo
Sede/ufficio
Tipo
l'elaboratore
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WIN7
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
ROSSI
G.ROSSI GIUSEPPE
PC ROSSI
GIUSEPPE
ANGELI
P.ANGELI PIERLUIGI
PC ANGELI
PIERLUIGI
LENOVO
WINXP
Altro
dispositivo
elettronico
A.CRESTI CRESTI
PC CRESTI
MITAS
WINXP
Altro
LENOVO
4
in cui è situato
0001 - Sede
legale ed
operativa
dell'ente - 52 CONCESSIONI SEMINTERRAT
O 1° PIANO 0001 - Sede
legale ed
operativa
dell'ente - 15 DIFESASUOLO PRIMO PIANO 0001 - Sede
legale ed
operativa
dell'ente - 16 RIS.AMBIENTALI
- PRIMO PIANO 0001 - Sede
legale ed
operativa
dell'ente - 27 FORESTAZIONE
legale ed
operativa
dell'ente - 46 PROTOCOLLO PIANO TERRA 0001 - Sede
legale ed
operativa
dell'ente - 27 SELVICOLTURA
legale ed
operativa
dell'ente - 23 AGRICOLTURA PRIMO PIANO 0001 - Sede
legale ed
operativa
dell'ente - 22 ATT. AGRICOLE
Codice
P.PIERO
NI
Nome
Descrizione
ALBERTO
ALBERTO
PIERONI
PATRIZIA
PC PIERONI
PATRIZIA
Modello
Sistema
operativo
HP COMPAQ
WINXP
PC
A.BENED BENEDETTI BENEDETTI
ETT
ADIEME
ADIEME
HP
WIN7
COSTA
L.COSTA LIDIA
PC COSTA
LIDIA
ACER VERITON
WINXP
SRV.ORA SERVER
CLE
ORACLE
SERVER
ORACLE
LOTUS
NOTES
VIRTUALIZZ
ATO
WIN2000
VIRTUALIZZATO S
SERVER
DOMINIO
IBM
SRV.DO
MINI
SERVER
DOMINIO
WIN2003
S
PC
D.SUFFR SUFFREDIN SUFFREDINI
EDI
I DANIELA
DANIELA
ASSEMBLATO
NB
NB
NB.M.GIA GIANNOTTI GIANNOTTI
N
MAURO
MAURO
HP
5
WIN7
WIN7
Sede/ufficio
Tipo
in cui è situato
l'elaboratore
dispositivo legale ed
elettronico operativa
dell'ente - 53 TURISMO SEMINTERRAT
legale ed
operativa
Altro
dell'ente - 36 dispositivo CULTURA elettronico PIANO TERRA 0001 - Sede
legale ed
operativa
Altro
dell'ente - 46 dispositivo PROTOCOLLO elettronico PIANO TERRA 0001 - Sede
legale ed
operativa
dell'ente - 26 Altro
STAFF
dispositivo DIREZIONE elettronico PRIMO PIANO 0001 - Sede
legale ed
operativa
Elaboratore dell'ente - 62 elettronico SERVER di tipo
SEMINTERRAT
O 2° PIANO server
0001 - Sede
legale ed
operativa
Elaboratore dell'ente - 62 elettronico SERVER SEMINTERRAT
di tipo
O 2° PIANO server
0001 - Sede
legale ed
operativa
dell'ente - 4 SUPPORTO
AMM. Altro
dispositivo SECONDO
elettronico PIANO Altro
0001 - Sede
Codice
Nome
Descrizione
NOTEBOOK
MASMAR NB_MASOT MASOTTI
T
TI MARTINA MARTINA
Modello
ACER
NBFIN
NB
RAGIONERI NB UFF.
A
RAGIONERIA FUJITSU
F.POLI
POLI
FRANCESC
O
PC POLI
FRANCESCO COMPATIBILE
M.MAZZE MAZZEI
I
MORENO
PC MAZZEI
MORENO
S.PIERO
NI
PIERONI
SANDRO
PC PIERONI
SANDRO
A.PIERO
TTI
PIEROTTI
ALBERTO
PC PIEROTTI
ALBERTO
LENOVO
ACER
LENOVO
Sistema
operativo
WINXP
Altro
dispositivo
elettronico
WIN2000
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
Altro
dispositivo
elettronico
LENOVO
WINXP
C.LENZI
PC LENZI
ASSEMBLATO
WIN7
in cui è situato
l'elaboratore
WIN7
PC
BATTAGLIA
EMANUELA
6
Tipo
Altro
dispositivo
elettronico
E.BATTA BATTAGLIA
GLI
EMANUELA
LENZI
Sede/ufficio
Altro
dell'ente - 17 PROT.CIVILE PRIMO PIANO 0001 - Sede
legale ed
operativa
dell'ente - 26 STAFF
DIREZIONE SECONDO
PIANO 0001 - Sede
legale ed
operativa
dell'ente - 13 FINANZIARIA SECONDO
PIANO 0001 - Sede
legale ed
operativa
dell'ente - 24 STATISTICA PRIMO PIANO 0001 - Sede
legale ed
operativa
dell'ente - 15 DIFESASUOLO PRIMO PIANO 0001 - Sede
legale ed
operativa
dell'ente - 28 DIRIGENZA EC.
legale ed
operativa
dell'ente - 52 CONCESSIONI SEMINTERRAT
legale ed
operativa
dell'ente - 1 PERSONALE PRIMO PIANO 0001 - Sede
Codice
Nome
CARLA
Descrizione
Modello
Sistema
operativo
CARLA
PINAGLI
F.PINAGL FRANCESC
I
O
PC PINAGLI
FRANCESCO XP COMPAQ
WINXP
R.CORFI CORFINI
NI
RITA
PC CORFINI
RITA
LENOVO
WIN7
M.GIANN GIANNOTTI
OTT
MAURO
PC
GIANNOTTI
MAURO
ASSEMBLATO
WIN7
ALBOPR
ETOR
PC PER
PUBBLICAIO
NE ALBOONASSEMBLATO
LINE
WIN7
PC UFFICIO
PERSONALE LENOVO
WIN7
SERVER
WEB NUOVO HP
WIN2000
S
SERVER
TERMINAL
WIN2000
S
PC ALBO
PRETORIO
PC UFF.
PERSON PERSONAL
ALE
E
SRV.NE
WWEB
SERVER
WEB
NUOVO
SRV.TER SERVER
MIN
TERMINAL
IBM
7
Sede/ufficio
Tipo
in cui è situato
l'elaboratore
dell'ente - 12 SEGRETERIA SECONDO
PIANO 0001 - Sede
legale ed
operativa
SEGRETARIO dispositivo SECONDO
elettronico PIANO 0001 - Sede
legale ed
operativa
Altro
dell'ente - 17 dispositivo PROT.CIVILE elettronico PRIMO PIANO 0001 - Sede
legale ed
operativa
Altro
dell'ente - 17 dispositivo PROT.CIVILE elettronico PRIMO PIANO 0001 - Sede
legale ed
operativa
SERVER dispositivo SEMINTERRAT
elettronico O 2° PIANO 0001 - Sede
legale ed
operativa
RIS.UMANE dispositivo SECONDO
elettronico PIANO 0001 - Sede
legale ed
operativa
Elaboratore dell'ente - 62 elettronico SERVER SEMINTERRAT
di tipo
O 2° PIANO server
Elaboratore 0001 - Sede
elettronico legale ed
di tipo
operativa
server
dell'ente - 62 -
Codice
Nome
Descrizione
Modello
PC
RESPONSAB
PC
ILE UFFICIO
FINANZIARI FINANZIARI
RESPFIN A
O
HYUNDAI
G.SATTI_ SATTI
N
GIOVANNI
PC SATTI
GIOVANNI
I.TURRIA TURRIANI
_N
IOLANDA
PC
TURRIANI
IOLANDA
L.ADAMI_ ADAMI
N
LUCIANA
PC ADAMI
LUCIANA
P.TROMB TROMBI
I_N
PATRIZIA
PC TROMBI
PATRIZIA
NB
PIERONI
PIERONI SANDRO
NB PIERONI
SANDRO
SP.SUAP SUAP
PC SUAP
MITAS
LENOVO
ASSEMBLATO
MITAS
LENOVO
MITAS
8
Sistema
operativo
Sede/ufficio
Tipo
in cui è situato
l'elaboratore
WINXP
Altro
dispositivo
elettronico
WIN2000
Altro
dispositivo
elettronico
WIN7
Altro
dispositivo
elettronico
WIN7
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WIN7
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
SERVER SEMINTERRAT
legale ed
operativa
PIANO 0001 - Sede
legale ed
operativa
dell'ente BONIFICA - ALA
CON INGRESSO
SEPARATO PRIMO PIANO 0001 - Sede
legale ed
operativa
dell'ente - 47 STAFF
PRESIDENZA PIANO TERRA 0001 - Sede
legale ed
operativa
dell'ente - 54 SUAP SEMINTERRAT
legale ed
operativa
PIANO 0001 - Sede
legale ed
operativa
dell'ente - 28 DIRIGENZA EC.
legale ed
operativa
dell'ente - 54 SUAP -
Codice
Nome
Descrizione
Modello
VINCOLO VINCOLO
PC VINCOLO
IDROGEOLO
GICO
LENOVO
R.MARTI MARTINI
NIn
ROBERTO
PC MARTINI
ROBERTO
CATAST
O
UFFICIO
CATASTO
PC UFFICIO
CATASTO
NB_CRE
STI
NOTEBOOK
CRESTI
NB_CRESTI ALBERTO
Sistema
operativo
Sede/ufficio
Tipo
in cui è situato
l'elaboratore
SEMINTERRAT
legale ed
operativa
dell'ente - 52 VINCOLO SEMINTERRAT
legale ed
operativa
dell'ente - 25 DIRIGENTE CED
legale ed
operativa
dell'ente - 42 CATASTO PIANO TERRA 0001 - Sede
legale ed
operativa
dell'ente - 53 TURISMO SEMINTERRAT
legale ed
operativa
dell'ente - 21 SUPP.
DIREZIONE PRIMO PIANO 0001 - Sede
legale ed
operativa
dell'ente - 34 ASSESSORI PIANO TERRA 0001 - Sede
legale ed
operativa
dell'ente - 3 CENTR. UNI.
COMM SECONDO
PIANO -
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
WINXP
Altro
dispositivo
elettronico
CENTR.
CE.UN.C UNICA
OMM
COMMITT
PC
CENTRALE
UNICA DI
COMMITTEN
ZA
LENOVO
WINXP
Altro
dispositivo
elettronico
SRV.FILE FILE
FILE
WIN2003
Elaboratore 0001 - Sede
A.ROSSI_ ROSSI
N
ANNA RITA
PC ROSSI
ANNA RITA
LENOVO
IBM
ACER ASPIRE
5630
IBM THINK
CENTER
ASSESO PC
PC SALA
RI
ASSESSORI ASSESORI
IBM
9
Codice
Nome
SERVER
Descrizione
SERVER
Modello
SYSTEMX3400
Sistema
operativo
Sede/ufficio
Tipo
in cui è situato
l'elaboratore
S
elettronico legale ed
di tipo
operativa
server
dell'ente - 62 SERVER SEMINTERRAT
legale ed
operativa
Elaboratore dell'ente - 62 elettronico SERVER SRV.MAI MAIL
SERVER DI
WIN2003
SEMINTERRAT
di tipo
L
SERVER
POSTA
HP
S
O 2° PIANO server
I software, i programmi informatici, di cui l’ente dispone per elaborare gli archivi elettronici e le basi dati
informatiche descritte negli schemi precedenti sono riassunti nel prospetto riepilogativo che segue.
Per ognuna delle voci in elenco sono indicate le seguenti informazioni:
Nome Prodotto: viene indicato il nome del prodotto (Ex. Microsoft Office 2010)
Descrizione e Produttore: viene indicata una breve descrizione del software in oggetto, le finalità del suo
utilizzo e l’azienda produttrice..
Tipologia/Architettura : viene fornito un breve cenno della tecnologia con la quale è stato realizzato il
prodotto (Ex: client-server, prodotto monoutente stand-alone con interfaccia a caratteri, tecnologia web su
supporto intranet, etc..).
Utilizzo di Internet: è possibile specificare se il software in oggetto utilizza un collegamento ad Internet per
le proprie funzionalità.
10
Tabella 5. Caratteristiche dei software tramite i quali sono elaborati gli archivi elettronici
Nome Prodotto
SICRAWEB
LOTUS NOTES
CONTABILITA'
BIBLIOTECA
PAGHE
MOD770
PRIVACY-C
INVENTARIO E
PATRIMONIO
ECONOMATO
ENTRATEL
OFFICE
COMPMOD
GESTIONE
INDIRIZZI
CONTENZIOSO
Descrizione e Produttore
SOFTWARE PER LA
GESTIONE DELLA
SEGRETERIA (DELIBERE,
DETERMINE E ALBO ONLINE)
PROTOCOLLO LOTUS
NOTES
SINTECOOP
CONTABILITA'
FINANZIARIA
SMAI S.R.L. - GESTIONE
BIBLIOTECA
GESTIONE PAGHE
PERSONALE
SINTECOOP MODELLO
770
PRIVACY-C GESTIONE ED
ANALISI PRIVACY
SINTECOOP SOFTWARE
INVENTARIO E
PATRIMONIO BENI MOBILI
ED IMMOBILI
STUDIO K - LINEA S.I.C.I. ECONOMATO
ENTRATEL
MICROSOFT OFFICE
MODELLI CASSA
INTEGRAZIONE
GESTIONE INDIRIZZI
Tipologia / Architettura
Utilizzo di Internet
Applicativo Client-Server a due
livelli
Si
livelli
livelli
No
livelli
livelli
livelli
livelli
livelli
No
livelli
Applicativo su Host
Applicativo Stand Alone
No
No
No
No
No
Centro Computer - Gestione Applicativo Stand Alone
del Contenzioso
No
No
No
No
No
No
Molti dati personali contemplati nei trattamenti sopra descritti sono raccolti e custoditi in archivi elettronici e
basi dati informatiche.
Di seguito viene riportato un prospetto tabellare che evidenzia l’insieme degli archivi e delle basi dati
elettroniche e le loro relazioni con gli strumenti elaborativi, con i software predisposti per l’elaborazione e con
la natura dei dati trattati. Il prospetto evidenzia i seguenti dati:
Codice: si tratta di un progressivo univoco all’interno dell’insieme degli archivi elettronici e delle basi dati
informatiche dell’ente. Nel seguito del documento spesso si farà riferimento a questo codice anziché
all’intera descrizione del archivio elettronico in oggetto.
