relazione - Unione Comuni Garfagnana
Transcript
relazione - Unione Comuni Garfagnana
UNIONE COMUNI GARFAGNANA Il Presidente Visti: - Il D.lgs. n. 196 del 30 giugno 2003 nonché il relativo allegato B contenente il disciplinare tecnico in materia di misure minime di sicurezza - Il decreto legge n.70 del 13 maggio 2011 convertito con modificazioni nella legge n.106 del 12 luglio 2011 - Il decreto legge n.201 del 6 dicembre 2011 convertito con modificazioni nella legge n. 214 del 22 dicembre 2011 - Il decreto legge “semplificazioni” del 27 gennaio 2012 Si predispone la seguente: RELAZIONE ANNUALE SULLO STATO DI ATTUAZIONE DEL D.LGS. 196/2003 – CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI ANNO 2013 inerente l’insieme dei trattamenti di dati personali effettuati in ambito aziendale, con specifico riferimento all’insieme delle misure minime di sicurezza organizzative, fisiche e logiche previste dall’allegato B del sopracitato decreto legislativo. Castelnuovo di Garfagnana, Lì 14-05-2013 Il Presidente _______________________________________ (Mario Puppa) RELAZIONE ANNUALE SULLO STATO DI ATTUAZIONE DEL D.LGS. 196/2003 – CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da adottare per il trattamento dei dati personali effettuato da codesta azienda. ==================== Il presente documento è articolato al fine di illustrare compiutamente i seguenti aspetti: 1. l’elenco dei trattamenti di dati personali al fine di individuare il contesto in cui le persone opportunamente disegnate possono operare. Tale elenco contemplerà i seguenti aspetti: la individuazione delle tipologie di dati personali trattati la descrizione delle aree, dei locali e degli strumenti con i quali si effettuano i trattamenti la elaborazione della mappa dei trattamenti effettuati, che si ottiene incrociando le coordinate dei due punti precedenti nell’ambito di questa sezione saranno anche evidenziati gli eventuali trattamenti di videosorveglianza (art. 154 comma 1 lett. C – Provvedimento garante 08/04/2010 GU n. 99 del 29/04/2010) 2. la distribuzione dei compiti e delle responsabilità, nell’ambito delle strutture preposte al trattamento dei dati (analisi del mansionario privacy) e individuazione degli interventi formativi rivolti agli incaricati del trattamento 3. l’analisi dei rischi che incombono sui dati al fine di correttamente individuare le misure idonee e preventive di contrasto come previsto dall’articolo 31 del D.lgs.196/2003 4. le misure, già adottate e da adottare, per garantire l’integrità e la disponibilità dei dati 5. la definizione delle regole di attuazione degli aggiornamenti periodici dei programmi di elaborazione (punti 15,16 e 17 allegato B) 6. i criteri e le modalità di ripristino dei dati, in seguito a distruzione o danneggiamento 7. l’individuazione dei soggetti esterni che possono operare in qualità di responsabili di trattamento ai sensi dell’articolo 29 del D.lgs 196/2003 8. la definizione delle regole adottate dall’azienda nell’ambito dei trattamenti dei dati del personale dipendente (Deliberazione del Garante per la Protezione dei dati personali n. 53 del 23 novembre 2006 pubblicata sulla Gu n.285 del 7 dicembre 2006 avente come oggetto Rapporti di lavoro: adottate le linee guida per il trattamento di dati dei dipendenti privati). 9. la definizione delle regole per l’utilizzo di internet e della posta elettronica (Art. 154 comma 1 lett. C del D.lgs – provvedimento garante 01/03/2007 – n. 13) 10. la definizione delle regole per la gestione della problematica denominata “Amministratori di Sistema” (Art. 154 comma 1 lett. C- H del D.lgs – Provvedimento garante 27/11/2008 – GU 300/2008) 11. dichiarazioni d’impegno e firma. Indice della relazione 1 L’elenco dei trattamenti dei dati personali ............................................................................................................ 4 1.1 Trattamenti – Informazioni di base ................................................................................................................ 4 1.2 Trattamenti – Caratteristiche di aree, locali e strumenti con cui si effettuano i trattamenti................... 1 1.3 La mappa dei trattamenti effettuati .............................................................................................................. 24 2 Distribuzione dei compiti e delle responsabilità................................................................................................. 26 2.1 Profili di responsabilità .................................................................................................................................. 26 2.2 Soggetti incaricati sui trattamenti................................................................................................................. 28 2.2.1 Modalità di designazione e principi generali ...................................................................................... 28 2.2.2 Modalità di formulazione degli incarichi .............................................................................................. 28 2.3 Interventi formativi.......................................................................................................................................... 32 2.3.1 Piani di formazione ed interventi formativi.......................................................................................... 32 3 Analisi dei rischi che incombono sui dati ............................................................................................................ 34 4 Misure in essere e da adottare atte a garantire l’integrità e la disponibilità dei dati .................................... 37 4.1 La protezione di aree e locali ....................................................................................................................... 37 4.2 La custodia e l’archiviazione di atti, documenti e supporti ....................................................................... 38 4.3 Le misure logiche di sicurezza ..................................................................................................................... 40 5 Regole di attuazione degli aggiornamenti periodici dei programmi di elaborazione.................................... 48 6 Criteri e modalità di ripristino dei dati .................................................................................................................. 51 7 Trattamenti affidati all’esterno .............................................................................................................................. 53 8 Specificità del Trattamento dei dati personali dei dipendenti .......................................................................... 55 9 Amministratori di sistema...................................................................................................................................... 60 10 Dichiarazioni d’impegno e firma......................................................................................................................... 1 1 L’elenco dei trattamenti dei dati personali In questa sezione sono individuati i trattamenti effettuati, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati, delle categorie di interessati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta. 1.1 Trattamenti – Informazioni di base Per ciascun trattamento sono indicate le seguenti informazioni in forma tabellare: Identificativo del trattamento: si tratta di un codice univoco che viene associato ad ogni trattamento. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione del trattamento per esigenze di sintesi. Descrizione: è una breve descrizione del trattamento effettuato corredato dall’indicazione della finalità perseguita (o dell’attività svolta) e delle categorie di persone cui i dati si riferiscono. Natura dei dati trattati: i dati personali trattati vengono classificati in base al loro livello di delicatezza e sensibilità. In particolare verranno evidenziati se, tra i dati personali, sono presenti solo dati comuni o anche dati sensibili o giudiziari. Si rammentano a tale proposito le lettere b,c,d,e del comma 1 dell’ art. 4. del d.lgs. 196/03 (“Definizioni”) così come modificate dall’art. 40 comma 2 lettere a e b del decreto legge n.201 del 6 dicembre 2011 convertito in legge n.214 del 22 dicembre 2011: b) “dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato; d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; Categorie di interessati. Vengono indicate le categorie di soggetti di cui vengono trattati i dati personali. Struttura di riferimento: viene indicata la struttura di riferimento, intesa come ufficio preposto o unità organizzativa, all’interno della quale viene effettuato il trattamento. La scelta effettuata è quella di mantenersi ad un livello di definizione intermedio e cioè che consenta sicuramente di individuare l’ambito in cui il trattamento viene effettuato senza scendere in un dettaglio troppo spinto che renderebbe troppo frammentario il quadro che si vuole illustrare. Altre strutture che concorrono al trattamento: vengono indicate tutte le eventuali strutture che concorrono, completamente o in parte, al trattamento oltre quella che cura primariamente l’attività e che è stata indicata al punto precedente. Tale strutture possono essere sia interne che esterne. Riferimento al regolamento ai sensi artt.20 e 21 d.lgs.196/2003: per i trattamenti che coinvolgono dati sensibili e giudiziari vengono indicati i riferimenti ai “macro-trattamenti” elencati nel regolamento sui dati sensibili e giudiziari approvato dall’ente. Note. Sono indicate, eventualmente, alcune caratteristiche o particolarità del trattamento. Tabella 1. - Elenco dei trattamenti ed informazioni di base Data di ultimo aggiornamento: 14-05-2013 Identificativo Descrizione Natura dei Categorie di Struttura principale dati trattati interessati di riferimento 21 - ARCHIVIO E PROTOCOLLO Attività di archiviazione generale e di protocollazione della corrispondenza. Dati comuni clienti ed utenti Personale Dipendente UNIONE COMUNI GARFAGNANA 23 - CLIENTI ED UTENZE Attività inerenti la gestione dei clienti e delle utenze. Dati comuni Dati giudiziari clienti ed utenti UNIONE COMUNI GARFAGNANA 24 - CONTABILITA' E FISCALE Attività connesse alla gestione dei libri contabili della contabilità e di tutti gli aspetti fiscali. Gestione del rapporto di lavoro del personale impiegato a vario titolo presso la Comunità Montana Attività legate alla gestione dei dati al fine di applicare la normastiva in termini di tutela dei dati personali. Attività inerenti alla produzione di statistiche sulla popolazione dei comuni della Comunità Montana Attività legate alla gestione dei rapporti con soggetti esterni quali liberi professionisti e consulenti con rapporti contrattuali. Attività dello sportello unico per le attività produttive 01 - PERSONALE 25 - PRIVACY 27 - STATISTICA 26 - RAPPORTI CON TERZI 29 - SUAP 28 - SVILUPPO ECONOMICO, AMBIENTE Attività per la gestione delle pratiche inerenti allo sviluppo economico del territorio, alla tutela dell'ambiente UNIONE COMUNI GARFAGNANA Dati comuni Dati giudiziari Dati sensibili Dati comuni Dati comuni Dati sensibili Personale Dipendente UNIONE COMUNI GARFAGNANA clienti ed utenti fornitori Personale Dipendente clienti ed utenti UNIONE COMUNI GARFAGNANA UNIONE COMUNI GARFAGNANA Dati comuni clienti ed utenti fornitori UNIONE COMUNI GARFAGNANA Dati comuni clienti ed utenti UNIONE COMUNI GARFAGNANA Dati comuni clienti ed utenti UNIONE COMUNI GARFAGNANA Identificativo Descrizione Natura dei Categorie di Struttura principale dati trattati interessati di riferimento 22 - CED Attività legate alla manutenzione delle risorse hardware e software dell'ente. Dati comuni clienti ed utenti UNIONE COMUNI GARFAGNANA 02 - PERSONALE CONCESSIONE BENEFICI Attività relatva al riconoscimento di benefici connessi invalidità civile e all'invalidità derivente da cause di servizio, nonchè al riconoscimento di inabilità a svolgere attività lavorativa. Attività ricreativa per la promozione del benessere della persona e della comunità, per il sostegno dei progetti di vita delle persone e delle famiglie e per la rimozione del disagio sociale. Gestione delle biblioteche e dei centri di documentazione Dati comuni Dati giudiziari Dati sensibili Personale Dipendente UNIONE COMUNI GARFAGNANA Dati comuni Dati sensibili clienti ed utenti UNIONE COMUNI GARFAGNANA Dati comuni Dati sensibili clienti ed utenti UNIONE COMUNI GARFAGNANA 12 - PROCEDURE SANZIONATORIE Gestione delle procedure sanzionatorie clienti ed utenti UNIONE COMUNI GARFAGNANA 13 - POLIZIA MUNICIPALE GESTIONE ASSOCIATA Attività di polizia municiaple in gestiona associata fra i comuni aderenti all'Unione. clienti ed utenti UNIONE COMUNI GARFAGNANA 16 - AVVOCATURA Attività relativa alla consulenza giuridica, al patrocinio ed alla difesa dell'amministrazione, nonchè alla consulenza e copertura assicurativa in caso di responsabilità civile verso terzi dell'amministrazione Gestione delle attività relative all'incontro domanda/offerta di lavoro, comprese quelle relative alla formazione professionale Gestione dei dati relativi agli organi istituzionali dell'ente Dati comuni Dati giudiziari Dati sensibili Dati comuni Dati giudiziari Dati sensibili Dati comuni Dati giudiziari clienti ed utenti Personale Dipendente UNIONE COMUNI GARFAGNANA Dati comuni Dati sensibili clienti ed utenti Personale Dipendente UNIONE COMUNI GARFAGNANA Dati comuni clienti ed utenti UNIONE COMUNI GARFAGNANA 05 - ATTIVITA' RICREATIVA 10 - BIBLIOTECHE - BANCA DELLA MEMORIA 17 - INCONTRO DOMANDA/OFFERTA 18 - ORGANI ISTITUZIONALI Identificativo 19 - ATTIVITA' POLITICA Descrizione Natura dei Categorie di Struttura principale dati trattati interessati di riferimento Attività politica, di indirizzo e di controllo, sindacato ispettivo e documentazione dell'attività istituzionale degli organi delle Comunità Montane gestioni dei dati del Comprensorio di Bonifica Dati comuni Dati sensibili Personale Dipendente UNIONE COMUNI GARFAGNANA Dati comuni clienti ed utenti UNIONE COMUNI GARFAGNANA 20 - PROTEZIONE CIVILE Attività inerente la protezione civile Dati comuni Dati sensibili clienti ed utenti UNIONE COMUNI GARFAGNANA 32 - CATASTO Attività per la gestione delle pratiche inerenti la gstione catastale 33 - SPORTELLO CCIAA Attività lo sportello all'utenza per la Camera di Commercio 34 - CENTRALE UNICA DI COMMITTENZA Attività legata alla centrale unica di committenza/stazione unica appaltante per le gare d'appalto e le forniture dei Comuni dell'unione 30 - RUOLI BONIFICA UNIONE COMUNI GARFAGNANA fornitori UNIONE COMUNI GARFAGNANA 1.2 Trattamenti – Caratteristiche di aree, locali e strumenti con cui si effettuano i trattamenti Il trattamento dei dati personali avviene nelle sedi/edifici riportati nel prospetto che segue. Per ogni sede/edificio vengono indicate le seguenti informazioni: Codice Sede: si tratta di un progressivo univoco che viene associato ad ogni sede/edificio per scopi di codifica. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione della sede/edificio per esigenze di sintesi. Indirizzo: è l’indirizzo esatto in cui è ubicata la sede/edificio Città: è la città in cui è ubicata la sede/ufficio Tipologia: viene indicata la tipologia di sede/edificio utilizzando brevi descrittori del tipo: Palazzo municipale, biblioteca, asilo, etc... Descrizione: viene descritta la sede/ufficio e le sue principali funzionalità Tabella 2. Caratteristiche delle sedi e degli edifici Data di ultimo aggiornamento: 14-05-2013 Codice Sede Indirizzo 0001 Via Vittorio Emanuele 0002 Località La Piana 0004 Località Orto Murato Città Tipologia Descrizione Castelnuovo di Garfagnana Camporgiano Sede Operativa Sede Operativa Sede legale ed operativa dell'ente Sede distaccata - Vivaio Castelnuovo di Garfagnana Sede Protezione Civile Sede Operativa servizio di Protezione Civile Di seguito, in un prospetto tabellare, vengono identificati i locali (uffici) presenti nelle varie sedi/edifici precedentemente individuate all’interno della quale viene effettuato almeno un trattamento di dati personali . Per ogni locale/ufficio sono riportate le seguenti caratteristiche: Codice Sede: si tratta del codice identificativo della sede di appartenenza dell’ufficio già adottato nel precedente prospetto. Sigla locale/ufficio: si tratta di un progressivo univoco dell’ufficio all’interno della sede. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione del locale/ufficio per esigenze di sintesi. Locazione: viene indicata la dislocazione fisica dell’ufficio (ex: piano terreno, primo piano, seminterrato , etc..). Descrizione/Uso: viene indicata la descrizione ed il tipo di uso che si fa dell’ufficio con particolare riferimento agli aspetti che riguardano il trattamento dei dati personali (Ex: l’ufficio è adibito ad archivio di dati, il locale è un ufficio operativo in cui i dati vengono trattati, etc...) 1 Tabella 3. Caratteristiche dei locali e degli uffici ove avviene almeno un trattamento di dati personali Data di ultimo aggiornamento: 14-05-2013 Codice Sede Sigla Locale/Ufficio Locazione 0001 46 -PROTOCOLLO PIANO TERRA 0001 47 -STAFF PRESIDENZA PIANO TERRA 0001 36 -CULTURA PIANO TERRA 0001 38 -INTERCOMUNICAZ. PIANO TERRA 0001 53 -TURISMO 0001 23 -AGRICOLTURA PRIMO PIANO 0001 22 -ATT. AGRICOLE PRIMO PIANO 0001 27 -SELVICOLTURA PRIMO PIANO 0001 28 -DIRIGENZA EC. PRIMO PIANO 0001 26 -STAFF DIREZIONE PRIMO PIANO 0001 24 -STATISTICA PRIMO PIANO 0001 15 -DIFESASUOLO PRIMO PIANO 0001 42 -CATASTO PIANO TERRA 0001 27 -FORESTAZIONE PRIMO PIANO 0001 25 -DIRIGENTE CED PRIMO PIANO 0001 52 -CONCESSIONI 0001 1 -PERSONALE 0001 11 -SEGRETARIO SECONDO PIANO 0001 12 -SEGRETERIA SECONDO PIANO 0001 2 -RAGIONERIA SECONDO PIANO 0001 3 - CENTR. UNI. COMM SECONDO PIANO 0001 13 -FINANZIARIA SECONDO PIANO 0001 14 -RIS.UMANE SECONDO PIANO 0001 17 -PROT.CIVILE 0001 26 -STAFF DIREZIONE SECONDO PIANO 0001 4 -SUPPORTO AMM. SECONDO PIANO 0001 62 -SERVER SEMINTERRATO 2° PIANO 0001 58 -ARCHIVIO1 SEMINTERRATO 2° PIANO 0001 59 -ARCHIVIO2 SEMINTERRATO 2° PIANO 0001 66 -BANCA MEMORIA SEMINTERRATO 2° PIANO 0001 54 -SUAP SEMINTERRATO 1° PIANO 0001 52 -VINCOLO SEMINTERRATO 1° PIANO 0001 16 -RIS.AMBIENTALI 0001 BONIFICA 0001 66 -SUPP.BANCAMEM. 0001 34 -ASSESSORI 0001 CORRSUAP SEMINTERRATO 1° PIANO SEMINTERRATO 1° PIANO PRIMO PIANO PRIMO PIANO PRIMO PIANO ALA CON INGRESSO SEPARATO - PRIMO PIANO SECONDO PIANO PIANO TERRA SEMINTERRATO 1° PIANO 2 Codice Sede Sigla Locale/Ufficio 0001 21 -SUPP. DIREZIONE Locazione PRIMO PIANO Molti dati personali sono elaborati con l’ausilio di strumenti elettronici. Il seguente prospetto evidenzia per ogni elaboratore i seguenti aspetti: Codice: si tratta di un progressivo univoco all’interno dell’insieme degli elaboratori di cui dispone l’ente. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione dello strumento elettronico. Nome: viene indicato un breve nome dello strumento elaborativo di ausilio alla sua identificazione all’interno dei locali dell’ente. Descrizione: viene indicata una breve descrizione dello strumento elaborativo di ausilio alla sua identificazione all’interno dei locali dell’ente. Modello: vengono indicati il modello, il produttore e le eventuali caratteristiche hardware del sistema Sistema operativo: viene indicato il sistema operativo del sistema elaborativo in oggetto (Ex: Microsoft Windows Vista, etc..) Tipo: viene indicata la tipologia dell’unità elaborativa (Ex: personal computer, notebook, palmare, terminale, server di rete, mainframe, etc...). Tipo di interconnessione: Tipologia di connessione di cui è dotato il sistema elaborativo (rete locale, internet, etc...) Sede/Ufficio in cui è situato l’elaboratore: viene indicato il riferimento codificato alla sede ed all’ufficio (locale) dove fisicamente l’elaboratore è situato. Tabella 4. Caratteristiche degli elaboratori con i quali sono operati i trattamenti Codice Data di ultimo aggiornamento: 14-05-2013 G.REALI Nome Descrizione REALI PC REALI GABRIELLA GABRIELLA A.GIANN GIANNOTTI OTT ALBERICE PC GIANNOTTI ALBERICE Modello LENOVO ASSEMBLATO 3 Sistema operativo Sede/ufficio Tipo in cui è situato l'elaboratore WIN7 Altro dispositivo elettronico WIN7 Altro dispositivo elettronico 0001 - Sede legale ed operativa dell'ente - 2 RAGIONERIA SECONDO PIANO 0001 - Sede legale ed operativa dell'ente - 14 RIS.UMANE SECONDO PIANO - Codice Nome Descrizione Modello VICOLO VIN.IDR.2 IDR. 2 PC VICOLO IDROGEOLO GICO E LENOVO GUARDI GIUNTINI F.GIUNTI FRANCESC NI O PC GIUNTINI FRANCESCO MITAS F.REALI REALI FABIO PC REALI FABIO F.FIORA NI FIORANI FABIANA PC FIORANI FABIANA PC POSTA PC UTENTE POSTA POSTA ASSEMBLATO MITAS HP PC UFFICIO REGOLAME REGOLAME NTI NTI COMUNITAR REGCOM COMUNITA I LENOVO Sistema operativo Sede/ufficio Tipo l'elaboratore WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico WIN7 Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico ROSSI G.ROSSI GIUSEPPE PC ROSSI GIUSEPPE ANGELI P.ANGELI PIERLUIGI PC ANGELI PIERLUIGI LENOVO WINXP Altro dispositivo elettronico A.CRESTI CRESTI PC CRESTI MITAS WINXP Altro LENOVO 4 in cui è situato 0001 - Sede legale ed operativa dell'ente - 52 CONCESSIONI SEMINTERRAT O 1° PIANO 0001 - Sede legale ed operativa dell'ente - 15 DIFESASUOLO PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 16 RIS.AMBIENTALI - PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 27 FORESTAZIONE - PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 46 PROTOCOLLO PIANO TERRA 0001 - Sede legale ed operativa dell'ente - 27 SELVICOLTURA - PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 23 AGRICOLTURA PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 22 ATT. AGRICOLE - PRIMO PIANO 0001 - Sede Codice P.PIERO NI Nome Descrizione ALBERTO ALBERTO PIERONI PATRIZIA PC PIERONI PATRIZIA Modello Sistema operativo HP COMPAQ WINXP PC A.BENED BENEDETTI BENEDETTI ETT ADIEME ADIEME HP WIN7 COSTA L.COSTA LIDIA PC COSTA LIDIA ACER VERITON WINXP SRV.ORA SERVER CLE ORACLE SERVER ORACLE LOTUS NOTES VIRTUALIZZ ATO WIN2000 VIRTUALIZZATO S SERVER DOMINIO IBM SRV.DO MINI SERVER DOMINIO WIN2003 S PC D.SUFFR SUFFREDIN SUFFREDINI EDI I DANIELA DANIELA ASSEMBLATO NB NB NB.M.GIA GIANNOTTI GIANNOTTI N MAURO MAURO HP 5 WIN7 WIN7 Sede/ufficio Tipo in cui è situato l'elaboratore dispositivo legale ed elettronico operativa dell'ente - 53 TURISMO SEMINTERRAT O 1° PIANO 0001 - Sede legale ed operativa Altro dell'ente - 36 dispositivo CULTURA elettronico PIANO TERRA 0001 - Sede legale ed operativa Altro dell'ente - 46 dispositivo PROTOCOLLO elettronico PIANO TERRA 0001 - Sede legale ed operativa dell'ente - 26 Altro STAFF dispositivo DIREZIONE elettronico PRIMO PIANO 0001 - Sede legale ed operativa Elaboratore dell'ente - 62 elettronico SERVER di tipo SEMINTERRAT O 2° PIANO server 0001 - Sede legale ed operativa Elaboratore dell'ente - 62 elettronico SERVER SEMINTERRAT di tipo O 2° PIANO server 0001 - Sede legale ed operativa dell'ente - 4 SUPPORTO AMM. Altro dispositivo SECONDO elettronico PIANO Altro 0001 - Sede dispositivo legale ed elettronico operativa Codice Nome Descrizione NOTEBOOK MASMAR NB_MASOT MASOTTI T TI MARTINA MARTINA Modello ACER NBFIN NB RAGIONERI NB UFF. A RAGIONERIA FUJITSU F.POLI POLI FRANCESC O PC POLI FRANCESCO COMPATIBILE M.MAZZE MAZZEI I MORENO PC MAZZEI MORENO S.PIERO NI PIERONI SANDRO PC PIERONI SANDRO A.PIERO TTI PIEROTTI ALBERTO PC PIEROTTI ALBERTO LENOVO ACER LENOVO Sistema operativo WINXP Altro dispositivo elettronico WIN2000 Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico Altro dispositivo elettronico LENOVO WINXP C.LENZI PC LENZI ASSEMBLATO WIN7 in cui è situato l'elaboratore WIN7 PC BATTAGLIA EMANUELA 6 Tipo Altro dispositivo elettronico E.BATTA BATTAGLIA GLI EMANUELA LENZI Sede/ufficio Altro dell'ente - 17 PROT.CIVILE PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 26 STAFF DIREZIONE SECONDO PIANO 0001 - Sede legale ed operativa dell'ente - 13 FINANZIARIA SECONDO PIANO 0001 - Sede legale ed operativa dell'ente - 24 STATISTICA PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 15 DIFESASUOLO PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 28 DIRIGENZA EC. - PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 52 CONCESSIONI SEMINTERRAT O 1° PIANO 0001 - Sede legale ed operativa dell'ente - 1 PERSONALE PRIMO PIANO 0001 - Sede Codice Nome CARLA Descrizione Modello Sistema operativo CARLA PINAGLI F.PINAGL FRANCESC I O PC PINAGLI FRANCESCO XP COMPAQ WINXP R.CORFI CORFINI NI RITA PC CORFINI RITA LENOVO WIN7 M.GIANN GIANNOTTI OTT MAURO PC GIANNOTTI MAURO ASSEMBLATO WIN7 ALBOPR ETOR PC PER PUBBLICAIO NE ALBOONASSEMBLATO LINE WIN7 PC UFFICIO PERSONALE LENOVO WIN7 SERVER WEB NUOVO HP WIN2000 S SERVER TERMINAL WIN2000 S PC ALBO PRETORIO PC UFF. PERSON PERSONAL ALE E SRV.NE WWEB SERVER WEB NUOVO SRV.TER SERVER MIN TERMINAL IBM 7 Sede/ufficio Tipo in cui è situato l'elaboratore dispositivo legale ed elettronico operativa dell'ente - 12 SEGRETERIA SECONDO PIANO 0001 - Sede legale ed operativa dell'ente - 11 Altro SEGRETARIO dispositivo SECONDO elettronico PIANO 0001 - Sede legale ed operativa Altro dell'ente - 17 dispositivo PROT.CIVILE elettronico PRIMO PIANO 0001 - Sede legale ed operativa Altro dell'ente - 17 dispositivo PROT.CIVILE elettronico PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 62 Altro SERVER dispositivo SEMINTERRAT elettronico O 2° PIANO 0001 - Sede legale ed operativa dell'ente - 14 Altro RIS.UMANE dispositivo SECONDO elettronico PIANO 0001 - Sede legale ed operativa Elaboratore dell'ente - 62 elettronico SERVER SEMINTERRAT di tipo O 2° PIANO server Elaboratore 0001 - Sede elettronico legale ed di tipo operativa server dell'ente - 62 - Codice Nome Descrizione Modello PC RESPONSAB PC ILE UFFICIO FINANZIARI FINANZIARI RESPFIN A O HYUNDAI G.SATTI_ SATTI N GIOVANNI PC SATTI GIOVANNI I.TURRIA TURRIANI _N IOLANDA PC TURRIANI IOLANDA L.ADAMI_ ADAMI N LUCIANA PC ADAMI LUCIANA P.TROMB TROMBI I_N PATRIZIA PC TROMBI PATRIZIA NB PIERONI PIERONI SANDRO NB PIERONI SANDRO SP.SUAP SUAP PC SUAP MITAS LENOVO ASSEMBLATO MITAS LENOVO MITAS 8 Sistema operativo Sede/ufficio Tipo in cui è situato l'elaboratore WINXP Altro dispositivo elettronico WIN2000 Altro dispositivo elettronico WIN7 Altro dispositivo elettronico WIN7 Altro dispositivo elettronico WINXP Altro dispositivo elettronico WIN7 Altro dispositivo elettronico WINXP Altro dispositivo elettronico SERVER SEMINTERRAT O 2° PIANO 0001 - Sede legale ed operativa dell'ente - 13 FINANZIARIA SECONDO PIANO 0001 - Sede legale ed operativa dell'ente BONIFICA - ALA CON INGRESSO SEPARATO PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 47 STAFF PRESIDENZA PIANO TERRA 0001 - Sede legale ed operativa dell'ente - 54 SUAP SEMINTERRAT O 1° PIANO 0001 - Sede legale ed operativa dell'ente - 13 FINANZIARIA SECONDO PIANO 0001 - Sede legale ed operativa dell'ente - 28 DIRIGENZA EC. - PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 54 SUAP - Codice Nome Descrizione Modello VINCOLO VINCOLO PC VINCOLO IDROGEOLO GICO LENOVO R.MARTI MARTINI NIn ROBERTO PC MARTINI ROBERTO CATAST O UFFICIO CATASTO PC UFFICIO CATASTO NB_CRE STI NOTEBOOK CRESTI NB_CRESTI ALBERTO Sistema operativo Sede/ufficio Tipo in cui è situato l'elaboratore SEMINTERRAT O 1° PIANO 0001 - Sede legale ed operativa dell'ente - 52 VINCOLO SEMINTERRAT O 1° PIANO 0001 - Sede legale ed operativa dell'ente - 25 DIRIGENTE CED - PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 42 CATASTO PIANO TERRA 0001 - Sede legale ed operativa dell'ente - 53 TURISMO SEMINTERRAT O 1° PIANO 0001 - Sede legale ed operativa dell'ente - 21 SUPP. DIREZIONE PRIMO PIANO 0001 - Sede legale ed operativa dell'ente - 34 ASSESSORI PIANO TERRA 0001 - Sede legale ed operativa dell'ente - 3 CENTR. UNI. COMM SECONDO PIANO - WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico WINXP Altro dispositivo elettronico CENTR. CE.UN.C UNICA OMM COMMITT PC CENTRALE UNICA DI COMMITTEN ZA LENOVO WINXP Altro dispositivo elettronico SRV.FILE FILE FILE WIN2003 Elaboratore 0001 - Sede A.ROSSI_ ROSSI N ANNA RITA PC ROSSI ANNA RITA LENOVO IBM ACER ASPIRE 5630 IBM THINK CENTER ASSESO PC PC SALA RI ASSESSORI ASSESORI IBM 9 Codice Nome SERVER Descrizione SERVER Modello SYSTEMX3400 Sistema operativo Sede/ufficio Tipo in cui è situato l'elaboratore S elettronico legale ed di tipo operativa server dell'ente - 62 SERVER SEMINTERRAT O 2° PIANO 0001 - Sede legale ed operativa Elaboratore dell'ente - 62 elettronico SERVER SRV.MAI MAIL SERVER DI WIN2003 SEMINTERRAT di tipo L SERVER POSTA HP S O 2° PIANO server I software, i programmi informatici, di cui l’ente dispone per elaborare gli archivi elettronici e le basi dati informatiche descritte negli schemi precedenti sono riassunti nel prospetto riepilogativo che segue. Per ognuna delle voci in elenco sono indicate le seguenti informazioni: Nome Prodotto: viene indicato il nome del prodotto (Ex. Microsoft Office 2010) Descrizione e Produttore: viene indicata una breve descrizione del software in oggetto, le finalità del suo utilizzo e l’azienda produttrice.. Tipologia/Architettura : viene fornito un breve cenno della tecnologia con la quale è stato realizzato il prodotto (Ex: client-server, prodotto monoutente stand-alone con interfaccia a caratteri, tecnologia web su supporto intranet, etc..). Utilizzo di Internet: è possibile specificare se il software in oggetto utilizza un collegamento ad Internet per le proprie funzionalità. 10 Tabella 5. Caratteristiche dei software tramite i quali sono elaborati gli archivi elettronici Data di ultimo aggiornamento: 14-05-2013 Nome Prodotto SICRAWEB LOTUS NOTES CONTABILITA' BIBLIOTECA PAGHE MOD770 PRIVACY-C INVENTARIO E PATRIMONIO ECONOMATO ENTRATEL OFFICE COMPMOD GESTIONE INDIRIZZI CONTENZIOSO Descrizione e Produttore SOFTWARE PER LA GESTIONE DELLA SEGRETERIA (DELIBERE, DETERMINE E ALBO ONLINE) PROTOCOLLO LOTUS NOTES SINTECOOP CONTABILITA' FINANZIARIA SMAI S.R.L. - GESTIONE BIBLIOTECA GESTIONE PAGHE PERSONALE SINTECOOP MODELLO 770 PRIVACY-C GESTIONE ED ANALISI PRIVACY SINTECOOP SOFTWARE INVENTARIO E PATRIMONIO BENI MOBILI ED IMMOBILI STUDIO K - LINEA S.I.C.I. ECONOMATO ENTRATEL MICROSOFT OFFICE MODELLI CASSA INTEGRAZIONE GESTIONE INDIRIZZI Tipologia / Architettura Utilizzo di Internet Applicativo Client-Server a due livelli Si Applicativo Client-Server a due livelli Applicativo Client-Server a due livelli No Applicativo Client-Server a due livelli Applicativo Client-Server a due livelli Applicativo Client-Server a due livelli Applicativo Client-Server a due livelli Applicativo Client-Server a due livelli No Applicativo Client-Server a due livelli Applicativo su Host Applicativo Stand Alone Applicativo Stand Alone No No No No Applicativo Stand Alone No Centro Computer - Gestione Applicativo Stand Alone del Contenzioso No No No No No No Molti dati personali contemplati nei trattamenti sopra descritti sono raccolti e custoditi in archivi elettronici e basi dati informatiche. Di seguito viene riportato un prospetto tabellare che evidenzia l’insieme degli archivi e delle basi dati elettroniche e le loro relazioni con gli strumenti elaborativi, con i software predisposti per l’elaborazione e con la natura dei dati trattati. Il prospetto evidenzia i seguenti dati: Codice: si tratta di un progressivo univoco all’interno dell’insieme degli archivi elettronici e delle basi dati informatiche dell’ente. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione del archivio elettronico in oggetto. Nome breve: viene indicato un nome breve con il quale l’archivio elettronico è identificato (Ex. Clienti, Fornitori, Dipendenti, etc...) Descrizione: viene indicata la descrizione estesa dell’archivio e del suo utilizzo. Elaboratori su cui è conservato l’archivio: vengono indicati, tramite codici, gli elaboratori sui quali l’archivio è custodito e conservato. I codici espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 4. 11 Software da cui è elaborato l’archivio: vengono indicati i software con i quali l’archivio è elaborato. I software sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 5. Natura dei dati personali trattati: vengono indicate le tipologie di dati trattati con particolare riferimento al loro grado di sensibilità (ex: dati inerenti l’orientamento politico (sensibili)). Tabella 6. Caratteristiche degli archivi elettronici e delle basi dati informatiche Data di ultimo aggiornamento: 14-05-2013 Software da Codice Nome breve Descrizione 020 PRIVACY 021 LOTUS 022 023 ARCHIVIO DATI DEL SOFTWARE PRIVACY-C ARCHIVIO DATI DEL SOFTWARE LOTUS NOTES CONTABILI ARCHIVIO DATI TA' DEL SOFTWARE DI CONTABILITA' FINANZIARIA 770 ARCHIVIO DATI DEL SOFTWARE PER IL 770 Elaboratori su cui cui è è conservato elaborato Natura dei dati personali l’archivio l’archivio trattati SRV.TERMIN PRIVACY-C SERVER TERMINAL SRV.ORACLE LOTUS SERVER ORACLE NOTES SRV.DOMINI SERVER DOMINIO CONTABILIT A' PERSONALE - PC MOD770 UFF. PERSONALE 12 Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Adesione a sindacati o organizzazioni a carattere sindacale - Dati sensibili Stato di salute - Dati sensibili Attività economiche, commerciali, finanziarie e assicurative - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Istruzione e cultura Software da Codice Nome breve Descrizione 024 025 CASSA ARCHIVIO DATI INTEGRAZI DEL SOFTWARE ONE COMPMOD PAGHE ARCHIVIO DATI DEL SOFTWARE PAGHE Elaboratori su cui cui è è conservato elaborato Natura dei dati personali l’archivio l’archivio trattati A.GIANNOTT GIANNOTTI ALBERICE COMPMOD PERSONALE - PC PAGHE UFF. PERSONALE 13 (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Adesione a sindacati o organizzazioni a carattere sindacale - Dati sensibili Stato di salute - Dati sensibili Attività economiche, commerciali, finanziarie e assicurative - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Adesione a sindacati o organizzazioni a carattere sindacale - Dati sensibili Stato di salute - Dati sensibili Attività economiche, commerciali, finanziarie e assicurative - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati Software da Codice Nome breve Descrizione 026 027 034 Elaboratori su cui cui è è conservato elaborato Natura dei dati personali l’archivio l’archivio trattati INDIRIZZI ELENCO INDIRIZZI I.TURRIA_N TURRIANI IOLANDA BIBLIOTEC ARCHIVIO DATI P.PIERONI A BIBLIOTECA PIERONI PATRIZIA INVENTARI ARCHIVIO DATI RESPFIN - PC O DEL SOFTWARE FINANZIARIA DI INVENTARIO 035 SEGRETERI ARCHIVIO DATI A DEL SOFTWARE DI SEGRETERIA ALBOPRETOR PC ALBO PRETORIO SRV.FILE - FILE SERVER 036 ECONOMAT ARCHIVIO DATI O DEL SOFTWARE DI ECONOMATO SRV.DOMINI SERVER DOMINIO GESTIONE INDIRIZZI BIBLIOTECA comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Alcuni dati personali sono conservati non su supporto elettronico bensì su supporto cartaceo. 14 Di seguito viene riportato un prospetto tabellare che evidenzia l’insieme degli archivi cartacei e le loro relazioni sia con i locali e gli uffici dove sono conservati e la natura dei dati trattati. Il prospetto evidenzia i seguenti dati: Codice: si tratta di un progressivo univoco all’interno dell’insieme degli archivi cartacei dell’ente. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione del archivio cartaceo in oggetto. Nome breve: viene indicato un nome breve con il quale l’archivio cartaceo è identificato (Ex. Clienti, Fornitori, Dipendenti, etc...) Descrizione: viene indicata la descrizione estesa dell’archivio e del suo utilizzo. Dislocazione: vengono indicati, tramite codici, gli uffici ed i locali nei quali l’archivio è custodito e conservato. I codici espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 3 Natura dei dati personali trattati: vengono indicate le tipologie di dati trattati con particolare riferimento al loro grado di sensibilità (ex: dati inerenti l’orientamento politico (sensibili)). Tabella 7. Caratteristiche degli archivi cartacei Data di ultimo aggiornamento: 14-05-2013 Natura dei dati personali Codice Nome breve Descrizione 020 PRIVACY ARCHIVIO DATI DEL SOFTWARE PRIVACY-C 036 ECONOMATO ARCHIVIO DATI DEL SOFTWARE DI ECONOMATO 001 DOC. FORESTALI 002 DOC. STATISTICA 004 DOC. DIF. SUOLO ARCHIVIO CONTENENTE I DOCUMENTI PER L'ASSEGNAZIONE DI INCARICHI PROFESSIONALI, DETERMINE DELL'UFFICIO ARCHIVIO CONTENENTE I DOCUMENTI PER L'ASSEGNAZIONE DI INCARICHI PROFESSIONALI, DETERMINE DELL'UFFICIO, ALTRI ATTI DI INDAGINE STATISTICA E CONVENZIONI ARCHIVIO CONTENENTE I Dislocazione 0001 - Sede legale ed operativa dell'ente - 62 SERVER - SEMINTERRATO 2° PIANO 0001 - Sede legale ed operativa dell'ente - 17 PROT.CIVILE - PRIMO PIANO - trattati Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni 0001 - Sede legale ed operativa dell'ente - 27 FORESTAZIONE - PRIMO PIANO - 0001 - Sede legale ed operativa dell'ente - 24 STATISTICA - PRIMO PIANO - 0001 - Sede legale ed operativa dell'ente - 15 - 15 Beni, proprietà, possessi (proprietà, possessi e Natura dei dati personali Codice Nome breve Descrizione Dislocazione DOCUMENTI PER PROGETTI AMBIENTALI, PROGRAMMI DI OPERE ED INTERVENTI E RELATIVI PROGETTI DIFESASUOLO - PRIMO PIANO - ARCHIVIO CONTENENTE I DOCUMENTI RELATIVI AI RAPPORTI CON ENTI PUBBLICI ED AZIENDE IN MERITO A RAPPORTI CONTRATTUALI 0001 - Sede legale ed operativa dell'ente - 25 DIRIGENTE CED - PRIMO PIANO - 005 DOC. CED 006 DOC. CULTURA ARCHIVIO UFFICIO CULTURA. INDIRIZZARI E PRATICHE DI ASSOCIAZIONI 0001 - Sede legale ed operativa dell'ente - 36 CULTURA - PIANO TERRA - 007 PROTOCOLLO ARCHIVIO PROTOCOLLO 0001 - Sede legale ed operativa dell'ente - 46 PROTOCOLLO - PIANO TERRA - 008 DOC. AGRICOLTURA PRATICHE AGRICOLTURA 0001 - Sede legale ed operativa dell'ente - 23 AGRICOLTURA - PRIMO PIANO - 009 DOC. PERSONALE DOCUMENTAZION E RELATIVA ALLA GESTIONE DEL PERSONALE: CUD,INPS,INAIL, PRATICHE 0001 - Sede legale ed operativa dell'ente - 1 PERSONALE - PRIMO PIANO - 16 trattati locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Adesione a sindacati o organizzazioni a carattere sindacale - Dati sensibili Stato di salute - Dati sensibili Codice fiscale ed altri Natura dei dati personali Codice Nome breve Descrizione Dislocazione INFORTUNIO, BUSTE PAGA 010 DOC. PERS. FORESTALE DOCUMENTAZION E RELATIVA ALLA GESTIONE DEL PERSONALE FORESTALE: CUD,INPS,INAIL, PRATICHE INFORTUNIO, BUSTE PAGA. CONTRATTI DIPENDENTI, CURRICULUM ED DOCUMENTI ECONOMATO 0001 - Sede legale ed operativa dell'ente - 1 PERSONALE - PRIMO PIANO - 011 DOC. SEGRETERIA DOCUMENTAZION E RELATIVA ALLA SEGRETERIA: DETERMINE ED ATTI CONSIGLIERI 0001 - Sede legale ed operativa dell'ente - 12 SEGRETERIA - SECONDO PIANO - 17 trattati numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Adesione a sindacati o organizzazioni a carattere sindacale - Dati sensibili Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Adesione a sindacati o organizzazioni a carattere sindacale - Dati sensibili Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti Natura dei dati personali Codice Nome breve Descrizione Dislocazione 012 DOC. PRESENZE DOCUMENTAZION E RELATIVA ALLE PRESENZE ED ALL'IDONEITA' FISICA DEI DIPENDENTI 0001 - Sede legale ed operativa dell'ente - 14 RIS.UMANE - SECONDO PIANO - 013 DOC. RAGIONERIA FATTURE, MANDATI REVERSALI E DOCUMENTI DI RAGIONERIA, COPIE BUSTE PAGA 0001 - Sede legale ed operativa dell'ente - 2 RAGIONERIA - SECONDO PIANO - 013 DOC. FINANZIARI FATTURE, MANDATI REVERSALI E DOCUMENTI DI RAGIONERIA, COPIE BUSTE PAGA 0001 - Sede legale ed operativa dell'ente - 13 FINANZIARIA - SECONDO PIANO - 18 trattati a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Adesione a sindacati o organizzazioni a carattere sindacale - Dati sensibili Stato di salute - Dati sensibili Attività economiche, commerciali, finanziarie e assicurative - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Adesione a sindacati o organizzazioni a carattere sindacale - Dati sensibili Stato di salute - Dati sensibili Attività economiche, commerciali, finanziarie e Natura dei dati personali Codice Nome breve Descrizione Dislocazione 014 DOC. PROT. CIVILE DOCUMENTI SULLA SICUREZZA, DOCUMENTAZION E RELATIVA ALL'ASSITENZA AI DISABILE, ELENCHI ASSOCIAZIONI E VOLONTARI, CERTIFICATI DI IDONEITA' DIP. COMUNITA' MONTANA 0001 - Sede legale ed operativa dell'ente - 17 PROT.CIVILE - PRIMO PIANO - 015 DOC. SUPP. AMM. DOCUMENTI RELATIVI A PRATICHE DI CONTRIBUTI AD ASSOCIAZIONI ED ANAGRAFICHE AZIENDE 0001 - Sede legale ed operativa dell'ente - 4 SUPPORTO AMM. SECONDO PIANO - 016 DOC. STAFF AMM. DOCUMENTI RELATIVI A CONTRATTI DI PRESTAZIONI OCCASIONALI 0001 - Sede legale ed operativa dell'ente - 26 STAFF DIREZIONE SECONDO PIANO - 19 trattati assicurative - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Stato di salute - Dati sensibili Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Natura dei dati personali Codice Nome breve Descrizione 017 DOC. CONCESSIONI DOCUMENTI RELATIVI A CONTENZIOSO FORESTALE, CONCESSIONI 018 DOC. FORESTALI DATI RELATIVI AD AZIENDE: CASELLARIO GIUDIZIARIO. CURRICULUM PROFESSIONISTI Dislocazione trattati Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni 0001 - Sede legale ed Stato di salute - Dati operativa dell'ente - 52 sensibili CONCESSIONI Codice fiscale ed altri SEMINTERRATO 1° PIANO - numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni 0001 - Sede legale ed Stato di salute - Dati operativa dell'ente - 27 sensibili FORESTAZIONE - PRIMO Informazioni concernenti i PIANO provvedimenti giudiziari di cui all’art. 686, commi 1, lett. a) e d), 2 e 3), del codice di procedura penale - Dati giudiziari Informazioni concernenti taluni procedimenti giudiziari - Dati giudiziari Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Dati relativi alla famiglia e a situazioni personali (stato civile, minori, figli, soggetti a carico, consanguinei, altri appartenenti al nucleo familiare) - Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni 20 Natura dei dati personali Codice Nome breve Descrizione Dislocazione trattati Informazioni concernenti i provvedimenti giudiziari di cui all’art. 686, commi 1, lett. a) e d), 2 e 3), del codice di procedura penale - Dati giudiziari Informazioni concernenti taluni procedimenti giudiziari - Dati giudiziari Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Informazioni concernenti i provvedimenti giudiziari di cui all’art. 686, commi 1, lett. a) e d), 2 e 3), del codice di procedura penale - Dati giudiziari Informazioni concernenti taluni procedimenti giudiziari - Dati giudiziari Attività economiche, commerciali, finanziarie e assicurative - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audio- 019 DOC. SICUREZZA PRATICHE ISTRUTTORIE E REGISTRI DI SERVIZIO 0001 - Sede legale ed operativa dell'ente - 52 VINCOLO - SEMINTERRATO 1° PIANO - 028 DOC.SUAP ARCHIVIO CONTENTE LE PRATICHE DEL SUAP 0001 - Sede legale ed operativa dell'ente - 54 -SUAP - SEMINTERRATO 1° PIANO - 029 DOC.FORM.PR OF ARCHIVIO DOCUMENTI DEI CORSI DI FORMAZIONE PROFESSIONALE 0001 - Sede legale ed operativa dell'ente - 54 -SUAP - SEMINTERRATO 1° PIANO - 21 Natura dei dati personali Codice Nome breve Descrizione 030 DOC.VINCOLO 1 ARCHIVIO DOCUMENTI VINCOLO IDROGEOLOGICO 031 DOC.VINCOLO 2 ARCHIVIO DOCUMENTI VINCOLO IDROGEOLOGICO 028 DOC.SUAPCOR ARCHIVIO R CONTENTE LE PRATICHE DEL SUAP Dislocazione trattati visivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni 0001 - Sede legale ed Beni, proprietà, possessi operativa dell'ente - 52 (proprietà, possessi e VINCOLO - SEMINTERRATO locazioni; beni e servizi 1° PIANO forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni 0001 - Sede legale ed Beni, proprietà, possessi operativa dell'ente - 52 (proprietà, possessi e CONCESSIONI locazioni; beni e servizi SEMINTERRATO 1° PIANO - forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni 0001 - Sede legale ed Informazioni concernenti i operativa dell'ente provvedimenti giudiziari di CORRSUAP cui all’art. 686, commi 1, lett. SEMINTERRATO 1° PIANO - a) e d), 2 e 3), del codice di procedura penale - Dati giudiziari Informazioni concernenti taluni procedimenti giudiziari - Dati giudiziari Attività economiche, commerciali, finanziarie e assicurative - Dati comuni Beni, proprietà, possessi (proprietà, possessi e locazioni; beni e servizi forniti o ottenuti) - Dati comuni Codice fiscale ed altri numeri di identificazione personale (carte sanitarie) Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audio- 22 Natura dei dati personali Codice Nome breve 032 ARCHIVIO GENERALE 1 033 ARCHIVIO GENERALE 2 Descrizione Dislocazione trattati visivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni ARCHIOVIO 0001 - Sede legale ed Codice fiscale ed altri GENERALE DELLA operativa dell'ente - 58 numeri di identificazione COMUNITA' ARCHIVIO1 personale (carte sanitarie) MONTANA SEMINTERRATO 2° PIANO - Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni ARCHIOVIO 0001 - Sede legale ed Codice fiscale ed altri GENERALE DELLA operativa dell'ente - 59 numeri di identificazione COMUNITA' ARCHIVIO2 personale (carte sanitarie) MONTANA SEMINTERRATO 2° PIANO - Dati comuni Istruzione e cultura (curriculum di studi e accademico, pubblicazioni articoli, monografie, relazioni, materiale audiovisivo, ecc.- titoli di studio) Dati comuni Lavoro - Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale - Dati comuni Il seguente prospetto riepilogativo elenca gli impianti di videosorveglianza utilizzati e le relative caratteristiche. Codice: si tratta di un progressivo univoco all’interno dell’insieme dei sistemi di videosorveglianza utilizzati dall’ente. Nel seguito del documento spesso si farà riferimento a questo codice anziché all’intera descrizione del sistema di video-sorveglianza. Nome breve: viene indicato un nome breve con il quale l’archivio audiovisivo è identificato Descrizione: viene indicata la descrizione estesa dell’archivio di video-sorveglianza utilizzato. Dislocazione: vengono indicati, tramite codici, gli uffici ed i locali nei quali l’archivio è custodito e conservato. I codici espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 3. Note: possono essere indicate le caratteristiche di conservazione delle immagini ai fini della tutela dei dati ivi contenuti (periodo di conservazione, modalità di distruzione, etc…) 23 Tabella 8. Caratteristiche dei sistemi di videosorveglianza Data di ultimo aggiornamento: 14-05-2013 Nome Codice Breve Descrizione Dislocazione Note 1.3 La mappa dei trattamenti effettuati Incrociando le coordinate degli elementi espressi nei paragrafi precedenti, si ottiene la mappa dei trattamenti di dati personali effettuati dal Titolare in relazione con gli archivi elettronici e cartacei, gli strumenti elettronici ed i software con cui avviene il trattamento. Tabella 9. Mappa dei trattamenti effettuati Data di ultimo aggiornamento: 14-05-2013 Archivi cartacei impattati Trattamento Archivi elettronici impattati 01 - PERSONALE 02 - PERSONALE Concessione benefici 05 - ATTIVITA' RICREATIVA 10 - BIBLIOTECHE BANCA DELLA MEMORIA 12 - PROCEDURE SANZIONATORIE 13 - POLIZIA MUNICIPALE GESTIONE ASSOCIATA 16 - AVVOCATURA 17 - INCONTRO DOMANDA/OFFERTA 18 - ORGANI ISTITUZIONALI 19 - ATTIVITA' POLITICA 20 - PROTEZIONE CIVILE 21 - ARCHIVIO E PROTOCOLLO 22 - CED Elaboratori impattati Software impattati 770 CASSA INTEGRAZIONE PAGHE DOC. FINANZIARI DOC. PERS. FORESTALE DOC. PERSONALE DOC. PRESENZE DOC. PROT. CIVILE DOC. RAGIONERIA DOC.FORM.PROF DOC. PERSONALE GIANNOTTI ALBERICE PC UFF. PERSONALE COMPMOD MOD770 PAGHE LOTUS PROTOCOLLO SERVER ORACLE LOTUS NOTES 24 Archivi cartacei impattati Trattamento Archivi elettronici impattati 23 - CLIENTI ED UTENZE 24 - CONTABILITA' E FISCALE 25 - PRIVACY 26 - RAPPORTI CON TERZI 27 - STATISTICA 28 - SVILUPPO ECONOMICO, AMBIENTE 29 - SUAP 30 - RUOLI BONIFICA 32 - CATASTO 33 - SPORTELLO CCIAA 34 - CENTRALE UNICA DI COMMITTENZA Elaboratori impattati Software impattati BIBLIOTECA INDIRIZZI DOC. AGRICOLTURA DOC. CED DOC. CONCESSIONI DOC. CULTURA DOC. DIF. SUOLO DOC. FORESTALI DOC. SEGRETERIA DOC. SICUREZZA DOC. STAFF AMM. DOC. STATISTICA DOC. SUPP. AMM. PIERONI PATRIZIA TURRIANI IOLANDA BIBLIOTECA GESTIONE INDIRIZZI PRIVACY PRIVACY SERVER TERMINAL PRIVACY-C DOC. AGRICOLTURA DOC. CED DOC. CONCESSIONI DOC. CULTURA DOC. FORESTALI DOC. SEGRETERIA DOC. SICUREZZA DOC. STAFF AMM. DOC.FORM.PROF DOC. STATISTICA DOC. CED DOC. DIF. SUOLO DOC.VINCOLO1 DOC.VINCOLO2 DOC.SUAP 25 2 Distribuzione dei compiti e delle responsabilità 2.1 Profili di responsabilità Per il trattamento dei dati personali, il Titolare: ha nominato i seguenti responsabili, attribuendo loro incarichi di ordine organizzativo e direttivo, come segue dal prospetto sotto riportato: Tabella 10. Profili di responsabilità Data di ultimo aggiornamento: 14-05-2013 Cognome o Ragione Sociale Responsabile Nome Responsabile Tipologia soggetto COLTELLI ENZO Persona fisica Persona fisica MARTINI ROBERTO MICOTTI LEONARDO Persona fisica PEDRESCHI VITTORIANA PIERONI SANDRO Persona fisica Persona fisica PINAGLI FRANCESCO Persona fisica 26 Trattamenti di cui è Responsabile Responsabilità affidate e note sul profilo di responsabilità 34 - CENTRALE UNICA DI COMMITTENZA 18 - ORGANI 22 - CED – Attività ISTITUZIONALI di controllo e 22 - CED coordinamento degli Amministratori di Sistema. 