Nome breve: viene indicato un nome breve con il quale l’archivio elettronico è identificato (Ex. Clienti,
Fornitori, Dipendenti, etc...)
Descrizione: viene indicata la descrizione estesa dell’archivio e del suo utilizzo.
Elaboratori su cui è conservato l’archivio: vengono indicati, tramite codici, gli elaboratori sui quali
l’archivio è custodito e conservato. I codici espressi sono quelli precedentemente indicati nel prospetto
riepilogativo di Tabella 4.
11
Software da cui è elaborato l’archivio: vengono indicati i software con i quali l’archivio è elaborato. I
software sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 5.
Natura dei dati personali trattati: vengono indicate le tipologie di dati trattati con particolare riferimento al
loro grado di sensibilità (ex: dati inerenti l’orientamento politico (sensibili)).
Tabella 6. Caratteristiche degli archivi elettronici e delle basi dati informatiche
Software da
Codice Nome breve Descrizione
020
PRIVACY
021
LOTUS
022
023
ARCHIVIO DATI
DEL SOFTWARE
PRIVACY-C
ARCHIVIO DATI
DEL SOFTWARE
LOTUS NOTES
CONTABILI ARCHIVIO DATI
TA'
DEL SOFTWARE
DI CONTABILITA'
FINANZIARIA
770
ARCHIVIO DATI
DEL SOFTWARE
PER IL 770
Elaboratori su cui
cui è
è conservato
elaborato
Natura dei dati personali
l’archivio
l’archivio
trattati
SRV.TERMIN PRIVACY-C
SERVER
TERMINAL
SRV.ORACLE LOTUS
SERVER ORACLE NOTES
SRV.DOMINI SERVER
DOMINIO
CONTABILIT
A'
PERSONALE - PC MOD770
UFF.
PERSONALE
12
Stato di salute - Dati
sensibili
Codice fiscale ed altri
numeri di identificazione
personale (carte sanitarie) Dati comuni
Nominativo, indirizzo o altri
elementi di identificazione
personale - Dati comuni
sensibili
Adesione a sindacati o
organizzazioni a carattere
sindacale - Dati sensibili
sensibili
Attività economiche,
commerciali, finanziarie e
assicurative - Dati comuni
Beni, proprietà, possessi
(proprietà, possessi e
locazioni; beni e servizi
forniti o ottenuti) - Dati
comuni
Dati relativi alla famiglia e a
situazioni personali (stato
civile, minori, figli, soggetti
a carico, consanguinei, altri
appartenenti al nucleo
familiare) - Dati comuni
Istruzione e cultura
Software da
024
025
CASSA
ARCHIVIO DATI
INTEGRAZI DEL SOFTWARE
ONE
COMPMOD
PAGHE
ARCHIVIO DATI
DEL SOFTWARE
PAGHE
Elaboratori su cui
cui è
è conservato
elaborato
l’archivio
l’archivio
trattati
A.GIANNOTT GIANNOTTI
ALBERICE
COMPMOD
PERSONALE - PC PAGHE
UFF.
PERSONALE
13
(curriculum di studi e
accademico, pubblicazioni articoli, monografie,
relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni
Lavoro - Dati comuni
sensibili
comuni
sensibili
Software da
026
027
034
Elaboratori su cui
cui è
è conservato
elaborato
l’archivio
l’archivio
trattati
INDIRIZZI
ELENCO INDIRIZZI I.TURRIA_N TURRIANI
IOLANDA
BIBLIOTEC ARCHIVIO DATI
P.PIERONI A
BIBLIOTECA
PIERONI
PATRIZIA
INVENTARI ARCHIVIO DATI
RESPFIN - PC
O
DEL SOFTWARE
FINANZIARIA
DI INVENTARIO
035
SEGRETERI ARCHIVIO DATI
A
DEL SOFTWARE
DI SEGRETERIA
ALBOPRETOR PC ALBO
PRETORIO
SRV.FILE - FILE
SERVER
036
ECONOMAT ARCHIVIO DATI
O
DEL SOFTWARE
DI ECONOMATO
SRV.DOMINI SERVER
DOMINIO
GESTIONE
INDIRIZZI
BIBLIOTECA
comuni
sensibili
sensibili
Alcuni dati personali sono conservati non su supporto elettronico bensì su supporto cartaceo.
14
Di seguito viene riportato un prospetto tabellare che evidenzia l’insieme degli archivi cartacei e le loro
relazioni sia con i locali e gli uffici dove sono conservati e la natura dei dati trattati. Il prospetto evidenzia i
seguenti dati:
Codice: si tratta di un progressivo univoco all’interno dell’insieme degli archivi cartacei dell’ente. Nel seguito
del documento spesso si farà riferimento a questo codice anziché all’intera descrizione del archivio cartaceo
in oggetto.
Nome breve: viene indicato un nome breve con il quale l’archivio cartaceo è identificato (Ex. Clienti,
Fornitori, Dipendenti, etc...)
Descrizione: viene indicata la descrizione estesa dell’archivio e del suo utilizzo.
Dislocazione: vengono indicati, tramite codici, gli uffici ed i locali nei quali l’archivio è custodito e
conservato. I codici espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 3
Natura dei dati personali trattati: vengono indicate le tipologie di dati trattati con particolare riferimento al
loro grado di sensibilità (ex: dati inerenti l’orientamento politico (sensibili)).
Tabella 7. Caratteristiche degli archivi cartacei
Codice
Nome breve
Descrizione
020
PRIVACY
ARCHIVIO DATI
DEL SOFTWARE
PRIVACY-C
036
ECONOMATO
ARCHIVIO DATI
DEL SOFTWARE
DI ECONOMATO
001
DOC.
FORESTALI
002
DOC.
STATISTICA
004
DOC. DIF.
SUOLO
ARCHIVIO
CONTENENTE I
DOCUMENTI PER
L'ASSEGNAZIONE
DI INCARICHI
PROFESSIONALI,
DETERMINE
DELL'UFFICIO
ARCHIVIO
CONTENENTE I
DOCUMENTI PER
L'ASSEGNAZIONE
DI INCARICHI
PROFESSIONALI,
DETERMINE
DELL'UFFICIO,
ALTRI ATTI DI
INDAGINE
STATISTICA E
CONVENZIONI
ARCHIVIO
CONTENENTE I
Dislocazione
0001 - Sede legale ed
operativa dell'ente - 62 SERVER - SEMINTERRATO
2° PIANO 0001 - Sede legale ed
operativa dell'ente - 17 PROT.CIVILE - PRIMO
PIANO -
trattati
sensibili
operativa dell'ente - 27 FORESTAZIONE - PRIMO
PIANO -
operativa dell'ente - 24 STATISTICA - PRIMO PIANO
-
operativa dell'ente - 15 -
15
Codice
Nome breve
Descrizione
Dislocazione
DOCUMENTI PER
PROGETTI
AMBIENTALI,
PROGRAMMI DI
OPERE ED
INTERVENTI E
RELATIVI
PROGETTI
DIFESASUOLO - PRIMO
PIANO -
ARCHIVIO
CONTENENTE I
DOCUMENTI
RELATIVI AI
RAPPORTI CON
ENTI PUBBLICI ED
AZIENDE IN
MERITO A
RAPPORTI
CONTRATTUALI
operativa dell'ente - 25 DIRIGENTE CED - PRIMO
PIANO -
005
DOC. CED
006
DOC. CULTURA ARCHIVIO
UFFICIO
CULTURA.
INDIRIZZARI E
PRATICHE DI
ASSOCIAZIONI
operativa dell'ente - 36 CULTURA - PIANO TERRA -
007
PROTOCOLLO
ARCHIVIO
PROTOCOLLO
operativa dell'ente - 46 PROTOCOLLO - PIANO
TERRA -
008
DOC.
AGRICOLTURA
PRATICHE
AGRICOLTURA
operativa dell'ente - 23 AGRICOLTURA - PRIMO
PIANO -
009
DOC.
PERSONALE
DOCUMENTAZION
E RELATIVA ALLA
GESTIONE DEL
PERSONALE:
CUD,INPS,INAIL,
PRATICHE
operativa dell'ente - 1 PERSONALE - PRIMO
PIANO -
16
trattati
comuni
comuni
comuni
sensibili
sensibili
Codice
Nome breve
Descrizione
Dislocazione
INFORTUNIO,
BUSTE PAGA
010
DOC. PERS.
FORESTALE
DOCUMENTAZION
E RELATIVA ALLA
GESTIONE DEL
PERSONALE
FORESTALE:
CUD,INPS,INAIL,
PRATICHE
INFORTUNIO,
BUSTE PAGA.
CONTRATTI
DIPENDENTI,
CURRICULUM ED
DOCUMENTI
ECONOMATO
operativa dell'ente - 1 PERSONALE - PRIMO
PIANO -
011
DOC.
SEGRETERIA
DOCUMENTAZION
E RELATIVA ALLA
SEGRETERIA:
DETERMINE ED
ATTI CONSIGLIERI
operativa dell'ente - 12 SEGRETERIA - SECONDO
PIANO -
17
trattati
sensibili
sensibili
Codice
Nome breve
Descrizione
Dislocazione
012
DOC.
PRESENZE
DOCUMENTAZION
E RELATIVA ALLE
PRESENZE ED
ALL'IDONEITA'
FISICA DEI
DIPENDENTI
operativa dell'ente - 14 RIS.UMANE - SECONDO
PIANO -
013
DOC.
RAGIONERIA
FATTURE,
MANDATI
REVERSALI E
DOCUMENTI DI
RAGIONERIA,
COPIE BUSTE
PAGA
operativa dell'ente - 2 RAGIONERIA - SECONDO
PIANO -
013
DOC.
FINANZIARI
FATTURE,
MANDATI
REVERSALI E
DOCUMENTI DI
RAGIONERIA,
COPIE BUSTE
PAGA
operativa dell'ente - 13 FINANZIARIA - SECONDO
PIANO -
18
trattati
sensibili
sensibili
comuni
sensibili
Codice
Nome breve
Descrizione
Dislocazione
014
DOC. PROT.
CIVILE
DOCUMENTI
SULLA
SICUREZZA,
DOCUMENTAZION
E RELATIVA
ALL'ASSITENZA AI
DISABILE,
ELENCHI
ASSOCIAZIONI E
VOLONTARI,
CERTIFICATI DI
IDONEITA' DIP.
COMUNITA'
MONTANA
operativa dell'ente - 17 PROT.CIVILE - PRIMO
PIANO -
015
DOC. SUPP.
AMM.
DOCUMENTI
RELATIVI A
PRATICHE DI
CONTRIBUTI AD
ASSOCIAZIONI ED
ANAGRAFICHE
AZIENDE
operativa dell'ente - 4 SUPPORTO AMM. SECONDO PIANO -
016
DOC. STAFF
AMM.
DOCUMENTI
RELATIVI A
CONTRATTI DI
PRESTAZIONI
OCCASIONALI
operativa dell'ente - 26 STAFF DIREZIONE SECONDO PIANO -
19
trattati
comuni
sensibili
sensibili
sensibili
Codice
Nome breve
Descrizione
017
DOC.
CONCESSIONI
DOCUMENTI
RELATIVI A
CONTENZIOSO
FORESTALE,
CONCESSIONI
018
DOC.
FORESTALI
DATI RELATIVI AD
AZIENDE:
CASELLARIO
GIUDIZIARIO.
CURRICULUM
PROFESSIONISTI
Dislocazione
trattati
operativa dell'ente - 52 sensibili
CONCESSIONI Codice fiscale ed altri
SEMINTERRATO 1° PIANO - numeri di identificazione
operativa dell'ente - 27 sensibili
FORESTAZIONE - PRIMO
Informazioni concernenti i
PIANO provvedimenti giudiziari di
cui all’art. 686, commi 1, lett.
a) e d), 2 e 3), del codice di
procedura penale - Dati
giudiziari
Informazioni concernenti
taluni procedimenti giudiziari
- Dati giudiziari
20
Codice
Nome breve
Descrizione
Dislocazione
trattati
provvedimenti giudiziari di
giudiziari
- Dati giudiziari
provvedimenti giudiziari di
giudiziari
- Dati giudiziari
comuni
relazioni, materiale audio-
019
DOC.
SICUREZZA
PRATICHE
ISTRUTTORIE E
REGISTRI DI
SERVIZIO
operativa dell'ente - 52 VINCOLO - SEMINTERRATO
1° PIANO -
028
DOC.SUAP
ARCHIVIO
CONTENTE LE
PRATICHE DEL
SUAP
operativa dell'ente - 54 -SUAP
- SEMINTERRATO 1° PIANO
-
029
DOC.FORM.PR
OF
ARCHIVIO
DOCUMENTI DEI
CORSI DI
FORMAZIONE
PROFESSIONALE
operativa dell'ente - 54 -SUAP
- SEMINTERRATO 1° PIANO
-
21
Codice
Nome breve
Descrizione
030
DOC.VINCOLO
1
ARCHIVIO
DOCUMENTI
VINCOLO
IDROGEOLOGICO
031
DOC.VINCOLO
2
ARCHIVIO
DOCUMENTI
VINCOLO
IDROGEOLOGICO
028
DOC.SUAPCOR ARCHIVIO
R
CONTENTE LE
PRATICHE DEL
SUAP
Dislocazione
trattati
visivo, ecc.- titoli di studio) Dati comuni
operativa dell'ente - 52 (proprietà, possessi e
VINCOLO - SEMINTERRATO locazioni; beni e servizi
1° PIANO forniti o ottenuti) - Dati
comuni
operativa dell'ente - 52 (proprietà, possessi e
CONCESSIONI locazioni; beni e servizi
SEMINTERRATO 1° PIANO - forniti o ottenuti) - Dati
comuni
operativa dell'ente provvedimenti giudiziari di
CORRSUAP cui all’art. 686, commi 1, lett.
SEMINTERRATO 1° PIANO - a) e d), 2 e 3), del codice di
giudiziari
- Dati giudiziari
comuni
relazioni, materiale audio-
22
Codice
Nome breve
032
ARCHIVIO
GENERALE 1
033
ARCHIVIO
GENERALE 2
Descrizione
Dislocazione
trattati
visivo, ecc.- titoli di studio) Dati comuni
ARCHIOVIO
GENERALE DELLA operativa dell'ente - 58 numeri di identificazione
COMUNITA'
ARCHIVIO1 personale (carte sanitarie) MONTANA
SEMINTERRATO 2° PIANO - Dati comuni
ARCHIOVIO
GENERALE DELLA operativa dell'ente - 59 numeri di identificazione
COMUNITA'
ARCHIVIO2 personale (carte sanitarie) MONTANA
SEMINTERRATO 2° PIANO - Dati comuni
Il seguente prospetto riepilogativo elenca gli impianti di videosorveglianza utilizzati e le relative
caratteristiche.
Codice: si tratta di un progressivo univoco all’interno dell’insieme dei sistemi di videosorveglianza utilizzati
dall’ente. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione
del sistema di video-sorveglianza.
Nome breve: viene indicato un nome breve con il quale l’archivio audiovisivo è identificato
Descrizione: viene indicata la descrizione estesa dell’archivio di video-sorveglianza utilizzato.
Dislocazione: vengono indicati, tramite codici, gli uffici ed i locali nei quali l’archivio è custodito e
conservato. I codici espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 3.
Note: possono essere indicate le caratteristiche di conservazione delle immagini ai fini della tutela dei dati ivi
contenuti (periodo di conservazione, modalità di distruzione, etc…)
23
Tabella 8. Caratteristiche dei sistemi di videosorveglianza
Nome
Codice
Breve
Descrizione
Dislocazione
Note
1.3 La mappa dei trattamenti effettuati
Incrociando le coordinate degli elementi espressi nei paragrafi precedenti, si ottiene la mappa dei trattamenti
di dati personali effettuati dal Titolare in relazione con gli archivi elettronici e cartacei, gli strumenti elettronici
ed i software con cui avviene il trattamento.
Tabella 9. Mappa dei trattamenti effettuati
Archivi
cartacei
impattati
Trattamento
Archivi elettronici impattati
01 - PERSONALE
02 - PERSONALE
Concessione benefici
05 - ATTIVITA'
RICREATIVA
10 - BIBLIOTECHE BANCA DELLA
MEMORIA
12 - PROCEDURE
SANZIONATORIE
13 - POLIZIA
MUNICIPALE GESTIONE
ASSOCIATA
16 - AVVOCATURA
17 - INCONTRO
DOMANDA/OFFERTA
18 - ORGANI
ISTITUZIONALI
19 - ATTIVITA'
POLITICA
20 - PROTEZIONE
CIVILE
21 - ARCHIVIO E
PROTOCOLLO
22 - CED
Elaboratori
impattati
Software
impattati
770
CASSA INTEGRAZIONE
PAGHE
DOC. FINANZIARI
DOC. PERS.
FORESTALE
DOC. PERSONALE
DOC. PRESENZE
DOC. PROT. CIVILE
DOC. RAGIONERIA
DOC.FORM.PROF
DOC. PERSONALE
GIANNOTTI
ALBERICE
PC UFF.
PERSONALE
COMPMOD
MOD770
PAGHE
LOTUS
PROTOCOLLO
SERVER
ORACLE
LOTUS
NOTES
24
Archivi
cartacei
impattati
Trattamento
Archivi elettronici impattati
23 - CLIENTI ED
UTENZE
24 - CONTABILITA' E
FISCALE
25 - PRIVACY
26 - RAPPORTI CON
TERZI
27 - STATISTICA
28 - SVILUPPO
ECONOMICO,
AMBIENTE
29 - SUAP
30 - RUOLI BONIFICA
32 - CATASTO
33 - SPORTELLO
CCIAA
34 - CENTRALE
UNICA DI
COMMITTENZA
Elaboratori
impattati
Software
impattati
BIBLIOTECA
INDIRIZZI
DOC. AGRICOLTURA
DOC. CED
DOC. CONCESSIONI
DOC. CULTURA
DOC. DIF. SUOLO
DOC. FORESTALI
DOC. SEGRETERIA
DOC. SICUREZZA
DOC. STAFF AMM.
DOC. STATISTICA
DOC. SUPP. AMM.
PIERONI
PATRIZIA
TURRIANI
IOLANDA
BIBLIOTECA
GESTIONE
INDIRIZZI
PRIVACY
PRIVACY
SERVER
TERMINAL
PRIVACY-C
DOC. AGRICOLTURA
DOC. CED
DOC. CONCESSIONI
DOC. CULTURA
DOC. FORESTALI
DOC. SEGRETERIA
DOC. SICUREZZA
DOC. STAFF AMM.
DOC.FORM.PROF
DOC. STATISTICA
DOC. CED
DOC. DIF. SUOLO
DOC.VINCOLO1
DOC.VINCOLO2
DOC.SUAP
25
2 Distribuzione dei compiti e delle responsabilità
2.1 Profili di responsabilità
Per il trattamento dei dati personali, il Titolare:
ha nominato i seguenti responsabili, attribuendo loro incarichi di ordine organizzativo e direttivo, come
segue dal prospetto sotto riportato:
Tabella 10. Profili di responsabilità
Cognome o Ragione Sociale
Responsabile
Nome Responsabile
Tipologia
soggetto
COLTELLI
ENZO
Persona
fisica
Persona
fisica
MARTINI
ROBERTO
MICOTTI
LEONARDO
Persona
fisica
PEDRESCHI
VITTORIANA
PIERONI
SANDRO
Persona
fisica
Persona
fisica
PINAGLI
FRANCESCO
Persona
fisica
26
Trattamenti di cui è
Responsabile
Responsabilità affidate
e
note sul profilo di
responsabilità
34 - CENTRALE UNICA
DI COMMITTENZA
18 - ORGANI
22 - CED – Attività
ISTITUZIONALI
di controllo e
22 - CED
coordinamento degli
Amministratori di
Sistema.
13 - POLIZIA
MUNICIPALE GESTIONE
ASSOCIATA
24 - CONTABILITA' E
FISCALE
12 - PROCEDURE
SANZIONATORIE
18 - ORGANI
ISTITUZIONALI
20 - PROTEZIONE
CIVILE
27 - STATISTICA
28 - SVILUPPO
ECONOMICO,
AMBIENTE
29 - SUAP
01 - PERSONALE
02 - PERSONALE
Concessione benefici
05 - ATTIVITA'
RICREATIVA
10 - BIBLIOTECHE BANCA DELLA
MEMORIA
16 - AVVOCATURA
18 - ORGANI
ISTITUZIONALI
19 - ATTIVITA'
POLITICA
21 - ARCHIVIO E
PROTOCOLLO
23 - CLIENTI ED
UTENZE
24 - CONTABILITA' E
FISCALE
Responsabile
SATTI GIOVANNI
Nome Responsabile
Comando c/o
Comprensorio di
Bonifica
Tipologia
soggetto
Trattamenti di cui è
Responsabile
Responsabilità affidate
e
note sul profilo di
responsabilità
25 - PRIVACY
26 - RAPPORTI CON
TERZI
Persona 30 - RUOLI BONIFICA
fisica
Dove :
Cognome o Ragione Sociale Responsabile: viene indicato il cognome o la ragione sociale del
responsabile del trattamento
Nome Responsabile: viene indicato il nome del responsabile del trattamento
Tipologia soggetto: viene indicata la tipologia del soggetto (persona fisica, persona giuridica ...)
Responsabilità affidate e note sul profilo di responsabilità: vengono eventualmente precisati i
profili di responsabilità associati al soggetto.
27
2.2 Soggetti incaricati sui trattamenti
2.2.1
Modalità di designazione e principi generali
Il trattamento dei dati personali viene effettuato solo da soggetti che hanno ricevuto un formale incarico,
mediante una delle seguenti modalità:
1.
designazione per iscritto di ogni singolo incaricato, con la quale si individua puntualmente l’ambito del
trattamento consentito
2.
documentata preposizione di ogni persona ad una unità, per la quale sia stato previamente individuato
per iscritto l’ambito del trattamento, consentito agli addetti all’unità medesima
3.
documentata preposizione di ogni persona ad una unità, per la quale sia stato previamente individuato
per iscritto l’ambito del trattamento, consentito agli addetti all’unità medesima o, in taluni casi,
designazione per iscritto di un singolo incaricato, con la quale si individua puntualmente l’ambito del
trattamento consentito.
Oltre alle istruzioni generali, su come devono essere trattati i dati personali, agli incaricati vengono fornite
esplicite istruzioni in merito ai seguenti punti, aventi specifica attinenza con la sicurezza:
procedure da seguire per la classificazione dei dati, al fine di distinguere quelli sensibili e giudiziari,
per garantire la sicurezza dei quali occorrono maggiori cautele, rispetto a quanto è previsto per i dati
di natura comune
modalità di reperimento dei documenti, contenenti dati personali, e modalità da osservare per la
custodia degli stessi e la loro archiviazione, al termine dello svolgimento del lavoro per il quale è stato
necessario utilizzare i documenti
modalità per elaborare e custodire le password necessarie per accedere agli elaboratori elettronici ed
ai dati in essi contenuti, nonché per fornirne una copia al preposto alla custodia delle parole chiave
prescrizione di non lasciare incustoditi e accessibili gli strumenti elettronici, mentre è in corso una
sessione di lavoro
procedure e modalità di utilizzo degli strumenti e dei programmi atti a proteggere i sistemi informativi
procedure per il salvataggio dei dati
modalità di custodia ed utilizzo dei supporti rimuovibili, contenenti dati personali
dovere di aggiornarsi, utilizzando il materiale e gli strumenti forniti dal Titolare, sulle misure di
sicurezza.
Ai soggetti incaricati della gestione e manutenzione del sistema informativo, siano essi interni o esterni
all’organizzazione del Titolare, viene prescritto di non effettuare alcun trattamento, sui dati personali
contenuti negli strumenti elettronici, fatta unicamente eccezione per i trattamenti di carattere temporaneo
strettamente necessari per effettuare la gestione o manutenzione del sistema.
2.2.2
Modalità di formulazione degli incarichi
Le lettere e le lettere di designazione degli incaricati vengono raccolte in modo ordinato, in base alla unità
organizzativa cui i soggetti appartengono: in tale modo il Titolare dispone di un quadro chiaro di chi fa cosa
(struttura in ambito privacy), nell’ambito del trattamento dei dati personali.
28
Periodicamente, con cadenza almeno annuale, si procede ad aggiornare la definizione dei dati cui gli
incaricati sono autorizzati ad accedere, e dei trattamenti che sono autorizzati a porre in essere, al fine di
verificare la sussistenza delle condizioni che giustificano tali autorizzazioni.
La stessa operazione viene compiuta per le autorizzazioni rilasciate ai soggetti incaricati della gestione o
manutenzione degli strumenti elettronici.
2.2.3
Struttura in ambito privacy
Nella seguente matrice si riassumono i tratti salienti dell’attuale struttura in ambito privacy, come segue:
Nella prima colonna si riportano i trattamenti come individuati nei precedenti paragrafi
Nella seconda colonna, per ciascun trattamento, si riportano le unità organizzative (“strutture di
riferimento”) in cui si suddivide l’organizzazione del Titolare
Nella terza colonna viene riportata l’indicazione dell’eventuale responsabile della struttura. Questo
referente, se presente, assume un ruolo gerarchico/funzionale all’interno della struttura e non ha
automaticamente responsabilità in ambito privacy.
Tabella 11. Distribuzione dei trattamenti per struttura organizzativa
Trattamenti
Strutture preposte
01 - PERSONALE
UNIONE COMUNI
GARFAGNANA
02 - PERSONALE CONCESSIONE BENEFICI UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
10 - BIBLIOTECHE - BANCA DELLA UNIONE COMUNI
MEMORIA
GARFAGNANA
12 - PROCEDURE SANZIONATORIE
UNIONE COMUNI
GARFAGNANA
13 - POLIZIA MUNICIPALE - GESTIONE UNIONE COMUNI
ASSOCIATA
GARFAGNANA
16 - AVVOCATURA
UNIONE COMUNI
GARFAGNANA
17 - INCONTRO DOMANDA/OFFERTA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
21 - ARCHIVIO E PROTOCOLLO
UNIONE COMUNI
GARFAGNANA
22 - CED
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
25 - PRIVACY
UNIONE COMUNI
GARFAGNANA
29
Referente di struttura
27 - STATISTICA
28 - SVILUPPO ECONOMICO, AMBIENTE
29 - SUAP
30 - RUOLI BONIFICA
32 - CATASTO
34 - CENTRALE UNICA DI COMMITTENZA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
UNIONE COMUNI
GARFAGNANA
Nel seguente prospetto, invece, vengono indicate risorse professionali appartenenti alle strutture individuate
e le risorse professionali specificatamente incaricate al trattamento di dati personali:
Tabella 12. Elenco incaricati per struttura organizzativa
Struttura
Soggetti appartenenti alla struttura
DIREZIONE AMMINISTRATIVA
DIREZIONE CENTRALE SISTEMI INFORMATIVI
DIREZIONE GESTIONALE DEL TERRITORIO
SVILUPPO ECONOMICO
SEGRETARIO GENERALE
UNIONE COMUNI GARFAGNANA
E
Tabella 13. Elenco incaricati per ogni trattamento
Trattamento
01 - PERSONALE
02 - PERSONALE CONCESSIONE BENEFICI
10 - BIBLIOTECHE - BANCA DELLA MEMORIA
12 - PROCEDURE SANZIONATORIE
13 - POLIZIA MUNICIPALE - GESTIONE ASSOCIATA
16 - AVVOCATURA
17 - INCONTRO DOMANDA/OFFERTA
21 - ARCHIVIO E PROTOCOLLO
22 - CED
Incaricati
Battaglia - Emanuela
GIANNOTTI - ALBERICE
GIANNOTTI - ALBERICE
PIERONI - PATRIZIA
MASOTTI - MARTINA
PIERONI - PATRIZIA
TURRIANI - IOLANDA
PIEROTTI - ALBERTO
PIERONI - PATRIZIA
Corfini - Rita
GIANNOTTI - MAURO
Benedetti - Adieme
TROMBI - PATRIZIA
TURRIANI - IOLANDA
Adami - Luciana
Angeli - Pier Luigi
30
Benedetti - Adieme
BRACCINI LIDIA - Comando c/o Comprensorio di
Bonifica
Corfini - Rita
Costa - Lidia
CRESTI - ALBERTO
FIORANI - FABIANA
GALATOLO - GIOVANNI
GIANNOTTI - MAURO
LENZI - CARLA
MARTINI - ROBERTO
MAZZEI - MORENO
PIERONI - PATRIZIA
PIERONI - SANDRO
PIEROTTI - ALBERTO
POLI - FRANCESCO
REALI - FABIO
REALI - GABRIELLA
ROSSI - ANNARITA
ROSSI - GIUSEPPE
SATTI GIOVANNI - Comando c/o Comprensorio di
Bonifica
SUFFREDINI - DANIELA
TROMBI - PATRIZIA
TURRIANI - IOLANDA
Corfini - Rita
GIUNTINI - FRANCESCO
REALI - GABRIELLA
SUFFREDINI - DANIELA
TROMBI - PATRIZIA
Adami - Luciana
LENZI - CARLA
LENZI - CARLA
PIERONI - SANDRO
POLI - FRANCESCO
Angeli - Pier Luigi
Corfini - Rita
CRESTI - ALBERTO
FIORANI - FABIANA
GIANNOTTI - MAURO
MAZZEI - MORENO
PIEROTTI - ALBERTO
REALI - FABIO
ROSSI - GIUSEPPE
Adami - Luciana
Costa - Lidia
CRESTI - ALBERTO
BRACCINI LIDIA - Comando c/o Comprensorio di
Bonifica
Costa - Lidia
CRESTI - ALBERTO
ROSSI - ANNARITA
Benedetti - Adieme
TURRIANI - IOLANDA
FANANI - ANDREA
GUIDI - PAMELA
25 - PRIVACY
27 - STATISTICA
28 - SVILUPPO ECONOMICO, AMBIENTE
29 - SUAP
30 - RUOLI BONIFICA
32 - CATASTO
34 - CENTRALE UNICA DI COMMITTENZA
31
2.3 Interventi formativi
Sono previsti interventi formativi degli incaricati del trattamento, finalizzati a renderli edotti dei seguenti
aspetti:
profili della disciplina sulla protezione dei dati personali, che appaiono più rilevanti per l’attività svolta
dagli incaricati, e delle conseguenti responsabilità che ne derivano
rischi che incombono sui dati
misure disponibili per prevenire eventi dannosi
modalità per aggiornarsi sulle misure di sicurezza, adottate dal titolare.