13 - POLIZIA MUNICIPALE GESTIONE ASSOCIATA 24 - CONTABILITA' E FISCALE 12 - PROCEDURE SANZIONATORIE 18 - ORGANI ISTITUZIONALI 20 - PROTEZIONE CIVILE 27 - STATISTICA 28 - SVILUPPO ECONOMICO, AMBIENTE 29 - SUAP 01 - PERSONALE 02 - PERSONALE Concessione benefici 05 - ATTIVITA' RICREATIVA 10 - BIBLIOTECHE BANCA DELLA MEMORIA 16 - AVVOCATURA 18 - ORGANI ISTITUZIONALI 19 - ATTIVITA' POLITICA 21 - ARCHIVIO E PROTOCOLLO 23 - CLIENTI ED UTENZE 24 - CONTABILITA' E FISCALE Cognome o Ragione Sociale Responsabile SATTI GIOVANNI Nome Responsabile Comando c/o Comprensorio di Bonifica Tipologia soggetto Trattamenti di cui è Responsabile Responsabilità affidate e note sul profilo di responsabilità 25 - PRIVACY 26 - RAPPORTI CON TERZI Persona 30 - RUOLI BONIFICA fisica Dove : Cognome o Ragione Sociale Responsabile: viene indicato il cognome o la ragione sociale del responsabile del trattamento Nome Responsabile: viene indicato il nome del responsabile del trattamento Tipologia soggetto: viene indicata la tipologia del soggetto (persona fisica, persona giuridica ...) Responsabilità affidate e note sul profilo di responsabilità: vengono eventualmente precisati i profili di responsabilità associati al soggetto. 27 2.2 Soggetti incaricati sui trattamenti 2.2.1 Modalità di designazione e principi generali Il trattamento dei dati personali viene effettuato solo da soggetti che hanno ricevuto un formale incarico, mediante una delle seguenti modalità: 1. designazione per iscritto di ogni singolo incaricato, con la quale si individua puntualmente l’ambito del trattamento consentito 2. documentata preposizione di ogni persona ad una unità, per la quale sia stato previamente individuato per iscritto l’ambito del trattamento, consentito agli addetti all’unità medesima 3. documentata preposizione di ogni persona ad una unità, per la quale sia stato previamente individuato per iscritto l’ambito del trattamento, consentito agli addetti all’unità medesima o, in taluni casi, designazione per iscritto di un singolo incaricato, con la quale si individua puntualmente l’ambito del trattamento consentito. Oltre alle istruzioni generali, su come devono essere trattati i dati personali, agli incaricati vengono fornite esplicite istruzioni in merito ai seguenti punti, aventi specifica attinenza con la sicurezza: procedure da seguire per la classificazione dei dati, al fine di distinguere quelli sensibili e giudiziari, per garantire la sicurezza dei quali occorrono maggiori cautele, rispetto a quanto è previsto per i dati di natura comune modalità di reperimento dei documenti, contenenti dati personali, e modalità da osservare per la custodia degli stessi e la loro archiviazione, al termine dello svolgimento del lavoro per il quale è stato necessario utilizzare i documenti modalità per elaborare e custodire le password necessarie per accedere agli elaboratori elettronici ed ai dati in essi contenuti, nonché per fornirne una copia al preposto alla custodia delle parole chiave prescrizione di non lasciare incustoditi e accessibili gli strumenti elettronici, mentre è in corso una sessione di lavoro procedure e modalità di utilizzo degli strumenti e dei programmi atti a proteggere i sistemi informativi procedure per il salvataggio dei dati modalità di custodia ed utilizzo dei supporti rimuovibili, contenenti dati personali dovere di aggiornarsi, utilizzando il materiale e gli strumenti forniti dal Titolare, sulle misure di sicurezza. Ai soggetti incaricati della gestione e manutenzione del sistema informativo, siano essi interni o esterni all’organizzazione del Titolare, viene prescritto di non effettuare alcun trattamento, sui dati personali contenuti negli strumenti elettronici, fatta unicamente eccezione per i trattamenti di carattere temporaneo strettamente necessari per effettuare la gestione o manutenzione del sistema. 2.2.2 Modalità di formulazione degli incarichi Le lettere e le lettere di designazione degli incaricati vengono raccolte in modo ordinato, in base alla unità organizzativa cui i soggetti appartengono: in tale modo il Titolare dispone di un quadro chiaro di chi fa cosa (struttura in ambito privacy), nell’ambito del trattamento dei dati personali. 28 Periodicamente, con cadenza almeno annuale, si procede ad aggiornare la definizione dei dati cui gli incaricati sono autorizzati ad accedere, e dei trattamenti che sono autorizzati a porre in essere, al fine di verificare la sussistenza delle condizioni che giustificano tali autorizzazioni. La stessa operazione viene compiuta per le autorizzazioni rilasciate ai soggetti incaricati della gestione o manutenzione degli strumenti elettronici. 2.2.3 Struttura in ambito privacy Nella seguente matrice si riassumono i tratti salienti dell’attuale struttura in ambito privacy, come segue: Nella prima colonna si riportano i trattamenti come individuati nei precedenti paragrafi Nella seconda colonna, per ciascun trattamento, si riportano le unità organizzative (“strutture di riferimento”) in cui si suddivide l’organizzazione del Titolare Nella terza colonna viene riportata l’indicazione dell’eventuale responsabile della struttura. Questo referente, se presente, assume un ruolo gerarchico/funzionale all’interno della struttura e non ha automaticamente responsabilità in ambito privacy. Tabella 11. Distribuzione dei trattamenti per struttura organizzativa Data di ultimo aggiornamento: 14-05-2013 Trattamenti Strutture preposte 01 - PERSONALE UNIONE COMUNI GARFAGNANA 02 - PERSONALE CONCESSIONE BENEFICI UNIONE COMUNI GARFAGNANA 05 - ATTIVITA' RICREATIVA UNIONE COMUNI GARFAGNANA 10 - BIBLIOTECHE - BANCA DELLA UNIONE COMUNI MEMORIA GARFAGNANA 12 - PROCEDURE SANZIONATORIE UNIONE COMUNI GARFAGNANA 13 - POLIZIA MUNICIPALE - GESTIONE UNIONE COMUNI ASSOCIATA GARFAGNANA 16 - AVVOCATURA UNIONE COMUNI GARFAGNANA 17 - INCONTRO DOMANDA/OFFERTA UNIONE COMUNI GARFAGNANA 18 - ORGANI ISTITUZIONALI UNIONE COMUNI GARFAGNANA 19 - ATTIVITA' POLITICA UNIONE COMUNI GARFAGNANA 20 - PROTEZIONE CIVILE UNIONE COMUNI GARFAGNANA 21 - ARCHIVIO E PROTOCOLLO UNIONE COMUNI GARFAGNANA 22 - CED UNIONE COMUNI GARFAGNANA 23 - CLIENTI ED UTENZE UNIONE COMUNI GARFAGNANA 24 - CONTABILITA' E FISCALE UNIONE COMUNI GARFAGNANA 25 - PRIVACY UNIONE COMUNI GARFAGNANA 29 Referente di struttura 26 - RAPPORTI CON TERZI 27 - STATISTICA 28 - SVILUPPO ECONOMICO, AMBIENTE 29 - SUAP 30 - RUOLI BONIFICA 32 - CATASTO 33 - SPORTELLO CCIAA 34 - CENTRALE UNICA DI COMMITTENZA UNIONE COMUNI GARFAGNANA UNIONE COMUNI GARFAGNANA UNIONE COMUNI GARFAGNANA UNIONE COMUNI GARFAGNANA UNIONE COMUNI GARFAGNANA UNIONE COMUNI GARFAGNANA UNIONE COMUNI GARFAGNANA Nel seguente prospetto, invece, vengono indicate risorse professionali appartenenti alle strutture individuate e le risorse professionali specificatamente incaricate al trattamento di dati personali: Tabella 12. Elenco incaricati per struttura organizzativa Data di ultimo aggiornamento: 14-05-2013 Struttura Soggetti appartenenti alla struttura DIREZIONE AMMINISTRATIVA DIREZIONE CENTRALE SISTEMI INFORMATIVI DIREZIONE GESTIONALE DEL TERRITORIO SVILUPPO ECONOMICO SEGRETARIO GENERALE UNIONE COMUNI GARFAGNANA E Tabella 13. Elenco incaricati per ogni trattamento Data di ultimo aggiornamento: 14-05-2013 Trattamento 01 - PERSONALE 02 - PERSONALE CONCESSIONE BENEFICI 05 - ATTIVITA' RICREATIVA 10 - BIBLIOTECHE - BANCA DELLA MEMORIA 12 - PROCEDURE SANZIONATORIE 13 - POLIZIA MUNICIPALE - GESTIONE ASSOCIATA 16 - AVVOCATURA 17 - INCONTRO DOMANDA/OFFERTA 18 - ORGANI ISTITUZIONALI 19 - ATTIVITA' POLITICA 20 - PROTEZIONE CIVILE 21 - ARCHIVIO E PROTOCOLLO 22 - CED 23 - CLIENTI ED UTENZE Incaricati Battaglia - Emanuela GIANNOTTI - ALBERICE Battaglia - Emanuela GIANNOTTI - ALBERICE PIERONI - PATRIZIA MASOTTI - MARTINA PIERONI - PATRIZIA TURRIANI - IOLANDA PIEROTTI - ALBERTO PIERONI - PATRIZIA Corfini - Rita GIANNOTTI - MAURO Benedetti - Adieme TROMBI - PATRIZIA TURRIANI - IOLANDA Adami - Luciana Angeli - Pier Luigi Battaglia - Emanuela 30 Benedetti - Adieme BRACCINI LIDIA - Comando c/o Comprensorio di Bonifica Corfini - Rita Costa - Lidia CRESTI - ALBERTO FIORANI - FABIANA GALATOLO - GIOVANNI GIANNOTTI - MAURO LENZI - CARLA MARTINI - ROBERTO MAZZEI - MORENO PIERONI - PATRIZIA PIERONI - SANDRO PIEROTTI - ALBERTO POLI - FRANCESCO REALI - FABIO REALI - GABRIELLA ROSSI - ANNARITA ROSSI - GIUSEPPE SATTI GIOVANNI - Comando c/o Comprensorio di Bonifica SUFFREDINI - DANIELA TROMBI - PATRIZIA TURRIANI - IOLANDA Corfini - Rita GIUNTINI - FRANCESCO REALI - GABRIELLA SUFFREDINI - DANIELA TROMBI - PATRIZIA Adami - Luciana LENZI - CARLA Battaglia - Emanuela LENZI - CARLA PIERONI - SANDRO POLI - FRANCESCO Angeli - Pier Luigi Corfini - Rita CRESTI - ALBERTO FIORANI - FABIANA GIANNOTTI - MAURO MAZZEI - MORENO PIEROTTI - ALBERTO REALI - FABIO ROSSI - GIUSEPPE Adami - Luciana Costa - Lidia CRESTI - ALBERTO BRACCINI LIDIA - Comando c/o Comprensorio di Bonifica Costa - Lidia CRESTI - ALBERTO ROSSI - ANNARITA Benedetti - Adieme TURRIANI - IOLANDA FANANI - ANDREA GUIDI - PAMELA 24 - CONTABILITA' E FISCALE 25 - PRIVACY 26 - RAPPORTI CON TERZI 27 - STATISTICA 28 - SVILUPPO ECONOMICO, AMBIENTE 29 - SUAP 30 - RUOLI BONIFICA 32 - CATASTO 33 - SPORTELLO CCIAA 34 - CENTRALE UNICA DI COMMITTENZA 31 2.3 Interventi formativi Sono previsti interventi formativi degli incaricati del trattamento, finalizzati a renderli edotti dei seguenti aspetti: profili della disciplina sulla protezione dei dati personali, che appaiono più rilevanti per l’attività svolta dagli incaricati, e delle conseguenti responsabilità che ne derivano rischi che incombono sui dati misure disponibili per prevenire eventi dannosi modalità per aggiornarsi sulle misure di sicurezza, adottate dal titolare. 2.3.1 Piani di formazione ed interventi formativi Gli interventi formativi sono programmati in modo tale, da avere luogo al verificarsi di una delle seguenti circostanze: • già al momento dell’ingresso in servizio • in occasione di cambiamenti di mansioni, che implichino modifiche rilevanti rispetto al trattamento di dati personali • in occasione della introduzione di nuovi significativi strumenti, che implichino modifiche rilevanti nel trattamento di dati personali. Tabella 14. Piani di formazione per soggetti coinvolti Data di ultimo aggiornamento: 14-05-2013 Descrizione Generale Corso/Intervento formativo Formazione sulla normativa: D.Lgs 30 giugno 2003 n. 196 "Codice in materia di Tutela dei dati personali" corso rivolto al personale della Comunità Montana ed ai dipendenti dei comuni membri della stessa, effettuato su più date per dare maggiore accessibilità. Formazione sulla normativa: D.Lgs 30 giugno 2003 n. 196 "Codice in materia di Tutela dei dati personali" corso rivolto al personale della Comunità Montana ed ai dipendenti dei comuni membri della stessa, effettuato su più date per dare maggiore accessibilità. Formazione sulla normativa: D.Lgs 30 giugno 2003 n. 196 "Codice in materia di Tutela dei dati personali" corso rivolto al personale Data prevista 24-11-2004 Data effettiva 24-11-2004 Dettaglio argomenti trattati Panoramica sulla normativa, analisi dettagliata dell'Allegato B Disciplinare tecnico ULTIMO BIMESTRE 2004 26-11-2004 26-11-2004 Panoramica sulla normativa, Adami - Luciana analisi dettagliata Costa - Lidia dell'Allegato B Disciplinare MARTINI tecnico ROBERTO ULTIMO BIMESTRE 2004 06-12-2004 06-12-2004 Panoramica sulla normativa, analisi dettagliata dell'Allegato B Disciplinare tecnico Periodo ULTIMO BIMESTRE 2004 32 Soggetti coinvolti Biagioni - Maria Grazia Corfini - Rita LENZI - CARLA PIERONI MILY Descrizione Generale Corso/Intervento formativo della Comunità Montana ed ai dipendenti dei comuni membri della stessa, effettuato su più date per dare maggiore accessibilità. Formazione sulla normativa: D.Lgs 30 giugno 2003 n. 196 "Codice in materia di Tutela dei dati personali" corso rivolto al personale della Comunità Montana ed ai dipendenti dei comuni membri della stessa, effettuato su più date per dare maggiore accessibilità. Formazione sulla normativa: D.Lgs 30 giugno 2003 n. 196 "Codice in materia di Tutela dei dati personali" corso rivolto al personale della Comunità Montana ed ai dipendenti dei comuni membri della stessa. Incontro informativo sul D.Lgs. 196/03 e successive modificazioni ed integrazioni. Data prevista Data effettiva Dettaglio argomenti trattati ULTIMO BIMESTRE 2004 15-12-2004 15-12-2004 C/O Comune di Piazza al Serchio Panoramica sulla normativa, analisi dettagliata dell'Allegato B Disciplinare tecnico 2007 20-03-2007 20-03-2007 Riepilogo delle scadenze e degli adempimenti previsti dalla normativa. Le norme per l'individuazione di misure minime di sicurezza e l'accesso ai dati. Lettera --- Rif. Prot. Nr. 2117/1.1.7 del 13/03/2007 DICEMBRE 2011 01-12-2011 01-12-2011 Il D.Lgs. 196/03 e il Disciplinare Tecnico Allegato B con le misure minime/idonee di sicurezza. Periodo 33 Soggetti coinvolti ROMEI ANTONIO ROSSI ANNARITA VOLPI GIUSEPPINA Adami - Luciana Angeli - Pier Luigi BARBIERI ROBERT0 Battaglia Emanuela Benedetti Adieme Corfini - Rita Costa - Lidia CRESTI ALBERTO FIORANI FABIANA GIANNOTTI ALBERICE LENZI - CARLA MARTINI ROBERTO MASOTTI MARTINA MAZZEI MORENO NUOVE FRONTIERE LAVORO ORLANDI SERENA PIERONI PATRIZIA PIEROTTI ALBERTO PINAGLI FRANCESCO POLI FRANCESCO REALI - FABIO REALI GABRIELLA ROSSI ANNARITA ROSSI GIUSEPPE SUFFREDINI DANIELA Descrizione Generale Corso/Intervento formativo Periodo Data prevista Data effettiva Dettaglio argomenti trattati Soggetti coinvolti TROMBI PATRIZIA TURRIANI IOLANDA Legenda della tabella: - Descrizione generale Corso/Intervento formativo: descrive le tematiche e gli obiettivi del corso o intervento formativo - Periodo: fa riferimento al periodo temporale in cui il corso si svolge (ex: Autunno 2004) - Data prevista: viene indicata la data prevista per l’inizio del corso di formazione. - Data effettiva: viene indicata la data in cui il corso di formazione è stato effettivamente svolto. - Dettagli argomenti trattati: contiene eventualmente il programma di dettaglio di ciascuna data del piano formativo - Strutture e/o singoli soggetti coinvolti: contiene l’indicazione delle strutture interessate o direttamente dei singoli soggetti che sono interessati dal corso in oggetto. 