2.3.1
Piani di formazione ed interventi formativi
Gli interventi formativi sono programmati in modo tale, da avere luogo al verificarsi di una delle seguenti
circostanze:
•
già al momento dell’ingresso in servizio
•
in occasione di cambiamenti di mansioni, che implichino modifiche rilevanti rispetto al trattamento di
dati personali
•
in occasione della introduzione di nuovi significativi strumenti, che implichino modifiche rilevanti nel
trattamento di dati personali.
Tabella 14. Piani di formazione per soggetti coinvolti
Descrizione Generale
Corso/Intervento
formativo
Formazione sulla
normativa: D.Lgs 30
giugno 2003 n. 196 "Codice in materia di
Tutela dei dati personali"
corso rivolto al personale
ed ai dipendenti dei
comuni membri della
stessa, effettuato su più
date per dare maggiore
accessibilità.
Formazione sulla
normativa: D.Lgs 30
comuni membri della
accessibilità.
Formazione sulla
normativa: D.Lgs 30
Data
prevista
24-11-2004
Data
effettiva
24-11-2004
Dettaglio argomenti
trattati
Panoramica sulla normativa,
analisi dettagliata
dell'Allegato B Disciplinare
tecnico
ULTIMO BIMESTRE
2004
26-11-2004
26-11-2004
Panoramica sulla normativa, Adami - Luciana
analisi dettagliata
Costa - Lidia
MARTINI tecnico
ROBERTO
ULTIMO BIMESTRE
2004
06-12-2004
06-12-2004
analisi dettagliata
tecnico
Periodo
ULTIMO BIMESTRE
2004
32
Soggetti
coinvolti
Biagioni - Maria
Grazia
Corfini - Rita
LENZI - CARLA
PIERONI MILY
Corso/Intervento
formativo
comuni membri della
accessibilità.
Formazione sulla
normativa: D.Lgs 30
comuni membri della
accessibilità.
Formazione sulla
normativa: D.Lgs 30
comuni membri della
stessa.
Incontro informativo sul
D.Lgs. 196/03 e
successive modificazioni
ed integrazioni.
Data
prevista
Data
effettiva
Dettaglio argomenti
trattati
ULTIMO BIMESTRE
2004
15-12-2004
15-12-2004
C/O Comune di Piazza al
Serchio
analisi dettagliata
tecnico
2007
20-03-2007
20-03-2007
Riepilogo delle scadenze e
degli adempimenti previsti
dalla normativa.
Le norme per
l'individuazione di misure
minime di sicurezza e
l'accesso ai dati.
Lettera --- Rif. Prot. Nr.
2117/1.1.7 del 13/03/2007
DICEMBRE 2011
01-12-2011
01-12-2011
Il D.Lgs. 196/03 e il
Disciplinare Tecnico
Allegato B con le misure
minime/idonee di sicurezza.
Periodo
33
Soggetti
coinvolti
ROMEI ANTONIO
ROSSI ANNARITA
VOLPI GIUSEPPINA
Adami - Luciana
Angeli - Pier
Luigi
BARBIERI ROBERT0
Battaglia Emanuela
Benedetti Adieme
Corfini - Rita
Costa - Lidia
CRESTI ALBERTO
FIORANI FABIANA
GIANNOTTI ALBERICE
LENZI - CARLA
MARTINI ROBERTO
MASOTTI MARTINA
MAZZEI MORENO
NUOVE
FRONTIERE
LAVORO ORLANDI
SERENA
PIERONI PATRIZIA
PIEROTTI ALBERTO
PINAGLI FRANCESCO
POLI FRANCESCO
REALI - FABIO
REALI GABRIELLA
ROSSI ANNARITA
ROSSI GIUSEPPE
SUFFREDINI DANIELA
Corso/Intervento
formativo
Periodo
Data
prevista
Data
effettiva
Dettaglio argomenti
trattati
Soggetti
coinvolti
TROMBI PATRIZIA
TURRIANI IOLANDA
Legenda della tabella:
-
Descrizione generale Corso/Intervento formativo: descrive le tematiche e gli obiettivi del corso o
intervento formativo
-
Periodo: fa riferimento al periodo temporale in cui il corso si svolge (ex: Autunno 2004)
-
Data prevista: viene indicata la data prevista per l’inizio del corso di formazione.
-
Data effettiva: viene indicata la data in cui il corso di formazione è stato effettivamente svolto.
-
Dettagli argomenti trattati: contiene eventualmente il programma di dettaglio di ciascuna data del
piano formativo
-
Strutture e/o singoli soggetti coinvolti: contiene l’indicazione delle strutture interessate o
direttamente dei singoli soggetti che sono interessati dal corso in oggetto.
3
Analisi dei rischi che incombono sui dati
La stima del rischio complessivo, che grava su un determinato trattamento di dati, è il risultato della
combinazione delle varie tipologie di rischio che minacciano i dati.
Le minacce che vanno ad insidiare i dati possono essere classificate infatti secondo le seguenti tipologie:
-
Comportamenti dei soggetti preposti al trattamento dei dati: sono i rischi che derivano dalla non
corretta o incompleta formazione delle risorse professionali che operano sui dati, dalla incuria con cui
sono state effettuate le operazioni di trattamento, da atteggiamenti fraudolenti o dolosi, da errori umani
di varia natura.
-
Strumentazione: sono i rischi che derivano dall’utilizzo della strumentazione hardware e software
utilizzata e dal modo con cui sono conservati, gestiti e difesi gli archivi siano essi nella forma
elettronica che cartacea. Tali rischi sono legati sostanzialmente a:
guasti tecnici delle apparecchiature
penetrazione nelle reti di telecomunicazione
accesso non autorizzato agli archivi di dati
-
Luoghi fisici e caratterizzazione ambientale: sono i rischi che derivano dal luogo dove gli strumenti
e gli archivi di dati sono ubicati. Tali rischi sono legati sostanzialmente:
al verificarsi di eventi distruttivi (incendi, allagamenti, corti circuiti)
alla possibilità che terzi malintenzionati accedano nei locali dove si svolge il trattamento (rapine,
furti, danneggiamenti da atti vandalici)
Descrizione analisi condotta: ANALISI 2013
34
Tabella 15. Analisi dei rischi
Tipologia di Rischio
Luoghi fisici
Luoghi fisici
Luoghi fisici
Luoghi fisici
Luoghi fisici
Risorse Dati
Risorse Dati
Risorse Dati
Risorse Dati
Risorse Hardware
Risorse Hardware
Risorse Hardware
Risorse Hardware
Risorse Hardware
Indice di valutazione
del rischio
Minaccia o elemento di rischio
Allagamenti
Furto
Impossibilità di rilevare accessi non autorizzati
Incendio
Possibilità di intrusione
Accesso non autorizzato
Cancellazione non autorizzata di dati/manomissione di dati
Incapacità di ripristinare copie di back-up
Perdita di dati
Intercettazione delle trasmissioni
Manomissione e/o sabotaggio
Probabilità e/o frequenza di guasti
Rischi connessi all'elettricità
Uso non autorizzato dell'hardware
RISCHIO MEDIO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
RISCHIO BASSO
Gli indici di valutazione del rischio (soglie di rischio) sono riepilogate nella seguente tabella riassuntiva:
Tabella 16. Soglie di rischio
Soglia di Rischio (Ex. Elevatissima,
alta, media, bassa, nulla)
RISCHIO NULLO
RISCHIO BASSO
RISCHIO MEDIO BASSO
RISCHIO MEDIO
RISCHIO MEDIO ALTO
RISCHIO ALTO
RISCHIO ALTISSIMO
Descrizione della soglia e suo significato in termini di sicurezza
LIVELLO DI RISCHIO NULLO
LIVELLO DI RISCHIO BASSO
LIVELLO DI RISCHIO MEDIO BASSO
LIVELLO DI RISCHIO MEDIO
LIVELLO DI RISCHIO MEDIO ALTO
LIVELLO DI RISCHIO ALTO
LIVELLO DI RISCHIO ALTISSIMO
Nell’elaborare l’analisi del rischio, si è tenuto conto anche di alcuni fattori legati alla struttura del Titolare, nei
seguenti termini:
il rischio d’area, legato alla eventualità che persone non autorizzate possano accedere nei locali in cui
si svolge il trattamento, è giudicato inferiore per l’area ad accesso controllato rispetto a quanto accade
per gli altri luoghi in cui si svolge l’attività, con conseguente diminuzione del rischio:
-
per gli archivi esistenti in tale area
-
per gli elaboratori in rete privata, in relazione al fatto che i server sono ubicati in tale area
-
per i personal computer non in rete, localizzati in tale area
il rischio di guasti tecnici delle apparecchiature interessa i soli strumenti elettronici: in tale contesto, è
giudicata più rischiosa la situazione degli strumenti non in rete che, essendo affidati a singoli che non
sempre possiedono un bagaglio tecnico adeguato, presentano un rischio di rottura maggiore, rispetto
agli impianti che vengono gestiti da persone con specifiche competenze, quali quelli in rete, quello di
sorveglianza e quello per la rilevazione di dati biometrici
il rischio di penetrazione logica nelle reti di comunicazione interessa, essenzialmente, i soli strumenti
che sono tra loro collegati tramite una rete di comunicazione accessibile al pubblico
35
il rischio legato ad atti di sabotaggio, o ad errori umani delle persone, presente in tutte le tipologie di
strumenti utilizzati, è maggiore per quelli che sono in rete.
36
4 Misure in essere e da adottare atte a garantire l’integrità e la
disponibilità dei dati
Nel presente paragrafo vengono descritte le misure atte a garantire:
la protezione delle aree e dei locali, nei quali si svolge il trattamento dei dati personali
la corretta archiviazione e custodia di atti, documenti e supporti contenenti dati personali
la sicurezza logica, nell’ambito dell’utilizzo degli strumenti elettronici.
Si procede alla descrizione:
delle misure che risultano già adottate dal Titolare, nel momento in cui viene redatto il presente
documento
delle ulteriori misure, finalizzate ad incrementare la sicurezza nel trattamento dei dati, la cui adozione
è stata programmata, anche per adeguarsi a quanto previsto dal D.lgs 196/2003, e dal disciplinare
tecnico in materia di misure minime di sicurezza (allegato B).
4.1 La protezione di aree e locali
Per quanto concerne il rischio d’area, legato ad eventi di carattere distruttivo, gli edifici ed i locali nei quali si
svolge il trattamento sono soggetti ai seguenti dispositivi di protezione. Per ogni dispositivo di protezione
viene indicato se questo è già in essere e/o la sua data di adozione ed un eventuale commento o nota
esplicativa.
Tabella 17. Misure di sicurezza sulle sedi
Sede
Misura
Note esplicative
Controllo sull'operato degli addetti alla manutenzione
Dispositivi antincendio
Ingresso controllato nei locali ove ha Luogo il
trattamento
Controllo sull'operato degli addetti alla manutenzione
legale ed operativa dell'ente
Dispositivi antincendio
Ingresso controllato nei locali ove ha Luogo il
trattamento
Sistemi di allarme e/o di sorveglianza antintrusione
Operativa servizio di Protezione Dispositivi antincendio
Sede
Sede
Sede
Sede
Sede
Civile
Alcune particolari misure sono adottate/in procinto di adozione specificatamente a livello di singolo ufficio.
Tali misure
sono riepilogate dal seguente prospetto riassuntivo:
Tabella 18. Misure di sicurezza sugli uffici
Sede-Ufficio
Misura
Note esplicative
37
4.2 La custodia e l’archiviazione di atti, documenti e supporti
Per quanto concerne il reperimento, la custodia e l’archiviazione di atti, documenti e supporti diversi (ad
esempio, CD, fotografie, video….), si è provveduto ad istruire gli incaricati, affinché adottino precise
procedure atte a salvaguardare la riservatezza dei dati contenuti.
Agli incaricati vengono inoltre date disposizioni, per iscritto, di accedere ai soli dati personali, la cui
conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati: in caso di dubbi, è stato
loro prescritto di rivolgersi ad un superiore, o ad un responsabile del trattamento, o direttamente al titolare.
Di conseguenza, agli incaricati è prescritto di prelevare dagli archivi i soli atti e documenti che vengono loro
affidati per lo svolgimento delle mansioni lavorative, che devono controllare e custodire, durante l’intero ciclo
necessario per lo svolgimento delle operazioni di trattamento, per poi restituirli all’archivio, al termine di tale
ciclo.
Gli incaricati sono stati edotti sul fatto che devono custodire in modo appropriato gli atti, i documenti ed i
supporti contenenti dati personali, loro affidati per lo svolgimento delle mansioni lavorative.
Cautele particolari sono previste per gli atti, documenti e supporti contenenti dati sensibili e giudiziari: agli
incaricati viene in questi casi prescritto di provvedere al controllo ed alla custodia in modo tale, che ai dati
non possano accedere persone prive di autorizzazione. A tale scopo gli incaricati sono stati istruiti sulle
modalità e l’opportunità di usufruire di strumentazione quali:
cassetti con serratura
armadi chiudibili a chiave
casseforti
nei quali devono riporre i documenti, contenuti dati sensibili o giudiziari, prima di assentarsi dal posto di
lavoro, anche temporaneamente. In tali dispositivi i documenti possono essere riposti anche al termine della
giornata di lavoro, qualora l’incaricato debba continuare ad utilizzarli, nei giorni successivi.
Al termine del trattamento, l’incaricato dovrà invece restituire all’archivio gli atti, i documenti ed i supporti,
non più necessari per lo svolgimento delle proprie mansioni lavorative.
Nel caso in cui, anche occasionalmente, gli incaricati dovessero provvedere al trasporto di documenti, atti e
supporti inerenti l’identità genetica di soggetti all’esterno dei locali riservati al loro trattamento, è stato
prescritto che il trasporto debba avvenire in contenitori muniti di serratura, o utilizzando dispositivi
equipollenti.
Per quanto concerne l’archiviazione, il Titolare ha adibito apposite aree, nelle quali conservare
ordinatamente documenti, atti e supporti contenenti dati personali, in modo distinto per le diverse funzioni
aziendali.
Particolari cautele sono previste per l’archiviazione di documenti, atti e supporti contenenti dati sensibili o
giudiziari: essa deve avvenire in luoghi , armadi , casseforti, o dispositivi equipollenti, che sono dotati di
chiusura a chiave o dispositivi di protezione equivalente.
Sugli archivi (sia di tipologia cartacea sia elettronica) sono state adottate/sono in procinto di adozione le
seguenti misure di sicurezza:
38
Tabella 19. Misure di sicurezza sugli archivi
Archivio
770
BIBLIOTECA
CASSA INTEGRAZIONE
CONTABILITA'
DOC. AGRICOLTURA
DOC. CED
DOC. CONCESSIONI
DOC. CULTURA
DOC. DIF. SUOLO
DOC. FINANZIARI
DOC. FORESTALI
DOC. FORESTALI
DOC. FORESTALI
DOC. PERS. FORESTALE
DOC. PERSONALE
DOC. PRESENZE
DOC. PROT. CIVILE
DOC. RAGIONERIA
DOC. SEGRETERIA
DOC. SICUREZZA
DOC. STAFF AMM.
DOC. STATISTICA
DOC. SUPP. AMM.
DOC.FORM.PROF
DOC.SUAP
DOC.SUAPCORR
DOC.VINCOLO1
DOC.VINCOLO2
ECONOMATO
INDIRIZZI
INVENTARIO
LOTUS
PAGHE
PROTOCOLLO
SEGRETERIA
Misura
Classificazione dei dati
Custodia in armadi blindati e/o ignifughi
39
Note esplicative
4.3 Le misure logiche di sicurezza
Per i trattamenti effettuati con strumenti elettronici (elaboratori, programmi per elaboratori e qualunque
dispositivo elettronico o comunque automatizzato), si adottano/sono in procinto di adozione le misure di
sicurezza enunciate dal seguente prospetto riepilogativo:
Tabella 20. Misure di sicurezza sugli elaboratori
Risorsa hardware
A.BENEDETT - BENEDETTI ADIEME
A.CRESTI - CRESTI ALBERTO
A.GIANNOTT - GIANNOTTI ALBERICE
A.PIEROTTI - PIEROTTI ALBERTO
A.ROSSI_N - ROSSI ANNA RITA
ALBOPRETOR - PC ALBO PRETORIO
ALBOPRETOR - PC ALBO PRETORIO
ASSESORI - PC ASSESSORI
C.LENZI - LENZI CARLA
CATASTO - UFFICIO CATASTO
CATASTO - UFFICIO CATASTO
CE.UN.COMM - CENTR. UNICA COMMITT
D.SUFFREDI - SUFFREDINI DANIELA
E.BATTAGLI - BATTAGLIA EMANUELA
E.BATTAGLI - BATTAGLIA EMANUELA
F.FIORANI - FIORANI FABIANA
F.GIUNTINI - GIUNTINI FRANCESCO
F.PINAGLI - PINAGLI FRANCESCO
F.POLI - POLI FRANCESCO
F.REALI - REALI FABIO
G.REALI - REALI GABRIELLA
G.ROSSI - ROSSI GIUSEPPE
G.SATTI_N - SATTI GIOVANNI
I.TURRIA_N - TURRIANI IOLANDA
L.ADAMI_N - ADAMI LUCIANA
L.COSTA - COSTA LIDIA
M.GIANNOTT - GIANNOTTI MAURO
M.MAZZEI - MAZZEI MORENO
MASMART - NB_MASOTTI MARTINA
NB PIERONI - PIERONI SANDRO
NB.M.GIAN - NB GIANNOTTI MAURO
NB_CRESTI - NB_CRESTI
NBFIN - NB RAGIONERIA
NBFIN - NB RAGIONERIA
P.ANGELI - ANGELI PIERLUIGI
P.PIERONI - PIERONI PATRIZIA
P.TROMBI_N - TROMBI PATRIZIA
PERSONALE - PC UFF. PERSONALE
POSTA - PC POSTA
R.CORFINI - CORFINI RITA
R.MARTINIn - MARTINI ROBERTO
R.MARTINIn - MARTINI ROBERTO
REGCOM - REGOLAMENTI COMUNITA
RESPFIN - PC FINANZIARIA
RESPFIN - PC FINANZIARIA
S.PIERONI - PIERONI SANDRO
SP.SUAP - SUAP
Misura
sospensione automatica delle sessioni di lavoro
Continuità dell'alimentazione elettrica
40
Risorsa hardware
Misura
SRV.DOMINI - SERVER DOMINIO
SRV.FILE - FILE SERVER
SRV.MAIL - MAIL SERVER
SRV.NEWWEB - SERVER WEB NUOVO
SRV.ORACLE - SERVER ORACLE
SRV.TERMIN - SERVER TERMINAL
VIN.IDR.2 - VICOLO IDR. 2
VINCOLO - VINCOLO
Verifica della leggibilità dei supporti
In particolare viene ribadita l’importanza dell’adozione di un sistema di autenticazione informatica per
disciplinare gli accessi a tutti gli strumenti elettronici, presenti nell’organizzazione del Titolare, fatta
unicamente salva l’eventuale eccezione per quelli che:
non contengono dati personali
contengono solo dati personali destinati alla diffusione, che sono quindi per definizione conoscibili da
chiunque.
Un sistema di autenticazione informatica implica l’adozione di una procedura di autenticazione, che
permette di verificare l’identità della persona, e quindi di accertare che la stessa è in possesso delle
credenziali di autenticazione per accedere ad un determinato strumento elettronico.
Il seguente prospetto riepilogativo riassume, per ogni elaboratore il principale (il più incisivo ed efficace)
sistema di autenticazione di cui è dotato:
Tabella 21. Sistema di autenticazione sugli elaboratori
Risorsa hardware
ADAMI LUCIANA
ANGELI PIERLUIGI
BATTAGLIA EMANUELA
BENEDETTI ADIEME
CENTR. UNICA COMMITT
Sistema di autenticazione utilizzato
REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE
E CREDENZIALE RISERVATA CON PROFILAZIONE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
41
Risorsa hardware
CORFINI RITA
COSTA LIDIA
CRESTI ALBERTO
FILE SERVER
FIORANI FABIANA
GIANNOTTI ALBERICE
GIANNOTTI MAURO
GIUNTINI FRANCESCO
LENZI CARLA
MAIL SERVER
MARTINI ROBERTO
MAZZEI MORENO
NB GIANNOTTI MAURO
NB RAGIONERIA
NB_CRESTI
NB_MASOTTI MARTINA
PC ALBO PRETORIO
PC ASSESSORI
PC FINANZIARIA
PC POSTA
PC UFF. PERSONALE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
REGOLA DELLA PASSWORD ALL'AVVIO DEL PC (SUL BIOS)
DELL'UTENTE
DELL'UTENTE
42
Risorsa hardware
PIERONI PATRIZIA
PIERONI SANDRO
PIERONI SANDRO
PIEROTTI ALBERTO
PINAGLI FRANCESCO
POLI FRANCESCO
REALI FABIO
REALI GABRIELLA
REGOLAMENTI COMUNITA
ROSSI ANNA RITA
ROSSI GIUSEPPE
SATTI GIOVANNI
SERVER DOMINIO
SERVER ORACLE
SERVER TERMINAL
SERVER WEB NUOVO
SUAP
SUFFREDINI DANIELA
TROMBI PATRIZIA
TURRIANI IOLANDA
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
DELL'UTENTE
43
Risorsa hardware
DELL'UTENTE
DELL'UTENTE
REGOLA DELLA PASSWORD ALL'AVVIO DEL PC (SUL BIOS)
UFFICIO CATASTO
VICOLO IDR. 2
VINCOLO
Le caratteristiche dei vari sistemi di autenticazione citati nella soprastante tabella sono enucleate nella
seguente tabella:
Tabella 22. Caratteristiche dei sistemi di autenticazione
Sistema di
autenticazi
one
utilizzato
Descrizione
Tipologia
La password
può essere
variata
dall’utente
Periodicità di
variazione della Indicazioni fornite
password
agli utenti
REGOLA
BIOS
REGOLA DELLA
Solo
PASSWORD
parola
ALL'AVVIO DEL chiave
PC (SUL BIOS)
riservata
Si
6 - Mesi
REGOLA
RETE
REGOLA DELLA Sistema
PASSWORD
di
autentica
PER
L'ACCESSO
zione
ALLE RISORSE basato
DI RETE
su user
+
passwor
d
Si
6 - Mesi
REGOLA
U/P
REGOLA DELLA Sistema
PASSWORD
di
COSTITUITA DA autentica
NOME UTENTE
zione
E
basato
CREDENZIALE
su user
+
RISERVATA
passwor
d
Si
6 - Mesi
Si
6 - Mesi
REGOLA
REGOLA DELLA
U/P+PROF PASSWORD
Sistema
di
COSTITUITA DA autorizza
NOME UTENTE
zione
E
basato
CREDENZIALE
su user
44
Non può RIVELARE LA
PASSWORD
AD ALCUNO
Non può SCRIVERE LA
PASSWORD
SU FOGLI O
POST-IT E
LASCIARLI IN
LUOGHI
ACCESSIBILI
PASSWORD
AD ALCUNO
PASSWORD
SU FOGLI O
POST-IT E
LASCIARLI IN
LUOGHI
ACCESSIBILI
PASSWORD
AD ALCUNO
PASSWORD
SU FOGLI O
POST-IT E
LASCIARLI IN
LUOGHI
ACCESSIBILI
PASSWORD
AD ALCUNO
Proprietà generali del
sistema di
autenticazione
Deve avere ALMENO 8
CARATTERI
Deve avere CARATTERI
NUMERICI E/O
ALFANUMERICI
Non deve avere LO STESSO NOME
DELL'UTENTE DEL
PC
Deve avere ALMENO 8
CARATTERI
NUMERICI E/O
ALFANUMERICI
DELL'UTENTE DEL
PC
Deve avere ALMENO 8
CARATTERI
NUMERICI E/O
ALFANUMERICI
DELL'UTENTE DEL
PC
Deve avere ALMENO 8
CARATTERI
NUMERICI E/O
Sistema di
autenticazi
one
utilizzato
Descrizione
Tipologia
RISERVATA
CON
PROFILAZIONE
DELL'UTENTE
+
passwor
d
La password
può essere
variata
dall’utente
Periodicità di
variazione della Indicazioni fornite
password
agli utenti
PASSWORD
SU FOGLI O
POST-IT E
LASCIARLI IN
LUOGHI
ACCESSIBILI
Proprietà generali del
sistema di
autenticazione
ALFANUMERICI
DELL'UTENTE DEL
PC
Dove:
-
Sistema di autenticazione utilizzato: indica il sistema di autenticazione utilizzato dal
dispositivo
-
Descrizione: descrizione del sistema di autenticazione utilizzato
-
Tipologia: indica la caratteristica principale del sistema di autenticazione (Ex: solo componente
riservata, autenticazione user/password, etc..)
-
La password può essere variata dall’utente: viene indicato (con “Si”) se la password può
essere variata in maniera autonoma dall’utente..
-
Periodicità di variazione della password: viene indicata la periodicità di variazione della
password (ogni quanto la password deve essere variata).
-
Indicazioni fornite agli utenti: vengono fornite le indicazioni che sono state comunicate agli
utenti per la scelta delle parole chiave ed i vincoli a cui essa è soggetta (non utilizzo di
caratteristiche riconducibili all’utente, non riutilizzo delle ultime n parole chiave, etc..).
-
Proprietà generali
del sistema di autenticazione: vengono indicate le proprietà e le
particolari caratteristiche che la componente riservata di autenticazione deve avere (lunghezza
minima, composizione con lettere maiuscole-minuscole-numeri-caratteri speciali, etc..).
Inoltre per l’attribuzione e la gestione delle credenziali per l’autenticazione si utilizzano i seguenti criteri:
ad ogni incaricato esse vengono assegnate o associate individualmente, per cui non è ammesso che
due o più incaricati possano accedere agli strumenti elettronici utilizzando la medesima credenziale.
Tale regola viene implementata in quanto tassativa e prescritta dal D.lgs 196/2003
nei casi in cui una componente della credenziale di autenticazione è costituita dal codice per
l’identificazione (username), attribuito all’incaricato da chi amministra il sistema, tale codice deve
essere univoco: esso non può essere assegnato ad altri incaricati, neppure in tempi diversi. Tale
regola viene implementata in quanto tassativa e prescritta dal D.lgs 196/2003
è invece ammesso, qualora sia necessario o comunque opportuno, che ad una persona venga
assegnata più di una credenziale di autenticazione.