3 Analisi dei rischi che incombono sui dati La stima del rischio complessivo, che grava su un determinato trattamento di dati, è il risultato della combinazione delle varie tipologie di rischio che minacciano i dati. Le minacce che vanno ad insidiare i dati possono essere classificate infatti secondo le seguenti tipologie: - Comportamenti dei soggetti preposti al trattamento dei dati: sono i rischi che derivano dalla non corretta o incompleta formazione delle risorse professionali che operano sui dati, dalla incuria con cui sono state effettuate le operazioni di trattamento, da atteggiamenti fraudolenti o dolosi, da errori umani di varia natura. - Strumentazione: sono i rischi che derivano dall’utilizzo della strumentazione hardware e software utilizzata e dal modo con cui sono conservati, gestiti e difesi gli archivi siano essi nella forma elettronica che cartacea. Tali rischi sono legati sostanzialmente a: guasti tecnici delle apparecchiature penetrazione nelle reti di telecomunicazione accesso non autorizzato agli archivi di dati - Luoghi fisici e caratterizzazione ambientale: sono i rischi che derivano dal luogo dove gli strumenti e gli archivi di dati sono ubicati. Tali rischi sono legati sostanzialmente: al verificarsi di eventi distruttivi (incendi, allagamenti, corti circuiti) alla possibilità che terzi malintenzionati accedano nei locali dove si svolge il trattamento (rapine, furti, danneggiamenti da atti vandalici) Descrizione analisi condotta: ANALISI 2013 34 Tabella 15. Analisi dei rischi Data di ultimo aggiornamento: 14-05-2013 Tipologia di Rischio Luoghi fisici Luoghi fisici Luoghi fisici Luoghi fisici Luoghi fisici Risorse Dati Risorse Dati Risorse Dati Risorse Dati Risorse Hardware Risorse Hardware Risorse Hardware Risorse Hardware Risorse Hardware Indice di valutazione del rischio Minaccia o elemento di rischio Allagamenti Furto Impossibilità di rilevare accessi non autorizzati Incendio Possibilità di intrusione Accesso non autorizzato Cancellazione non autorizzata di dati/manomissione di dati Incapacità di ripristinare copie di back-up Perdita di dati Intercettazione delle trasmissioni Manomissione e/o sabotaggio Probabilità e/o frequenza di guasti Rischi connessi all'elettricità Uso non autorizzato dell'hardware RISCHIO MEDIO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO RISCHIO BASSO Gli indici di valutazione del rischio (soglie di rischio) sono riepilogate nella seguente tabella riassuntiva: Tabella 16. Soglie di rischio Data di ultimo aggiornamento: 14-05-2013 Soglia di Rischio (Ex. Elevatissima, alta, media, bassa, nulla) RISCHIO NULLO RISCHIO BASSO RISCHIO MEDIO BASSO RISCHIO MEDIO RISCHIO MEDIO ALTO RISCHIO ALTO RISCHIO ALTISSIMO Descrizione della soglia e suo significato in termini di sicurezza LIVELLO DI RISCHIO NULLO LIVELLO DI RISCHIO BASSO LIVELLO DI RISCHIO MEDIO BASSO LIVELLO DI RISCHIO MEDIO LIVELLO DI RISCHIO MEDIO ALTO LIVELLO DI RISCHIO ALTO LIVELLO DI RISCHIO ALTISSIMO Nell’elaborare l’analisi del rischio, si è tenuto conto anche di alcuni fattori legati alla struttura del Titolare, nei seguenti termini: il rischio d’area, legato alla eventualità che persone non autorizzate possano accedere nei locali in cui si svolge il trattamento, è giudicato inferiore per l’area ad accesso controllato rispetto a quanto accade per gli altri luoghi in cui si svolge l’attività, con conseguente diminuzione del rischio: - per gli archivi esistenti in tale area - per gli elaboratori in rete privata, in relazione al fatto che i server sono ubicati in tale area - per i personal computer non in rete, localizzati in tale area il rischio di guasti tecnici delle apparecchiature interessa i soli strumenti elettronici: in tale contesto, è giudicata più rischiosa la situazione degli strumenti non in rete che, essendo affidati a singoli che non sempre possiedono un bagaglio tecnico adeguato, presentano un rischio di rottura maggiore, rispetto agli impianti che vengono gestiti da persone con specifiche competenze, quali quelli in rete, quello di sorveglianza e quello per la rilevazione di dati biometrici il rischio di penetrazione logica nelle reti di comunicazione interessa, essenzialmente, i soli strumenti che sono tra loro collegati tramite una rete di comunicazione accessibile al pubblico 35 il rischio legato ad atti di sabotaggio, o ad errori umani delle persone, presente in tutte le tipologie di strumenti utilizzati, è maggiore per quelli che sono in rete. 36 4 Misure in essere e da adottare atte a garantire l’integrità e la disponibilità dei dati Nel presente paragrafo vengono descritte le misure atte a garantire: la protezione delle aree e dei locali, nei quali si svolge il trattamento dei dati personali la corretta archiviazione e custodia di atti, documenti e supporti contenenti dati personali la sicurezza logica, nell’ambito dell’utilizzo degli strumenti elettronici. Si procede alla descrizione: delle misure che risultano già adottate dal Titolare, nel momento in cui viene redatto il presente documento delle ulteriori misure, finalizzate ad incrementare la sicurezza nel trattamento dei dati, la cui adozione è stata programmata, anche per adeguarsi a quanto previsto dal D.lgs 196/2003, e dal disciplinare tecnico in materia di misure minime di sicurezza (allegato B). 4.1 La protezione di aree e locali Per quanto concerne il rischio d’area, legato ad eventi di carattere distruttivo, gli edifici ed i locali nei quali si svolge il trattamento sono soggetti ai seguenti dispositivi di protezione. Per ogni dispositivo di protezione viene indicato se questo è già in essere e/o la sua data di adozione ed un eventuale commento o nota esplicativa. Tabella 17. Misure di sicurezza sulle sedi Data di ultimo aggiornamento: 14-05-2013 Sede Misura Note esplicative Controllo sull'operato degli addetti alla manutenzione Dispositivi antincendio Ingresso controllato nei locali ove ha Luogo il trattamento Controllo sull'operato degli addetti alla manutenzione legale ed operativa dell'ente Dispositivi antincendio legale ed operativa dell'ente Ingresso controllato nei locali ove ha Luogo il legale ed operativa dell'ente trattamento Sistemi di allarme e/o di sorveglianza antintrusione legale ed operativa dell'ente Operativa servizio di Protezione Dispositivi antincendio Sede distaccata - Vivaio Sede distaccata - Vivaio Sede distaccata - Vivaio Sede Sede Sede Sede Sede Civile Alcune particolari misure sono adottate/in procinto di adozione specificatamente a livello di singolo ufficio. Tali misure sono riepilogate dal seguente prospetto riassuntivo: Tabella 18. Misure di sicurezza sugli uffici Data di ultimo aggiornamento: 14-05-2013 Sede-Ufficio Misura Note esplicative 37 4.2 La custodia e l’archiviazione di atti, documenti e supporti Per quanto concerne il reperimento, la custodia e l’archiviazione di atti, documenti e supporti diversi (ad esempio, CD, fotografie, video….), si è provveduto ad istruire gli incaricati, affinché adottino precise procedure atte a salvaguardare la riservatezza dei dati contenuti. Agli incaricati vengono inoltre date disposizioni, per iscritto, di accedere ai soli dati personali, la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati: in caso di dubbi, è stato loro prescritto di rivolgersi ad un superiore, o ad un responsabile del trattamento, o direttamente al titolare. Di conseguenza, agli incaricati è prescritto di prelevare dagli archivi i soli atti e documenti che vengono loro affidati per lo svolgimento delle mansioni lavorative, che devono controllare e custodire, durante l’intero ciclo necessario per lo svolgimento delle operazioni di trattamento, per poi restituirli all’archivio, al termine di tale ciclo. Gli incaricati sono stati edotti sul fatto che devono custodire in modo appropriato gli atti, i documenti ed i supporti contenenti dati personali, loro affidati per lo svolgimento delle mansioni lavorative. Cautele particolari sono previste per gli atti, documenti e supporti contenenti dati sensibili e giudiziari: agli incaricati viene in questi casi prescritto di provvedere al controllo ed alla custodia in modo tale, che ai dati non possano accedere persone prive di autorizzazione. A tale scopo gli incaricati sono stati istruiti sulle modalità e l’opportunità di usufruire di strumentazione quali: cassetti con serratura armadi chiudibili a chiave casseforti nei quali devono riporre i documenti, contenuti dati sensibili o giudiziari, prima di assentarsi dal posto di lavoro, anche temporaneamente. In tali dispositivi i documenti possono essere riposti anche al termine della giornata di lavoro, qualora l’incaricato debba continuare ad utilizzarli, nei giorni successivi. Al termine del trattamento, l’incaricato dovrà invece restituire all’archivio gli atti, i documenti ed i supporti, non più necessari per lo svolgimento delle proprie mansioni lavorative. Nel caso in cui, anche occasionalmente, gli incaricati dovessero provvedere al trasporto di documenti, atti e supporti inerenti l’identità genetica di soggetti all’esterno dei locali riservati al loro trattamento, è stato prescritto che il trasporto debba avvenire in contenitori muniti di serratura, o utilizzando dispositivi equipollenti. Per quanto concerne l’archiviazione, il Titolare ha adibito apposite aree, nelle quali conservare ordinatamente documenti, atti e supporti contenenti dati personali, in modo distinto per le diverse funzioni aziendali. Particolari cautele sono previste per l’archiviazione di documenti, atti e supporti contenenti dati sensibili o giudiziari: essa deve avvenire in luoghi , armadi , casseforti, o dispositivi equipollenti, che sono dotati di chiusura a chiave o dispositivi di protezione equivalente. Sugli archivi (sia di tipologia cartacea sia elettronica) sono state adottate/sono in procinto di adozione le seguenti misure di sicurezza: 38 Tabella 19. Misure di sicurezza sugli archivi Data di ultimo aggiornamento: 14-05-2013 Archivio 770 BIBLIOTECA CASSA INTEGRAZIONE CONTABILITA' DOC. AGRICOLTURA DOC. CED DOC. CONCESSIONI DOC. CULTURA DOC. DIF. SUOLO DOC. FINANZIARI DOC. FORESTALI DOC. FORESTALI DOC. FORESTALI DOC. PERS. FORESTALE DOC. PERSONALE DOC. PRESENZE DOC. PROT. CIVILE DOC. RAGIONERIA DOC. SEGRETERIA DOC. SICUREZZA DOC. STAFF AMM. DOC. STATISTICA DOC. SUPP. AMM. DOC.FORM.PROF DOC.SUAP DOC.SUAPCORR DOC.VINCOLO1 DOC.VINCOLO2 ECONOMATO INDIRIZZI INVENTARIO LOTUS PAGHE PROTOCOLLO SEGRETERIA Misura Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Custodia in armadi blindati e/o ignifughi Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati Classificazione dei dati 39 Note esplicative 4.3 Le misure logiche di sicurezza Per i trattamenti effettuati con strumenti elettronici (elaboratori, programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato), si adottano/sono in procinto di adozione le misure di sicurezza enunciate dal seguente prospetto riepilogativo: Tabella 20. Misure di sicurezza sugli elaboratori Data di ultimo aggiornamento: 14-05-2013 Risorsa hardware A.BENEDETT - BENEDETTI ADIEME A.CRESTI - CRESTI ALBERTO A.GIANNOTT - GIANNOTTI ALBERICE A.PIEROTTI - PIEROTTI ALBERTO A.ROSSI_N - ROSSI ANNA RITA ALBOPRETOR - PC ALBO PRETORIO ALBOPRETOR - PC ALBO PRETORIO ASSESORI - PC ASSESSORI C.LENZI - LENZI CARLA CATASTO - UFFICIO CATASTO CATASTO - UFFICIO CATASTO CE.UN.COMM - CENTR. UNICA COMMITT D.SUFFREDI - SUFFREDINI DANIELA E.BATTAGLI - BATTAGLIA EMANUELA E.BATTAGLI - BATTAGLIA EMANUELA F.FIORANI - FIORANI FABIANA F.GIUNTINI - GIUNTINI FRANCESCO F.PINAGLI - PINAGLI FRANCESCO F.POLI - POLI FRANCESCO F.REALI - REALI FABIO G.REALI - REALI GABRIELLA G.ROSSI - ROSSI GIUSEPPE G.SATTI_N - SATTI GIOVANNI I.TURRIA_N - TURRIANI IOLANDA L.ADAMI_N - ADAMI LUCIANA L.COSTA - COSTA LIDIA M.GIANNOTT - GIANNOTTI MAURO M.MAZZEI - MAZZEI MORENO MASMART - NB_MASOTTI MARTINA NB PIERONI - PIERONI SANDRO NB.M.GIAN - NB GIANNOTTI MAURO NB_CRESTI - NB_CRESTI NBFIN - NB RAGIONERIA NBFIN - NB RAGIONERIA P.ANGELI - ANGELI PIERLUIGI P.PIERONI - PIERONI PATRIZIA P.TROMBI_N - TROMBI PATRIZIA PERSONALE - PC UFF. PERSONALE POSTA - PC POSTA R.CORFINI - CORFINI RITA R.MARTINIn - MARTINI ROBERTO R.MARTINIn - MARTINI ROBERTO REGCOM - REGOLAMENTI COMUNITA RESPFIN - PC FINANZIARIA RESPFIN - PC FINANZIARIA S.PIERONI - PIERONI SANDRO SP.SUAP - SUAP Misura sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro 40 Risorsa hardware Misura SRV.DOMINI - SERVER DOMINIO SRV.DOMINI - SERVER DOMINIO SRV.DOMINI - SERVER DOMINIO SRV.FILE - FILE SERVER SRV.FILE - FILE SERVER SRV.FILE - FILE SERVER SRV.MAIL - MAIL SERVER SRV.MAIL - MAIL SERVER SRV.MAIL - MAIL SERVER SRV.NEWWEB - SERVER WEB NUOVO SRV.NEWWEB - SERVER WEB NUOVO SRV.NEWWEB - SERVER WEB NUOVO SRV.ORACLE - SERVER ORACLE SRV.ORACLE - SERVER ORACLE SRV.ORACLE - SERVER ORACLE SRV.TERMIN - SERVER TERMINAL SRV.TERMIN - SERVER TERMINAL SRV.TERMIN - SERVER TERMINAL VIN.IDR.2 - VICOLO IDR. 2 VINCOLO - VINCOLO Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro Verifica della leggibilità dei supporti Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro Verifica della leggibilità dei supporti Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro Verifica della leggibilità dei supporti Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro Verifica della leggibilità dei supporti Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro Verifica della leggibilità dei supporti Continuità dell'alimentazione elettrica sospensione automatica delle sessioni di lavoro Verifica della leggibilità dei supporti sospensione automatica delle sessioni di lavoro sospensione automatica delle sessioni di lavoro In particolare viene ribadita l’importanza dell’adozione di un sistema di autenticazione informatica per disciplinare gli accessi a tutti gli strumenti elettronici, presenti nell’organizzazione del Titolare, fatta unicamente salva l’eventuale eccezione per quelli che: non contengono dati personali contengono solo dati personali destinati alla diffusione, che sono quindi per definizione conoscibili da chiunque. Un sistema di autenticazione informatica implica l’adozione di una procedura di autenticazione, che permette di verificare l’identità della persona, e quindi di accertare che la stessa è in possesso delle credenziali di autenticazione per accedere ad un determinato strumento elettronico. Il seguente prospetto riepilogativo riassume, per ogni elaboratore il principale (il più incisivo ed efficace) sistema di autenticazione di cui è dotato: Tabella 21. Sistema di autenticazione sugli elaboratori Data di ultimo aggiornamento: 14-05-2013 Risorsa hardware ADAMI LUCIANA ANGELI PIERLUIGI BATTAGLIA EMANUELA BENEDETTI ADIEME CENTR. UNICA COMMITT Sistema di autenticazione utilizzato REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE 41 Risorsa hardware CORFINI RITA COSTA LIDIA CRESTI ALBERTO FILE SERVER FIORANI FABIANA GIANNOTTI ALBERICE GIANNOTTI MAURO GIUNTINI FRANCESCO LENZI CARLA MAIL SERVER MARTINI ROBERTO MAZZEI MORENO NB GIANNOTTI MAURO NB RAGIONERIA NB_CRESTI NB_MASOTTI MARTINA PC ALBO PRETORIO PC ASSESSORI PC FINANZIARIA PC POSTA PC UFF. PERSONALE Sistema di autenticazione utilizzato DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD ALL'AVVIO DEL PC (SUL BIOS) REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE 42 Risorsa hardware PIERONI PATRIZIA PIERONI SANDRO PIERONI SANDRO PIEROTTI ALBERTO PINAGLI FRANCESCO POLI FRANCESCO REALI FABIO REALI GABRIELLA REGOLAMENTI