Al verificarsi dei seguenti casi, è prevista la disattivazione delle credenziali di autenticazione:
•
immediatamente, nel caso in cui l’incaricato perda la qualità, che gli consentiva di accedere allo
strumento
•
in ogni caso, entro sei mesi di mancato utilizzo, con l’unica eccezione delle credenziali che sono state
preventivamente autorizzate per soli scopi di gestione tecnica, il cui utilizzo è quindi sporadico.
Tali regole sono implementate in quanto tassative e prescritte dal D.lgs 196/2003.
45
Agli incaricati sono state impartite istruzioni in merito ai seguenti punti:
•
dovere di custodire i dispositivi, attribuiti agli incaricati a titolo di possesso ed uso esclusivo, con i quali
si può accedere agli strumenti informatici (ad esempio, il tesserino magnetico o la smart card): la
custodia deve avvenire in modo diligente, sia nell’ipotesi in cui tali dispositivi siano riposti negli uffici
(viene prescritto l’obbligo di utilizzare cassetti con serratura), che in quella in cui l’incaricato provveda
a portare il dispositivo con sé (viene prescritto l’obbligo di custodirlo come se fosse una carta di
credito). In ipotesi di smarrimento, l’incaricato deve provvedere immediatamente a segnalare la
circostanza all’amministratore di sistema, o alle altre persone che sono state a tale fine indicate, al
momento dell’attribuzione del dispositivo
•
obbligo di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di
trattamento, neppure in ipotesi di breve assenza. Al fine di non lasciare accessibile lo strumento
elettronico accessibile, nel caso di brevi assenze, sono state introdotte politiche di protezione tramite
“screen-saver” dotati di password di sblocco.
•
dovere di elaborare in modo appropriato la password, e di conservare la segretezza sulla stessa,
nonché sulle altre componenti riservate della credenziale di autenticazione (username), attribuite
dall’amministratore di sistema. Agli incaricati è imposto l’obbligo di provvedere a modificare la
password, con la seguente tempistica:
-
immediatamente, non appena viene consegnata loro da chi amministra il sistema
-
successivamente, almeno ogni sei mesi. Tale termine scende a tre mesi, se la password dà
accesso ad aree in cui sono contenuti dati sensibili o giudiziari.
Le password sono composte da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico
non permetta una tale lunghezza, da un numero di caratteri pari al massimo consentito dallo
strumento stesso.
Agli incaricati è prescritto di utilizzare alcuni accorgimenti, nell’elaborazione delle password:
-
esse non devono contenere riferimenti agevolmente riconducibili all’interessato (non solo nomi,
cognomi, soprannomi, ma neppure date di nascita proprie, dei figli o degli amici), né consistere
in nomi noti, anche di fantasia
-
buona norma è che, dei caratteri che costituiscono la password, da un quarto alla metà siano di
natura numerica.
La password non deve essere comunicata a nessuno (non solo a soggetti esterni, ma neppure a
persone appartenenti all’organizzazione, siano esse colleghi, responsabili del trattamento,
amministratore del sistema o titolare). Nei casi di prolungata assenza o impedimento dell’incaricato,
che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza
del sistema, potrebbe però rendersi necessario disporre della password dell’incaricato, per accedere
agli strumenti ed ai dati. A tale fine, agli incaricati sono state fornite istruzioni scritte, affinché essi:
-
scrivano la parola chiave su un foglio di carta, da inserire in una busta che deve essere chiusa
e sigillata
-
consegnino la busta a chi custodisce le copie delle parole chiave, il cui nominativo viene loro
indicato al momento dell’attribuzione della password.
Solo al verificarsi delle condizioni, sopra esposte, che rendono necessario accedere allo strumento
elettronico, utilizzando la copia della parola chiave, il titolare o un responsabile potranno richiedere la
46
busta che la contiene, a chi la custodisce. Dell’accesso effettuato si dovrà provvedere ad informare,
tempestivamente, l’incaricato cui appartiene la parola chiave.
Per quanto concerne le tipologie di dati ai quali gli incaricati possono accedere, ed i trattamenti che
possono effettuare, si osserva che si sono adottati i seguenti principi:
non si è impostato un sistema di autorizzazione ma solo di autenticazione laddove non si ravvisano
ragioni di tutela della riservatezza tali, da imporre che uno o più incaricati non possano accedere ad
alcune tipologie di dati personali oggetto di trattamento.
si è impostato un sistema di autorizzazione laddove la tipologia di dati trattati è sensibile o giudiziaria.
Ciò al fine di circoscrivere le tipologie di dati ai quali gli incaricati possono accedere, i trattamenti che
possono effettuare, a quelli strettamente necessari per lo svolgimento delle proprie mansioni
lavorative. L’unica eccezione si ha nei casi in cui il trattamento riguardi solo dati personali destinati alla
diffusione: in questo caso non è necessario predisporre alcun sistema di autorizzazione, poiché i dati
trattati sono, per definizione, conoscibili da chiunque.
Al di fuori di questi casi, le autorizzazioni all’accesso vengono rilasciate e revocate dal titolare e, se
designato, dal responsabile, ovvero da soggetti da questi appositamente incaricati.
Il profilo di autorizzazione non viene in genere studiato per ogni singolo incaricato, ma è generalmente
impostato per classi omogenee di incaricati (ad esempio, attribuendo un determinato profilo di
autorizzazione a tutti gli impiegati della contabilità, ed attribuendone un altro a coloro che lavorano
nell’ufficio personale). L’obiettivo di fondo, in ogni caso, è di limitare preventivamente l’accesso, di
ciascun incaricato o di ciascuna classe omogenea di incaricati, ai soli dati necessari per effettuare le
operazioni di trattamento, che sono indispensabili per svolgere le mansioni lavorative.
Periodicamente, e comunque almeno annualmente, viene verificata la sussistenza delle condizioni per
la conservazione dei profili di autorizzazione: ciò per quanto riguarda l’ambito di trattamento
consentito sia ai singoli incaricati, che agli addetti alla manutenzione e gestione degli strumenti
elettronici.
47
5 Regole di attuazione degli aggiornamenti periodici dei
programmi di elaborazione
Per quanto riguarda la protezione, di strumenti e dati, da malfunzionamenti, attacchi informatici e
programmi che contengono codici maliziosi (virus), vengono adottate misure compatibili con i seguenti
aspetti:
Il primo aspetto riguarda la protezione dei dati personali dal rischio di intrusione e dall’azione di
programmi di cui all’articolo 615-quinquies del codice penale, aventi per scopo o per effetto il
danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o
ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento
(comunemente conosciuti come virus). A tale fine, si è dotati di idonei strumenti elettronici e
programmi, che il D.lgs 196/2003 imporrebbe di aggiornare con cadenza almeno semestrale, ma che,
in relazione al continuo evolversi dei virus, si è ritenuto opportuno di sottoporre ad aggiornamento
secondo questo prospetto:
Tabella 23. Sistemi di antivirus
Periodicità di
Aggiornamento ogni:
Sistema di antivirus
MCAFFE
SYMANTEC
SYMANTEC
1
1
5
Numero di elaboratori
che adottano il sistema di antivirus in
oggetto
Giorni
Giorni
Giorni
1
45
3
Gli incaricati sono stati istruiti, in merito all’utilizzo dei programmi antivirus e, più in generale, sulle
norme di comportamento da tenere, per minimizzare il rischio di essere contagiati: a tale fine, è stato
loro distribuito un codice dei comportamenti da tenere, e di quelli da evitare.
Il secondo aspetto riguarda la protezione degli elaboratori in rete dall’accesso abusivo, di cui
all’articolo 615-ter del codice penale, ai sensi del quale compie tale reato chi si introduce
abusivamente in un sistema informatico o telematico, protetto da misure di sicurezza, ovvero vi si
mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
La protezione da tali accessi avviene mediante l’impiego di idonei strumenti elettronici, comunemente
conosciuti come firewall, che il nuovo codice privacy ha reso obbligatoria per i casi in cui si trattino dati
sensibili o giudiziari.
I dispositivi di questo tipo presenti sono elencati nel seguente prospetto:
Tabella 24. Sistemi di anti-intrusione
Sistema di antintrusione
Periodicità di
Aggiornamento ogni:
48
Numero di elaboratori
che adottano il sistema in oggetto
Per il trattamento, anche occasionale, di dati idonei a rivelare lo stato di salute o la vita sessuale, si
adottano particolari accorgimenti, con il fine di:
•
rendere temporaneamente inintelligibili tali dati, anche a chi è autorizzato ad accedervi: per
l’accesso a tali dati, gli incaricati autorizzati devono compiere una particolare azione (ad
esempio, inserire una ulteriore parola chiave), in mancanza della quale l’accesso ai dati è
impedito
•
garantire loro una particolare protezione, con l’utilizzo di tecniche crittografiche al fine di cifrare
il contenuto dei file, in modo che il loro contenuto possa essere letto solo da incaricati in
possesso di un particolare codice
•
permettere la identificazione degli interessati solo in caso di necessità.
Il terzo aspetto riguarda l’utilizzo di appositi programmi, la cui funzione è di prevenire la vulnerabilità
degli strumenti elettronici, tramite la verifica di eventuali inconsistenze e inesattezze nella
configurazione dei sistemi operativi e dei servizi di rete, e di correggere di conseguenza i difetti insiti
negli strumenti stessi. A tale riguardo si provvede ad un periodico aggiornamento tramite “patches” o
“fixes” sia dei sistemi operativi che dei programmi software di elaborazione. Pertanto la nostra
organizzazione provvede ad aggiornare con cadenza almeno annuale questi componenti software.
Tale cadenza diviene almeno semestrale per gli strumenti con i quali si trattano dati sensibili o
giudiziari.
Questi aspetti si evincono dai seguenti due prospetti:
Tabella 25. Sistemi operativi e relative modalità di aggiornamento
Periodicità di
Aggiornamento ogni:
Sistema operativo
WIN2000
WIN2000S
WIN2003S
WIN7
WIN98
WINNT
WINVISTA
WINXP
3
1
1
1
6
Modalità di aggiornamento
WINDOWS UPDATE TRAMITE INTERNET
Mesi
Mesi
Mesi
Mesi
Mesi
Mesi
Mesi
Mesi
1
1
Tabella 26. Software applicativi e relative modalità di aggiornamento
Nome breve
BIBLIOTECA
COMPMOD
CONTABILITA'
CONTENZIOSO
ECONOMATO
ENTRATEL
GESTIONE
Periodicità di
Aggiornamento ogni:
1
1
1
1
1
1
TRAMITE CD TRASMESSO DAL PRODUTTORE
Intervento manuale del produttore
LIVE UPDATE VIA INTERNET
DOWNLOAD DA INTERNET
Mesi
Mesi
Mesi
Mesi
Mesi
Mesi
Mesi
49
Nome breve
INDIRIZZI
INVENTARIO E
PATRIMONIO
LOTUS NOTES
MOD770
OFFICE
PAGHE
PRIVACY-C
SICRAWEB
Periodicità di
Aggiornamento ogni:
1
Mesi
6
1
6
1
6
1
Mesi
Mesi
Mesi
Mesi
Mesi
Mesi
A MEZZO CD-ROM TRASMESSO DAL PRODUTTORE
LIVE UPDATE DA INTERNET
A MEZZO CD-ROM TRASMESSO DAL PRODUTTORE
Per quanto concerne i supporti rimovibili, contenenti dati personali, la norma impone particolari cautele
nell’ipotesi in cui essi contengano dati sensibili o giudiziari.
Pertanto la nostra organizzazione specificatamente in tali casi, ma più in generale
per tutti i supporti
contenenti dati personali di qualsiasi natura, anche comune, ha indicato agli incaricati del trattamento quanto
segue:
•
i supporti devono essere custoditi ed utilizzati in modo tale, da impedire accessi non autorizzati (furti
inclusi) e trattamenti non consentiti: in particolare, essi devono essere conservati in cassetti chiusi a
chiave, durante il loro utilizzo, e successivamente formattati, quando è cessato lo scopo per cui i dati
sono stati memorizzati su di essi
•
una volta cessate le ragioni per la conservazione dei dati, si devono in ogni caso porre in essere gli
opportuni accorgimenti, finalizzati a rendere inintelligibili e non ricostruibili tecnicamente i dati
contenuti nei supporti. Tali dati devono quindi essere cancellati, se possibile, e si deve arrivare
addirittura a distruggere il supporto, se necessario per i fini in esame.
50
6 Criteri e modalità di ripristino dei dati
Per fronteggiare le ipotesi in cui i dati siano colpiti da eventi che possano danneggiarli, o addirittura
distruggerli, vengono previsti criteri e modalità tali da garantire il loro ripristino in termini ragionevoli, e
comunque entro una settimana per i dati sensibili e giudiziari.
Per i dati trattati con strumenti elettronici sono previste procedure di salvataggio attraverso le quali viene
periodicamente effettuata una copia di tutti i dati presenti nel sistema, su dispositivi opportuni.
E’ previsto un piano di continuità operativa che ha lo scopo di garantire la continuità e la disponibilità degli
strumenti e dei dati in ipotesi di danneggiamenti causati da eventi accidentali, sabotaggi, disastri naturali:
l’obiettivo di tale piano è di ripristinare i servizi informatici e di rendere minime le perdite causate
dall’interruzione dell’attività.
Di seguito viene riportato un prospetto tabellare che descrive le caratteristiche della/e procedura/e di
salvataggio e ripristino adottate.
Il prospetto evidenzia i seguenti dati:
Nome breve: si tratta del nome univoco dato alla politica di backup
Procedura di backup previsto: viene descritta la procedura di salvataggio adottata.
Risorsa hardware: viene indicata la risorsa hardware utilizzata per la procedura di salvataggio. I codici
espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 4.
Periodicità di backup: periodicità (espressa in ore / giorni/mesi) di salvataggio
Supporto utilizzato: viene indicato il supporto utilizzato per il salvataggio
Struttura o persona responsabile: viene indicata la struttura o la/e persona/e incaricate di effettuare il
salvataggio e/o di controllarne l’esito.
Luogo di custodia dei supporti di backup: viene indicato il luogo fisico in cui sono custodite le copie dei
dati salvati. I codici espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 3.
Tipo di ripristino previsto: viene descritta la procedura di ripristino adottata.
Tempi di ripristino: tempi ritenuti necessari per effettuare la completa procedura di ripristino di eventuali
dati persi e/o danneggiati.
Tabella 27. Procedure di salvataggio/ripristino.
Nome
Breve
BACK
UP
1GG
BACK
UP
3GG
Procedura di
backup
prevista
BACK UP SU
NASTRO
BACK UP SU
NASTRO
Risorsa
hardware
incaricata
Periodicità
di backup
Supporto
utilizzato
SRV.ORACLE SERVER
ORACLE
SRV.NEWWEB
- SERVER
WEB NUOVO
1
Giorn NASTRO
i
DAT
SRV.DOMINI SERVER
DOMINIO
3
Giorn NASTRO
i
DAT
51
Struttura o
persona
responsabile
Luogo di
custodia dei
supporti di
backup
0001 - Sede
legale ed
operativa
dell'ente - 62 SERVER SEMINTERRATO
2° PIANO 0001 - Sede
legale ed
operativa
Procedura di
ripristino
prevista
RIPRISTINO
MANUALE
DEL BACK
UP
RIPRISTINO
MANUALE
DEL BACK
Tempi di
ripristino
3
Giorni
3
Giorni
Nome
Breve
Procedura di
backup
prevista
Risorsa
hardware
incaricata
Periodicità
di backup
Supporto
utilizzato
Struttura o
persona
responsabile
Luogo di
custodia dei
Procedura di
supporti di
ripristino
backup
prevista
dell'ente - 62 UP
SERVER SEMINTERRATO
2° PIANO -
Tempi di
ripristino
Si riporta inoltre, per ogni procedura di salvataggio e ripristino prevista, l’elenco delle risorse dati interessate.
Tabella 28. Risorse dati interessate per ogni procedura di salvataggio/ripristino.
Codice
Archivi elettronici
Impattati
BACK UP 1GG
BACK UP 3GG
4
0
52
7 Trattamenti affidati all’esterno
Nei casi in cui i trattamenti di dati personali vengano affidati, in conformità a quanto previsto dal D.lgs
196/2003, all’esterno della struttura del Titolare, si adottano i seguenti criteri, atti a garantire che il soggetto
destinatario adotti misure di sicurezza conformi a quelle minime, previste dagli articoli da 33 a 35 D.lgs
196/2003 e dal disciplinare tecnico (allegato B).
Per la generalità dei casi, in cui il trattamento di dati personali, di qualsiasi natura, venga affidato
all’esterno della struttura del titolare, sono impartite istruzioni per iscritto al terzo destinatario, di rispettare
quanto prescritto per il trattamento dei dati personali:
dal D.lgs 196/2003, se il terzo destinatario è italiano
dalla direttiva 95/46/CE , se il terzo destinatario non è italiano.
In ogni caso, il soggetto cui le attività sono affidate dichiara:
1.
di essere consapevole che i dati che tratterà, nell’espletamento dell’incarico ricevuto, sono dati
personali e, come tali, sono soggetti all’applicazione della normativa per la protezione dei dati
personali
2.
di ottemperare agli obblighi previsti dalla normativa per la protezione dei dati personali
3.
di attenersi alle istruzioni specifiche, eventualmente ricevute per il trattamento dei dati personali,
conformando ad esse anche le procedure eventualmente già in essere
4.
di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate, e di avvertire
immediatamente il proprio committente in caso di situazioni anomale o di emergenze
5.
di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di
sicurezza adottate.
Qualora il trasferimento dovesse avvenire verso soggetti residenti in Paesi extra-Ue, che non sono
considerati sicuri per il trattamento di dati personali, si stipulano con il destinatario clausole contrattuali
conformi, per quanto concerne le misure di sicurezza, a quanto previsto dalla decisione 2002/16/CE:
eccezione può essere fatta nei casi, previsti dall’articolo 43 D.lgs 196/2003, in cui il trasferimento può
avvenire senza che vengano stipulate tali clausole.
Nei casi in cui il trattamento affidato all’esterno abbia per oggetto dati sensibili o giudiziari, si procede alla
stipula di clausole contrattuali, con il destinatario, che disciplinano gli aspetti legati alla gestione dei dati
personali: se il destinatario è residente in Paesi extra-Ue, che non sono considerati sicuri per il trattamento di
dati personali, tali clausole sono conformi, per quanto concerne le misure di sicurezza, a quanto previsto
dalla decisione 2002/16/CE.
Nell’ipotesi in cui il trattamento, di dati sensibili o giudiziari, avvenga con strumenti elettronici, si esige inoltre
che il destinatario italiano rilasci la dichiarazione di avere redatto il documento programmatico sulla
sicurezza, nel quale abbia attestato di avere adottato le misure minime previste dal disciplinare tecnico ed
eventualmente consegni una copia del documento stesso, ovvero consegni una copia del certificato di
conformità rilasciato da chi ha curato la progettazione e l’attuazione delle misure minime di sicurezza, nel
caso in cui il destinatario abbia affidato a soggetti esterni tali compiti.
53
Nei casi in cui ciò si renda opportuno, per ragioni operative legate anche alla tutela dei dati personali, il
destinatario esterno viene nominato dal Titolare come responsabile del trattamento dei dati, mediante
apposita lettera scritta.
Allo stato attuale, risultano nominati come responsabili i soggetti elencati nella seguente tabella:
Tabella 29. Elenco soggetti esterni
Responsabile Esterno
B.C.C. VERSILIA LUNIGIANA GARFAGNANA
BARBIERI
CENTRO COMPUTER
S.N.C.
LENZARINI
NARDUCCI RICCARDO
NUOVE FRONTIERE
LAVORO
NUOVI ORIZZONTI
SMAI s.r.l.
SMAI SOFTWARE
VULLO
Nome Responsabile Esterno
CASTELNUOVO DI
GARFAGNANA
Trattamento
interessato
Informazioni sulla attività svolta
24 CONTABILITA' E
FISCALE
23 - CLIENTI ED
UTENZE
28 - SVILUPPO
ECONOMICO,
AMBIENTE
22 - CED
ROBERT0
CINZIA
23 - CLIENTI ED
UTENZE
28 - SVILUPPO
ECONOMICO,
AMBIENTE
Revisore dei Conti
24 CONTABILITA' E
FISCALE
ORLANDI SERENA
23 - CLIENTI ED
UTENZE
26 - RAPPORTI
CON TERZI
LENZI DANIELA
28 - SVILUPPO
ECONOMICO,
AMBIENTE
22 - CED
di Dini Fabrizio & C. S.a.s. 22 - CED
ING. FRANCESCO
01 - PERSONALE
28 - SVILUPPO ECONOMICO,
AMBIENTE - VINCOLO
IDROGEOLOGICO
24 - CONTABILITA' E FISCALE REVISORE DEI CONTI
01 - PERSONALE RESPONSABILE DELLA
SICUREZZA
Legenda:
Cognome o Ragione Sociale Responsabile Esterno: viene indicato il cognome o la ragione sociale
del responsabile esterno del trattamento
Nome Responsabile Esterno: viene indicato il nome del responsabile esterno del trattamento
Trattamenti interessati: indicare i trattamenti di dati interessati. A questo proposito far riferimento ai
trattamenti censiti nella tabella Tabella 1.
Informazioni sull’attività svolta: sono indicate sinteticamente le caratteristiche dell’attività affidata
all’esterno.
54
8 Specificità del Trattamento dei dati personali dei dipendenti
La nostra azienda ha analizzato la Deliberazione del Garante per la Protezione dei dati personali n. 53 del
23 novembre 2006 (pubblicata sulla Gu n.285 del 7 dicembre 2006 avente come oggetto Rapporti di
lavoro: adottate le linee guida per il trattamento di dati dei dipendenti privati.
Consci dell’importanza delle esortazioni e delle precisazioni del garante in materia possiamo affermare a tale
proposito che:
Responsabile del trattamento
Il nostro Ente, al fine di proteggere e tutelare meglio i dati di tale trattamento, ha individuato gli incaricati che
possono operare sui dati, (ai sensi art.30 D.lgs.196/2003) ed ha fornito loro adeguate istruzioni in materia.
Medico competente – aspetti sanitari legati al D.lgs. n. 81/2008
Al fine di adempiere a quanto previsto dalla disciplina in materia di sicurezza e igiene del lavoro precisiamo
che taluni specifici trattamenti che il medico competente Dott. Lucio Gaddo Gaddi il quale effettua
accertamenti preventivi e periodici sui lavoratori (art.38 e art.41 d.lg. n.81/2008) e istituisce (curandone
l'aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 232,e
art.243 d.lg. n. 81/2008). Detta cartella è custodita presso il medico competente.
In relazione a tali disposizioni, il medico competente è deputato a trattare i dati sanitari dei lavoratori,
procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di
sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalità e modalità del
trattamento stabilite. Ciò, quale che sia il titolare del trattamento effettuato dal medico.
La nostra azienda, sebbene sia tenuta, su parere del medico competente (o qualora il medico la informi di
anomalie imputabili all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori
interessati, non conosce le eventuali patologie accertate, ma solo la valutazione finale circa l'idoneità del
dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni. Tutto ciò in sintonia con le
previsioni legislative che dispongono la comunicazione all'Ispesl della cartella sanitaria e di rischio in caso di
cessione (art. 243, comma 5, d.lg. n. 81/2008) o cessazione del rapporto di lavoro (art. 243,comma 4, d.lg. n.
81/2008), precludendosi anche in tali occasioni ogni loro conoscibilità da parte del datore di lavoro.
Utilizzo di rilevatori biometrici per accesso ad aree riservate
Non sono utilizzati in azienda dispositivi e rilevatori biometrici.
Comunicazione e diffusione di dati personali
La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi, salvo i casi previsti dalla legge, è
ammessa se l'interessato vi ha acconsentito in modo libero ed esplicito.
In particolare la nostra azienda è conscia che non può prescindere dal consenso stesso del lavoratore per
comunicare dati personali (ad esempio, inerenti alla circostanza di un'avvenuta assunzione, allo status o alla
qualifica ricoperta, all'irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a terzi quali:
•
associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima
istituzione);
•
conoscenti, familiari e parenti.
Fermo restando il rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali
rimane impregiudicata la facoltà della nostra azienda di disciplinare le modalità del proprio trattamento
designando i soggetti, interni o esterni, incaricati o responsabili del trattamento, che possono acquisire
55
conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni svolte e a idonee
istruzioni scritte alle quali attenersi (artt. 4, comma 1, lett. g) e h), 29 e 30).. A tale proposito la nostra
azienda si avvale dei seguenti soggetti esterni per le seguenti attività.
È altresì impregiudicata la facoltà della nostra azienda di comunicare a terzi in forma realmente anonima dati
ricavati dalle informazioni relative a singoli o gruppi di lavoratori: si pensi al numero complessivo di ore di
lavoro straordinario prestate o di ore non lavorate a livello aziendale o all'interno di singole unità produttive,
agli importi di premi aziendali di risultato individuati per fasce, o qualifiche/livelli professionali, anche
nell'ambito
di
singole
funzioni
o
unità
organizzative.
Non esiste una intranet aziendale per cui non è stato necessario acquisire il consenso del lavoratore per ivi
pubblicare informazioni personali allo stesso riferite (fotografia, informazioni anagrafiche o curricula).
Al di là di specifiche disposizioni di legge che impongono all’azienda la diffusione di dati personali riferiti ai
lavoratori (art. 24, comma 1, lett. a) o la autorizzino, o comunque di altro presupposto ai sensi dell'art. 24 del
Codice, la diffusione stessa avviene solo nei casi in cui è necessaria per dare esecuzione a obblighi
derivanti dal contratto di lavoro (art. 24, comma 1, lett. b) del Codice). È il caso, ad esempio, dell'affissione
nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti
l'organizzazione del lavoro e l'individuazione delle mansioni cui sono deputati i singoli dipendenti .
Salvo i casi di cui sopra la nostra azienda non opera diffusione di informazioni personali riferite a singoli
lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate
alla collettività dei lavoratori. In particolare non è data diffusione dei seguenti dati di singoli lavoratori:
•
documenti relativi emolumenti percepiti o che fanno riferimento a particolari condizioni personali ;
•
sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie;
•
assenze dal lavoro per malattia;
•
iscrizione e/o adesione dei singoli lavoratori ad associazioni.
La nostra azienda usa cartellini identificativi per facilitare il rapporto con il pubblico e la clientela. Ravvisando
la non necessità dell'indicazione sul cartellino di dati personali identificativi completi (generalità o dati
anagrafici), si è optato di riportare le sole informazioni sufficienti e necessarie allo scopo di essere d'ausilio
all'utenza (ragione sociale dell’azienda, nominativo del soggetto con codice fiscale, matricola, qualifica e la
foto del soggetto in conformità all’articolo 6,comma 1, Legge n.123/07).
Salvi i casi in cui forme e modalità di divulgazione di dati personali discendano da specifiche previsioni (cfr.
art. 174, comma 12, del Codice) la nostra azienda utilizza forme di comunicazione con il lavoratore che
prevedono le misure più opportune per prevenire un'indebita comunicazione di dati personali, in particolare
se sensibili, a soggetti diversi dal destinatario, ancorché incaricati di talune operazioni di trattamento (ad
esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l'interessato a ritirare personalmente
la documentazione presso l'ufficio competente; ricorrendo a comunicazioni telematiche individuali). Analoghe
cautele, tenendo conto delle circostanze di fatto, sono adottate in relazione ad altre forme di comunicazione
indirizzate al lavoratore dalle quali possano desumersi vicende personali .
Dati idonei a rivelare lo stato di salute di lavoratori
La nostra azienda osserva cautele particolari anche nel trattamento dei dati sensibili del lavoratore (art. 4,
comma 1, lett. d), del Codice) e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi
ultimi, può rientrare l'informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla
circostanza della contestuale enunciazione della diagnosi.
La nostra azienda conosce e rispetta l’indicazione del Codice di Protezione sui dati personali per cui è
vietata la diffusione di dati sanitari (art. 26, comma 5).
Con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la normativa di
settore e le disposizioni contenute nei contratti collettivi giustificano il trattamento dei dati relativi ai casi di
infermità (e talora a quelli inerenti all'esecuzione di visite specialistiche o di accertamenti clinici) che
determini un'incapacità lavorativa (temporanea o definitiva, con la conseguente sospensione o risoluzione
56
del contratto). Pertanto la nostra azienda tratta i dati relativi a invalidità o all'appartenenza a categorie
protette, nei modi e per le finalità prescritte dalla vigente normativa in materia. A tale riguardo, sussiste
comunque un quadro normativo articolato che prevede anche obblighi di comunicazione in capo al
lavoratore e di successiva certificazione nei confronti del datore di lavoro e dell'ente previdenziale della
condizione di malattia: obblighi funzionali non solo a giustificare i trattamenti normativi ed economici spettanti
al lavoratore, ma anche a consentire al datore di lavoro, di verificare le reali condizioni di salute del
lavoratore.