COMUNITA ROSSI ANNA RITA ROSSI GIUSEPPE SATTI GIOVANNI SERVER DOMINIO SERVER ORACLE SERVER TERMINAL SERVER WEB NUOVO SUAP SUFFREDINI DANIELA TROMBI PATRIZIA TURRIANI IOLANDA Sistema di autenticazione utilizzato DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE 43 Risorsa hardware Sistema di autenticazione utilizzato REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD COSTITUITA DA NOME UTENTE E CREDENZIALE RISERVATA CON PROFILAZIONE DELL'UTENTE REGOLA DELLA PASSWORD ALL'AVVIO DEL PC (SUL BIOS) UFFICIO CATASTO VICOLO IDR. 2 VINCOLO Le caratteristiche dei vari sistemi di autenticazione citati nella soprastante tabella sono enucleate nella seguente tabella: Tabella 22. Caratteristiche dei sistemi di autenticazione Data di ultimo aggiornamento: 14-05-2013 Sistema di autenticazi one utilizzato Descrizione Tipologia La password può essere variata dall’utente Periodicità di variazione della Indicazioni fornite password agli utenti REGOLA BIOS REGOLA DELLA Solo PASSWORD parola ALL'AVVIO DEL chiave PC (SUL BIOS) riservata Si 6 - Mesi REGOLA RETE REGOLA DELLA Sistema PASSWORD di autentica PER L'ACCESSO zione ALLE RISORSE basato DI RETE su user + passwor d Si 6 - Mesi REGOLA U/P REGOLA DELLA Sistema PASSWORD di COSTITUITA DA autentica NOME UTENTE zione E basato CREDENZIALE su user + RISERVATA passwor d Si 6 - Mesi Si 6 - Mesi REGOLA REGOLA DELLA U/P+PROF PASSWORD Sistema di COSTITUITA DA autorizza NOME UTENTE zione E basato CREDENZIALE su user 44 Non può RIVELARE LA PASSWORD AD ALCUNO Non può SCRIVERE LA PASSWORD SU FOGLI O POST-IT E LASCIARLI IN LUOGHI ACCESSIBILI Non può RIVELARE LA PASSWORD AD ALCUNO Non può SCRIVERE LA PASSWORD SU FOGLI O POST-IT E LASCIARLI IN LUOGHI ACCESSIBILI Non può RIVELARE LA PASSWORD AD ALCUNO Non può SCRIVERE LA PASSWORD SU FOGLI O POST-IT E LASCIARLI IN LUOGHI ACCESSIBILI Non può RIVELARE LA PASSWORD AD ALCUNO Non può SCRIVERE LA Proprietà generali del sistema di autenticazione Deve avere ALMENO 8 CARATTERI Deve avere CARATTERI NUMERICI E/O ALFANUMERICI Non deve avere LO STESSO NOME DELL'UTENTE DEL PC Deve avere ALMENO 8 CARATTERI Deve avere CARATTERI NUMERICI E/O ALFANUMERICI Non deve avere LO STESSO NOME DELL'UTENTE DEL PC Deve avere ALMENO 8 CARATTERI Deve avere CARATTERI NUMERICI E/O ALFANUMERICI Non deve avere LO STESSO NOME DELL'UTENTE DEL PC Deve avere ALMENO 8 CARATTERI Deve avere CARATTERI NUMERICI E/O Sistema di autenticazi one utilizzato Descrizione Tipologia RISERVATA CON PROFILAZIONE DELL'UTENTE + passwor d La password può essere variata dall’utente Periodicità di variazione della Indicazioni fornite password agli utenti PASSWORD SU FOGLI O POST-IT E LASCIARLI IN LUOGHI ACCESSIBILI Proprietà generali del sistema di autenticazione ALFANUMERICI Non deve avere LO STESSO NOME DELL'UTENTE DEL PC Dove: - Sistema di autenticazione utilizzato: indica il sistema di autenticazione utilizzato dal dispositivo - Descrizione: descrizione del sistema di autenticazione utilizzato - Tipologia: indica la caratteristica principale del sistema di autenticazione (Ex: solo componente riservata, autenticazione user/password, etc..) - La password può essere variata dall’utente: viene indicato (con “Si”) se la password può essere variata in maniera autonoma dall’utente.. - Periodicità di variazione della password: viene indicata la periodicità di variazione della password (ogni quanto la password deve essere variata). - Indicazioni fornite agli utenti: vengono fornite le indicazioni che sono state comunicate agli utenti per la scelta delle parole chiave ed i vincoli a cui essa è soggetta (non utilizzo di caratteristiche riconducibili all’utente, non riutilizzo delle ultime n parole chiave, etc..). - Proprietà generali del sistema di autenticazione: vengono indicate le proprietà e le particolari caratteristiche che la componente riservata di autenticazione deve avere (lunghezza minima, composizione con lettere maiuscole-minuscole-numeri-caratteri speciali, etc..). Inoltre per l’attribuzione e la gestione delle credenziali per l’autenticazione si utilizzano i seguenti criteri: ad ogni incaricato esse vengono assegnate o associate individualmente, per cui non è ammesso che due o più incaricati possano accedere agli strumenti elettronici utilizzando la medesima credenziale. Tale regola viene implementata in quanto tassativa e prescritta dal D.lgs 196/2003 nei casi in cui una componente della credenziale di autenticazione è costituita dal codice per l’identificazione (username), attribuito all’incaricato da chi amministra il sistema, tale codice deve essere univoco: esso non può essere assegnato ad altri incaricati, neppure in tempi diversi. Tale regola viene implementata in quanto tassativa e prescritta dal D.lgs 196/2003 è invece ammesso, qualora sia necessario o comunque opportuno, che ad una persona venga assegnata più di una credenziale di autenticazione. Al verificarsi dei seguenti casi, è prevista la disattivazione delle credenziali di autenticazione: • immediatamente, nel caso in cui l’incaricato perda la qualità, che gli consentiva di accedere allo strumento • in ogni caso, entro sei mesi di mancato utilizzo, con l’unica eccezione delle credenziali che sono state preventivamente autorizzate per soli scopi di gestione tecnica, il cui utilizzo è quindi sporadico. Tali regole sono implementate in quanto tassative e prescritte dal D.lgs 196/2003. 45 Agli incaricati sono state impartite istruzioni in merito ai seguenti punti: • dovere di custodire i dispositivi, attribuiti agli incaricati a titolo di possesso ed uso esclusivo, con i quali si può accedere agli strumenti informatici (ad esempio, il tesserino magnetico o la smart card): la custodia deve avvenire in modo diligente, sia nell’ipotesi in cui tali dispositivi siano riposti negli uffici (viene prescritto l’obbligo di utilizzare cassetti con serratura), che in quella in cui l’incaricato provveda a portare il dispositivo con sé (viene prescritto l’obbligo di custodirlo come se fosse una carta di credito). In ipotesi di smarrimento, l’incaricato deve provvedere immediatamente a segnalare la circostanza all’amministratore di sistema, o alle altre persone che sono state a tale fine indicate, al momento dell’attribuzione del dispositivo • obbligo di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di trattamento, neppure in ipotesi di breve assenza. Al fine di non lasciare accessibile lo strumento elettronico accessibile, nel caso di brevi assenze, sono state introdotte politiche di protezione tramite “screen-saver” dotati di password di sblocco. • dovere di elaborare in modo appropriato la password, e di conservare la segretezza sulla stessa, nonché sulle altre componenti riservate della credenziale di autenticazione (username), attribuite dall’amministratore di sistema. Agli incaricati è imposto l’obbligo di provvedere a modificare la password, con la seguente tempistica: - immediatamente, non appena viene consegnata loro da chi amministra il sistema - successivamente, almeno ogni sei mesi. Tale termine scende a tre mesi, se la password dà accesso ad aree in cui sono contenuti dati sensibili o giudiziari. Le password sono composte da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non permetta una tale lunghezza, da un numero di caratteri pari al massimo consentito dallo strumento stesso. Agli incaricati è prescritto di utilizzare alcuni accorgimenti, nell’elaborazione delle password: - esse non devono contenere riferimenti agevolmente riconducibili all’interessato (non solo nomi, cognomi, soprannomi, ma neppure date di nascita proprie, dei figli o degli amici), né consistere in nomi noti, anche di fantasia - buona norma è che, dei caratteri che costituiscono la password, da un quarto alla metà siano di natura numerica. La password non deve essere comunicata a nessuno (non solo a soggetti esterni, ma neppure a persone appartenenti all’organizzazione, siano esse colleghi, responsabili del trattamento, amministratore del sistema o titolare). Nei casi di prolungata assenza o impedimento dell’incaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, potrebbe però rendersi necessario disporre della password dell’incaricato, per accedere agli strumenti ed ai dati. A tale fine, agli incaricati sono state fornite istruzioni scritte, affinché essi: - scrivano la parola chiave su un foglio di carta, da inserire in una busta che deve essere chiusa e sigillata - consegnino la busta a chi custodisce le copie delle parole chiave, il cui nominativo viene loro indicato al momento dell’attribuzione della password. Solo al verificarsi delle condizioni, sopra esposte, che rendono necessario accedere allo strumento elettronico, utilizzando la copia della parola chiave, il titolare o un responsabile potranno richiedere la 46 busta che la contiene, a chi la custodisce. Dell’accesso effettuato si dovrà provvedere ad informare, tempestivamente, l’incaricato cui appartiene la parola chiave. Per quanto concerne le tipologie di dati ai quali gli incaricati possono accedere, ed i trattamenti che possono effettuare, si osserva che si sono adottati i seguenti principi: non si è impostato un sistema di autorizzazione ma solo di autenticazione laddove non si ravvisano ragioni di tutela della riservatezza tali, da imporre che uno o più incaricati non possano accedere ad alcune tipologie di dati personali oggetto di trattamento. si è impostato un sistema di autorizzazione laddove la tipologia di dati trattati è sensibile o giudiziaria. Ciò al fine di circoscrivere le tipologie di dati ai quali gli incaricati possono accedere, i trattamenti che possono effettuare, a quelli strettamente necessari per lo svolgimento delle proprie mansioni lavorative. L’unica eccezione si ha nei casi in cui il trattamento riguardi solo dati personali destinati alla diffusione: in questo caso non è necessario predisporre alcun sistema di autorizzazione, poiché i dati trattati sono, per definizione, conoscibili da chiunque. Al di fuori di questi casi, le autorizzazioni all’accesso vengono rilasciate e revocate dal titolare e, se designato, dal responsabile, ovvero da soggetti da questi appositamente incaricati. Il profilo di autorizzazione non viene in genere studiato per ogni singolo incaricato, ma è generalmente impostato per classi omogenee di incaricati (ad esempio, attribuendo un determinato profilo di autorizzazione a tutti gli impiegati della contabilità, ed attribuendone un altro a coloro che lavorano nell’ufficio personale). L’obiettivo di fondo, in ogni caso, è di limitare preventivamente l’accesso, di ciascun incaricato o di ciascuna classe omogenea di incaricati, ai soli dati necessari per effettuare le operazioni di trattamento, che sono indispensabili per svolgere le mansioni lavorative. Periodicamente, e comunque almeno annualmente, viene verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione: ciò per quanto riguarda l’ambito di trattamento consentito sia ai singoli incaricati, che agli addetti alla manutenzione e gestione degli strumenti elettronici. 47 5 Regole di attuazione degli aggiornamenti periodici dei programmi di elaborazione Per quanto riguarda la protezione, di strumenti e dati, da malfunzionamenti, attacchi informatici e programmi che contengono codici maliziosi (virus), vengono adottate misure compatibili con i seguenti aspetti: Il primo aspetto riguarda la protezione dei dati personali dal rischio di intrusione e dall’azione di programmi di cui all’articolo 615-quinquies del codice penale, aventi per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento (comunemente conosciuti come virus). A tale fine, si è dotati di idonei strumenti elettronici e programmi, che il D.lgs 196/2003 imporrebbe di aggiornare con cadenza almeno semestrale, ma che, in relazione al continuo evolversi dei virus, si è ritenuto opportuno di sottoporre ad aggiornamento secondo questo prospetto: Tabella 23. Sistemi di antivirus Data di ultimo aggiornamento: 14-05-2013 Periodicità di Aggiornamento ogni: Sistema di antivirus MCAFFE SYMANTEC SYMANTEC 1 1 5 Numero di elaboratori che adottano il sistema di antivirus in oggetto Giorni Giorni Giorni 1 45 3 Gli incaricati sono stati istruiti, in merito all’utilizzo dei programmi antivirus e, più in generale, sulle norme di comportamento da tenere, per minimizzare il rischio di essere contagiati: a tale fine, è stato loro distribuito un codice dei comportamenti da tenere, e di quelli da evitare. Il secondo aspetto riguarda la protezione degli elaboratori in rete dall’accesso abusivo, di cui all’articolo 615-ter del codice penale, ai sensi del quale compie tale reato chi si introduce abusivamente in un sistema informatico o telematico, protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La protezione da tali accessi avviene mediante l’impiego di idonei strumenti elettronici, comunemente conosciuti come firewall, che il nuovo codice privacy ha reso obbligatoria per i casi in cui si trattino dati sensibili o giudiziari. I dispositivi di questo tipo presenti sono elencati nel seguente prospetto: Tabella 24. Sistemi di anti-intrusione Data di ultimo aggiornamento: 14-05-2013 Sistema di antintrusione Periodicità di Aggiornamento ogni: 48 Numero di elaboratori che adottano il sistema in oggetto Per il trattamento, anche occasionale, di dati idonei a rivelare lo stato di salute o la vita sessuale, si adottano particolari accorgimenti, con il fine di: • rendere temporaneamente inintelligibili tali dati, anche a chi è autorizzato ad accedervi: per l’accesso a tali dati, gli incaricati autorizzati devono compiere una particolare azione (ad esempio, inserire una ulteriore parola chiave), in mancanza della quale l’accesso ai dati è impedito • garantire loro una particolare protezione, con l’utilizzo di tecniche crittografiche al fine di cifrare il contenuto dei file, in modo che il loro contenuto possa essere letto solo da incaricati in possesso di un particolare codice • permettere la identificazione degli interessati solo in caso di necessità. Il terzo aspetto riguarda l’utilizzo di appositi programmi, la cui funzione è di prevenire la vulnerabilità degli strumenti elettronici, tramite la verifica di eventuali inconsistenze e inesattezze nella configurazione dei sistemi operativi e dei servizi di rete, e di correggere di conseguenza i difetti insiti negli strumenti stessi. A tale riguardo si provvede ad un periodico aggiornamento tramite “patches” o “fixes” sia dei sistemi operativi che dei programmi software di elaborazione. Pertanto la nostra organizzazione provvede ad aggiornare con cadenza almeno annuale questi componenti software. Tale cadenza diviene almeno semestrale per gli strumenti con i quali si trattano dati sensibili o giudiziari. Questi aspetti si evincono dai seguenti due prospetti: Tabella 25. Sistemi operativi e relative modalità di aggiornamento Data di ultimo aggiornamento: 14-05-2013 Periodicità di Aggiornamento ogni: Sistema operativo WIN2000 WIN2000S WIN2003S WIN7 WIN98 WINNT WINVISTA WINXP 3 1 1 1 6 Modalità di aggiornamento WINDOWS UPDATE TRAMITE INTERNET WINDOWS UPDATE TRAMITE INTERNET WINDOWS UPDATE TRAMITE INTERNET WINDOWS UPDATE TRAMITE INTERNET WINDOWS UPDATE TRAMITE INTERNET Mesi Mesi Mesi Mesi Mesi Mesi Mesi Mesi 1 1 WINDOWS UPDATE TRAMITE INTERNET WINDOWS UPDATE TRAMITE INTERNET Tabella 26. Software applicativi e relative modalità di aggiornamento Data di ultimo aggiornamento: 14-05-2013 Nome breve BIBLIOTECA COMPMOD CONTABILITA' CONTENZIOSO ECONOMATO ENTRATEL GESTIONE Periodicità di Aggiornamento ogni: 1 1 1 1 1 1 Modalità di aggiornamento TRAMITE CD TRASMESSO DAL PRODUTTORE TRAMITE CD TRASMESSO DAL PRODUTTORE TRAMITE CD TRASMESSO DAL PRODUTTORE Intervento manuale del produttore LIVE UPDATE VIA INTERNET DOWNLOAD DA INTERNET Mesi Mesi Mesi Mesi Mesi Mesi Mesi 49 Nome breve INDIRIZZI INVENTARIO E PATRIMONIO LOTUS NOTES MOD770 OFFICE PAGHE PRIVACY-C SICRAWEB Periodicità di Aggiornamento ogni: Modalità di aggiornamento 1 Mesi TRAMITE CD TRASMESSO DAL PRODUTTORE 6 1 6 1 6 1 Mesi Mesi Mesi Mesi Mesi Mesi A MEZZO CD-ROM TRASMESSO DAL PRODUTTORE TRAMITE CD TRASMESSO DAL PRODUTTORE LIVE UPDATE DA INTERNET TRAMITE CD TRASMESSO DAL PRODUTTORE A MEZZO CD-ROM TRASMESSO DAL PRODUTTORE TRAMITE CD TRASMESSO DAL PRODUTTORE Per quanto concerne i supporti rimovibili, contenenti dati personali, la norma impone particolari cautele nell’ipotesi in cui essi contengano dati sensibili o giudiziari. Pertanto la nostra organizzazione specificatamente in tali casi, ma più in generale per tutti i supporti contenenti dati personali di qualsiasi natura, anche comune, ha indicato agli incaricati del trattamento quanto segue: • i supporti devono essere custoditi ed utilizzati in modo tale, da impedire accessi non autorizzati (furti inclusi) e trattamenti non consentiti: in particolare, essi devono essere conservati in cassetti chiusi a chiave, durante il loro utilizzo, e successivamente formattati, quando è cessato lo scopo per cui i dati sono stati memorizzati su di essi • una volta cessate le ragioni per la conservazione dei dati, si devono in ogni caso porre in essere gli opportuni accorgimenti, finalizzati a rendere inintelligibili e non ricostruibili tecnicamente i dati contenuti nei supporti. Tali dati devono quindi essere cancellati, se possibile, e si deve arrivare addirittura a distruggere il supporto, se necessario per i fini in esame. 