Nei casi di assenza per malattia i soggetti sanitari preposti, utilizzando un'apposita modulistica, compilano un
attestato di malattia; una copia di tale modulistica viene consegnata, con la sola indicazione dell'inizio e della
durata presunta dell'infermità, alla nostra azienda. La nostra azienda vigila costantemente per individuare
tempestivamente comportamenti non corretti nella compilazione della modulistica da parte dei soggetti
sanitari: ex: l’indicazione, sulla copia per il datore di lavoro, anche della diagnosi; informazione che il
soggetto sanitario deve compilare unicamente sulla copia del modulo da consegnare, a cura del lavoratore
stesso, all'Istituto di previdenza competente.
Diversamente, per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi la
nostra azienda può anche venire a conoscenza delle condizioni di salute del lavoratore. Tra le fattispecie più
ricorrenti deve essere annoverata la denuncia all'Istituto assicuratore (Inail) avente ad oggetto infortuni e
malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere
corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).
In tali casi, pur essendo legittima la conoscenza della diagnosi, la nostra azienda si limita a comunicare
all'ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata e
non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro;
ciò in virtù del fatto che la eventuale comunicazione di ulteriori informazioni sarebbe eccedente e non
pertinente nel caso oggetto di denuncia (art. 11, commi 1 e 2 del Codice) .
In alcuni casi la nostra azienda potrebbe trovarsi nella eventualità di dovere effettuare un ulteriore
trattamento di dati relativi alla salute del lavoratore (e eventualmente di suoi congiunti), anche al fine di
permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa
con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di
handicap.
Allo stesso modo, la nostra azienda potrebbe venire a conoscenza dello stato di tossicodipendenza del
dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del
posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei termini prescritti dai contratti collettivi)
specifica documentazione medica al datore di lavoro (ai sensi dell'art. 124, commi 1 e 2, d.P.R. n. 309/1990).
In tutti questi casi la nostra azienda opererà il trattamento rispettando principi di pertinenza e necessità ed
adottando misure di sicurezza idonee a tutelare i dati trattati.
La comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che la nostra azienda, per obblighi
di legge, deve fare ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare le prescritte
indennità in adempimento a specifici obblighi derivanti dalla legge, da altre norme o regolamenti o da
previsioni contrattuali, avviene nei limiti delle sole informazioni indispensabili. In particolare, la nostra
azienda può comunicare all'Istituto nazionale della previdenza sociale (Inps) i dati del dipendente assente,
anche per un solo giorno, al fine di farne controllare lo stato di malattia (art. 5, commi 1 e 2,
l. 20 maggio 1970, n. 300) ; a tal fine deve tenere a disposizione e produrre, a richiesta, all'Inps, la
documentazione in suo possesso. Le eventuali visite di controllo sullo stato di infermità del lavoratore, ai
sensi dell'art. 5 della legge 20 maggio 1970, n. 300, o su richiesta dell'Inps o della struttura sanitaria pubblica
da esso indicata, sono effettuate dai medici dei servizi sanitari indicati dalle regioni (art. 2, l. n. 33/1980 cit.).
Informativa i sensi art.13 D.lgs.196/2003
La nostra azienda rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo
riguardano (anche in relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un'informativa
completa degli elementi indicati dall'art. 13 del Codice. Tale informativa è resa per via scritta.
Misure di sicurezza
La nostra azienda adotta ogni misura di sicurezza, anche minima, prescritta dal Codice a protezione dei dati
personali dei dipendenti comunque trattati nell'ambito del rapporto di lavoro, ponendo particolare attenzione
all'eventuale natura sensibile dei medesimi (art. 31 ss. e Allegato B) al Codice).
57
Dette informazioni sono conservate separatamente da ogni altro dato personale dell'interessato; ciò, trova
attuazione anche in riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio sono utilizzate
sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di salute
del lavoratore, da conservare separatamente o in modo da non consentirne una indistinta consultazione nel
corso delle ordinarie attività amministrative ).
Nei casi in cui i lavoratori producano spontaneamente certificati medici su modulistica diversa da quella
descritta precedentemente, la nostra azienda si impegna comunque a non utilizzare ulteriormente tali
informazioni (art. 11, comma 2, del Codice) e adotta gli opportuni accorgimenti per non rendere visibili le
diagnosi contenute nei certificati (ad esempio, prescrivendone la circolazione in busta chiusa previo
oscuramento di tali informazioni); ciò, al fine di impedire ogni accesso abusivo a tali dati da parte di soggetti
non previamente designati come incaricati o responsabili (art. 31 e ss. del Codice).
La nostra azienda, come accennato in precedenza, crede fortemente che il trattamento dei dati personali dei
dipendenti debba essere effettuato in un’ottica di massima sicurezza da personale formato, informato e
specificatamente designato ad incaricato di trattamento ai sensi dell’art.30 d.lgs.196/2003. A tale proposito la
nostra azienda si adopera affinché, come previsto dalla normativa, ciascun incaricato "deve avere cognizioni
in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un'adeguata
formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo
di lavoro non potrà mai essere garantito"
La nostra azienda adotta tra l'altro (cfr. artt. 31 ss. del Codice), misure organizzative e fisiche idonee a
garantire che:
•
i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da
indebite intrusioni;
•
le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali
da escluderne l'indebita presa di conoscenza da parte di terzi o di soggetti non designati quali
incaricati;
•
siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto
d'ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per
venire a conoscenza di particolari informazioni personali;
•
sia prevenuta l'acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di
adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni
personali da parte di soggetti non autorizzati ;
•
sia prevenuta l'involontaria acquisizione di informazioni personali da parte di terzi o di altri
dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare
conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione
delle informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla trattazione di
informazioni riservate in spazi aperti, anziché all'interno di locali chiusi).
Esercizio dei diritti previsti dall'art. 7 d.lgs.196/2003 e riscontro del datore di lavoro all’interessato
I lavoratori della nostra azienda interessati possono esercitare nei confronti della medesima i diritti previsti
dall'art. 7 del Codice (nei modi di cui agli artt. 8 e ss.), tra cui il diritto di accedere ai dati che li riguardano
(anziché, in quanto tale, all'intera documentazione che li contiene), di ottenerne l'aggiornamento, la
rettificazione, l'integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in
violazione di legge, di opporsi al trattamento per motivi legittimi.
Questi diritti sono enunciati in modo esaustivo nell’informativa fornita al lavoratore ai sensi dell’art.13
dlgs196/2003 (di cui ai punti soprastanti).
La richiesta di accesso che non faccia riferimento ad un particolare trattamento o a specifici dati o categorie
di dati, è intesa dall’azienda come riferita a tutti i dati personali che riguardano il lavoratore comunque
trattati dall'amministrazione (art. 10) e può riguardare anche informazioni di tipo valutativo , alle condizioni e
nei limiti di cui all'art. 8, comma 4 per cui “l’esercizio dei diritti di cui all’articolo 7, quando non riguarda dati di
58
carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di
tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l’indicazione di
condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento”.
La nostra azienda, al ricevimento della richiesta, si attiva per fornire un riscontro completo alla richiesta del
lavoratore interessato, senza limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando
in modo chiaro e intelligibile tutte le informazioni in suo possesso. Il riscontro è fornito, in conformità ai
termini previsti dalla normativa, entro 15 giorni dal ricevimento dell'istanza dell'interessato; il termine più
lungo, pari a 30 giorni, può essere osservato, dandone comunicazione all'interessato, solo se le operazioni
necessarie per un integrale riscontro sono di particolare complessità o se ricorre altro giustificato motivo (art.
146 del Codice).
Il riscontro all’interessato da parte della nostra azienda potrà essere fornito sia in modo orale che scritto;
tuttavia in presenza di una specifica istanza, la nostra azienda tenderà a fornire i dati richiesti su supporto
cartaceo o informatico o a trasmetterli all'interessato per via telematica (art. 10).
Seguendo le indicazioni più volte fornite dal Garante, l'esercizio del diritto di accesso consente di ottenere, ai
sensi dell'art. 10 del Codice, solo la comunicazione dei dati personali relativi al richiedente detenuti dal
titolare del trattamento e da estrarre da atti e documenti; non permette invece di richiedere a quest'ultimo il
diretto e illimitato accesso a documenti e ad intere tipologie di atti, o la creazione di documenti allo stato
inesistenti negli archivi, o la loro aggregazione secondo specifiche modalità prospettate dall'interessato o,
ancora, di ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere
particolari modalità di riscontro (salvo quanto previsto per la trasposizione dei dati su supporto
cartaceo: cfr. art. 10, comma 2, del Codice).
La nostra azienda è attenta a fare in modo che il giusto diritto di accesso di un soggetto interessato non
vada a sovrapporsi al diritto alla riservatezza di un altro soggetto.
Infine, il lavoratore può richiedere e ottenere l'aggiornamento dei dati personali a sé riferiti. In ordine
all’eventuale richiesta di rettifica dei dati personali indicati nel profilo professionale del lavoratore, la
medesima può avvenire solo in presenza della prova dell'effettiva e legittima attribuibilità delle qualifiche
rivendicate dall'interessato, ad esempio in base a decisioni o documenti probatori, obblighi derivanti dal
contratto di lavoro, provvedimenti di organi giurisdizionali relativi all'interessato o altri titoli o atti che
permettano di ritenere provata, agli effetti e sul piano dell'applicazione della disciplina di protezione dei dati
personali, la richiesta dell'interessato.
59
9 Amministratori di sistema
Nel provvedimento dell’Autorità Garante in oggetto (G.U. 300 del 24 dicembre 2008) è stata definita (o
meglio ridefinita, perché compariva nel vecchio dpr.318/99 ma era di fatto scomparsa nel nuovo codice) la
figura dell'amministratore di sistema quale soggetto da individuare nominalmente per la sicurezza dei sistemi
informatici, delle banche dati e la corretta gestione delle reti telematiche.
Più precisamente il Garante per la protezione dei dati personali ha ribadito che con la definizione di
"amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali
finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del
presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei
rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di
apparati di sicurezza e gli amministratori di sistemi software complessi.
Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a
operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle
rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente
"responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione
dei dati. Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la
gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi,
un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un
trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni
medesime.
Pertanto il Garante ha individuato le seguenti regole per individuare e definire puntualmente i compiti di tali
soggetti:
Obbligo della designazione individuale
Le aziende e gli enti devono operare la designazione individuale (nominativa) degli amministratori di
sistema; tale designazione deve recare anche l'elencazione analitica degli ambiti di operatività consentiti in
base al profilo di autorizzazione assegnato. L'attribuzione delle funzioni di amministratore di sistema deve
avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato,
il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza. Pertanto si evince che i principi di individuazione degli
amministratori di sistema devono avvenire con criteri di valutazione equipollenti a quelli richiesti per la
designazione dei responsabili ai sensi dell'art. 29.
Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi
attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il
titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e
disponibile in caso di accertamenti da parte del Garante.
60
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o
che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati
sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie
organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici
cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice
nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui
al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa,
mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione
interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con
diverse previsioni dell'ordinamento che disciplinino uno specifico settore.
Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare
direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche
preposte quali amministratori di sistema.
Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di
verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure
organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai
sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni
(access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono
comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere
conservate per un congruo periodo, non inferiore a sei mesi.
Pertanto di seguito è fornito l’elenco degli amministratori di sistema che operano presso codesta azienda e
una sintetica descrizione delle funzionalità e dei compiti ai quali essi sono preposti:
61
Tabella 30. Amministratori di sistema
Cognome
Nome
BERTOLINI
BIONDI
Interno
(I)
o
Esterno
(E)
Società esterna
di
appartenenza
Amm.
Sistemi
Amm.
Reti
Amm.
DB
Amm.
Software
Amm.
Altro
Compiti, funzioni a cui sono preposti
gli amministratori
Procedure adottate dal
titolare
ANGELO
E
CENTRO
COMPUTER
SRL
S
S
S
S
N
Gestione del Dominio.
Gestione degli utenti e della relativa
profilazione sulla rete.
Configurazione del server e dei client
della rete.
Manutenzione ordinaria e straordinaria
dei Personal Computer e dei Server.
Aggiornamento dei software, dei
sistemi operativi e degli antivirus ove
non avviene automaticamente o per
mano del fornitore.
Monitoraggio, gestione e
archiviazione degli eventi
mediante software GFI
Events Manger Networkig
Security.
LUCA
E
CENTRO
COMPUTER
SRL
S
S
S
S
N
della rete.
mano del fornitore.
Security.
1
LEZOLI
ALESSANDRO E
CENTRO
COMPUTER
SRL
S
S
S
S
2
N
della rete.
mano del fornitore.
Security.
10 Dichiarazioni d’impegno e firma
Il presente documento, redatto in data 14-05-2013, viene firmato in calce da:
•
Mario Puppa, in qualità di Presidente
Una sua copia verrà consegnata anche a:
•
a ciascun responsabile interno del trattamento dei dati personali
•
a chiunque, avente titolo, ne faccia richiesta anche in relazione agli artt. 7,8,9,10 del d.lgs.196 del 30
giugno 2003.
Il presente documento verrà trasmesso alla Giunta dell’Unione per l’approvazione.
Castelnuovo di Garfagnana, Lì 14-05-2013
Firma del Presidente _______________________________________________________
Mario Puppa
1

relazione - Unione Comuni Garfagnana

Transcript

Documenti analoghi

Come ricevere una nuova password

Parametri Configurazione Casella di Posta dell`Ordine

Procedura per accedere al nuovo portale della

Consultazione Mailbox Giustizia

CAMBIO PASSWORD DELLA PROPRIA CASELLA DI POSTA

Windows ti ricorda la tua password

Domenica 16 Aprile Insalata di polipo Carpaccio di Tonno

Istruzioni recupero pw.docx

EPOSSIDICA ATOX HS BIANCA PER ALIMENTI

Prova di ammissione anno 2013 - Studenti e laureati