50 6 Criteri e modalità di ripristino dei dati Per fronteggiare le ipotesi in cui i dati siano colpiti da eventi che possano danneggiarli, o addirittura distruggerli, vengono previsti criteri e modalità tali da garantire il loro ripristino in termini ragionevoli, e comunque entro una settimana per i dati sensibili e giudiziari. Per i dati trattati con strumenti elettronici sono previste procedure di salvataggio attraverso le quali viene periodicamente effettuata una copia di tutti i dati presenti nel sistema, su dispositivi opportuni. E’ previsto un piano di continuità operativa che ha lo scopo di garantire la continuità e la disponibilità degli strumenti e dei dati in ipotesi di danneggiamenti causati da eventi accidentali, sabotaggi, disastri naturali: l’obiettivo di tale piano è di ripristinare i servizi informatici e di rendere minime le perdite causate dall’interruzione dell’attività. Di seguito viene riportato un prospetto tabellare che descrive le caratteristiche della/e procedura/e di salvataggio e ripristino adottate. Il prospetto evidenzia i seguenti dati: Nome breve: si tratta del nome univoco dato alla politica di backup Procedura di backup previsto: viene descritta la procedura di salvataggio adottata. Risorsa hardware: viene indicata la risorsa hardware utilizzata per la procedura di salvataggio. I codici espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 4. Periodicità di backup: periodicità (espressa in ore / giorni/mesi) di salvataggio Supporto utilizzato: viene indicato il supporto utilizzato per il salvataggio Struttura o persona responsabile: viene indicata la struttura o la/e persona/e incaricate di effettuare il salvataggio e/o di controllarne l’esito. Luogo di custodia dei supporti di backup: viene indicato il luogo fisico in cui sono custodite le copie dei dati salvati. I codici espressi sono quelli precedentemente indicati nel prospetto riepilogativo di Tabella 3. Tipo di ripristino previsto: viene descritta la procedura di ripristino adottata. Tempi di ripristino: tempi ritenuti necessari per effettuare la completa procedura di ripristino di eventuali dati persi e/o danneggiati. Tabella 27. Procedure di salvataggio/ripristino. Data di ultimo aggiornamento: 14-05-2013 Nome Breve BACK UP 1GG BACK UP 3GG Procedura di backup prevista BACK UP SU NASTRO BACK UP SU NASTRO Risorsa hardware incaricata Periodicità di backup Supporto utilizzato SRV.ORACLE SERVER ORACLE SRV.NEWWEB - SERVER WEB NUOVO 1 Giorn NASTRO i DAT SRV.DOMINI SERVER DOMINIO 3 Giorn NASTRO i DAT 51 Struttura o persona responsabile Luogo di custodia dei supporti di backup 0001 - Sede legale ed operativa dell'ente - 62 SERVER SEMINTERRATO 2° PIANO 0001 - Sede legale ed operativa Procedura di ripristino prevista RIPRISTINO MANUALE DEL BACK UP RIPRISTINO MANUALE DEL BACK Tempi di ripristino 3 Giorni 3 Giorni Nome Breve Procedura di backup prevista Risorsa hardware incaricata Periodicità di backup Supporto utilizzato Struttura o persona responsabile Luogo di custodia dei Procedura di supporti di ripristino backup prevista dell'ente - 62 UP SERVER SEMINTERRATO 2° PIANO - Tempi di ripristino Si riporta inoltre, per ogni procedura di salvataggio e ripristino prevista, l’elenco delle risorse dati interessate. Tabella 28. Risorse dati interessate per ogni procedura di salvataggio/ripristino. Data di ultimo aggiornamento: 14-05-2013 Codice Archivi elettronici Impattati BACK UP 1GG BACK UP 3GG 4 0 52 7 Trattamenti affidati all’esterno Nei casi in cui i trattamenti di dati personali vengano affidati, in conformità a quanto previsto dal D.lgs 196/2003, all’esterno della struttura del Titolare, si adottano i seguenti criteri, atti a garantire che il soggetto destinatario adotti misure di sicurezza conformi a quelle minime, previste dagli articoli da 33 a 35 D.lgs 196/2003 e dal disciplinare tecnico (allegato B). Per la generalità dei casi, in cui il trattamento di dati personali, di qualsiasi natura, venga affidato all’esterno della struttura del titolare, sono impartite istruzioni per iscritto al terzo destinatario, di rispettare quanto prescritto per il trattamento dei dati personali: dal D.lgs 196/2003, se il terzo destinatario è italiano dalla direttiva 95/46/CE , se il terzo destinatario non è italiano. In ogni caso, il soggetto cui le attività sono affidate dichiara: 1. di essere consapevole che i dati che tratterà, nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali, sono soggetti all’applicazione della normativa per la protezione dei dati personali 2. di ottemperare agli obblighi previsti dalla normativa per la protezione dei dati personali 3. di attenersi alle istruzioni specifiche, eventualmente ricevute per il trattamento dei dati personali, conformando ad esse anche le procedure eventualmente già in essere 4. di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate, e di avvertire immediatamente il proprio committente in caso di situazioni anomale o di emergenze 5. di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate. Qualora il trasferimento dovesse avvenire verso soggetti residenti in Paesi extra-Ue, che non sono considerati sicuri per il trattamento di dati personali, si stipulano con il destinatario clausole contrattuali conformi, per quanto concerne le misure di sicurezza, a quanto previsto dalla decisione 2002/16/CE: eccezione può essere fatta nei casi, previsti dall’articolo 43 D.lgs 196/2003, in cui il trasferimento può avvenire senza che vengano stipulate tali clausole. Nei casi in cui il trattamento affidato all’esterno abbia per oggetto dati sensibili o giudiziari, si procede alla stipula di clausole contrattuali, con il destinatario, che disciplinano gli aspetti legati alla gestione dei dati personali: se il destinatario è residente in Paesi extra-Ue, che non sono considerati sicuri per il trattamento di dati personali, tali clausole sono conformi, per quanto concerne le misure di sicurezza, a quanto previsto dalla decisione 2002/16/CE. Nell’ipotesi in cui il trattamento, di dati sensibili o giudiziari, avvenga con strumenti elettronici, si esige inoltre che il destinatario italiano rilasci la dichiarazione di avere redatto il documento programmatico sulla sicurezza, nel quale abbia attestato di avere adottato le misure minime previste dal disciplinare tecnico ed eventualmente consegni una copia del documento stesso, ovvero consegni una copia del certificato di conformità rilasciato da chi ha curato la progettazione e l’attuazione delle misure minime di sicurezza, nel caso in cui il destinatario abbia affidato a soggetti esterni tali compiti. 53 Nei casi in cui ciò si renda opportuno, per ragioni operative legate anche alla tutela dei dati personali, il destinatario esterno viene nominato dal Titolare come responsabile del trattamento dei dati, mediante apposita lettera scritta. Allo stato attuale, risultano nominati come responsabili i soggetti elencati nella seguente tabella: Tabella 29. Elenco soggetti esterni Data di ultimo aggiornamento: 14-05-2013 Cognome o Ragione Sociale Responsabile Esterno B.C.C. VERSILIA LUNIGIANA GARFAGNANA BARBIERI CENTRO COMPUTER S.N.C. LENZARINI NARDUCCI RICCARDO NUOVE FRONTIERE LAVORO NUOVI ORIZZONTI SMAI s.r.l. SMAI SOFTWARE VULLO Nome Responsabile Esterno CASTELNUOVO DI GARFAGNANA Trattamento interessato Informazioni sulla attività svolta 24 CONTABILITA' E FISCALE 23 - CLIENTI ED UTENZE 28 - SVILUPPO ECONOMICO, AMBIENTE 22 - CED ROBERT0 CINZIA 23 - CLIENTI ED UTENZE 28 - SVILUPPO ECONOMICO, AMBIENTE Revisore dei Conti 24 CONTABILITA' E FISCALE ORLANDI SERENA 23 - CLIENTI ED UTENZE 26 - RAPPORTI CON TERZI LENZI DANIELA 28 - SVILUPPO ECONOMICO, AMBIENTE 22 - CED di Dini Fabrizio & C. S.a.s. 22 - CED ING. FRANCESCO 01 - PERSONALE 28 - SVILUPPO ECONOMICO, AMBIENTE - VINCOLO IDROGEOLOGICO 24 - CONTABILITA' E FISCALE REVISORE DEI CONTI 01 - PERSONALE RESPONSABILE DELLA SICUREZZA Legenda: Cognome o Ragione Sociale Responsabile Esterno: viene indicato il cognome o la ragione sociale del responsabile esterno del trattamento Nome Responsabile Esterno: viene indicato il nome del responsabile esterno del trattamento Trattamenti interessati: indicare i trattamenti di dati interessati. A questo proposito far riferimento ai trattamenti censiti nella tabella Tabella 1. Informazioni sull’attività svolta: sono indicate sinteticamente le caratteristiche dell’attività affidata all’esterno. 54 8 Specificità del Trattamento dei dati personali dei dipendenti La nostra azienda ha analizzato la Deliberazione del Garante per la Protezione dei dati personali n. 53 del 23 novembre 2006 (pubblicata sulla Gu n.285 del 7 dicembre 2006 avente come oggetto Rapporti di lavoro: adottate le linee guida per il trattamento di dati dei dipendenti privati. Consci dell’importanza delle esortazioni e delle precisazioni del garante in materia possiamo affermare a tale proposito che: Responsabile del trattamento Il nostro Ente, al fine di proteggere e tutelare meglio i dati di tale trattamento, ha individuato gli incaricati che possono operare sui dati, (ai sensi art.30 D.lgs.196/2003) ed ha fornito loro adeguate istruzioni in materia. Medico competente – aspetti sanitari legati al D.lgs. n. 81/2008 Al fine di adempiere a quanto previsto dalla disciplina in materia di sicurezza e igiene del lavoro precisiamo che taluni specifici trattamenti che il medico competente Dott. Lucio Gaddo Gaddi il quale effettua accertamenti preventivi e periodici sui lavoratori (art.38 e art.41 d.lg. n.81/2008) e istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 232,e art.243 d.lg. n. 81/2008). Detta cartella è custodita presso il medico competente. In relazione a tali disposizioni, il medico competente è deputato a trattare i dati sanitari dei lavoratori, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalità e modalità del trattamento stabilite. Ciò, quale che sia il titolare del trattamento effettuato dal medico. La nostra azienda, sebbene sia tenuta, su parere del medico competente (o qualora il medico la informi di anomalie imputabili all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati, non conosce le eventuali patologie accertate, ma solo la valutazione finale circa l'idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni. Tutto ciò in sintonia con le previsioni legislative che dispongono la comunicazione all'Ispesl della cartella sanitaria e di rischio in caso di cessione (art. 243, comma 5, d.lg. n. 81/2008) o cessazione del rapporto di lavoro (art. 243,comma 4, d.lg. n. 81/2008), precludendosi anche in tali occasioni ogni loro conoscibilità da parte del datore di lavoro. Utilizzo di rilevatori biometrici per accesso ad aree riservate Non sono utilizzati in azienda dispositivi e rilevatori biometrici. Comunicazione e diffusione di dati personali La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi, salvo i casi previsti dalla legge, è ammessa se l'interessato vi ha acconsentito in modo libero ed esplicito. In particolare la nostra azienda è conscia che non può prescindere dal consenso stesso del lavoratore per comunicare dati personali (ad esempio, inerenti alla circostanza di un'avvenuta assunzione, allo status o alla qualifica ricoperta, all'irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a terzi quali: • associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima istituzione); • conoscenti, familiari e parenti. Fermo restando il rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali rimane impregiudicata la facoltà della nostra azienda di disciplinare le modalità del proprio trattamento designando i soggetti, interni o esterni, incaricati o responsabili del trattamento, che possono acquisire 55 conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni svolte e a idonee istruzioni scritte alle quali attenersi (artt. 4, comma 1, lett. g) e h), 29 e 30).. A tale proposito la nostra azienda si avvale dei seguenti soggetti esterni per le seguenti attività. È altresì impregiudicata la facoltà della nostra azienda di comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello aziendale o all'interno di singole unità produttive, agli importi di premi aziendali di risultato individuati per fasce, o qualifiche/livelli professionali, anche nell'ambito di singole funzioni o unità organizzative. Non esiste una intranet aziendale per cui non è stato necessario acquisire il consenso del lavoratore per ivi pubblicare informazioni personali allo stesso riferite (fotografia, informazioni anagrafiche o curricula). Al di là di specifiche disposizioni di legge che impongono all’azienda la diffusione di dati personali riferiti ai lavoratori (art. 24, comma 1, lett. a) o la autorizzino, o comunque di altro presupposto ai sensi dell'art. 24 del Codice, la diffusione stessa avviene solo nei casi in cui è necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro (art. 24, comma 1, lett. b) del Codice). È il caso, ad esempio, dell'affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti l'organizzazione del lavoro e l'individuazione delle mansioni cui sono deputati i singoli dipendenti . Salvo i casi di cui sopra la nostra azienda non opera diffusione di informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettività dei lavoratori. In particolare non è data diffusione dei seguenti dati di singoli lavoratori: • documenti relativi emolumenti percepiti o che fanno riferimento a particolari condizioni personali ; • sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie; • assenze dal lavoro per malattia; • iscrizione e/o adesione dei singoli lavoratori ad associazioni. La nostra azienda usa cartellini identificativi per facilitare il rapporto con il pubblico e la clientela. Ravvisando la non necessità dell'indicazione sul cartellino di dati personali identificativi completi (generalità o dati anagrafici), si è optato di riportare le sole informazioni sufficienti e necessarie allo scopo di essere d'ausilio all'utenza (ragione sociale dell’azienda, nominativo del soggetto con codice fiscale, matricola, qualifica e la foto del soggetto in conformità all’articolo 6,comma 1, Legge n.123/07). Salvi i casi in cui forme e modalità di divulgazione di dati personali discendano da specifiche previsioni (cfr. art. 174, comma 12, del Codice) la nostra azienda utilizza forme di comunicazione con il lavoratore che prevedono le misure più opportune per prevenire un'indebita comunicazione di dati personali, in particolare se sensibili, a soggetti diversi dal destinatario, ancorché incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente; ricorrendo a comunicazioni telematiche individuali). Analoghe cautele, tenendo conto delle circostanze di fatto, sono adottate in relazione ad altre forme di comunicazione indirizzate al lavoratore dalle quali possano desumersi vicende personali . Dati idonei a rivelare lo stato di salute di lavoratori La nostra azienda osserva cautele particolari anche nel trattamento dei dati sensibili del lavoratore (art. 4, comma 1, lett. d), del Codice) e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi ultimi, può rientrare l'informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi. La nostra azienda conosce e rispetta l’indicazione del Codice di Protezione sui dati personali per cui è vietata la diffusione di dati sanitari (art. 26, comma 5). Con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la normativa di settore e le disposizioni contenute nei contratti collettivi giustificano il trattamento dei dati relativi ai casi di infermità (e talora a quelli inerenti all'esecuzione di visite specialistiche o di accertamenti clinici) che determini un'incapacità lavorativa (temporanea o definitiva, con la conseguente sospensione o risoluzione 56 del contratto). Pertanto la nostra azienda tratta i dati relativi a invalidità o all'appartenenza a categorie protette, nei modi e per le finalità prescritte dalla vigente normativa in materia. A tale riguardo, sussiste comunque un quadro normativo articolato che prevede anche obblighi di comunicazione in capo al lavoratore e di successiva certificazione nei confronti del datore di lavoro e dell'ente previdenziale della condizione di malattia: obblighi funzionali non solo a giustificare i trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al datore di lavoro, di verificare le reali condizioni di salute del lavoratore. Nei casi di assenza per malattia i soggetti sanitari preposti, utilizzando un'apposita modulistica, compilano un attestato di malattia; una copia di tale modulistica viene consegnata, con la sola indicazione dell'inizio e della durata presunta dell'infermità, alla nostra azienda. La nostra azienda vigila costantemente per individuare tempestivamente comportamenti non corretti nella compilazione della modulistica da parte dei soggetti sanitari: ex: l’indicazione, sulla copia per il datore di lavoro, anche della diagnosi; informazione che il soggetto sanitario deve compilare unicamente sulla copia del modulo da consegnare, a cura del lavoratore stesso, all'Istituto di previdenza competente. Diversamente, per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi la nostra azienda può anche venire a conoscenza delle condizioni di salute del lavoratore. Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all'Istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965). In tali casi, pur essendo legittima la conoscenza della diagnosi, la nostra azienda si limita a comunicare all'ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro; ciò in virtù del fatto che la eventuale comunicazione di ulteriori informazioni sarebbe eccedente e non pertinente nel caso oggetto di denuncia (art. 11, commi 1 e 2 del Codice) . In alcuni casi la nostra azienda potrebbe trovarsi nella eventualità di dovere effettuare un ulteriore trattamento di dati relativi alla salute del lavoratore (e eventualmente di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap. Allo stesso modo, la nostra azienda potrebbe venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell'art. 124, commi 1 e 2, d.P.R. n. 309/1990). In tutti questi casi la nostra azienda opererà il trattamento rispettando principi di pertinenza e necessità ed adottando misure di sicurezza idonee a tutelare i dati trattati. La comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che la nostra azienda, per obblighi di legge, deve fare ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare le prescritte indennità in adempimento a specifici obblighi derivanti dalla legge, da altre norme o regolamenti o da previsioni contrattuali, avviene nei limiti delle sole informazioni indispensabili. In particolare, la nostra azienda può comunicare all'Istituto nazionale della previdenza sociale (Inps) i dati del dipendente assente, anche per un solo giorno, al fine di farne controllare lo stato di malattia (art. 5, commi 1 e 2, l. 20 maggio 1970, n. 300) ; a tal fine deve tenere a disposizione e produrre, a richiesta, all'Inps, la documentazione in suo possesso. Le eventuali visite di controllo sullo stato di infermità del lavoratore, ai sensi dell'art. 5 della legge 20 maggio 1970, n. 300, o su richiesta dell'Inps o della struttura sanitaria pubblica da esso indicata, sono effettuate dai medici dei servizi sanitari indicati dalle regioni (art. 2, l. n. 33/1980 cit.). Informativa i sensi art.13 D.lgs.196/2003 La nostra azienda rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano (anche in relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un'informativa completa degli elementi indicati dall'art. 13 del Codice. Tale informativa è resa per via scritta. Misure di sicurezza La nostra azienda adotta ogni misura di sicurezza, anche minima, prescritta dal Codice a protezione dei dati personali dei dipendenti comunque trattati nell'ambito del rapporto di lavoro, ponendo particolare attenzione all'eventuale natura sensibile dei medesimi (art. 31 ss. e Allegato B) al Codice). 57 Dette informazioni sono conservate separatamente da ogni altro dato personale dell'interessato; ciò, trova attuazione anche in riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio sono utilizzate sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di salute del lavoratore, da conservare separatamente o in modo da non consentirne una indistinta consultazione nel corso delle ordinarie attività amministrative ). Nei casi in cui i lavoratori producano spontaneamente certificati medici su modulistica diversa da quella descritta precedentemente, la nostra azienda si impegna comunque a non utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice) e adotta gli opportuni accorgimenti per non rendere visibili le diagnosi contenute nei certificati (ad esempio, prescrivendone la circolazione in busta chiusa previo oscuramento di tali informazioni); ciò, al fine di impedire ogni accesso abusivo a tali dati da parte di soggetti non previamente designati come incaricati o responsabili (art. 31 e ss. del Codice). La nostra azienda, come accennato in precedenza, crede fortemente che il trattamento dei dati personali dei dipendenti debba essere effettuato in un’ottica di massima sicurezza da personale formato, informato e specificatamente designato ad incaricato di trattamento ai sensi dell’art.30 d.lgs.196/2003. A tale proposito la nostra azienda si adopera affinché, come previsto dalla normativa, ciascun incaricato "deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un'adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito" La nostra azienda adotta tra l'altro (cfr. artt. 31 ss. del Codice), misure organizzative e fisiche idonee a garantire che: • i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni; • le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da escluderne l'indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati; • siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d'ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali; • sia prevenuta l'acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni personali da parte di soggetti non autorizzati ; • sia prevenuta l'involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla trattazione di informazioni riservate in spazi aperti, anziché all'interno di locali chiusi). Esercizio dei diritti previsti dall'art. 7 d.lgs.196/2003 e riscontro del datore di lavoro all’interessato I lavoratori della nostra azienda interessati possono esercitare nei confronti della medesima i diritti previsti dall'art. 7 del Codice (nei modi di cui agli artt. 8 e ss.), tra cui il diritto di accedere ai dati che li riguardano (anziché, in quanto tale, all'intera documentazione che li contiene), di ottenerne l'aggiornamento, la rettificazione, l'integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in violazione di legge, di opporsi al trattamento per motivi legittimi. Questi diritti sono enunciati in modo esaustivo nell’informativa fornita al lavoratore ai sensi dell’art.13 dlgs196/2003 (di cui ai punti soprastanti). La richiesta di accesso che non faccia riferimento ad un particolare trattamento o a specifici dati o categorie di dati, è intesa dall’azienda come riferita a tutti i dati personali che riguardano il lavoratore comunque trattati dall'amministrazione (art. 10) e può riguardare anche informazioni di tipo valutativo , alle condizioni e nei limiti di cui all'art. 8, comma 4 per cui “l’esercizio dei diritti di cui all’articolo 7, quando non riguarda dati di 58 carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento”. La nostra azienda, al ricevimento della richiesta, si attiva per fornire un riscontro completo alla richiesta del lavoratore interessato, senza limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando in modo chiaro e intelligibile tutte le informazioni in suo possesso. Il riscontro è fornito, in conformità ai termini previsti dalla normativa, entro 15 giorni dal ricevimento dell'istanza dell'interessato; il termine più lungo, pari a 30 giorni, può essere osservato, dandone comunicazione all'interessato, solo se le operazioni necessarie per un integrale riscontro sono di particolare complessità o se ricorre altro giustificato motivo (art. 146 del Codice). Il riscontro all’interessato da parte della nostra azienda potrà essere fornito sia in modo orale che scritto; tuttavia in presenza di una specifica istanza, la nostra azienda tenderà a fornire i dati richiesti su supporto cartaceo o informatico o a trasmetterli all'interessato per via telematica (art. 10). Seguendo le indicazioni più volte fornite dal Garante, l'esercizio del diritto di accesso consente di ottenere, ai sensi dell'art. 10 del Codice, solo la comunicazione dei dati personali relativi al richiedente detenuti dal titolare del trattamento e da estrarre da atti e documenti; non permette invece di richiedere a quest'ultimo il diretto e illimitato accesso a documenti e ad intere tipologie di atti, o la creazione di documenti allo stato inesistenti negli archivi, o la loro aggregazione secondo specifiche modalità prospettate dall'interessato o, ancora, di ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere particolari modalità di riscontro (salvo quanto previsto per la trasposizione dei dati su supporto cartaceo: cfr. art. 10, comma 2, del Codice). La nostra azienda è attenta a fare in modo che il giusto diritto di accesso di un soggetto interessato non vada a sovrapporsi al diritto alla riservatezza di un altro soggetto. Infine, il lavoratore può richiedere e ottenere l'aggiornamento dei dati personali a sé riferiti. In ordine all’eventuale richiesta di rettifica dei dati personali indicati nel profilo professionale del lavoratore, la medesima può avvenire solo in presenza della prova dell'effettiva e legittima attribuibilità delle qualifiche rivendicate dall'interessato, ad esempio in base a decisioni o documenti probatori, obblighi derivanti dal contratto di lavoro, provvedimenti di organi giurisdizionali relativi all'interessato o altri titoli o atti che permettano di ritenere provata, agli effetti e sul piano dell'applicazione della disciplina di protezione dei dati personali, la richiesta dell'interessato. 59 9 Amministratori di sistema Nel provvedimento dell’Autorità Garante in oggetto (G.U. 300 del 24 dicembre 2008) è stata definita (o meglio ridefinita, perché compariva nel vecchio dpr.318/99 ma era di fatto scomparsa nel nuovo codice) la figura dell'amministratore di sistema quale soggetto da individuare nominalmente per la sicurezza dei sistemi informatici, delle banche dati e la corretta gestione delle reti telematiche. Più precisamente il Garante per la protezione dei dati personali ha ribadito che con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime. Pertanto il Garante ha individuato le seguenti regole per individuare e definire puntualmente i compiti di tali soggetti: Obbligo della designazione individuale Le aziende e gli enti devono operare la designazione individuale (nominativa) degli amministratori di sistema; tale designazione deve recare anche l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Pertanto si evince che i principi di individuazione degli amministratori di sistema devono avvenire con criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29. Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. 60 Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore. Servizi in outsourcing Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Pertanto di seguito è fornito l’elenco degli amministratori di sistema che operano presso codesta azienda e una sintetica descrizione delle funzionalità e dei compiti ai quali essi sono preposti: 61 Tabella 30. Amministratori di sistema Data di ultimo aggiornamento: 14-05-2013 Cognome Nome BERTOLINI BIONDI Interno (I) o Esterno (E) Società esterna di appartenenza Amm. Sistemi Amm. Reti Amm. DB Amm. Software Amm. Altro Compiti, funzioni a cui sono preposti gli amministratori Procedure adottate dal titolare ANGELO E CENTRO COMPUTER SRL S S S S N Gestione del Dominio. Gestione degli utenti e della relativa profilazione sulla rete. Configurazione del server e dei client della rete. Manutenzione ordinaria e straordinaria dei Personal Computer e dei Server. Aggiornamento dei software, dei sistemi operativi e degli antivirus ove non avviene automaticamente o per mano del fornitore. Monitoraggio, gestione e archiviazione degli eventi mediante software GFI Events Manger Networkig Security. LUCA E CENTRO COMPUTER SRL S S S S N Gestione del Dominio. Gestione degli utenti e della relativa profilazione sulla rete. Configurazione del server e dei client della rete. Manutenzione ordinaria e straordinaria dei Personal Computer e dei Server. Aggiornamento dei software, dei sistemi operativi e degli antivirus ove non avviene automaticamente o per mano del fornitore. Monitoraggio, gestione e archiviazione degli eventi mediante software GFI Events Manger Networkig Security. 1 LEZOLI ALESSANDRO E CENTRO COMPUTER SRL S S S S 2 N Gestione del Dominio. Gestione degli utenti e della relativa profilazione sulla rete. Configurazione del server e dei client della rete. Manutenzione ordinaria e straordinaria dei Personal Computer e dei Server. Aggiornamento dei software, dei sistemi operativi e degli antivirus ove non avviene automaticamente o per mano del fornitore. Monitoraggio, gestione e archiviazione degli eventi mediante software GFI Events Manger Networkig Security. 10 Dichiarazioni d’impegno e firma Il presente documento, redatto in data 14-05-2013, viene firmato in calce da: • Mario Puppa, in qualità di Presidente Una sua copia verrà consegnata anche a: • a ciascun responsabile interno del trattamento dei dati personali • a chiunque, avente titolo, ne faccia richiesta anche in relazione agli artt. 7,8,9,10 del d.lgs.196 del 30 giugno 2003. Il presente documento verrà trasmesso alla Giunta dell’Unione per l’approvazione. Castelnuovo di Garfagnana, Lì 14-05-2013 Firma del Presidente _______________________________________________________ Mario Puppa 1